-
Junior Member
- Вес репутации
- 50
Лечение svchost после monoca32
Приветствую! После чужих рук на моем компьютере я обнаружил подозрительную деятельность. После небольшой проверки обнаружилась туча вирусов. От обычных "семечек" помогла банальная проверка Касперским. Но один из вирусов упорно не хотел уходить. В автозагрузке он прописался как monoca32 - уже знакомая зверушка в этих краях ).
Сам файл экзешник по указаному пути в проводнике не виден. Но ФАР видит все. В безопасном режиме удалось удалить monoca32.exe. После перезагрузки он перестал прописываться в авторан. Но осталась другая проблема - один из svchost.exe продолжает съедать 50% ресурсов процессора. Но и тут есть интересные факты.
При старте системы этот процесс медленно начинает поедать оперативку пока не достигнет цифры примерно в 12,5 Мб. Загрузка проца при этом стойко держится на 50%. Если не трогать компьютер, этот процесс так и продолжает грузить проц, но только стоит подключиться к сети Интернет вирус пытается отправить какие-то сведения на сайт beistellened.com, об этом предупреждает Касперский и предлагает запретить соединение, т.к. сайт используется для кражи паролей. Соединение запрещаю. После этого svchost отпускает, нагрузка с проца спадает до обычного уровня.
Хотелось бы знать как избавиться от этой дряни, боюсь она уже поворовала некоторые мои пароли. На всякий случай заблочил этот адрес в файле host. Логи прилагаю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Обновите базы AVZ, переделайте логи заново
-
-
Junior Member
- Вес репутации
- 50
-
Пофиксите в hijackthis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\2e77b6e8.exe,
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
QuarantineFile('C:\WINDOWS\system32\2e77b6e8.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\a5zwiizy.SYS','');
QuarantineFile('C:\DOCUME~1\Marat\LOCALS~1\Temp\ZOkL9yPm.sys','');
DeleteFile('C:\DOCUME~1\Marat\LOCALS~1\Temp\ZOkL9yPm.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\a5zwiizy.SYS');
DeleteFile('C:\WINDOWS\system32\2e77b6e8.exe');
DeleteFile('C:\WINDOWS\system32\syspanel32.exe');
DeleteFileMask('C:\DOCUME~1\Marat\LOCALS~1\Temp','*.*',true);
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Panel');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\DOCUME~1\Marat\LOCALS~1\Temp\ZOkL9yPm.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\a5zwiizy.SYS');
BC_DeleteFile('C:\WINDOWS\system32\syspanel32.exe');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (карантин загружать по ссылке прислать запрошенный карантин вверху темы, а не прикреплять к сообщению)
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 50
Карантин выслал, новые логи прилагаю. Лишние svchost пропали. Загрузка в норме. Надеюсь это все.
-
-
-
Junior Member
- Вес репутации
- 50
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\2e77b6e8.exe - Backdoor.Win32.Shiz.qd ( DrWEB: Trojan.MulDrop.64715, AVAST4: Win32:Malware-gen )
-