[решено] На диске С появились папки с набором букв и цифр, некоторые полупрозрачные

Techno88 · Отправлено: **14:45, 20-02-2012** | #2

Здравствуйте!!! Посмотрю...

Techno88 · Отправлено: **15:31, 20-02-2012** | #3

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 TerminateProcessByName('c:\windows\system32\betwinservicexp.exe');
 TerminateProcessByName('c:\windows\system32\mssgfhhd.exe');
 SetServiceStart('TermService', 4);
 SetServiceStart('Network Adapter Events', 4);
 StopService('TermService');
 StopService('Network Adapter Events');
 QuarantineFile('c:\windows\system32\betwinservicexp.exe','');
 QuarantineFile('C:\WINDOWS\system32\xtgina.dll','');
 QuarantineFile('c:\windows\system32\mssgfhhd.exe','');
 QuarantineFile(RegKeyStrParamRead('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup')+'\nt973MiZaks.exe','');
 DeleteFile('C:\WINDOWS\system32\xtgina.dll');
 DeleteFile('C:\WINDOWS\system32\mssgfhhd.exe');
 DeleteFile(RegKeyStrParamRead('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup')+'\nt973MiZaks.exe');
 RegKeyDel('HKEY_LOCAL_MACHINE','Software\Microsoft\TermServMonitor');
 RegKeyDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Services\Network Adapter Events');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 if RegKeyExists('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList') 
 then RegKeyIntParamwrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList','TermUser',1);
 DeleteFileMask('C:\WINDOWS\system32','tmp*.tmp',false);
 DeleteFileMask('C:\XeJKRZCjZHdxzt7','*',true);
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\XeJKRZCjZHdxzt7','*',true);
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\kFv3DjpT2zoneO5','*',true);
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\ThGEMpj9BG7377z','*',true);
 DeleteDirectory('C:\XeJKRZCjZHdxzt7');
 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\XeJKRZCjZHdxzt7');
 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\kFv3DjpT2zoneO5');
 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\ThGEMpj9BG7377z');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('Network Adapter Events');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите через форму. Укажите ссылку на тему и ник на форуме.

- Обновите базы АВЗ (АВЗ -> меню "Файл" -> "Обновление баз" -> "Пуск") и Повторите логи

Программу betwinservicexp.exe устанавливали? И есть ли она в установке/удалении программ?

Посмотрите есть ли в системе пользователь TermUser?

yam-76 · Отправлено: **19:13, 20-02-2012** | #4

выполнил в авз и после перезагрузки написал такое окошко: Ошибка пользовательского интерфейса ,невозможно загрузить DLL xtgina.dll. Обратитесь к сис админу или восстановите исходную библиотеку DLL . Пришлось переставить винду т.к. не включался комп Перед авз отключал антивирус и т.д. по инструкции. Пока подозрительных папок нигде нет какие дальше действия?

Techno88 · Отправлено: **19:24, 20-02-2012** | #5

Файл C:\WINDOWS\system32\xtgina.dll есть на диске? Если есть проверьте его на https://www.virustotal.com/ и покажите, пожалуйста, ссылку на результат проверки.

yam-76 · Отправлено: **19:37, 20-02-2012** | #6

нет

токого не существует

Techno88 · Отправлено: **19:39, 20-02-2012** | #7

А до этого у Вас такой же windows стоял? В смысле с этого же дистрибутива?

yam-76 · Отправлено: **19:41, 20-02-2012** | #8

да этот самый

SolarSpark · Отправлено: **19:45, 20-02-2012** | #9

yam-76, вы диск форматировали или поверх операционку накатили:?

Пуск - Выполнить - Regedit - ОК)
в редакторе поиск осуществляется путем выбора пунктов Правка – Найти файл xtgina.dll

yam-76 · Отправлено: **19:50, 20-02-2012** | #10

форматировал в NTFS " Пуск - Выполнить - Regedit - ОК)
в редакторе поиск осуществляется путем выбора пунктов Правка – Найти файл xtgina.dll" пишет поиск завершен и ничего