Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.
Логи сделал.
begin
ExecuteAVUpdateEx('http://avz.safezone.cc/base/', 0, '','','');
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFileF('L:\Users\Jin\AppData\Roaming\', '*.tmp;*.exe', false, '', 0, 0);
QuarantineFile('0.exe','');
QuarantineFile('lanmanworkstationVSS.sys','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Transcend\SJelite3\asmtusb.dll','');
QuarantineFile('c:\documents and settings\Администратор\application data\transcend\sjelite3\sjelite3launch.exe','');
DeleteFile('0.exe');
DeleteFileMask('L:\Users\Jin\AppData\Roaming\', '*.tmp;*.exe', false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.c:\system volume information\_restore{179124b2-9dca-40d9-ad1e-a0e610a11014}\rp556\a0265002.exe (Trojan.FakeSMS) -> No action taken.
c:\system volume information\_restore{179124b2-9dca-40d9-ad1e-a0e610a11014}\rp556\a0265003.exe (Trojan.FakeSMS) -> No action taken.
d:\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken.
d:\program files\WinRar 3.2\kgwinrar.exe (Trojan.Agent.CK) -> No action taken.
d:\program files\alcohol soft\alcohol 120\Langs\AX_RU.dll (Malware.Packer.GenX) -> No action taken.
d:\alcohol 120\Langs\AX_RU.dll (Malware.Packer.GenX) -> No action taken.R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
R3 - URLSearchHook: (no name) - {7b6de06c-7013-4a87-957e-d27d7b977d21} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O2 - BHO: (no name) - {1D69644B-A39B-408C-85F1-73E247F3FD93} - (no file)
O2 - BHO: (no name) - {7b6de06c-7013-4a87-957e-d27d7b977d21} - (no file)
O3 - Toolbar: (no name) - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - (no file)
O3 - Toolbar: (no name) - {7b6de06c-7013-4a87-957e-d27d7b977d21} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)2011-07-24 17:08:40 ----A---- C:\WINDOWS\popcreg.dat
2011-07-24 17:08:40 ----A---- C:\WINDOWS\popcinfot.datсделано
Выполнено
2011-07-24 17:08:40 ----A---- C:\WINDOWS\popcreg.dat
2011-07-24 17:08:40 ----A---- C:\WINDOWS\popcinfot.datпока тормозить меньше стал
такого диска нет и флешки с таким названием нет. В логе авз тоже его не видно. Думаю в скрипт это попало случайно:
Да, она от внешнего ЖД.
Хорошо, сейчас сделаю.
Зато в первом логе RSIT было.
хм, не вижу. Ткни пальцем...
2011-09-29 08:11:35 ----A---- L:\Users\Jin\AppData\Roaming\42FC.exe
2011-09-29 08:10:31 ----A---- L:\Users\Jin\AppData\Roaming\4A4B.exe
2011-09-29 08:10:24 ----A---- L:\Users\Jin\AppData\Roaming\3035.tmp
2011-09-28 22:54:48 ----A---- L:\Users\Jin\AppData\Roaming\1A3F.tmp
2011-09-28 22:54:37 ----A---- L:\Users\Jin\AppData\Roaming\F071.exe
2011-09-28 18:59:05 ----A---- L:\Users\Jin\AppData\Roaming\4A5D.exe
2011-09-28 18:42:59 ----A---- L:\Users\Jin\AppData\Roaming\8D54.exe
2011-09-28 17:40:31 ----A---- L:\Users\Jin\AppData\Roaming\5BA8.exe
2011-09-28 17:40:27 ----A---- L:\Users\Jin\AppData\Roaming\4DF1.exe
2011-09-28 12:40:23 ----A---- L:\Users\Jin\AppData\Roaming\75FB.exe
2011-09-28 12:40:17 ----A---- L:\Users\Jin\AppData\Roaming\5C05.exe
2011-09-28 11:16:07 ----A---- L:\Users\Jin\AppData\Roaming\3E0A.exe
2011-09-28 11:15:06 ----A---- L:\Users\Jin\AppData\Roaming\4F19.exe
2011-09-28 11:10:28 ----A---- L:\Users\Jin\AppData\Roaming\4CEA.exe
2011-09-28 11:10:24 ----A---- L:\Users\Jin\AppData\Roaming\3D40.exe
2011-09-28 11:10:17 ----A---- L:\Users\Jin\AppData\Roaming\249F.exe
2011-09-28 09:54:09 ----A---- L:\Users\Jin\AppData\Roaming\32D.exe
2011-09-28 09:53:06 ----A---- L:\Users\Jin\AppData\Roaming\C9D.exe
2011-09-28 07:32:44 ----A---- L:\Users\Jin\AppData\Roaming\ACC4.exe
2011-09-28 07:31:14 ----A---- L:\Users\Jin\AppData\Roaming\495E.exe
2011-09-27 23:02:01 ----A---- L:\Users\Jin\AppData\Roaming\4C8B.exe
2011-09-27 23:01:55 ----A---- L:\Users\Jin\AppData\Roaming\365C.exe
2011-09-27 23:01:44 ----A---- L:\Users\Jin\AppData\Roaming\D48.exe
2011-09-27 20:16:33 ----A---- L:\Users\Jin\AppData\Roaming\6A58.tmp
2011-09-27 20:16:20 ----A---- L:\Users\Jin\AppData\Roaming\37C3.exe
2011-09-27 20:16:07 ----A---- L:\Users\Jin\AppData\Roaming\379.exe
2011-09-27 14:59:50 ----A---- L:\Users\Jin\AppData\Roaming\D136.exe
2011-09-27 14:59:41 ----A---- L:\Users\Jin\AppData\Roaming\B202.tmp
2011-09-27 12:54:39 ----A---- L:\Users\Jin\AppData\Roaming\369A.exe
2011-09-27 12:54:34 ----A---- L:\Users\Jin\AppData\Roaming\2200.exe
2011-09-27 10:57:22 ----A---- L:\Users\Jin\AppData\Roaming\55B3.exeR1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:80хорошо, сейчас сделаем