-
Junior Member
- Вес репутации
- 51
Monoca32.exe
Ситуация такова: explorer.exe при загрузке системы съедает ресурсы машины (около 500мб оперативки), полностью все процессы подгружаются только через пару минут (хотя должно быть несколько секунд). Еще через несколько минут ситуация с explorer.exe вроде бы приходит в норму, однако большинство запущенных процессов потребляют ресурсов значительно больше обычного (диспетчер например потребляет 40mb при нормальных 4-7mb). Иногда Svchost.exe (тот что с DCOM) начинает загружать процессор на 50-100% Процесс monoca32.exe появляется уже после полной загрузки и является единственным подозрительным. При завершении работы Windows в самом конце вылетает синий экран, после чего компьютер перезагружается. Также нет возможности выйти на сайты производителей антивирусов.
Прошу помочь разобраться с данной проблемой.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Загрузитесь в безопасном режиме
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\aa2e7e4.exe','');
QuarantineFile('C:\WINDOWS\system32\ihmydw.exe','');
QuarantineFile('C:\Program Files\IE7Pro\IE7Pro.dll','');
QuarantineFile('C:\WINDOWS\system32\msconfig.exe','');
DelCLSID('{64KLC5K0-4OPM-00WE-AAX8-17EF1D187263}');
QuarantineFile('C:\QUICKTIME\Q-43234FDHJ-0234567123-887321236-432\FEB2.exe','');
QuarantineFile('C:\Documents and Settings\TimBerLen\Главное меню\Программы\Автозагрузка\monoca32.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\jcvhby.sys','');
DeleteService('tfprmor');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\WINDOWS\System32\drivers\jcvhby.sys');
DeleteFile('C:\Documents and Settings\TimBerLen\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\QUICKTIME\Q-43234FDHJ-0234567123-887321236-432\FEB2.exe');
QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\system32\sfcfiles.dll','C:\WINDOWS\system32\sfcfiles.bak');
CopyFile('C:\WINDOWS\system32\dllcache\sfcfiles.dll','C:\WINDOWS\system32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\system32\sfcfiles.bak');
DeleteFile('C:\WINDOWS\system32\aa2e7e4.exe');
DeleteFile('C:\WINDOWS\system32\ihmydw.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 51
Скажу сначала, что я сделал повторную проверку антивирусом (у меня avast) т.к. базы его обновились и он выдал что у меня в оперативке вирус и требуется перезагрузка и последующая проверка. В ходе проверки файл monoca32.exe был обнаружен в папке автозагрузки и по запросу мною удален. Однако после загрузки ситуация в корне не изменилась, осталась прежней, НО в процессах monoca32.exe более не появлялся. Это было до того как я выполнил ваш скрипт. Я с трудом запустил виду в безопасном режиме т.к. симптомы все равно остались, Svchost.exe (тот что с DCOM) вылетал с ошибкой и компьютер перезагружался, но мне удалось и я выполнил скрипт. НО к сожалению я допустил ошибку. После перезагрузки о чудо все стало на свои места симптомы исчезли. И я начал делать логи... карантин отправить забыл... в общем затер я его...
Я все же выслал карантин после повторного выполнения скрипта
На данный момент компьютер работает нормально все симптомы исчезли как в безопасном так и в обычном режимах.
Спасибо
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ihmydw.exe','');
QuarantineFile('C:\WINDOWS\system32\aa2e7e4.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Man-ager\AppCertDlls','DefaultVerifier');
DeleteFile('C:\WINDOWS\system32\aa2e7e4.exe');
DeleteFile('C:\WINDOWS\system32\ihmydw.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Карантин отправил, вот логи.
-
Плохого не видно
Установите SP3 (может потребоваться активация) + все новые патчи
Установите Internet Explorer 8 (даже если им не пользуетесь)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
-