Снимали жесткий диск, проверяли, удаляли. Но всеравно после загрузки компьютера, KAV начинает находить вирусы и выполняет специальную процедуру лечения с перезагрузкой, но после перезагрузки начинается все по новой.
Снимали жесткий диск, проверяли, удаляли. Но всеравно после загрузки компьютера, KAV начинает находить вирусы и выполняет специальную процедуру лечения с перезагрузкой, но после перезагрузки начинается все по новой.
- Выполните скрипт в AVZ
После перезагрузки:Код:var i : integer; KeyList : TStringList; begin KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.'); end; end; KeyList.Free; SaveLog(GetAVZDirectory + 'fystemRoot.log'); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\TEMP\_Drivers\_audio\kxdrv3537-full.exe',''); QuarantineFile('c:\windows\system32\exphost.exe',''); QuarantineFile('C:\WINDOWS\system32\Tiya00814078AI.psl',''); QuarantineFile('C:\WINDOWS\ali.exe',''); QuarantineFile('C:\WINDOWS\System32\userinit.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys',''); DeleteService('vtgt'); QuarantineFile('C:\WINDOWS\system32\NSRIX5AQ\E001.exe',''); QuarantineFile('C:\WINDOWS\system32\yykeym.exe',''); DeleteService('vMBSPaHR'); QuarantineFile('C:\sbrf\Pssvc1.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\lanmao.exe',''); DeleteService('Netnanerav'); DeleteService('MKhxUmwz'); QuarantineFile('C:\WINDOWS\system32\NSRIX5AQ\G002.exe',''); DeleteService('grft'); QuarantineFile('C:\WINDOWS\system32\4K1EH3Y5\E003.exe',''); QuarantineFile('C:\Program Files\IVT Corporation\BlueSoleil\StartSkysolSvc.exe',''); QuarantineFile('C:\WINDOWS\system32\oooyou.exe',''); DeleteService('kJSwpGGG'); QuarantineFile('C:\WINDOWS\system32\R614XAVH\F001.exe',''); DeleteService('asOQWYZN'); QuarantineFile('c:\windows\system32\ucz2t8pg\g001.exe',''); TerminateProcessByName('c:\windows\system32\ucz2t8pg\g001.exe'); DeleteFile('c:\windows\system32\ucz2t8pg\g001.exe'); DeleteFile('C:\WINDOWS\system32\R614XAVH\F001.exe'); DeleteFile('C:\WINDOWS\system32\oooyou.exe'); DeleteFile('C:\WINDOWS\system32\4K1EH3Y5\E003.exe'); DeleteFile('C:\WINDOWS\system32\NSRIX5AQ\G002.exe'); DeleteFile('C:\Documents and Settings\All Users\Application Data\lanmao.exe'); DeleteFile('C:\WINDOWS\system32\yykeym.exe'); DeleteFile('C:\WINDOWS\system32\NSRIX5AQ\E001.exe'); DeleteFile('C:\WINDOWS\ali.exe'); DeleteFileMask('c:\windows\system32\ucz2t8pg', '*.*', true); DeleteDirectory('c:\windows\system32\ucz2t8pg'); DeleteFileMask('c:\windows\system32\R614XAVH', '*.*', true); DeleteDirectory('c:\windows\system32\R614XAVH'); DeleteFileMask('c:\windows\system32\4K1EH3Y5', '*.*', true); DeleteDirectory('c:\windows\system32\4K1EH3Y5'); DeleteFileMask('c:\windows\system32\NSRIX5AQ', '*.*', true); DeleteDirectory('c:\windows\system32\NSRIX5AQ'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','qQ'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- сделайте лог Combofix
Скрипт не помог, сообщения после перезагрузки по прежнему появляются
дочитайте рекомендации... и выполните !
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 41
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\all users\\application data\\lanmao.exe - Backdoor.Win32.DarkShell.nd ( DrWEB: BackDoor.Darkshell.246, BitDefender: Backdoor.Darkshell.I, NOD32: Win32/Farfli.AY trojan, AVAST4: Win32:BackDoor-VI [Trj] )
- c:\\windows\\system32\\oooyou.exe - Trojan.Win32.Scar.dhmo ( DrWEB: BackDoor.Siggen.27480, BitDefender: GenPack:Trojan.Generic.5229720, NOD32: Win32/ServStart.AL trojan, AVAST4: Win32:Crypt-JFZ [Trj] )
- c:\\windows\\system32\\tiya00814078ai.psl - Trojan-GameThief.Win32.Magania.efef ( DrWEB: Trojan.KeyLogger.8472, BitDefender: Dialer.Generic.57165, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\yykeym.exe - Trojan-Dropper.Win32.Agent.dqvf ( DrWEB: BackDoor.Siggen.27479, BitDefender: Gen:Trojan.Heur.GM.0024020422, AVAST4: Win32:Crypt-JFZ [Trj] )
Уважаемый(ая) helpfl, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.