Показано с 1 по 5 из 5.

monoca32 и не только (заявка № 84763)

  1. #1
    Junior Member Репутация
    Регистрация
    06.08.2010
    Сообщений
    2
    Вес репутации
    24

    Exclamation monoca32 и не только

    Добрый день, поймал заразу через сплойт какой-то (предположительно через уязвимость в JAVA, потому что она крашнулась в то время когда я поймал вирус)

    Он сделал два файла в system32, прописал их в "Userinit" в реестре. Я их сразу удалил. Один из них позже опознался на virustotal НОДом32 как Win32/Spy.Shiz.NAL, я архивировал. Ещё кинул в папку автозагрузки файл monoca32.exe (packed.win32.krap.ao по касперу).

    Чудом скачал CureIt (зараза заблокировала все антивирус сайты), он нашел и удалил: bat.killfiles.33 и trojan.winspy.921.

    Потом поставил каспера, он нашел Обнаружено: Trojan.Win32.BHO.ajcb C:\Program Files\Internet Explorer\setupapi.dll

    Ещё два раза Explorer.exe крашнулся.

    Не знаю осталась зараза или нет, вот логи
    Вложения Вложения
    Последний раз редактировалось Idiot; 06.08.2010 в 20:25.

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    1. Профиксите в HijackThis как "профиксить в HiJackThis"
    Код:
    F2 - REG:system.ini: Shell=%SystemRoot%\system32\user32.exe
    2.Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('%SystemRoot%\system32\user32.exe','');
     QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
     QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
     QuarantineFile('C:\Program Files\Mozilla Firefox\xul.dll','');
     DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
     DeleteFile('C:\WINDOWS\system32\syspanel32.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run-','System Panel');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Еще сделайте лог МБАМ.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Junior Member Репутация
    Регистрация
    06.08.2010
    Сообщений
    2
    Вес репутации
    24
    quarantine.zip пустой.

    syspanel32.exe - забыл про него написать, я его тоже ручками удалил.
    user32.exe - это от винлока с смской давно видать осталось...


    Это уязвимость в яве известная? где-нить поподробней прочесть можно?
    Вложения Вложения

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - удалите в MBAM
    Код:
    Registry Values Infected:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

  • Уважаемый(ая) Idiot, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 5
      Последнее сообщение: 12.07.2012, 06:22
    2. Monoca32 и Ко
      От Asto4ka в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 30.08.2010, 11:13
    3. Monoca32.exe
      От paralit в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 27.08.2010, 11:57
    4. monoca32.exe
      От stereosin в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 23.08.2010, 00:58
    5. monoca32
      От poman88 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 17.08.2010, 16:43

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01400 seconds with 21 queries