-
Junior Member
- Вес репутации
- 58
Вирус или HDD посыпался
День добрый
В виду странного поведения компьютера обращаюсь к вам, уже обращался вроде как вылечили все однако что то он снова захондрил с новой силой. Не дает заходить в половину установочных настроек и утилит. Иногда не дает удалять файлы. В журнале переодически выскакивает сообщение о том что юзеру SYSTEM отказано в доступе и прочее.
Вложение 85130
Вложение 85131
Вложение 85132
Последний раз редактировалось Monolith; 06.11.2009 в 21:25.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксить
Код:
O2 - BHO: Rmn plugin - {47D92EB6-E52C-4cda-92A6-2369963F4913} - jetaccss.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\svchost.exe','');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{47D92EB6-E52C-4cda-92A6-2369963F4913}');
QuarantineFile('jetaccss.dll','');
DeleteService('ovsorsrr');
QuarantineFile('C:\WINDOWS\system32\drivers\ovsorsrr.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\ovsorsrr.sys');
DeleteFile('msansspc.dll');
DeleteFile('jetaccss.dll');
DeleteFile('C:\Documents and Settings\TRIOLIT\Local Settings\Temporary Internet Files\Content.IE5\MW41FJLV\load[1].exe');
DeleteFile('C:\WINDOWS\system32\a.exe');
DeleteFile('C:\WINDOWS\system32\drivers\859.exe');
DeleteFile('C:\WINDOWS\system32\~.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('ovsorsrr');
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам, выполните полную проверку CureIT и повторите логи...
Последний раз редактировалось Гриша; 16.10.2008 в 21:31.
-
-
Junior Member
- Вес репутации
- 58
Что такое CureIT? я о таком ещё не читал
-
О CureIT в правилах написано посмотрите...
-
-
Junior Member
- Вес репутации
- 58
Скрипт выполнить не удалось комп до завершения выполнения скрипта перегружается...
Может в безопасном режиме?
-
Чуть-чуть изменил скрипт, попробуйте выполнить...
-
-
Junior Member
- Вес репутации
- 58
Вложение 85156
Вложение 85157
Вложение 85158
Вроде полегчало
БОльшая просьба если вы будете анализировать ту бяку что я прислал можете отписать в этой тебе что это хотя бы? или если найдёте там какой либо конечный адресс написать его, опять же если это возможно. И большое вам человеческое спасибо
Последний раз редактировалось Monolith; 06.11.2009 в 21:25.
-
jetaccss.dll-Trojan-Downloader.Win32.BHO.tr
ovsorsrr.sys-Rootkit.Win32.Pakes.m
Пофиксить
Код:
O2 - BHO: Rmn plugin - {47D92EB6-E52C-4cda-92A6-2369963F4913} - jetaccss.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\jetaccss.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторите логи...
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось Monolith; 06.11.2009 в 21:25.
-
Теперь чисто, жалобы есть?
-
-
Junior Member
- Вес репутации
- 58
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\ovsorsrr.sys - Rootkit.Win32.Pakes.m (DrWEB: Trojan.Sentinel.based)
- c:\\windows\\system32\\jetaccss.dll - Trojan-Downloader.Win32.BHO.tr (DrWEB: BackDoor.Banker.9)
-