Поймал Mocona32.exe

**Det** · 14.08.2010, 20:48

Поймал вирус...
при перезагрузке/выключении компьютера выдает на секунду BSOD и перезагружается.через 5-10 минут работы компьютера не запускается браузер FireFox выдает ошибку о крахе.
надеюсь на скорую помощь

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**thyrex** · 14.08.2010, 20:53

1. Выполните скрипт в AVZ

Код:

begin
 ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\SFC', 'c:\sfc.log');
end.

Файл c:\sfc.log прикрепите к сообщению

2. Выполните скрипт в AVZ (в безопасном режиме)

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
QuarantineFile('%windir%\system32\mssfc.dll','');
QuarantineFile('C:\Documents and Settings\Demoniq\Главное меню\Программы\Автозагрузка\monoca32.exe','');
 DeleteFile('C:\Documents and Settings\Demoniq\Главное меню\Программы\Автозагрузка\monoca32.exe');
 DeleteFile('C:\windows\System32\Drivers\sfc.SYS');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

3. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

4. Сделайте новые логи (в нормальном режиме) + лог МВАМ

**Det** · 14.08.2010, 20:57

вот выполнил первую часть сообщения.сейчас остальную попробую

Файл сохранён как 100814_212034_virus_4c66d0628c881.zip
Размер файла 480549
MD5 07aeb171c2b19fa3fce72a33ff41f308

МВАМ там сделать полную проверку?

**Det** · 14.08.2010, 21:53

при полной проверке программа просто "исчезла" без ошибок...
вот результат быстрой проверки

**thyrex** · 14.08.2010, 22:01

Удалите в МВАМ

Код:

Зараженные файлы:
C:\Documents and Settings\Demoniq\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Program Files\Mozilla Firefox\setupapi.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\sfcfiles.dll (Trojan.Patched) -> No action taken.

Проверьте, есть ли файл sfcfiles.dll в папке system32\dllcache

**Det** · 14.08.2010, 22:57

поиском пошарил по папке Windows и такого файла не обнаруженно

Добавлено через 4 минуты

большое спасибо за столь оперативную работу

**thyrex** · 14.08.2010, 23:01

C:\WINDOWS\system32\sfcfiles.dll восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654

Попробуйте теперь сделать лог МВАМ

Что сейчас с проблемой?

**CyberHelper** · 15.08.2010, 23:01

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 4
В ходе лечения обнаружены вредоносные программы:
1. c:\\documents and settings\\demoniq\\главное меню\\программы\\автозагрузка\\monoca32.exe - Trojan-Dropper.Win32.Agent.dzvu ( DrWEB: Trojan.Botnetlog.496, BitDefender: Trojan.Generic.6879039, AVAST4: Win32:Rootkit-gen [Rtk] )
2. c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Zapchast.cbh ( DrWEB: Trojan.WinSpy.935, BitDefender: Trojan.Spy.Agent.OFN, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Patched-TI [Trj] )
3. c:\\windows\\system32\\sfcfiles.dll - Trojan.Win32.Patched.lq ( DrWEB: Trojan.WinSpy.925, BitDefender: Gen:Variant.Kazy.5984, AVAST4: Win32:Small-NTF [Trj] )