begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Users\Роман Алексеевич\AppData\Roaming\taskhost.exe','');
QuarantineFile('C:\Windows\system32\drivers\afdgjkwy.sys','');
DeleteFile('C:\Windows\system32\drivers\afdgjkwy.sys');
DeleteFile('C:\Users\Роман Алексеевич\AppData\Roaming\taskhost.exe');
DelBHO('{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}');
DeleteFileMask('C:\ProgramData\6Jre5XUvOzQ', '*.*', true);
DeleteDirectory('C:\ProgramData\6Jre5XUvOzQ');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost');
DeleteService('afdgjkwy');
ExecuteSysClean;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
т.е. Выполнил скрипты в АВЗВыполните скрипты в АВЗПосмотреть вложение 8073
;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
; C:\WINDOWS\SYSTEM32\CREXVX.OCX
addsgn BA652BBE5D22C5062FC4F9F9E7243286DF8BB57D7171C5300E32B0B9B891734C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C4B05ED038CAEEBF 64
zoo %Sys32%\CREXVX.OCX
bl 8D1FEAE1A62ADFEEFFF781113F61F21D 12800
delall %Sys32%\CREXVX.OCX
delall %Sys32%\CREXV.OCX
delall %SystemRoot%\SYSWOW64\CREXV.OCX
chklst
delvir
restart
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Роман Алексеевич\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1I3AQ4LJ\87[1].o','');
DeleteFile('C:\Users\Роман Алексеевич\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1I3AQ4LJ\87[1].o');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Воспользуйтесь скриптом из этой темы
+
Какое значение имеет ключ
Код:HKLM\Software\Classes\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\
:regfind
CREXVX.OCX
CREXV.OCX
SystemLook 30.07.11 by jpshortstuff
Log created at 13:32 on 26/08/2012 by Роман Алексеевич
Administrator - Elevation successful
========== regfind ==========
Searching for "CREXVX.OCX"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32]
@="crexvx.ocx"
Searching for "CREXV.OCX"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MediaPlayer\Setup]
"ObfuscatedSyncPath"="C:\Windows\system32\crexv.ocx"
-= EOF =-
;uVS v3.76 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
delall CREXVX.OCX
exec reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MediaPlayer\Setup" /v "ObfuscatedSyncPath"
restart
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
BackupRegKey('HKLM', 'Software\Classes\ClsId\{7C857801-7381-11CF-884D-00AA004B2E24}', 'HKLM_7C857801');
RegKeyResetSecurity('HKLM','SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32');
RegKeyParamWrite('HKLM','Software\Classes\ClsId\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32','','REG_SZ','%SystemRoot%\system32\wbem\wbemsvc.dll');
RegKeyDel('HKLM','SOFTWARE\Microsoft\MediaPlayer\Setup\ObfuscatedSyncPath');
RebootWindows(false);
end.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32]
[HKEY_CLASSES_ROOT\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32]
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,\
65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,00,00
"ThreadingModel"="Apartment"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32]
@=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,62,00,\
65,00,6d,00,5c,00,77,00,62,00,65,00,6d,00,73,00,76,00,63,00,2e,00,64,00,6c,\
00,6c,00,00,00
"ThreadingModel"="Both"
[HKEY_CLASSES_ROOT\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,\
65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,00,00
"ThreadingModel"="Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MediaPlayer\Setup
"ObfuscatedSyncPath"=-
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?