-
Junior Member
- Вес репутации
- 50
Снес monoca32, но проблемы остались
Обнаружил monoca32.exe в автозапуске. На компе установлены две операционки, сначала несколько раз проверялся при помощи KIS 2011 в Windows 7, потом тем же самым в ХР, где и была обнаружена проблема. Также проверялся при помощи Kaspersky rescue cd. Штатным антивирусом был NOD 32, который еще до этих проверок ругался на файлы в WINDOWS/system32/drivers. Проблемы в следующем: на ХР: не дает антивирусам обновляться, заходить на сайты антивирусов, винда не находит драйвер клавиатуры, тормоза в автозагрузке, на семерке все чисто. Логи с ХР.
Последний раз редактировалось pig; 25.08.2010 в 20:28.
Причина: карантин в теме неуместен
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.Профиксите в HijackThis
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{DFB4EA91-DEB3-4684-829D-F417A6EEFF46}: NameServer = 85.255.116.19,85.255.112.200
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('D:\WINDOWS\system32\ycwavx.exe','');
QuarantineFile('D:\WINDOWS\system32\xgnfua.exe','');
QuarantineFile('D:\WINDOWS\system32\ad78ac01.exe','');
QuarantineFile('D:\WINDOWS\system32\44759e73.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('D:\WINDOWS\system32\44759e73.exe');
DeleteFile('D:\WINDOWS\system32\ad78ac01.exe');
DeleteFile('D:\WINDOWS\system32\xgnfua.exe');
DeleteFile('D:\WINDOWS\system32\ycwavx.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
-
-
Junior Member
- Вес репутации
- 50
Карантин отослал, логи выложил. К глюкам добавилась нулевая реакция на клики мышью у моего компьютера и др. файлов.
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('d:\WINDOWS\System32\sfcfiles.dll','');
DeleteFile('D:\WINDOWS\system32\drivers\SET16.tmp');
DeleteFileMask('D:\Program Files\Common Files\wm', '*.*', true);
DeleteDirectory('D:\Program Files\Common Files\wm');
DeleteFile(' D:\Program Files\Common Files\keylog.txt');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 50
Карантин выслал. Из автозагрузки удалилась программа. Еще вспомнил, что NOD 32 в драйверах нашел bubnix троянскую программу.
Последний раз редактировалось RA200; 26.08.2010 в 10:03.
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
SaveLog('sfcfiles.log');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
SaveLog('sfcfiles.log');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
SaveLog('sfcfiles.log');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
SaveLog('sfcfiles.log');
end;
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
SaveLog('sfcfiles.log');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
SaveLog('sfcfiles.log');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
SaveLog('sfcfiles.log');
end;
end;
DeleteFile('%windir%\system32\sfcfiles.bak');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('%windir%\System32\sfcfiles.bak');
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог RSIT
- файл sfcfiles.log прикрепите к сообщению
-
-
Junior Member
- Вес репутации
- 50
Карантин отослал, логи выложил.
-
1.Профиксите в HijackThis
Код:
O2 - BHO: Доступ к платному контенту FieryAds v2.1.0 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - (no file)
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
2. Восстановите файл d:\WINDOWS\System32\sfcfiles.dll отсюда.
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
- Проведите процедуру, которая описана в первом сообщении тут.
-
-
Junior Member
- Вес репутации
- 50
Вылечилось все, кроме тормозов в автозагрузке. Во время запуска программ в автозагрузке нижняя панель недоступна (значок часов). Можете проверить еще раз?
-
-
-
Junior Member
- Вес репутации
- 50
Перезагрузился, проверил автозагрузку. Все в порядке, это Касперский долго грузится. Спасибо вам огромное, вы волшебник!)
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 15
- В ходе лечения вредоносные программы в карантинах не обнаружены
-