Последствия Monoca32
Здравствуйте! Проблема такая: грузился проц на 100%(svchost -50% и winlogon - 50%), Каспер нашёл в атозагрузке Monoca32 и благополучно удалил, svchost грузится перестал, а вот winlogon до сих пор над чем-то усердно трудиться... сам незнаю что делать, Помогите
Логи прилагаются ...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); QuarantineFile('C:\WINDOWS\System32\winlogon.exe',''); QuarantineFile('C:\WINDOWS\system32\syspanel32.exe',''); DeleteFile('C:\WINDOWS\system32\syspanel32.exe'); BC_ImportAll; ExecuteSysClean; RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
winlogon также 50% ...
quarantine.zip отправил
и повторные логи
- Сделайте лог MBAM
Выполнил.
1. удалите в MBAM
2.Выполните скрипт в AVZКод:Зараженные ключи в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avz.exe (Security.Hijack) -> Not selected for removal. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hijackthis.exe (Security.Hijack) -> Not selected for removal. Зараженные параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Not selected for removal. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Not selected for removal. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Not selected for removal. Зараженные папки: C:\Program Files\Common Files\wm\keys (Trojan.KeyLog) -> Not selected for removal. Зараженные файлы: C:\Documents and Settings\ADMIN-XP\Application Data\avdrn.dat (Malware.Trace) -> Not selected for removal. C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> Not selected for removal.
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS',''); QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll',''); QuarantineFile('C:\WINDOWS\system32\mssfc.dll',''); DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys'); DeleteFile('C:\WINDOWS\system32\mssfc.dll'); RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak'); CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll'); DeleteFile('C:\WINDOWS\System32\sfcfiles.bak'); BC_ImportALL; ExecuteSysClean; BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak'); BC_DeleteSvc('sfc'); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторный лог MBAM
winlogon вроде успокоился... зиповский файл отослал, логи ниже.... Огромное спасибо за помощь
В логе чисто.
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\mssfc.dll - Trojan-Spy.Win32.Agent.bimb ( DrWEB: Trojan.WinSpy.921, BitDefender: Gen:Trojan.Heur.LP.Fr7@ayll9pp, AVAST4: Win32:Spyware-gen [Spy] )
- c:\windows\system32\sfcfiles.dll - Trojan-Spy.Win32.Agent.bimb ( DrWEB: Trojan.WinSpy.921, BitDefender: Gen:Trojan.Heur.LP.Fr7@ayll9pp, AVAST4: Win32:Spyware-gen [Spy] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) = Proximo =, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
