Показано с 1 по 8 из 8.

Остатки winlock + monoca32.exe + возможно еще что-то (заявка № 85238)

  1. #1
    Junior Member Репутация
    Регистрация
    11.08.2010
    Сообщений
    4
    Вес репутации
    24

    Thumbs up Остатки winlock + monoca32.exe + возможно еще что-то

    Попал в руки не долеченный ноут, с 50% загрузкой процессора (services.exe или winlogon), постоянно вылетающим эксплорером и запачканым параметром userinit в реестре, момогите вычистить.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Пофиксите в Hijack
    Код:
    F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,C:\WINDOWS\system32\769c5e75.exe,C:\WINDOWS\system32\jswtpg.exe,C:\WINDOWS\system32\fghtyc.exe,
    Выполните скрипт в AVZ (в безопасном режиме)
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
     QuarantineFile('C:\WINDOWS\system32\jswtpg.exe','');
     QuarantineFile('C:\WINDOWS\system32\fghtyc.exe','');
     QuarantineFile('C:\WINDOWS\system32\769c5e75.exe','');
     QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
     QuarantineFile('C:\Documents and Settings\Руслан\Главное меню\Программы\Автозагрузка\monoca32.exe','');
     DeleteFile('C:\Documents and Settings\Руслан\Главное меню\Программы\Автозагрузка\monoca32.exe');
     DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
     DeleteFile('C:\WINDOWS\system32\769c5e75.exe');
     DeleteFile('C:\WINDOWS\system32\fghtyc.exe');
     DeleteFile('C:\WINDOWS\system32\jswtpg.exe');
     DeleteFile('C:\WINDOWS\system32\syspanel32.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(20); 
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи (в нормальном режиме)

    Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

    Сделайте лог МВАМ
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    11.08.2010
    Сообщений
    4
    Вес репутации
    24
    Карантин:
    Код:
    Файл сохранён как100812_131147_virus_4c63bad311041.zipРазмер файла308358MD5d2c13ea87120a123d5ff5ed2eb63ba5b
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    1. удалите в MBAM
    Код:
    Зараженные ключи в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9d64f819-9380-8473-dab2-702fcb3d7a3e} (Trojan.Ransom) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
    
    Зараженные папки:
    C:\Program Files\FieryAds (Adware.Adware.FearAds) -> No action taken.
    
    Зараженные файлы:
    C:\Documents and Settings\Руслан\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
    C:\Documents and Settings\Руслан\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
    2.Профиксите в HijackThis как "профиксить в HiJackThis"
    Код:
    O18 - Filter hijack: text/html - (no CLSID) - (no file)
    3.Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
     QuarantineFile('globalroot\systemroot\system32\userinit.exe','');
     QuarantineFile('C:\WINDOWS\system32\jswtpg.exe','');
     QuarantineFile('C:\WINDOWS\system32\fghtyc.exe','');
     QuarantineFile('C:\WINDOWS\system32\769c5e75.exe','');
     DeleteFile('C:\WINDOWS\system32\769c5e75.exe');
     DeleteFile('C:\WINDOWS\system32\fghtyc.exe');
     DeleteFile('C:\WINDOWS\system32\jswtpg.exe');
     QuarantineFile('C:\WINDOWS\system32\44a07eed.exe','');
     QuarantineFile('C:\WINDOWS\system32\e0d84166.exe','');
     QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
     DeleteFile('C:\WINDOWS\system32\44a07eed.exe');
     DeleteFile('C:\WINDOWS\system32\e0d84166.exe');
     DeleteFile('C:\Program Files\Common Files\keylog.txt');
     QuarantineFile('C:\Program Files\Mozilla Firefox\setupapi.dll','');
     DeleteFile('C:\Program Files\Mozilla Firefox\setupapi.dll');
     QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
     QuarantineFile('%windir%\system32\sfcfiles.dll','');
     QuarantineFile('%windir%\system32\mssfc.dll','');
     DeleteFile('%windir%\system32\drivers\sfc.sys');
     DeleteFile('%windir%\system32\mssfc.dll');
     RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
     if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
       begin
        if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
          begin
           CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
           AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
           SaveLog('sfcfiles.log');
          end
         else
          begin
           AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
           SaveLog('sfcfiles.log');
           if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
             begin
              if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                begin
                 CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                 AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                 SaveLog('sfcfiles.log');
                end
               else 
                begin
                 AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                 SaveLog('sfcfiles.log');
                end;
             end
            else
             begin
              AddToLog('Файл sfcfiles.dll отсутствует в i386');
              SaveLog('sfcfiles.log');
             end;
          end;
       end
      else
       begin
        AddToLog('Файл sfcfiles.dll отсутствует в кеше');
        SaveLog('sfcfiles.log');
        if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
          begin
           if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
             begin
              CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
              AddToLog('Замена sfcfiles.dll успешно произведена из i386');
              SaveLog('sfcfiles.log');
             end
           else 
            begin
              AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
              SaveLog('sfcfiles.log');
            end;
          end
         else
          begin
           AddToLog('Файл sfcfiles.dll отсутствует в i386');
           SaveLog('sfcfiles.log');
          end;  
       end;
     DeleteFile('%windir%\system32\sfcfiles.bak');
     BC_ImportALL;
     ExecuteSysClean;
     BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
     BC_DeleteSvc('sfc');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторный лог virusinfo_syscheck.zip;
    - Сделайте повторный лог RSIT
    - Сделайте повторный лог MBAM

  6. #5
    Junior Member Репутация
    Регистрация
    11.08.2010
    Сообщений
    4
    Вес репутации
    24
    Карантин:
    Код:
    Файл сохранён как100812_180101_quarantine_4c63fe9d21054.zipРазмер файла486564MD5fac48634e6215c386d24ffe5f810f815
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    еще вот этот файл sfcfiles.log прикрепите к сообщению

    Добавлено через 1 минуту

    C:\Program Files\Common Files\wm - директорию удалите вручную
    Последний раз редактировалось polword; 12.08.2010 в 18:14. Причина: Добавлено

  8. #7
    Junior Member Репутация
    Регистрация
    11.08.2010
    Сообщений
    4
    Вес репутации
    24
    Ребят, ноут к сожалению уже забрали.
    Все симптомы пропали, проц больше ничего не грузит, ошибок никаких не возникает. Я думаю можно считать тему закрытой. Спасибо вам огромное ! Отличный и оперативный сервис

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 10
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\руслан\главное меню\программы\автозагрузка\monoca32.exe - Trojan-Ransom.Win32.DigiPog.wb ( DrWEB: Trojan.Packed.20668, BitDefender: Gen:Trojan.Heur.FU.bC0@aWvggBhi, AVAST4: Win32:Crypt-HCS [Drp] )
      2. c:\windows\system32\e0d84166.exe - Backdoor.Win32.Shiz.oe ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.bq0@a02iXHki, AVAST4: Win32:MalOb-BW [Cryp] )
      3. c:\windows\system32\fghtyc.exe - Backdoor.Win32.Shiz.tk ( DrWEB: Trojan.Packed.20771, BitDefender: Rootkit.38809, AVAST4: Win32:Rootkit-gen [Rtk] )
      4. c:\windows\system32\jswtpg.exe - Backdoor.Win32.Shiz.nw ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aS73dddi, AVAST4: Win32:MalOb-BW [Cryp] )
      5. c:\windows\system32\mssfc.dll - Trojan-Spy.Win32.Agent.biml ( DrWEB: Trojan.WinSpy.921, BitDefender: Gen:Trojan.Heur.LP.Fr7@aOCFMxp )
      6. c:\windows\system32\sfcfiles.dll - Trojan-Spy.Win32.Agent.bimb ( DrWEB: Trojan.WinSpy.921, BitDefender: Gen:Trojan.Heur.LP.Fr7@ayll9pp, AVAST4: Win32:Spyware-gen [Spy] )
      7. c:\windows\system32\syspanel32.exe - Trojan-Banker.Win32.Fibbit.aa ( DrWEB: Trojan.PWS.Ibank.81, BitDefender: Gen:Trojan.Heur.RP.gmW@aGsTSLb, AVAST4: Win32:Malware-gen )
      8. c:\windows\system32\44a07eed.exe - Backdoor.Win32.Shiz.ns ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.KD.23092, AVAST4: Win32:MalOb-BW [Cryp] )
      9. c:\windows\system32\769c5e75.exe - Backdoor.Win32.Shiz.ns ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.KD.23092, AVAST4: Win32:MalOb-BW [Cryp] )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) helps, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Еще раз monoca32.exe + остатки кейлоггера
      От Aowl в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 13.08.2010, 17:42
    2. Возможно monoca32
      От masusik в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 09.08.2010, 15:45
    3. Остатки winlock
      От Shinpa в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 27.07.2010, 18:35
    4. Остатки от Trojan.Winlock.938
      От kgoogle в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 02.02.2010, 12:08
    5. Возможно, остатки Трояна?
      От Gray в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 25.04.2007, 01:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01083 seconds with 22 queries