Monoca32

Printable View

29.07.2010, 20:26
Courier

Вложений: 3

Monoca32

Здрвствуйте.
Будьте добры, помогите, пожалуйста. Симптомы те же, что и у других. Интересно, почему при обращении к сайтам рунета, отправляется запрос на Google com?
Спасибо.
29.07.2010, 20:36
olejah

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] [B]в безопасном режиме[/B] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\dopdfmn7.dll','');
QuarantineFile('C:\WINDOWS\system32\sidebar32.exe','');
QuarantineFile('C:\Documents and Settings\DENIS\Главное меню\Программы\Автозагрузка\monoca32.exe','');
DeleteFile('C:\Documents and Settings\DENIS\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\WINDOWS\system32\sidebar32.exe');
DelAutorunByFileName('C:\WINDOWS\system32\sidebar32.exe');
DelAutorunByFileName('C:\Documents and Settings\DENIS\Главное меню\Программы\Автозагрузка\monoca32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи.
29.07.2010, 22:21
Courier

Monoca32

Файл карантина выслал. Повторяю логи.
30.07.2010, 16:32
Courier

Monoca32

Загружается несколько тупо, но работает, как и прежде.
Большое спасибо за помощь!
30.07.2010, 16:42
olejah

Давайте ещё лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL] сделаем.
30.07.2010, 17:49
Courier

Monoca32

Готово. Думаю, удалить можно все?
30.07.2010, 17:57
olejah

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в MBAM[/URL] -

[CODE]Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.

Зараженные файлы:
C:\WINDOWS\system32\drivers\29130122.sys (Rootkit.Agent.H) -> No action taken.
C:\Documents and Settings\DENIS\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.[/CODE]

- Повторите лог MBAM
31.07.2010, 11:19
Courier

Вирус пропал, но осадок остался

Перезагрузка более 3,5 мин., особенно тупит avast!, обновление только через деинсталляцию в CCleaner.

Повторный лог MBAM
31.07.2010, 11:26
olejah

Скажите пожалуйста, была ли рекомендация удалять всё в MBAM?! Не зря же я наверное уточнил что именно надо удалять.

Лог чист.
01.08.2010, 11:26
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\denis\главное меню\программы\автозагрузка\monoca32.exe - [B]Packed.Win32.Krap.ao[/B] ( DrWEB: Trojan.Botnetlog.126, BitDefender: Gen:Trojan.Heur.FU.bC0@aW23!Nji, AVAST4: Win32:Crypt-HCS [Drp] )[*] c:\windows\system32\sidebar32.exe - [B]Trojan-Spy.Win32.BZub.iad[/B] ( DrWEB: Trojan.PWS.Ibank.77, BitDefender: Gen:Trojan.Heur.RP.gmW@aq84WXn )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]