Показано с 1 по 18 из 18.

Тоже monoca32.exe (заявка № 84698)

  1. #1
    Junior Member Репутация
    Регистрация
    16.06.2010
    Адрес
    Москве
    Сообщений
    17
    Вес репутации
    24

    Thumbs up Тоже monoca32.exe

    Вчера при скачивании карты с сайта, нечто смогло убить службу удаленный вызов процедур (RPC). После перезагрузки:
    1)Opera навернулась - переодически выскакивала какая-то ошибка
    2)C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\monoca32.exe - d-link manager запускается и сразу закрывается
    3) после этого RPC все время жрет 50% CPY
    4) пропал msconfig
    5) monoca32.exe спокойно удаляется и проблемы пропадают, за исключением того, что нет аплета msconfig.
    Вложения Вложения
    Последний раз редактировалось Triangular; 06.08.2010 в 04:19.

  2. Реклама
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,043
    Вес репутации
    1254
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Пофиксите в hijackthis -

    Код:
    O4 - S-1-5-21-117609710-1682526488-1177238915-500 Startup: monoca32.exe (User '?')
    O4 - S-1-5-18 Startup: monoca32.exe (User '?')
    O4 - .DEFAULT Startup: monoca32.exe (User 'Default user')
    O4 - Startup: monoca32.exe
    Выполните скрипт в АВЗ в безопасном режиме -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\monoca32.exe','');
     QuarantineFile('C:\Temp\kmhrf.exe','');
     QuarantineFile('C:\Temp\eanebqn.exe','');
     QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
     DeleteFile('C:\Temp\eanebqn.exe');
     DeleteFile('C:\Temp\kmhrf.exe');
     DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\monoca32.exe');  
     DeleteFile('C:\WINDOWS\Tasks\Windows Update.job');
     DeleteFile('C:\WINDOWS\Tasks\WindowsCheck.job');  
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Скачайте новую версию АВЗ

    - Обновите базы

    - Повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    16.06.2010
    Адрес
    Москве
    Сообщений
    17
    Вес репутации
    24
    I've done it!
    Вложения Вложения

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,043
    Вес репутации
    1254
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');  
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    - Повтрите лог virusinfo_syscheck.zip

  6. #5
    Junior Member Репутация
    Регистрация
    16.06.2010
    Адрес
    Москве
    Сообщений
    17
    Вес репутации
    24
    ready!
    Вложения Вложения

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,043
    Вес репутации
    1254
    Давайте-ка ещё лог MBAM сделаем.

  8. #7
    Junior Member Репутация
    Регистрация
    16.06.2010
    Адрес
    Москве
    Сообщений
    17
    Вес репутации
    24
    ok, work is finished
    Вложения Вложения

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,043
    Вес репутации
    1254
    Don't worry, it wasn't useless.

    Удалите в MBAM

    Код:
    Зараженные ключи в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-21cx3c644141} (Generic.Bot.H) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> No action taken.
    
    Зараженные файлы:
    C:\Program Files\Trend Micro\HiJackThis\backups\backup-20100806-080133-420-monoca32.exe (Malware.Packer.Gen) -> No action taken.
    C:\Documents and Settings\User\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
    C:\WINDOWS\c.exe (Trojan.Agent) -> No action taken
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     if FileExists('C:\WINDOWS\System32\dllcache\sfcfiles.dll')then
     begin             
     RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
     CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');      
     QuarantineFile('C:\WINDOWS\System32\sfcfiles.bak','');     
     DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
     end else     
     AddToLog('dllcache\sfcfiles.dll does not exist');                
     SaveLog(GetAVZDirectory + 'avz.log');     
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); 
     end.
    Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Файл avz.log из папки с АВЗ прикрепите к следующему сообщению

    - Повторите лог MBAM

  10. #9
    Junior Member Репутация
    Регистрация
    16.06.2010
    Адрес
    Москве
    Сообщений
    17
    Вес репутации
    24
    viva la computer!
    Вложения Вложения

  11. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,043
    Вес репутации
    1254
    Возьмите из вложений файл sfcfiles.dll поместите в папку C:\WINDOWS\System32\dllcache и выполните скрипт в АВЗ из 8-го поста, после чего опять приложите файл avz.log из папки с АВЗ, к следующему сообщению.
    Последний раз редактировалось olejah; 11.08.2010 в 14:13.

  12. #11
    Junior Member Репутация
    Регистрация
    16.06.2010
    Адрес
    Москве
    Сообщений
    17
    Вес репутации
    24
    И отличались они на 20Кб...
    + закачал новый quarantine2.zip
    Вложения Вложения
    • Тип файла: log avz.log (7.1 Кб, 2 просмотров)

  13. #12
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,043
    Вес репутации
    1254
    А вот теперь новый лог MBAM пожалуйста

  14. #13
    Junior Member Репутация
    Регистрация
    16.06.2010
    Адрес
    Москве
    Сообщений
    17
    Вес репутации
    24
    кстати, после замены файла многие процессы сели на диету(например explorer.exe с 60К до 23К, что и должно быть)
    Вложения Вложения

  15. #14
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,043
    Вес репутации
    1254
    А Вы юморной, так и должно быть sfcfiles.dll - он был подменён трояном.


    Удалите в MBAM -

    Код:
    Зараженные папки:
    C:\Documents and Settings\All Users\Application Data\MPK (Refog.Keylogger) -> No action taken.
    C:\Documents and Settings\All Users\Application Data\MPK\1 (Refog.Keylogger) -> No action taken.
    C:\Documents and Settings\All Users\Application Data\MPK\1 (Refog.Keylogger) -> Files: 981 -> No action taken.
    
    Зараженные файлы:
    C:\WINDOWS\system32\directx.cpl (Malware.Packer.Gen) -> No action taken.
    C:\Documents and Settings\All Users\Application Data\MPK\M0000 (Refog.Keylogger) -> No action taken.
    Как состояние, не против выписки?

  16. #15
    Junior Member Репутация
    Регистрация
    16.06.2010
    Адрес
    Москве
    Сообщений
    17
    Вес репутации
    24
    Так и не понял с каких соображений мы удалили
    C:\Documents and Settings\All Users\Application Data\MPK\M0000 (Refog.Keylogger) , а оставили
    C:\Documents and Settings\All Users\Application Data\MPK\S0000 (Refog.Keylogger) .
    А насчет выписки - это хорошо, особенно когда за бортом +40С
    Вложения Вложения

  17. #16
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,043
    Вес репутации
    1254
    Состояние-то как? Проблемы решены?

  18. #17
    Junior Member Репутация
    Регистрация
    16.06.2010
    Адрес
    Москве
    Сообщений
    17
    Вес репутации
    24
    Да конечно все работает прекрасно! Огромное за это спасибо!

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,557
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 12
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\internet explorer\setupapi.dll - Trojan.Win32.BHO.ajcb ( DrWEB: Trojan.Siggen2.353, BitDefender: Trojan.BHO.Agent.BY )
      2. c:\windows\system32\sfcfiles.bak - Trojan-Spy.Win32.Agent.bije ( DrWEB: Trojan.WinSpy.921, BitDefender: Gen:Trojan.Heur.LP.Fr7@ae9eEUn, AVAST4: Win32:Rootkit-gen [Rtk] )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) Triangular, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 4
      Последнее сообщение: 26.03.2012, 19:23
    2. monoca32
      От Legaron в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 17.09.2010, 01:01
    3. Monoca32
      От OlegMal в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 25.08.2010, 19:03
    4. monoca32
      От rus_off в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 25.08.2010, 09:48
    5. monoca32!!!!!
      От 123 в разделе Помогите!
      Ответов: 25
      Последнее сообщение: 02.08.2010, 16:14

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01428 seconds with 21 queries