begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\Drivers\TosIde.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\lbrtfdc.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mrxcls.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mrxnet.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\mrxnet.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\mrxcls.sys');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DeleteService('MRxNet');
DeleteService('MRxCls');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Только косвенные.по выше прикрепленным логам уже можно сделать какой-то вывод?
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS (Rootkit.TmpHider) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET (Rootkit.TmpHider) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls (Rootkit.TmpHider) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet (Rootkit.TmpHider) -> No action taken.
C:\WINDOWS\inf\mdmcpq3.PNF (Rootkit.TmpHider) -> No action taken.
C:\WINDOWS\inf\mdmeric3.PNF (Rootkit.TmpHider) -> No action taken.
C:\WINDOWS\inf\oem6C.PNF (Rootkit.TmpHider) -> No action taken.
C:\сарафаны\klipart_-_jenskie_vechernie_platya-21335763.exe (Trojan.Dropper) -> No action taken.
D:\change\winrar\wrar390b4ru.exe (Trojan.FakeAlert) -> No action taken.
D:\DISTREB\windows\Zver CD SP3 New\WPI\Install\MD8\Rus.exe (Malware.Packer.Gen) -> No action taken.
D:\DISTREB\проги для открытия exe\PEiD0.95\PEiD 0.95\Plugins\ExtOverlay.DLL (Trojan.Dropper.PGen) -> No action taken.
D:\DISTREB\проги для открытия exe\PEiD0.95\PEiD 0.95\Plugins\Frant.dll (Malware.Packer.Gen) -> No action taken.
D:\DISTREB\проги для открытия exe\PEiD0.95\PEiD 0.95\Plugins\IDToText.DLL (Trojan.Dropper.PGen) -> No action taken.
D:\DISTREB\проги для открытия exe\PEiD0.95\PEiD 0.95\Plugins\OEP and Scan\oreansid.dat (Trojan.Agent) -> No action taken.
D:\DISTREB\проги для открытия exe\PEiD0.95\PEiD 0.95\Plugins\OEP and Scan\oreansid.dll (Trojan.Dropper.PGen) -> No action taken.
D:\DISTREB\проги для открытия exe\PEiD0.95\PEiD 0.95\Plugins\Pack\UPXScramb.dll (Trojan.KillAV) -> No action taken.
....надо еще повторить?
скрипты от акоК сейчас повторю
затем выполнить и скрипты от акоК и отправить ?
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\Drivers\TosIde.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\lbrtfdc.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mrxcls.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mrxnet.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\mrxnet.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\mrxcls.sys');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DeleteService('MRxNet');
DeleteService('MRxCls');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Повторите логи с АВЗ..!
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?