Тоже monoca32.exe

Printable View

06.08.2010, 02:45
Triangular

Тоже monoca32.exe

Вчера при скачивании карты с сайта, нечто смогло убить службу удаленный вызов процедур (RPC). После перезагрузки:
1)Opera навернулась - переодически выскакивала какая-то ошибка
2)C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\monoca32.exe - d-link manager запускается и сразу закрывается
3) после этого RPC все время жрет 50% CPY
4) пропал msconfig
5) monoca32.exe спокойно удаляется и проблемы пропадают, за исключением того, что нет аплета msconfig.
06.08.2010, 06:53
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -

[CODE]O4 - S-1-5-21-117609710-1682526488-1177238915-500 Startup: monoca32.exe (User '?')
O4 - S-1-5-18 Startup: monoca32.exe (User '?')
O4 - .DEFAULT Startup: monoca32.exe (User 'Default user')
O4 - Startup: monoca32.exe[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] [B]в безопасном режиме[/B] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\monoca32.exe','');
QuarantineFile('C:\Temp\kmhrf.exe','');
QuarantineFile('C:\Temp\eanebqn.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('C:\Temp\eanebqn.exe');
DeleteFile('C:\Temp\kmhrf.exe');
DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\WINDOWS\Tasks\Windows Update.job');
DeleteFile('C:\WINDOWS\Tasks\WindowsCheck.job');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Скачайте новую версию [URL="http://z-oleg.com/secur/avz/download.php"]АВЗ[/URL]

- Обновите базы

- Повторите логи
06.08.2010, 08:49
Triangular

I've done it! :094:
06.08.2010, 09:37
olejah

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

- Повтрите лог [B]virusinfo_syscheck.zip[/B]
06.08.2010, 09:52
Triangular

Вложений: 1

ready!
06.08.2010, 10:13
olejah

Давайте-ка ещё лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL] сделаем.
06.08.2010, 11:28
Triangular

ok, work is finished :O
06.08.2010, 11:40
olejah

Don't worry, it wasn't useless.

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в MBAM[/URL]

[CODE]Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-21cx3c644141} (Generic.Bot.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> No action taken.

Зараженные файлы:
C:\Program Files\Trend Micro\HiJackThis\backups\backup-20100806-080133-420-monoca32.exe (Malware.Packer.Gen) -> No action taken.
C:\Documents and Settings\User\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\WINDOWS\c.exe (Trojan.Agent) -> No action taken[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
if FileExists('C:\WINDOWS\System32\dllcache\sfcfiles.dll')then
begin
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.bak','');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
end else
AddToLog('dllcache\sfcfiles.dll does not exist');
SaveLog(GetAVZDirectory + 'avz.log');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine2.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Файл [B]avz.log[/B] из папки с АВЗ прикрепите к следующему сообщению

- Повторите лог MBAM
06.08.2010, 13:21
Triangular

viva la computer! :paratrooper:
06.08.2010, 13:38
olejah

Возьмите из вложений файл [B]sfcfiles.dll[/B] поместите в папку [B]C:\WINDOWS\System32\dllcache[/B] и выполните скрипт в АВЗ из 8-го поста, после чего опять приложите файл [B]avz.log[/B] из папки с АВЗ, к следующему сообщению.
06.08.2010, 13:53
Triangular

И отличались они на 20Кб...
+ закачал новый quarantine2.zip
06.08.2010, 13:55
olejah

А вот теперь новый лог MBAM пожалуйста:)
06.08.2010, 14:40
Triangular

кстати, после замены файла многие процессы сели на диету(например explorer.exe с 60К до 23К, что и должно быть)
06.08.2010, 14:48
olejah

А Вы юморной, так и должно быть [B]sfcfiles.dll[/B] - он был подменён трояном.

Удалите в MBAM -

[CODE]Зараженные папки:
C:\Documents and Settings\All Users\Application Data\MPK (Refog.Keylogger) -> No action taken.
C:\Documents and Settings\All Users\Application Data\MPK\1 (Refog.Keylogger) -> No action taken.
C:\Documents and Settings\All Users\Application Data\MPK\1 (Refog.Keylogger) -> Files: 981 -> No action taken.

Зараженные файлы:
C:\WINDOWS\system32\directx.cpl (Malware.Packer.Gen) -> No action taken.
C:\Documents and Settings\All Users\Application Data\MPK\M0000 (Refog.Keylogger) -> No action taken.[/CODE]

Как состояние, не против выписки?
06.08.2010, 18:30
Triangular

Так и не понял с каких соображений мы удалили
C:\Documents and Settings\All Users\Application Data\MPK\M0000 (Refog.Keylogger) , а оставили
C:\Documents and Settings\All Users\Application Data\MPK\S0000 (Refog.Keylogger) .
А насчет выписки - это хорошо, особенно когда за бортом +40С :wacko:
06.08.2010, 18:34
olejah

Состояние-то как? Проблемы решены?
06.08.2010, 18:51
Triangular

Да конечно все работает прекрасно! Огромное за это спасибо! :victory:
07.08.2010, 18:51
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\internet explorer\setupapi.dll - [B]Trojan.Win32.BHO.ajcb[/B] ( DrWEB: Trojan.Siggen2.353, BitDefender: Trojan.BHO.Agent.BY )[*] c:\windows\system32\sfcfiles.bak - [B]Trojan-Spy.Win32.Agent.bije[/B] ( DrWEB: Trojan.WinSpy.921, BitDefender: Gen:Trojan.Heur.LP.Fr7@ae9eEUn, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]