Имя пользователя:
Пароль:
 

Название темы: [решено] Win32/Spy.Shiz.NCE
Показать сообщение отдельно
S.R S.R вне форума

Старожил


Сообщения: 469
Благодарности: 79

Профиль | Цитировать


На время выполнения скриптов/сбора логов отключайте антивирусы и сетевые экраны!

Выполните скрипт в AVZ (меню Файл\Выполнить скрипт):
Код: Выделить весь код
Procedure ScanDir(ADirName : string; AScanSubDir : boolean);
var FS : TFileSearch;
begin
 ADirName := NormalDir(ADirName);
 FS := TFileSearch.Create(nil);
 FS.FindFirst(ADirName + '*.*');
 while FS.Found do
  begin
    SetStatusBarText(ADirName + FS.FileName);
    if FS.IsDir then
     begin
       if AScanSubDir and (FS.FileName <> '.') and (FS.FileName <> '..') then 
         ScanDir(ADirName + FS.FileName, AScanSubDir)
     end
    else
      AddToLog(ADirName + FS.FileName + ' = ' + CalkFileMD5(ADirName + FS.FileName));
    FS.FindNext;
  end;
 FS.Free;
end;

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'В процессе выполнения скрипта компьютер будет перезагружен.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\Users\Илья\AppData\Roaming\c5443a33', '*', true, '', 0, 0);
 DeleteFileMask('C:\Users\Илья\AppData\Roaming\c5443a33', '*', true);
 DeleteDirectory('C:\Users\Илья\AppData\Roaming\c5443a33');
 ScanDir('C:\ProgramData\zFTP6UZ4090', true); 
 SaveLog(GetAVZDirectory + 'MD5.txt');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list', 'C:\Windows\explorer.exe','C:\Windows\explorer.exe:*:Enabled:ipsec');
 RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
 AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Архив quarantine.zip из папки с AVZ отправьте через веб-форму.
Файл MD5.txt из папки с AVZ прикрепите к сообщению.
Обновите Java SE.
Повторите логи RSIT.
Это сообщение посчитали полезным следующие участники:

Отправлено: 08:41, 28-08-2012 | #6

Название темы: [решено] Win32/Spy.Shiz.NCE