-
Junior Member
- Вес репутации
- 66
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
O4 - Startup: monoca32.exe
Выполните скрипт в АВЗ в безопасном режиме -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\thumbs.db','');
QuarantineFile('C:\Documents and Settings\Papa\Главное меню\Программы\Автозагрузка\monoca32.exe','');
DeleteFile('C:\Documents and Settings\Papa\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\thumbs.db');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 66
безопасный режим не включается!!! то есть при загрузке жму F8 появляется окно выбираю безопасный режим, загружается а потом перезагрузка и все.
-
Выполните скрипт в обычном режиме -
Код:
begin
ExecuteRepair(10);
RebootWindows(true);
end.
Компьютер перезагрузится.
Попробуйте загрузиться в безопасном режиме и выполнить скрипт из поста №2.
-
-
Junior Member
- Вес репутации
- 66
Попробовал скрипт в 4 посте, все тоже самое, не загружается безопасный режим. Сейчас попробую сделать все в обычном режиме и пришлю логи + архив.
-
Junior Member
- Вес репутации
- 66
Скрипт в АВЗ выполнил НЕ в безопасном режиме то есть в обычном. Вот логи после всего этого + архив который Вы просили.
p.s. svchost вообще теперь не отжирает ЦП.
p.p.s. monoca32 так и осталась в автозагрузке, это связано с безопасным режимом?
Последний раз редактировалось 123; 31.07.2010 в 14:46.
-
Сообщение от
Olejah
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
Вот какая была просьба, к сообщению я не просил прикреплять, нужно убрать.
Добавлено через 7 минут
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
O4 - Startup: monoca32.exe
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\Papa\Главное меню\Программы\Автозагрузка\monoca32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- Повторите логи.
Сообщение от
123
p.p.s. monoca32 так и осталась в автозагрузке, это связано с безопасным режимом?
В безопасном она быстрее умирает.
Последний раз редактировалось olejah; 31.07.2010 в 14:23.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 66
Похоже что в АВЗ скрипте ошибка в синтаксисе. т.к. я в программировании не силен прошу исправить. =) Скриншот:
-
Не-а, ошибки нет, скопируйте повнимательнее.
-
-
Junior Member
- Вес репутации
- 66
Да) я просто не правильно скопировал)) извините. Сейчас сделаю логи.
-
Напоминаю - карантин нужно убрать из сообщения, не уберёте - пожалуемся модераторам, чтобы убрали.
-
-
Junior Member
- Вес репутации
- 66
Последний раз редактировалось 123; 31.07.2010 в 22:10.
-
Junior Member
- Вес репутации
- 66
Повторные логи после скриптов из 7 поста.
Последний раз редактировалось 123; 31.07.2010 в 22:09.
-
В безопасный режим попасть можно? Если нет - выполняйте в обычном -
Пофиксите в hijackthis -
Код:
O4 - Startup: monoca32.exe
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\Papa\Главное меню\Программы\Автозагрузка\monoca32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
- Логи придётся ещё раз повторить. Живучая тварь.
-
-
Junior Member
- Вес репутации
- 66
Все сделал. Вот логи. ( В обычном режиме ).
Меня особенно интересует строчка в хайджек логе:
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
Это вирус??
-
c:\windows\system32\nwprovau.dll - файл легитимный и не является вирусом, поэтому удалять я его не буду, даже если вопрос о его необходимости остаётся открытым.
monoca не хочет умирать, надо думать что делать.
Пока пробуйте восстановить безопасный режим, аккуратно следуя этим советам - http://www.kadets.info/showpost.php?...75&postcount=1
http://netler.ru/pc/safe-boot.htm
-
-
Junior Member
- Вес репутации
- 66
Смог зайти в безопасный режим!
1. скачайте и запустите бесплатную утилиту SafeBootKeyRepair. Перезапустите компьютер и попробуйте войти в безопасный режим снова;
Вот благодаря этому.
Что делать дальше?
-
-
-
Junior Member
- Вес репутации
- 66
УРА! monoca32 исчезла из автозагрузки! svchost себя никак не проявляет. Может надо что - нибудь удалять ручками? Вот логи:
-
Сделайте лог MBAM, посмотрим может мусор какой завалялся.
-