Printable View
День добрый
В виду странного поведения компьютера обращаюсь к вам, уже обращался вроде как вылечили все однако что то он снова захондрил с новой силой. Не дает заходить в половину установочных настроек и утилит. Иногда не дает удалять файлы. В журнале переодически выскакивает сообщение о том что юзеру SYSTEM отказано в доступе и прочее.
[ATTACH]85130[/ATTACH]
[ATTACH]85131[/ATTACH]
[ATTACH]85132[/ATTACH]
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]O2 - BHO: Rmn plugin - {47D92EB6-E52C-4cda-92A6-2369963F4913} - jetaccss.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\svchost.exe','');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{47D92EB6-E52C-4cda-92A6-2369963F4913}');
QuarantineFile('jetaccss.dll','');
DeleteService('ovsorsrr');
QuarantineFile('C:\WINDOWS\system32\drivers\ovsorsrr.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\ovsorsrr.sys');
DeleteFile('msansspc.dll');
DeleteFile('jetaccss.dll');
DeleteFile('C:\Documents and Settings\TRIOLIT\Local Settings\Temporary Internet Files\Content.IE5\MW41FJLV\load[1].exe');
DeleteFile('C:\WINDOWS\system32\a.exe');
DeleteFile('C:\WINDOWS\system32\drivers\859.exe');
DeleteFile('C:\WINDOWS\system32\~.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('ovsorsrr');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам, выполните полную проверку CureIT и повторите логи...
Что такое CureIT? я о таком ещё не читал
О CureIT в правилах написано посмотрите...
Скрипт выполнить не удалось комп до завершения выполнения скрипта перегружается...
Может в безопасном режиме?
Чуть-чуть изменил скрипт, попробуйте выполнить...
[ATTACH]85156[/ATTACH]
[ATTACH]85157[/ATTACH]
[ATTACH]85158[/ATTACH]
Вроде полегчало
БОльшая просьба если вы будете анализировать ту бяку что я прислал можете отписать в этой тебе что это хотя бы? или если найдёте там какой либо конечный адресс написать его, опять же если это возможно. И большое вам человеческое спасибо :)
jetaccss.dll-[B]Trojan-Downloader.Win32.BHO.tr[/B]
ovsorsrr.sys-[B]Rootkit.Win32.Pakes.m[/B]
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]O2 - BHO: Rmn plugin - {47D92EB6-E52C-4cda-92A6-2369963F4913} - jetaccss.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\jetaccss.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите логи...
[ATTACH]85173[/ATTACH]
[ATTACH]85174[/ATTACH]
[ATTACH]85175[/ATTACH]
Ну а теперь то чисто? ;)
Теперь чисто, жалобы есть?
Никак нет! Спасибо!
Почитайте, полезно :) [url]http://virusinfo.info/showthread.php?t=30339[/url]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\ovsorsrr.sys - [B]Rootkit.Win32.Pakes.m[/B] (DrWEB: Trojan.Sentinel.based)[*] c:\\windows\\system32\\jetaccss.dll - [B]Trojan-Downloader.Win32.BHO.tr[/B] (DrWEB: BackDoor.Banker.9)[/LIST][/LIST]