mj99 Опубликовано 11 июня, 2009 Опубликовано 11 июня, 2009 (изменено) Добрый день.У меня возникла такая проблема:при включении компа вылазит окошко антивирусника-"обнаружен вирус,Файл C\:WINDOWS\system32\drivers\amd64si.sys При том каждый раз разные файлы. Пытался справится сам руководствуясь ссылкой http://forum.kasperskyclub.ru/index.php?showtopic=5975 ,но не смог. Прошу помоч... hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip Изменено 11 июня, 2009 пользователем Falcon
thyrex Опубликовано 11 июня, 2009 Опубликовано 11 июня, 2009 Отключить восстановление системы Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('msime82.exe',''); QuarantineFile('msfun80.exe',''); QuarantineFile('C:\Documents and Settings\Artemr\Artemr.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys',''); DeleteService('systemntmi'); DeleteService('securentm'); DeleteService('port135sik'); DeleteService('nicsk32'); DeleteService('netsik'); DeleteService('ksi32sk'); DeleteService('i386si'); DeleteService('fips32cup'); DeleteService('ati64si'); DeleteService('acpi32'); DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys'); DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys'); DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys'); DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys'); DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys'); DeleteFile('C:\Documents and Settings\Artemr\Artemr.exe'); DeleteFile('msfun80.exe'); DeleteFile('msime82.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Пофиксить в HiJack (некоторых строк может не быть) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.APEHA.ru O4 - HKLM\..\Run: [IMJPMIG8.2] msime82.exe O4 - HKCU\..\Run: [MsServer] msfun80.exe O4 - HKCU\..\Run: [Artemr] C:\Documents and Settings\Artemr\Artemr.exe /i Обновить базы AVZ Сделайте новые логи
mj99 Опубликовано 11 июня, 2009 Автор Опубликовано 11 июня, 2009 Вредоносный код в файле не обнаружен.В присланном Вами файле не найдено ничего вредоносного. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis2.log
thyrex Опубликовано 11 июня, 2009 Опубликовано 11 июня, 2009 В файл hosts сами вносили изменения? Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys',''); DeleteService('nicsk32'); QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys',''); DeleteService('amd64si'); QuarantineFile('C:\DOCUME~1\Artemr\LOCALS~1\Temp\mc29B.tmp',''); DeleteFile('C:\DOCUME~1\Artemr\LOCALS~1\Temp\mc29B.tmp'); DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('nicsk32'); BC_DeleteSvc('amd64si'); BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Пофиксить в HiJack R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.APEHA.ru Сделайте новые логи
mj99 Опубликовано 11 июня, 2009 Автор Опубликовано 11 июня, 2009 thyrex,спаисбо.Все работает отменно В файл hosts сами вносили изменения? Вот это я без понятия.Комп мне достался от брата))
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти