Тоже monoca32.exe

[Triangular]

Вчера при скачивании карты с сайта, нечто смогло убить службу удаленный вызов процедур (RPC). После перезагрузки:
1)Opera навернулась - переодически выскакивала какая-то ошибка
2)C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\monoca32.exe - d-link manager запускается и сразу закрывается
3) после этого RPC все время жрет 50% CPY
4) пропал msconfig
5) monoca32.exe спокойно удаляется и проблемы пропадают, за исключением того, что нет аплета msconfig.

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Пофиксите в hijackthis -

Код:

O4 - S-1-5-21-117609710-1682526488-1177238915-500 Startup: monoca32.exe (User '?')
O4 - S-1-5-18 Startup: monoca32.exe (User '?')
O4 - .DEFAULT Startup: monoca32.exe (User 'Default user')
O4 - Startup: monoca32.exe

Выполните скрипт в АВЗ в безопасном режиме -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\monoca32.exe','');
 QuarantineFile('C:\Temp\kmhrf.exe','');
 QuarantineFile('C:\Temp\eanebqn.exe','');
 QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 DeleteFile('C:\Temp\eanebqn.exe');
 DeleteFile('C:\Temp\kmhrf.exe');
 DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\monoca32.exe');  
 DeleteFile('C:\WINDOWS\Tasks\Windows Update.job');
 DeleteFile('C:\WINDOWS\Tasks\WindowsCheck.job');  
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Скачайте новую версию АВЗ

- Обновите базы

- Повторите логи

[Triangular]

I've done it!

[olejah]

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');  
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Повтрите лог virusinfo_syscheck.zip

[Triangular]

ready!

[olejah]

Давайте-ка ещё лог MBAM сделаем.

[Triangular]

ok, work is finished

[olejah]

Don't worry, it wasn't useless.

Удалите в MBAM

Код:

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-21cx3c644141} (Generic.Bot.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> No action taken.

Зараженные файлы:
C:\Program Files\Trend Micro\HiJackThis\backups\backup-20100806-080133-420-monoca32.exe (Malware.Packer.Gen) -> No action taken.
C:\Documents and Settings\User\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\WINDOWS\c.exe (Trojan.Agent) -> No action taken

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 if FileExists('C:\WINDOWS\System32\dllcache\sfcfiles.dll')then
 begin             
 RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
 CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');      
 QuarantineFile('C:\WINDOWS\System32\sfcfiles.bak','');     
 DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
 end else     
 AddToLog('dllcache\sfcfiles.dll does not exist');                
 SaveLog(GetAVZDirectory + 'avz.log');     
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); 
 end.

Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Файл avz.log из папки с АВЗ прикрепите к следующему сообщению

- Повторите лог MBAM

[Triangular]

viva la computer!

[olejah]

Возьмите из вложений файл sfcfiles.dll поместите в папку C:\WINDOWS\System32\dllcache и выполните скрипт в АВЗ из 8-го поста, после чего опять приложите файл avz.log из папки с АВЗ, к следующему сообщению.

[Triangular]

И отличались они на 20Кб...
+ закачал новый quarantine2.zip

[olejah]

А вот теперь новый лог MBAM пожалуйста

[Triangular]

кстати, после замены файла многие процессы сели на диету(например explorer.exe с 60К до 23К, что и должно быть)

[olejah]

А Вы юморной, так и должно быть sfcfiles.dll - он был подменён трояном.


Удалите в MBAM -

Код:

Зараженные папки:
C:\Documents and Settings\All Users\Application Data\MPK (Refog.Keylogger) -> No action taken.
C:\Documents and Settings\All Users\Application Data\MPK\1 (Refog.Keylogger) -> No action taken.
C:\Documents and Settings\All Users\Application Data\MPK\1 (Refog.Keylogger) -> Files: 981 -> No action taken.

Зараженные файлы:
C:\WINDOWS\system32\directx.cpl (Malware.Packer.Gen) -> No action taken.
C:\Documents and Settings\All Users\Application Data\MPK\M0000 (Refog.Keylogger) -> No action taken.

Как состояние, не против выписки?

[Triangular]

Так и не понял с каких соображений мы удалили
C:\Documents and Settings\All Users\Application Data\MPK\M0000 (Refog.Keylogger) , а оставили
C:\Documents and Settings\All Users\Application Data\MPK\S0000 (Refog.Keylogger) .
А насчет выписки - это хорошо, особенно когда за бортом +40С

[olejah]

Состояние-то как? Проблемы решены?

[Triangular]

Да конечно все работает прекрасно! Огромное за это спасибо!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 12
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files\internet explorer\setupapi.dll - Trojan.Win32.BHO.ajcb ( DrWEB: Trojan.Siggen2.353, BitDefender: Trojan.BHO.Agent.BY )
  2. c:\windows\system32\sfcfiles.bak - Trojan-Spy.Win32.Agent.bije ( DrWEB: Trojan.WinSpy.921, BitDefender: Gen:Trojan.Heur.LP.Fr7@ae9eEUn, AVAST4: Win32:Rootkit-gen [Rtk] )

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !