-
Junior Member
- Вес репутации
- 50
monoca32 в автозагрузке и huipt - Runtime error 70 Permission Denied
Вечер добрый. столкнулся со схожей проблемой
http://virusinfo.info/showthread.php?t=86362
по незнанию выполнил скрипт(указанный для того пользователя), толку мало,но эт и хорошо...
так же выскакивает сообщение НОда про блокировку "://discountprowatch.com/news/controller.php?....."
прочитав правила,стал делать всё по пунктам. не получилось выгрузиться в безопасный режим, зависал и грузил обычный. проверился с помощью AVPTool при обычной загрузке, что-то нашел... до этого пробивал комп Ad Aware, 7 часов грузился и отыскал 39 файлов,удалил. проблема осталась. Нодом аналогично находил и удалял,но всё возвращалось)))
в автозагрузке всё висит monoca32 и sisgbi32. ради интереса вырубил их в Tune up,но они не слушаются)))))
выполнил скрипты в AVZ и просканил HijackThis, высылаю полученное.
вроде всё выполнил,как надо. если допустил ошибку,прошу указать.
кстати,после скриптов AVZ,показывал,что ничего не найдено,но проблема осталась та же.
Последний раз редактировалось Andrew__66; 16.10.2010 в 22:05.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ в безопасном режиме
Код:
begin
QuarantineFile('C:\Users\Андрюха\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sisgbi32.exe','');
QuarantineFile('C:\Users\Андрюха\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\monoca32.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
DeleteFile('C:\Users\Андрюха\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\monoca32.exe');
DeleteFile('C:\Users\Андрюха\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sisgbi32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Последний раз редактировалось polword; 27.08.2010 в 09:43.
-
-
Junior Member
- Вес репутации
- 50
доброе утро)
насчет восстановления системы - я отключал эту службу. у меня windows 7,это я забыл указать,сделал по принципу Висты. высылаю первые два скрина в подтверждение сказанного. на втором,я уже удалил старые точки и понизил объём. на первом уже видно,что отключена защита.
попробовал выгрузиться в безопасный режим и получилось, к интернету не подключался,прог не запускал,кроме AVZ и браузера. при выполнении скрипта,выскакивала ошибка на пункте 1.5
"Ошибка загрузки драйвера - проверка прервана (C000035F)
Ошибка AVZ Guard: C000035F"
загрузил обычный режим, проверил драйвер мониторинга,он был включен. выгрузил программы, отключил антивирус с файером(выгружаться он не хотел в принципе),включил браузер.
запустил скрипт в AVZ и снова ошибка. высылаю скрин 3.
Последний раз редактировалось Andrew__66; 16.10.2010 в 22:05.
-
а если так.. скрипт поправил
-
-
Junior Member
- Вес репутации
- 50
Сохранил скрипт, перегрузил комп в безопасный режим, выполнил скрипт и была перезагрузка.
выполнил второй скрипт, для создания карантина.
сделал логи по пунктам 2,3.
выслал архив с карантином(отправил готовый архив, сам не собирал и пароль не ставил), прикрепляю логи.
при загрузке системы ошибка не выскакивала, соединение с интернетом- ничего не блокировалось. Проверил автозагрузку в Tune up, там эти программы в выключенном состоянии,но есть. при попытке удалить- говорил,что нет прав "code 5". по этому поводу стоит переживать? или можно забыть)))
Последний раз редактировалось Andrew__66; 16.10.2010 в 22:05.
-
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
-
-
Junior Member
- Вес репутации
- 50
все выполнил, отчеты прикрепляю.
насчет восстановления системы- включать её?
и как я мог этот вирус поймать??? всегда включен Нод 32 со встроенным фаерволом... сижу по вай фаю соседа, он вроде не против.
просмотрел тему "...тестировании антивирусов на уровень детектирования...", лидер Симантек. Есть смысл переходить на ноуте (2,5 года, 2 ядра, гиг оперативки, 2GHz- не ахти конечно, но лучшего позволить не могу) с Нода на Нортон?
Последний раз редактировалось Andrew__66; 16.10.2010 в 22:05.
-
восстановление можете включать
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\\users\\андрюха\\appdata\\roaming\\microsoft\\w indows\\start menu\\programs\\startup\\monoca32.exe - Trojan.Win32.VB.akav ( DrWEB: Trojan.Botnetlog.518, BitDefender: Trojan.Generic.4836819, AVAST4: Win32:Malware-gen )
- c:\\users\\андрюха\\appdata\\roaming\\microsoft\\w indows\\start menu\\programs\\startup\\sisgbi32.exe - Trojan.Win32.VB.ajzr ( DrWEB: Trojan.Botnetlog.518, BitDefender: Trojan.Generic.4804659, AVAST4: Win32:Malware-gen )
-