Junior Member
Вес репутации
51
Тоже monoca32.exe
Вчера при скачивании карты с сайта, нечто смогло убить службу удаленный вызов процедур (RPC). После перезагрузки:
1)Opera навернулась - переодически выскакивала какая-то ошибка
2)C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\monoca32.exe - d-link manager запускается и сразу закрывается
3) после этого RPC все время жрет 50% CPY
4) пропал msconfig
5) monoca32.exe спокойно удаляется и проблемы пропадают, за исключением того, что нет аплета msconfig.
Последний раз редактировалось Triangular; 06.08.2010 в 04:19 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
O4 - S-1-5-21-117609710-1682526488-1177238915-500 Startup: monoca32.exe (User '?')
O4 - S-1-5-18 Startup: monoca32.exe (User '?')
O4 - .DEFAULT Startup: monoca32.exe (User 'Default user')
O4 - Startup: monoca32.exe
Выполните скрипт в АВЗ в безопасном режиме -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\monoca32.exe','');
QuarantineFile('C:\Temp\kmhrf.exe','');
QuarantineFile('C:\Temp\eanebqn.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('C:\Temp\eanebqn.exe');
DeleteFile('C:\Temp\kmhrf.exe');
DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\WINDOWS\Tasks\Windows Update.job');
DeleteFile('C:\WINDOWS\Tasks\WindowsCheck.job');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Скачайте новую версию АВЗ
- Обновите базы
- Повторите логи
Junior Member
Вес репутации
51
I've done it!
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- Повтрите лог virusinfo_syscheck.zip
Junior Member
Вес репутации
51
Вложения
Давайте-ка ещё лог MBAM сделаем.
Junior Member
Вес репутации
51
ok, work is finished
Don't worry, it wasn't useless.
Удалите в MBAM
Код:
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-21cx3c644141} (Generic.Bot.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> No action taken.
Зараженные файлы:
C:\Program Files\Trend Micro\HiJackThis\backups\backup-20100806-080133-420-monoca32.exe (Malware.Packer.Gen) -> No action taken.
C:\Documents and Settings\User\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\WINDOWS\c.exe (Trojan.Agent) -> No action taken
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
if FileExists('C:\WINDOWS\System32\dllcache\sfcfiles.dll')then
begin
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.bak','');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
end else
AddToLog('dllcache\sfcfiles.dll does not exist');
SaveLog(GetAVZDirectory + 'avz.log');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.
Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Файл avz.log из папки с АВЗ прикрепите к следующему сообщению
- Повторите лог MBAM
Junior Member
Вес репутации
51
viva la computer!
Возьмите из вложений файл sfcfiles.dll поместите в папку C:\WINDOWS\System32\dllcache и выполните скрипт в АВЗ из 8-го поста, после чего опять приложите файл avz.log из папки с АВЗ, к следующему сообщению.
Последний раз редактировалось olejah; 11.08.2010 в 14:13 .
Junior Member
Вес репутации
51
И отличались они на 20Кб...
+ закачал новый quarantine2.zip
А вот теперь новый лог MBAM пожалуйста
Junior Member
Вес репутации
51
кстати, после замены файла многие процессы сели на диету(например explorer.exe с 60К до 23К, что и должно быть)
А Вы юморной, так и должно быть sfcfiles.dll - он был подменён трояном.
Удалите в MBAM -
Код:
Зараженные папки:
C:\Documents and Settings\All Users\Application Data\MPK (Refog.Keylogger) -> No action taken.
C:\Documents and Settings\All Users\Application Data\MPK\1 (Refog.Keylogger) -> No action taken.
C:\Documents and Settings\All Users\Application Data\MPK\1 (Refog.Keylogger) -> Files: 981 -> No action taken.
Зараженные файлы:
C:\WINDOWS\system32\directx.cpl (Malware.Packer.Gen) -> No action taken.
C:\Documents and Settings\All Users\Application Data\MPK\M0000 (Refog.Keylogger) -> No action taken.
Как состояние, не против выписки?
Junior Member
Вес репутации
51
Так и не понял с каких соображений мы удалили
C:\Documents and Settings\All Users\Application Data\MPK\M0000 (Refog.Keylogger) , а оставили
C:\Documents and Settings\All Users\Application Data\MPK\S0000 (Refog.Keylogger) .
А насчет выписки - это хорошо, особенно когда за бортом +40С
Состояние-то как? Проблемы решены?
Junior Member
Вес репутации
51
Да конечно все работает прекрасно! Огромное за это спасибо!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 12 В ходе лечения обнаружены вредоносные программы:
c:\program files\internet explorer\setupapi.dll - Trojan.Win32.BHO.ajcb ( DrWEB: Trojan.Siggen2.353, BitDefender: Trojan.BHO.Agent.BY ) c:\windows\system32\sfcfiles.bak - Trojan-Spy.Win32.Agent.bije ( DrWEB: Trojan.WinSpy.921, BitDefender: Gen:Trojan.Heur.LP.Fr7@ae9eEUn, AVAST4: Win32:Rootkit-gen [Rtk] )
Рекомендации:
Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !