begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('ws2_32sik', 4);
SetServiceStart('nicsk32', 4);
SetServiceStart('netsik', 4);
SetServiceStart('fips32cup', 4);
SetServiceStart('amd64si', 4);
SetServiceStart('acpi32', 4);
SetServiceStart('BrowserVSS', 4);
QuarantineFile('C:\Program Files\Common Files\Relive.dll','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\msvcrt.dll','');
QuarantineFile('C:\Documents and Settings\User\User.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
QuarantineFile('C:\WINDOWS\system32\1025j.exe','');
DeleteFile('C:\WINDOWS\system32\1025j.exe');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
DeleteFile('C:\Documents and Settings\User\User.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\Program Files\Common Files\Relive.dll');
DelBHO('{D3626E66-B13B-C628-ACDF-BDABCFA265E1}');
DeleteService('acpi32');
DeleteService('netsik');
DeleteService('nicsk32');
DeleteService('ws2_32sik');
DeleteService('fips32cup');
DeleteService('amd64si');
DeleteService('BrowserVSS');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Подскажите, нужно ли проверять другие ПК, с которыми вылеченная машина находится в сетке, если установленный на них AVAST работает нормально и при глубоком сканировании ничего не находит?
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Internet Explorer\msvcrt.dll','');
DeleteFile('C:\Program Files\Internet Explorer\msvcrt.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(19);
RebootWindows(true);
end.
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
begin
SetAVZPMStatus(true);
RebootWindows(true);
end.
Adobe Reader 7.0 "Справка-Проверить наличие обновлений..." ничего не показывает
gmer.exe -del service shelh
gmer.exe -del file "C:\WINDOWS\system32\ojrcr.dll"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\shelh"
gmer -reboot
Вредонос изменил стандартный путь файлов и теперь некоторые функции windows не работоспособны.1.Поясните, пожалуйста, указание "Необходимо изменить fystemroot => systemroot..."
2.Остальные инструкции выполнены
3.Почему-то не могу прикрепить лог gmer к ответу - "Ответить в теме-Дополнительные опции-Вложить файлы-Разрешённые типы файлов..." отсутствует кнопка "Управление вложениями"
begin
ExecuteStdScr(6);
RebootWindows(true);
end.
С указанной Вами темой ознакомился.RegSearch.txt - теперь у вас есть перечень ключей которые изменены вредоносом.
Необходимо изменить fystemroot => systemroot возможно прийдется востановить права на эти ветки реестра. Ознакомтесь с этой темой.
:Processes
explorer.exe
:Services
:Files
:Reg
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2988:TCP"=-
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?