monoca32.exe прописала себя в автозагрузку и не хочет удаляться. процесс svchost грузит цп под 100%. надеюсь на вашу помощь
monoca32.exe прописала себя в автозагрузку и не хочет удаляться. процесс svchost грузит цп под 100%. надеюсь на вашу помощь
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Выполните скрипт в АВЗ в безопасном режиме -Код:R3 - URLSearchHook: (no name) - - (no file) O4 - Startup: monoca32.exe
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe',''); QuarantineFile('C:\WINDOWS\system32\syspanel32.exe',''); QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Application Data\Rolebu\gywod.exe',''); QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll',''); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Повторите лог virusinfo_syscheck.zip
Последний раз редактировалось olejah; 13.08.2010 в 13:41.
сделал
Выполните скрипт в АВЗ в безопасном режиме -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll',''); QuarantineFile('C:\WINDOWS\system32\syspanel32.exe',''); QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Application Data\Rolebu\gywod.exe',''); DeleteFile('C:\WINDOWS\system32\syspanel32.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Panel'); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); end.
- Повторите лог virusinfo_syscheck.zip + сделайте лог MBAM
вот
Удалите в MBAM
Выполните скрипт в АВЗ -Код:C:\Documents and Settings\Admin\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('D:\SOFT\Other\Погода на рабочем столе 1.0.exe',''); QuarantineFile('D:\Sb.exe',''); if FileExists('C:\WINDOWS\System32\dllcache\sfcfiles.dll')then begin RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak'); CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll'); QuarantineFile('C:\WINDOWS\System32\sfcfiles.bak',''); DeleteFile('C:\WINDOWS\System32\sfcfiles.bak'); end else AddToLog('dllcache\sfcfiles.dll does not exist'); SaveLog(GetAVZDirectory + 'sfcfiles.log'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine3.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine3.zip'); end.
- Прикрепите файл sfcfiles.log к следующему своему сообщению
- Повторите лог MBAM
лог MBAM будет позже
Скачайте файл во вложении, распакуйте и поместите в папку C:\WINDOWS\System32\dllcache\, после этого выполните скрпт АВЗ из поста №6, потом аналогично - Прикрепите файл sfcfiles.log к следующему своему сообщению
Последний раз редактировалось olejah; 08.09.2010 в 22:31.
сделал, как вы сказали
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('D:\Sb.exe'); DeleteFile('C:\WINDOWS\system32\config\systemprofile\Application Data\Rolebu\gywod.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{05FC721C-535F-D97D-5ED4-969E3193E49E}'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Повторите лог virusinfo_syscheck.zip
В карантине обнаружены зловреды, крадущие пароли и личные данные, после лечения настоятельно рекомендуется сменить все пароли.
вот
monoca32.exe каким-то образом воскресла, будем добивать -
Выполните скрипт в АВЗ в безопасном режиме -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Повторите лог virusinfo_syscheck.zip либо проверьте наличие monoca32.exe в папке автозагрузки
она исчезла, но на долго ли?
В логе не вижу плохого.
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Обновите C:\Program Files\Adobe\Acrobat 7.0
спасибо
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 18
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\главное меню\\программы\\автозагрузка\\monoca32.exe - Trojan-Dropper.Win32.Agent.dzvu ( DrWEB: Trojan.Botnetlog.496, BitDefender: Trojan.Generic.6879039, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Zapchast.cbh ( DrWEB: Trojan.WinSpy.935, BitDefender: Trojan.Spy.Agent.OFN, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Patched-TI [Trj] )
- c:\\windows\\system32\\config\\systemprofile\\appl ication data\\rolebu\\gywod.exe - Packed.Win32.Katusha.p ( DrWEB: Trojan.PWS.Panda.430, BitDefender: Gen:Heur.ManBat.1, AVAST4: Win32:MalOb-IJ [Cryp] )
- c:\\windows\\system32\\syspanel32.exe - Trojan-Banker.Win32.Fibbit.y ( DrWEB: Trojan.PWS.Ibank.81, BitDefender: Gen:Trojan.Heur.RP.gmW@amZceDb, NOD32: Win32/Spy.Agent.NSQ trojan, AVAST4: Win32:Malware-gen )
Уважаемый(ая) msf13, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.