Показано с 1 по 13 из 13.

Вирус или HDD посыпался (заявка № 32190)

  1. #1
    Junior Member Репутация
    Регистрация
    17.09.2008
    Сообщений
    165
    Вес репутации
    58

    Thumbs up Вирус или HDD посыпался

    День добрый
    В виду странного поведения компьютера обращаюсь к вам, уже обращался вроде как вылечили все однако что то он снова захондрил с новой силой. Не дает заходить в половину установочных настроек и утилит. Иногда не дает удалять файлы. В журнале переодически выскакивает сообщение о том что юзеру SYSTEM отказано в доступе и прочее.

    Вложение 85130

    Вложение 85131

    Вложение 85132
    Последний раз редактировалось Monolith; 06.11.2009 в 21:25.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Пофиксить

    Код:
    O2 - BHO: Rmn plugin - {47D92EB6-E52C-4cda-92A6-2369963F4913} - jetaccss.dll (file missing)
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\svchost.exe','');
     DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
     DelBHO('{47D92EB6-E52C-4cda-92A6-2369963F4913}');
     QuarantineFile('jetaccss.dll','');
     DeleteService('ovsorsrr');
     QuarantineFile('C:\WINDOWS\system32\drivers\ovsorsrr.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\ovsorsrr.sys');
     DeleteFile('msansspc.dll');
     DeleteFile('jetaccss.dll');
     DeleteFile('C:\Documents and Settings\TRIOLIT\Local Settings\Temporary Internet Files\Content.IE5\MW41FJLV\load[1].exe');
     DeleteFile('C:\WINDOWS\system32\a.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\859.exe');
     DeleteFile('C:\WINDOWS\system32\~.exe');       
    BC_ImportALL;  
    ExecuteSysClean;
    BC_DeleteSvc('ovsorsrr');    
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам, выполните полную проверку CureIT и повторите логи...
    Последний раз редактировалось Гриша; 16.10.2008 в 21:31.

  4. #3
    Junior Member Репутация
    Регистрация
    17.09.2008
    Сообщений
    165
    Вес репутации
    58
    Что такое CureIT? я о таком ещё не читал

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    О CureIT в правилах написано посмотрите...

  6. #5
    Junior Member Репутация
    Регистрация
    17.09.2008
    Сообщений
    165
    Вес репутации
    58
    Скрипт выполнить не удалось комп до завершения выполнения скрипта перегружается...
    Может в безопасном режиме?

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Чуть-чуть изменил скрипт, попробуйте выполнить...

  8. #7
    Junior Member Репутация
    Регистрация
    17.09.2008
    Сообщений
    165
    Вес репутации
    58
    Вложение 85156

    Вложение 85157

    Вложение 85158

    Вроде полегчало
    БОльшая просьба если вы будете анализировать ту бяку что я прислал можете отписать в этой тебе что это хотя бы? или если найдёте там какой либо конечный адресс написать его, опять же если это возможно. И большое вам человеческое спасибо
    Последний раз редактировалось Monolith; 06.11.2009 в 21:25.

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    jetaccss.dll-Trojan-Downloader.Win32.BHO.tr
    ovsorsrr.sys-Rootkit.Win32.Pakes.m

    Пофиксить

    Код:
    O2 - BHO: Rmn plugin - {47D92EB6-E52C-4cda-92A6-2369963F4913} - jetaccss.dll (file missing)
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\jetaccss.dll');
    BC_ImportDeletedList;    
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи...

  10. #9
    Junior Member Репутация
    Регистрация
    17.09.2008
    Сообщений
    165
    Вес репутации
    58
    Последний раз редактировалось Monolith; 06.11.2009 в 21:25.

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Теперь чисто, жалобы есть?

  12. #11
    Junior Member Репутация
    Регистрация
    17.09.2008
    Сообщений
    165
    Вес репутации
    58
    Никак нет! Спасибо!

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Почитайте, полезно http://virusinfo.info/showthread.php?t=30339

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 11
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\ovsorsrr.sys - Rootkit.Win32.Pakes.m (DrWEB: Trojan.Sentinel.based)
      2. c:\\windows\\system32\\jetaccss.dll - Trojan-Downloader.Win32.BHO.tr (DrWEB: BackDoor.Banker.9)


  • Уважаемый(ая) Monolith, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00199 seconds with 18 queries