Избавился от Kido, но есть еще что-то. Помогите.
Проверка в безопасном режиме CureIt'ом не проходит.
Printable View
Избавился от Kido, но есть еще что-то. Помогите.
Проверка в безопасном режиме CureIt'ом не проходит.
Conexant - вот такой модем у Вас есть?
выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\UIUSYS.SYS','');
DeleteService('UIUSys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\UIUSYS.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать новые логи.
Загрузить карантин по Правилам.
Да такое есть, драйвер для ноута Acer aspire 5520G (C:\Program Files\CONEXANT\CNXT_MODEM_HDA_HSF\UIU32m.exe)
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055C700
KiST = 80504450 (284)
Функция NtCreateKey (29) перехвачена (80623786->B7EA70E0), перехватчик spjs.sys
Функция NtEnumerateKey (47) перехвачена (80623FC6->B7EC5CA4), перехватчик spjs.sys ............
По логам в этом месте имя файла перехватчика меняется при перезагрузках....
При выполнении скрипта в карантине пусто...
Это Даемон шутит так с sp*.sys
Тогда скрипт не выполняйте, если такой модем есть.