Показано с 1 по 12 из 12.

Monoca32 в автозагрузке и svchost грузит систему. (заявка № 85427)

  1. #1
    Junior Member Репутация
    Регистрация
    31.07.2010
    Сообщений
    27
    Вес репутации
    24

    Thumbs up Monoca32 в автозагрузке и svchost грузит систему.

    Эта проблема появилась у меня ещё неделю назад, начал искать её решение в интернете и наткнулся на этот сайт. Начал всё выполнять по порядку, как написано в правилах. Помогла сразу же утилита Касперского. Но через 3 дня проблема повторилась опять и опять её решила эта же утилита. И вот эта проблема появилась опять!

    Просканировал всю систему NOD-ом 32 - результат нулевой.

    В автозагрузке висит непонятная служба Monoca32 (она не отключается), и svchost грузит процессор (это не из-за автоматического обновления).
    Благодарю за внимание.
    Вложения Вложения
    Последний раз редактировалось Performancer; 15.08.2010 в 05:50. Причина: Забыл обновить AVZ Tools. Просканировал и обновил логи.

  2. Реклама
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,044
    Вес репутации
    1254
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Пофиксите в hijackthis -

    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\cvrawo.exe,
    Выполните скрипт в АВЗ в безопасном режиме -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     TerminateProcessByName('c:\windows\system32\taskmgr.exe');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
     QuarantineFile('c:\windows\system32\taskmgr.exe','');
     QuarantineFile('C:\WINDOWS\gdrv.sys','');
     QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe','');
     QuarantineFile('c:\windows\system32\cvrawo.exe','');
     DeleteFile('c:\windows\system32\cvrawo.exe');
     DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe');  
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    31.07.2010
    Сообщений
    27
    Вес репутации
    24
    Выполнил.
    monoca32 удалилась, svchost перестал грузить систему.
    Только вот не знаю, надолго ли?
    Вложения Вложения
    Последний раз редактировалось Performancer; 15.08.2010 в 16:54.

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,044
    Вес репутации
    1254
    Карантин не вижу.

    Добавлено через 3 минуты

    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
     DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); 
     end.
    Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Сделайте лог МВАМ
    Последний раз редактировалось olejah; 15.08.2010 в 17:03. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    31.07.2010
    Сообщений
    27
    Вес репутации
    24
    Готово.
    Ещё заметил, что в Firefox перестал работать звук в Flash приложениях: не работает звук в роликах на youtube, вконтакте и т.д.
    Вложения Вложения

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,044
    Вес репутации
    1254
    Удалите в МВАМ -

    Код:
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
    
    Зараженные файлы:
    C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
    C:\Program Files\Mozilla Firefox\setupapi.dll (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\Admin\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
    - Повторите лог МВАМ

  8. #7
    Junior Member Репутация
    Регистрация
    31.07.2010
    Сообщений
    27
    Вес репутации
    24
    Olejah, просканировать систему ещё раз или отправить лог, который он выдал после удаления?

    UPD
    Звук во flash заработал.

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,044
    Вес репутации
    1254
    Просканировать. Посмотрим всё ли удалилось.

  10. #9
    Junior Member Репутация
    Регистрация
    31.07.2010
    Сообщений
    27
    Вес репутации
    24
    Воть.
    Вложения Вложения

  11. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,044
    Вес репутации
    1254
    Плохого не видно, кроме всяких кейгенов, что с проблемой?

  12. #11
    Junior Member Репутация
    Регистрация
    31.07.2010
    Сообщений
    27
    Вес репутации
    24
    Сейчас всё в норме.
    Спасибо за помощь!

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Zapchast.cbh ( DrWEB: Trojan.WinSpy.935, BitDefender: Trojan.Spy.Agent.OFN, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Patched-TI [Trj] )


  • Уважаемый(ая) Performancer, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 15
      Последнее сообщение: 05.08.2010, 23:54
    2. monoca32.exe, svchost грузит ЦП на 50%
      От Legaron в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 03.08.2010, 10:13
    3. svchost на 50%, monoca32 в автозагрузке
      От ApXoH в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 01.08.2010, 16:25
    4. Ответов: 2
      Последнее сообщение: 31.07.2010, 14:35
    5. svchost на 50%, monoca32 в автозагрузке
      От sarcasm в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 30.07.2010, 23:14

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01526 seconds with 21 queries