Перейти к содержанию
Правила раздела

Помогите избавиться от заразы [LOG+]

mj99

От mj99
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

mj99 Новичок

mj99

Опубликовано
Опубликовано (изменено)

Добрый день.У меня возникла такая проблема:при включении компа вылазит окошко антивирусника-"обнаружен вирус,Файл C\:WINDOWS\system32\drivers\amd64si.sys При том каждый раз разные файлы.

Пытался справится сам руководствуясь ссылкой http://forum.kasperskyclub.ru/index.php?showtopic=5975 ,но не смог.

Прошу помоч...

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Отключить восстановление системы

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('msime82.exe','');
QuarantineFile('msfun80.exe','');
QuarantineFile('C:\Documents and Settings\Artemr\Artemr.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
DeleteService('systemntmi');
DeleteService('securentm');
DeleteService('port135sik');
DeleteService('nicsk32');
DeleteService('netsik');
DeleteService('ksi32sk');
DeleteService('i386si');
DeleteService('fips32cup');
DeleteService('ati64si');
DeleteService('acpi32');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\Documents and Settings\Artemr\Artemr.exe');
DeleteFile('msfun80.exe');
DeleteFile('msime82.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Пофиксить в HiJack (некоторых строк может не быть)

 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.APEHA.ru
O4 - HKLM\..\Run: [IMJPMIG8.2] msime82.exe
O4 - HKCU\..\Run: [MsServer] msfun80.exe
O4 - HKCU\..\Run: [Artemr] C:\Documents and Settings\Artemr\Artemr.exe /i

 

Обновить базы AVZ

Сделайте новые логи

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

В файл hosts сами вносили изменения?

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
DeleteService('nicsk32');
QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
DeleteService('amd64si');
QuarantineFile('C:\DOCUME~1\Artemr\LOCALS~1\Temp\mc29B.tmp','');
DeleteFile('C:\DOCUME~1\Artemr\LOCALS~1\Temp\mc29B.tmp');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('nicsk32');
BC_DeleteSvc('amd64si');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Пофиксить в HiJack

 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.APEHA.ru

Сделайте новые логи

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Salieri
      Заразился вирусом
      От Salieri
      Наткнулся на вирус, с файлов игры ( пиратки ) , нужнаCollectionLog-2024.12.16-15.54.zipFRST.txtAddition.txt помощь, система тормозит, производительность упала. Логи ниже
    • Alex161
      Помогите с трояном
      От Alex161
      Что ж, скачал игру, поймал постоянную работу вентилятора и нагрузку, удалял, лечил, что только не делал все бестолку, после перезагрузки снова появляется...мучаюсь вторые сутки, умоляю, помогите
      avz_log.txt
    • a.n.d.r.e.w
      Получил подарочек на Новый Год. Зараза зашифровала рабочий архив (((((((
      От a.n.d.r.e.w
      Привет, друзья. У меня небольшая организация, 5 рабочих мест, сисадмина нет. Есть виртуальный MS Server 2019 на VMWare работающий на одной из машин. Сервер используется как файловое хранилище и еще на нем sql работает для 1С. В конце декабря обновлял лицензию антивируса, оплатил Premium, который пытался установить и на сервер тоже, конечно не вышло. Думаю когда я искал браузер для установки антивируса тогда и налетел, потому что существующий IE не поддерживался. Последний раз работал 30.12.24, всё было норм. Когда решил заскочить проверить после НГ 01.01.25 обнаружил проблему. С машиной на которой стояла VMW всё хорошо, а в виртуальной системе все плохо. Я конечно все остановил сразу, но уже поздно было. Есть бэкап от октября, поэтому есть оригинальные файлы для анализа. Бесплатные утилиты пробовал, не получилось ничего, хотя может из-за кривых рук. Виртуальные диски скопировал. Монтировал напрямую, проверял антивирусом. Экспериментировал на копиях.
      Друзья, прошу помощи. Готов заплатить за работу!
       
      P.S. Во вложении несколько архивов
      xls, jpeg -в каждом два файла оригинал + шифрованный 
      pic - скриншоты
      htr - требования
      RFST - отчет Farbar Recovery Scan Tool 
      (местонахождение вируса выяснить не смог)
       
       
      htr.rar jpeg.rar pic.rar RFST.rar xls.rar
    • lion6705
      [РЕШЕНО] Помогите с fixlist для FRST
      От lion6705
      Столкнулся с проблемой в виде замедления работы пк и замедление работы интернета так же иногда пк выключался в любой момент для решения проблемы решил использовать dr.web curelt появился файл с отметкой dialer.exe и надписью угроза NET:MALWARE.URL если бы он сразу удалился не начал искать способы убрать его в ручную но спустя 2 повторных проверки один и тот же исход а именно при устранение угрозы произошла ошибка
      Полез искать решение на ютубе и нашёл советовали использовать frst для того чтобы избавиться от любого вируса и вроде бы всё сделал но появилась новая проблема когда я попытался нажать исправить мне написалась что файла fixlist нету хотя я вроде бы (возможно не так) поэтому я пишу это сообщение чтобы узнать верно ли я всё сделал и те ли файлы пометил чтобы исправить их и избавиться от вируса 




      fixlist.txt.txt
      Addition_05-01-2025 20.19.18.txtFRST_05-01-2025 20.14.51.txt
       
       
      fixlist.txt.txt
    • Zakhar62668
      Помогите удалить вирус
      От Zakhar62668
      Виндоус дефендер находит постоянно трояны, но удалить не может, также пытался установить разные антивирусы, но все они не запускаются, вылетают ошибки, а также в исключениях есть файлы, которые не удаляются. Сейчас, посмотрев форум, запустил компьютер в безопасном режиме и через флешку установил фарбар рекавери скан тулс(чтоб запустить его пришлось удалить ограничения в редакторе реестра)
×
×
  • Создать...