Загрузка ЦП 50-100%, в автозагрузке файл monoca32.exe

Вчера днем обнаружил что Опера тормозит, после перезагрузки винды, при попытке запуска оперы авастом 4.8(автообновление) было отловлено в папках оперы, файерфокса и ИЕ файл setupapi.all.Файл прибит во всех 3 папках, но после этого начались тормоза, их вызывал svchost.exe отжиравший ровно 50% машинного времени. При этом регулярно зависали браузеры все 3.
После запуска безопасного режима с помощью process explorer'a, avz 4.34, hijack 204 были найдены в автозагрузке monoca32.exe, в system32 a92ce62b.exe,txwvak.exe + 1.bat с той же датой создания что и экзешники.
Все три файла удалены руками в безопасном режиме, так же удалены ключи в реестре
usrint=C:\WINDOWS\system32\txwvak.exe
UserInit=C:\WINDOWS\system32\userinit.exe,C:\windows\system32\a92ce62b.exe,C:\windows\system32\txwvak.exe

так же по адресу c:\Program Files\Common Files
была обнаружена и удалена скрытая защищенная пустая папка wm\keys ( не мое точно) и keylog.txt в котором были все мои действия отражены начиная с 15 часов дня (момента заражения?)

так же найден в логе странный системный файл MAMA.sys

прошу проверить не осталось ли хвостов в системе и что еще сделать, чтоб допроверить/дочистить систему.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\system32\H@tKeysH@@k.DLL','');
QuarantineFile('C:\windows\system32\txwvak.exe','');
QuarantineFile('C:\windows\system32\a92ce62b.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\monoca32.exe','');
QuarantineFile('C:\windows\system32\DRIVERS\Mama.sys','');
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\windows\system32\a92ce62b.exe');
DeleteFile('C:\windows\system32\txwvak.exe');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
DeleteFile('C:\WINDOWS\system32\mssfc.dll');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_DeleteSvc('sfc');
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT [URL="http://images.malwareremoval.com/random/RSIT.exe"]тут[/URL]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

надеюсь все верно

1. Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
[/CODE]
2.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\TMP\ILLYFXCFKMEKQ.exe','');
DeleteService('ILLYFXCFKMEKQ');
DeleteFile('C:\TMP\ILLYFXCFKMEKQ.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ILLYFXCFKMEKQ');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

боюсь с карантином проблемы ) - я тот файл еще час назад из тмпшника вычистил

В логах чисто.

Обновите систему
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- Обновите [URL="http://www.java.com/ru/download/manual.jsp"]Java [/URL].
- поставте [URL="http://get.adobe.com/reader/otherversions/"]Adobe Reader 9.3[/URL] или удалите старый.

После обновления:
- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

sfcfiles.dll имеет расширение bak - его уже можно обратно в дллку переименовать?

[QUOTE=Rastix;677595]sfcfiles.dll имеет расширение bak - его уже можно обратно в дллку переименовать?[/QUOTE]
нет

C:\WINDOWS\System32\sfcfiles.dll - есть такой?

C:\WINDOWS\System32\sfcfiles.bak - это Trojan-Spy.Win32.Agent.bhwy

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_Activate;
RebootWindows(true);
end.[/CODE]

нету, восстанавливать с дистрибутива? более нигде нет такого

bak удалять?

прекратила работать служба инсталляции - не ставиться например обновление явы/другие фиксы

[QUOTE=Rastix;677599]нету, восстанавливать с дистрибутива? [/QUOTE]
да

спасибо за помощь

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]22[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\sfcfiles.dll - [B]Trojan-Spy.Win32.Agent.bhwy[/B][/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]