Alien
Постоянный участник
- Сообщения
- 388
- Реакции
- 37
Добрый день. Дали ноутбук на буквально на 5 минут мол тормозит.
Не было особенно времени на анализ файлов. Сделал что мог. Ноутбук не у меня и новые команды скрипта на дальнейшее лечение не нужны.
Вот скрипт который я запустил.
P.S. Возможно я взял многие системные файлы в карантин по ошибке. Почему они отобразились в логе?
Носитель информации (флешка)заразился сразу вирусом.
Кому отправить карантин и файл вируса? (Его не видят базы Защитника Windows)
Не было особенно времени на анализ файлов. Сделал что мог. Ноутбук не у меня и новые команды скрипта на дальнейшее лечение не нужны.
Вот скрипт который я запустил.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\admin\Downloads\BlueStacks2_native.exe','');
QuarantineFile('C:\ProgramData\{3247D8DA-85EC-6F71-CC3A-BD797A4484F4}\21D36549-9678-D2E2-E12D-12249DAFDAD2.exe','');
QuarantineFile('C:\PROGRA~3\e0e7152f\a09aa5ab.dll','');
QuarantineFile('C:\Users\admin\Desktop\Settings.exe','');
QuarantineFile('C:\Program Files (x86)\GXZiGyYLSHyU2\KdfWIDV.dll','');
QuarantineFile('C:\Windows\ehome\mcupdate','');
QuarantineFile('C:\PROGRA~2\FASTDA~1\FASTDA~1.EXE','');
QuarantineFile('C:\Program Files (x86)\thzXuJvjU\8dE6W62.dll','');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{C0D38E5A-7CF8-4105-8FE8-31B81443A114}');
QuarantineFile('C:\Windows\system32\wecsvc.dll','');
QuarantineFile('C:\Windows\System32\wbiosrvc.dll','');
QuarantineFile('C:\Windows\system32\w32time.dll','');
QuarantineFile('C:\Windows\System32\uxsms.dll','');
QuarantineFile('C:\Windows\System32\trkwks.dll','');
QuarantineFile('C:\Windows\System32\ssdpsrv.dll','');
QuarantineFile('C:\Windows\system32\sppuinotify.dll','');
QuarantineFile('C:\Windows\System32\ipnathlp.dll','');
QuarantineFile('C:\Windows\system32\sensrsvc.dll','');
QuarantineFile('C:\Windows\system32\seclogon.dll','');
QuarantineFile('C:\Windows\System32\SDRSVC.dll','');
QuarantineFile('C:\Windows\system32\schedsvc.dll','');
QuarantineFile('C:\Windows\System32\SCardSvr.dll','');
QuarantineFile('C:\Windows\System32\RpcEpMap.dll','');
QuarantineFile('C:\Windows\system32\regsvc.dll','');
QuarantineFile('C:\Windows\System32\rasmans.dll','');
QuarantineFile('C:\Windows\System32\rasauto.dll','');
QuarantineFile('C:\Windows\system32\profsvc.dll','');
QuarantineFile('C:\Windows\system32\umpo.dll','');
QuarantineFile('C:\Windows\System32\ipsecsvc.dll','');
QuarantineFile('C:\Windows\system32\pnrpauto.dll','');
QuarantineFile('C:\Windows\system32\umpnpmgr.dll','');
QuarantineFile('C:\Windows\System32\pcasvc.dll','');
QuarantineFile('C:\Windows\system32\p2psvc.dll','');
QuarantineFile('C:\Windows\system32\pnrpsvc.dll','');
QuarantineFile('C:\Windows\system32\nsisvc.dll','');
QuarantineFile('C:\Windows\System32\nlasvc.dll','');
QuarantineFile('C:\Windows\System32\netman.dll','');
QuarantineFile('C:\Windows\system32\qagentRT.dll','');
QuarantineFile('C:\Windows\system32\iscsiexe.dll','');
QuarantineFile('C:\Windows\system32\mpssvc.dll','');
QuarantineFile('C:\Windows\system32\mmcss.dll','');
QuarantineFile('C:\Windows\system32\Mcx2Svc.dll','');
QuarantineFile('C:\Windows\System32\lmhsvc.dll','');
QuarantineFile('C:\Windows\System32\lltdsvc.dll','');
QuarantineFile('C:\Windows\System32\wkssvc.dll','');
QuarantineFile('C:\Windows\system32\srvsvc.dll','');
QuarantineFile('C:\Windows\system32\msdtckrm.dll','');
QuarantineFile('C:\Windows\System32\iphlpsvc.dll','');
QuarantineFile('C:\Windows\system32\ipbusenum.dll','');
QuarantineFile('C:\Windows\System32\ikeext.dll','');
QuarantineFile('C:\Windows\system32\ListSvc.dll','');
QuarantineFile('C:\Windows\system32\kmsvc.dll','');
QuarantineFile('C:\Windows\System32\gpsvc.dll','');
QuarantineFile('C:\Windows\system32\FntCache.dll','');
QuarantineFile('C:\Windows\system32\fdrespub.dll','');
QuarantineFile('C:\Windows\system32\fdPHost.dll','');
QuarantineFile('C:\Windows\System32\eapsvc.dll','');
QuarantineFile('C:\Windows\system32\dps.dll','');
QuarantineFile('C:\Windows\System32\dot3svc.dll','');
QuarantineFile('C:\Windows\System32\dnsrslvr.dll','');
QuarantineFile('C:\Windows\System32\defragsvc.dll','');
QuarantineFile('C:\Windows\system32\sstpsvc.dll','');
QuarantineFile('C:\Windows\system32\sysmain.dll','');
QuarantineFile('C:\Windows\System32\swprv.dll','');
QuarantineFile('C:\Windows\System32\wiaservc.dll','');
QuarantineFile('C:\Windows\system32\themeservice.dll','');
QuarantineFile('C:\Windows\System32\termsrv.dll','');
QuarantineFile('C:\Windows\System32\tbssvc.dll','');
QuarantineFile('C:\Windows\System32\TabSvc.dll','');
QuarantineFile('C:\Windows\system32\rpcss.dll','');
QuarantineFile('C:\Windows\System32\certprop.dll','');
QuarantineFile('C:\Windows\system32\bthserv.dll','');
QuarantineFile('C:\Windows\System32\browser.dll','');
QuarantineFile('C:\Windows\System32\qmgr.dll','');
QuarantineFile('C:\Windows\System32\bfe.dll','');
QuarantineFile('C:\Windows\System32\bdesvc.dll','');
QuarantineFile('C:\Windows\System32\AxInstSV.dll','');
QuarantineFile('C:\Windows\System32\Audiosrv.dll','');
QuarantineFile('C:\Windows\System32\appinfo.dll','');
QuarantineFile('C:\Windows\System32\appidsvc.dll','');
QuarantineFile('C:\Windows\System32\aelupsvc.dll','');
QuarantineFile('C:\Windows\system32\sdclt.exe','');
QuarantineFile('C:\Windows\system32\psxss.exe','');
QuarantineFile('C:\Windows\System32\win32k.sys','');
QuarantineFile('C:\Program Files (x86)\YeaDesktop\YeaDesktop.exe','');
QuarantineFile('C:\Users\admin\AppData\Roaming\SimpleNotepad3\SimpleNoteApp3.exe','');
QuarantineFile('C:\Windows\xhunter1.sys','');
DeleteService('xhunter1');
StopService('xhunter1');
QuarantineFile('C:\Windows\system32\DRIVERS\oem-drv64.sys','');
DeleteService('oem-drv64');
StopService('oem-drv64');
QuarantineFile('C:\Users\admin\AppData\Local\Temp\nsf40B9.tmp\ExecDos.dll','');
QuarantineFile('C:\Program Files (x86)\QYERbvxRHIE\kaPcykzr.dll','');
QuarantineFile('C:\Program Files (x86)\QYERbvxRHIE\2tjgPS.dll','');
QuarantineFile('C:\Users\admin\AppData\Roaming\vnlgp\vnlgp.exe','');
QuarantineFile('c:\users\admin\appdata\local\temp\tftp.exe','');
QuarantineFile('c:\users\admin\appdata\roaming\simplenotepad3\simplenoteapp3.exe','');
QuarantineFile('c:\program files (x86)\qyerbvxrhie\rzkiwaxcux.exe','');
QuarantineFile('c:\program files (x86)\microleaves\online application\version 2.6.0\online-guardian.exe','');
QuarantineFile('C:\Users\admin\AppData\Roaming\NsMiner\NsCpuCNMiner64.exe','');
QuarantineFile('c:\users\admin\appdata\roaming\nsminer\img001.exe','');
QuarantineFile('c:\users\admin\desktop\autologger.exe','');
QuarantineFile('c:\programdata\{3247d8da-85ec-6f71-cc3a-bd797a4484f4}\21d36549-9678-d2e2-e12d-12249dafdad2.exe','');
DeleteFile('c:\programdata\{3247d8da-85ec-6f71-cc3a-bd797a4484f4}\21d36549-9678-d2e2-e12d-12249dafdad2.exe','32');
DeleteFile('c:\users\admin\desktop\autologger.exe','32');
DeleteFile('c:\users\admin\appdata\roaming\nsminer\img001.exe','32');
DeleteFile('C:\Users\admin\AppData\Roaming\NsMiner\NsCpuCNMiner64.exe','32');
DeleteFile('c:\program files (x86)\qyerbvxrhie\rzkiwaxcux.exe','32');
DeleteFile('c:\users\admin\appdata\roaming\simplenotepad3\simplenoteapp3.exe','32');
DeleteFile('c:\users\admin\appdata\local\temp\tftp.exe','32');
DeleteFile('C:\Users\admin\AppData\Roaming\vnlgp\vnlgp.exe','32');
DeleteFile('C:\Program Files (x86)\QYERbvxRHIE\2tjgPS.dll','32');
DeleteFile('C:\Program Files (x86)\QYERbvxRHIE\kaPcykzr.dll','32');
DeleteFile('C:\Users\admin\AppData\Local\Temp\nsf40B9.tmp\ExecDos.dll','32');
DeleteFile('C:\Windows\system32\DRIVERS\oem-drv64.sys','32');
DeleteFile('C:\Windows\xhunter1.sys','32');
DeleteFile('C:\Users\admin\AppData\Roaming\SimpleNotepad3\SimpleNoteApp3.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SimpleNoteApp3');
DeleteFile('C:\Program Files (x86)\YeaDesktop\YeaDesktop.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YeaDesktop');
DeleteFile('C:\Windows\System32\browser.dll','32');
DeleteFile('C:\Windows\system32\bthserv.dll','32');
DeleteFile('C:\Windows\System32\certprop.dll','32');
DeleteFile('C:\Windows\System32\TabSvc.dll','32');
DeleteFile('C:\Windows\System32\tbssvc.dll','32');
DeleteFile('C:\Program Files (x86)\thzXuJvjU\8dE6W62.dll','32');
DeleteFile('C:\PROGRA~2\FASTDA~1\FASTDA~1.EXE','32');
DeleteFile('C:\Windows\ehome\mcupdate','32');
DeleteFile('C:\Program Files (x86)\GXZiGyYLSHyU2\KdfWIDV.dll','32');
DeleteFile('C:\Users\admin\Desktop\Settings.exe','32');
DeleteFile('C:\PROGRA~3\e0e7152f\a09aa5ab.dll','32');
DeleteFile('C:\ProgramData\{3247D8DA-85EC-6F71-CC3A-BD797A4484F4}\21D36549-9678-D2E2-E12D-12249DAFDAD2.exe','32');
DeleteFile('C:\Users\admin\Downloads\BlueStacks2_native.exe','32');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Носитель информации (флешка)заразился сразу вирусом.
Кому отправить карантин и файл вируса? (Его не видят базы Защитника Windows)
Вложения
Последнее редактирование: