monoca32 и wwwznv32

Printable View

29.07.2010, 04:26
Egor79

Вложений: 1

monoca32 и wwwznv32

Здравствуйте!

Пару дней назад схватил обе эти "беды" - система начала призывно подавать признаки отмирания, а именно: не грузились explorer и opera - система выдавала ошибки соответственно: 1 - "Ошибка при инициализации приложения (0xс0000005)"; 2 - "Failed to find Opera.DLL".
Скачал avz на другой машине, закинул на "умирающую", запускаю, выдает ошибку 1... в безопасном режиме прокрутил CureIt - он поудалял около десятка троянов и еще какой-то гадости. Обнаружил двух этих гавриков - monoca32 и wwwznv32 в папке Автозагрузка - не удаляются. Через некоторое время исчез из папки wwwznv32, но так и остался висеть в автозагрузке (смотрел через msconfig). Удалось запустить avz только когда сразу после перезагрузки системы врубаешь (если пройдет секунд 5-10, то все - не включишь, сообщит об ошибке). В общем прогнал, убил monoca32.... почистил вроде как реестр, но трабл остался иметь место быть :furious3:

Прошу помочь.
29.07.2010, 05:04
миднайт

85.28.113.149,85.255.112.64 - ip адреса знакомы?
В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
DeleteFile('%windir%\system32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW',3,3,true);
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
[/code]

После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Логи повторите.
29.07.2010, 06:05
Egor79

ip адреса знакомы - адреса DNS-серверов:
1-ый предпочитаемый
2-ой альтернативный

Карантин заслал, сделал новые логи. Спасибо.
29.07.2010, 10:27
миднайт

В AVZ выполните скрипт:

[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('%windir%\system32\sfcfiles.bak');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\sfcfiles.bak');
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
ExecuteWizard('TSW',3,3,true);
RebootWindows(true);
end.
[/CODE]
Повторите логи AVZ.
29.07.2010, 10:58
Egor79

После выполнения скрипта в трее появилось оповещение о новом оборудовании и запустился мастер установки... Вообще, на данный момент, даже после первых Ваших скриптов система перестала выдавать сообщения об ошибках при открытии браузеров и AVZ... За что уже Вам очень благодарен.
Я на 14 часов вынужден отлучиться, поэтому прошу извинить за возможные неудобства.
29.07.2010, 11:51
DefesT

Плохого в логах не видно.
Рекомендуется установить [B]Service Pack 3[/B] с последними обновлениями (может потребоваться активация!).
Обновите Internet Explorer до [B]8[/B] версии, даже, если Вы не используете его, как браузер.
29.07.2010, 18:09
миднайт

[QUOTE='Egor79;678256']После выполнения скрипта в трее появилось оповещение о новом оборудовании и запустился мастер установки[/QUOTE]
неизвестное оборудование просто удалите в диспетчере устройств.
30.07.2010, 01:14
Egor79

Еще раз спасибо огромное за помощь. Впечатлён!!! Удачи:)
31.07.2010, 01:14
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\sfcfiles.dll - [B]Trojan-Spy.Win32.Agent.bhyr[/B] ( DrWEB: Trojan.WinSpy.921, AVAST4: Win32:Spyware-gen [Spy] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]