-
Junior Member
- Вес репутации
- 50
Вирус monoca32
Доброго времени суток.
На днях подхватил этого зверя, теперь вот мучаюсь. Система отказывается работать, вирус блокирует доступ почти ко всем программам, цп загружено, в общем все проблемы этого рода.
Пробовал вылечить касперским, он его обнаруживает, но ничего не успевает сделать, так как компьютер уходит в перезагрузку в середине процесса. Помещает его в резервное хранилище и вот что пишет:
Заражен: троянская программа Trojan.Win32.FraudPack.gtv monoca32.exe\monoca32.exe 48 КБ
Проверялся с помощью Cureit, помогло не сильно, но хоть могу пользоваться интернетом и обратиться за помощью.
P.S. программа PostgresQL - программа для баз данных, это не вирус.
Логи трех программ прилагаю.
Заранее спасибо!
Последний раз редактировалось THEcph; 09.08.2010 в 19:57.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Восстановление системы: включено
Отключить!
В безопасном режиме:
Пофиксите в hijackthis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\bef9caf0.exe,C:\WINDOWS\system32\yfirnt.exe,
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\yfirnt.exe','');
QuarantineFile('C:\WINDOWS\system32\bef9caf0.exe','');
QuarantineFile('C:\Documents and Settings\JG\Главное меню\Программы\Автозагрузка\monoca32.exe','');
DeleteFile('C:\Documents and Settings\JG\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\WINDOWS\system32\bef9caf0.exe');
DeleteFile('C:\WINDOWS\system32\yfirnt.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_DeleteFile('C:\Documents and Settings\JG\Главное меню\Программы\Автозагрузка\monoca32.exe');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 50
Всё сделал, файлы отправил.
Уже всё начало работать, спасибо большое за помощь!
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\system32\yfirnt.exe','');
QuarantineFile('C:\WINDOWS\system32\bef9caf0.exe','');
DeleteFile('C:\WINDOWS\system32\bef9caf0.exe');
DeleteFile('C:\WINDOWS\system32\yfirnt.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\all users\application data\kaspersky lab\avp6\pdmhist\2bc.fe8f320801cb37e2.history\0000 0000.bak - Packed.Win32.Krap.hr ( DrWEB: Trojan.PWS.Ibank.87, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Malware-gen )
- c:\documents and settings\all users\application data\kaspersky lab\avp6\pdmhist\2bc.fe8f320801cb37e2.history\0000 0002.bak - Backdoor.Win32.Shiz.tt ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\documents and settings\all users\application data\kaspersky lab\avp6\pdmhist\2bc.fe8f320801cb37e2.history\0000 0004.bak - Rootkit.Win32.Agent.bijs ( DrWEB: Trojan.Botnetlog.478, BitDefender: Backdoor.Generic.412084, AVAST4: Win32:Rootkit-gen [Rtk] )
-