Вы лечились CureIt?
Проверьте сами на
http://www.virustotal.com файл
Код:
c:\windows\system32\dllhost.exe
c:\windows\system32\dmadmin.exe
C:\WINDOWS\system32\Drivers\Video3D32.sys
F:\Share
ссылки на результат проверки запостите здесь
F:\Share - это вам знакомо?
Выполните такой скрипт. Предварительно вставьте в привод дистрибутив вашей копии Windows. Это нужно на тот случай, если понадобится заменить заражённый системный файл.
Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
Procedure SysFileRecoverFromDistrib (Path, Name : string);
begin
if MessageDLG('Для замены повреждённого системного файла ' + Name + ', который находится в папке ' + Path + ', вставьте дистрибутив Windows в CD\DVD-привод и нажмите "Да". Если же у вас нет дистрибутива или Вы хотите выполнить замену самостоятельно, нажмите "Нет"', mtConfirmation, mbYes+mbNo, 0) = 6 then
begin
ExecuteFile('sfc /scannow', '', 1, 0, true);
AddToLog('Пользователь выполнил "sfc /scannow"');
SaveLog('Recover_' + Name + '.log');
end
else
begin
AddToLog('Пользователь выбрал самостоятельный способ замены.');
SaveLog('Recover_' + Name + '.log');
end;
end;
Procedure CompleteFix(Path, Name : string);
begin
RenameFile('%windir%\system32\' + Name, '%windir%\system32\' + Name + '.bak');
CopyFile(Path + Name, '%windir%\system32\' + Name);
DeleteFile('%windir%\system32\' + Name + '.bak');
end;
Procedure SysFileRecoverFromBackup(Path, Name : string);
begin
if (FileExists('%windir%\system32\dllcache\' + Name) and FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) and ((CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name))) then
begin
AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - разные файлы в папках. Запрошен дистрибутив.');
SaveLog('Recover_' + Name + '.log');
SysFileRecoverFromDistrib(Path, Name);
end
else if FileExists('%windir%\system32\dllcache\' + Name) then
begin
if (CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then
begin
CompleteFix('%windir%\system32\dllcache\', Name);
AddToLog('Замена ' + Name + ' успешно произведена из \system32\dllcache\');
SaveLog('Recover_' + Name + '.log');
end
else if FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name) then
begin
if (CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then
begin
CompleteFix('%windir%\ServicePackFiles\i386\dllcache\', Name);
AddToLog('Замена ' + Name + ' успешно произведена из \ServicePackFiles\i386\');
SaveLog('Recover_' + Name + '.log');
end
end
end;
if (not FileExists('%windir%\system32\dllcache\' + Name)) and (not FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) then
begin
AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - нет файлов. Запрошен дистрибутив.');
SaveLog('Recover_' + Name + '.log');
SysFileRecoverFromDistrib(Path, Name);
end;
end;
var SourcePath : String;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\sfc.sys','');
QuarantineFile('F:\Share','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Video3D32.sys','');
QuarantineFile('C:\WINDOWS\system32\155D.tmp','');
QuarantineFile('C:\WINDOWS\system32\OLD8DC.tmp','');
QuarantineFile('C:\WINDOWS\DUMP7530.tmp','');
QuarantineFile('C:\WINDOWS\system32\1C93.tmp','');
DeleteFile('C:\WINDOWS\system32\155D.tmp');
DeleteFile('C:\WINDOWS\system32\OLD8DC.tmp');
DeleteFile('C:\WINDOWS\DUMP7530.tmp');
DeleteFile('C:\WINDOWS\system32\1C93.tmp');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
DeleteFile('C:\Program Files\Common Files\keylog.txt');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
SysFileRecoverFromBackup('%windir%\system32\', 'sfcfiles.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sfc');
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(20);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
После перезагрузки
обязательно прикрепите файл Recover_sfcfiles.log, он появится в папке
AVZ.
Затем, выполните такой скрипт:
AVZ, меню
"Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте
c:\quarantine.zip при помощи
этой формы
Логи повторите
+
Скачайте
Malwarebytes' Anti-Malware или с
зеркала, установите, обновите базы, выберите "
Perform Full Scan", нажмите "
Scan", после сканирования -
Ok -
Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
