Отчет о проделанных действиях (monoca32.exe,BAT.KillFiles.33,Trojan.WinSpy.921)

[FONT=Calibri]Здравствуйте. Загрузился я вчера и вот. [/FONT]
[FONT=Calibri]Лог drweb:[/FONT]
[FONT=Calibri][QUOTE]C:\Windows\System32\fjhdyfhsn.bat - инфицирован BAT.KillFiles.33[/FONT]
[FONT=Calibri]C:\Windows\system32\spool\PRTPROCS\W32X86\SMWinPrn.dat - инфицирован Trojan.WinSpy.921[/FONT]
[FONT=Calibri]C:\Windows\System32\fjhdyfhsn.bat – удален[/FONT]
[FONT=Calibri]C:\Windows\system32\spool\PRTPROCS\W32X86\SMWinPrn.dat – удален[/FONT][/QUOTE]

[FONT=Calibri]После перезагрузки компа:[/FONT]
[FONT=Calibri][QUOTE]C:\Windows\System32\fjhdyfhsn.bat - инфицирован BAT.KillFiles.33[/FONT]
[FONT=Calibri]C:\Windows\system32\spool\PRTPROCS\W32X86\SMWinPrn.dat - инфицирован Trojan.WinSpy.921[/FONT]
[FONT=Calibri]C:\Windows\System32\fjhdyfhsn.bat – исцелен[/FONT]
[FONT=Calibri]C:\Windows\system32\spool\PRTPROCS\W32X86\SMWinPrn.dat - инфицирован Trojan.WinSpy.921 и не может быть исцелен[/FONT]
[FONT=Calibri]C:\Windows\system32\spool\PRTPROCS\W32X86\SMWinPrn.dat – удален[/FONT]
[FONT=Calibri]C:\Windows\system32\spool\PRTPROCS\W32X86\SMWinPrn.dat - инфицирован Trojan.WinSpy.921[/FONT]
[FONT=Calibri]C:\Windows\system32\spool\PRTPROCS\W32X86\SMWinPrn.dat - перемещен как 'C:\Program Files\DrWeb\infected.!!!\SMWinPrn.dat.1745D6AF'[/FONT]
[FONT=Calibri]C:\Users\User\AppData\Local\Temp\DBA2.sys - инфицирован Trojan.WinSpy.921[/FONT]
[FONT=Calibri]C:\Users\User\AppData\Local\Temp\DBA2.sys - перемещен как 'C:\Program Files\DrWeb\infected.!!!\DBA2.sys.5B5506CA'[/FONT][/QUOTE]

[FONT=Calibri]После чего в автозагрузке обнаружил monoca32.exe [/FONT]
[FONT=Calibri]Фиксил в HijackThis:[/FONT]
[FONT=Calibri][QUOTE]O4 - Startup: monoca32.exe[/QUOTE][/FONT]

[FONT=Calibri]Процесс из автозагрузки пропал, svchost проц грузить перестал, браузер заработал[/FONT]

[FONT=Calibri]Выполнил скрипт в АВЗ:[/FONT]
[FONT=Calibri][QUOTE]begin[/FONT]
[FONT=Calibri]SearchRootkit(true, true);[/FONT]
[FONT=Calibri]SetAVZGuardStatus(true);[/FONT]
[FONT=Calibri]QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\monoca32.exe','');[/FONT]
[FONT=Calibri]QuarantineFile('C:\Temp\kmhrf.exe','');[/FONT]
[FONT=Calibri]QuarantineFile('C:\Temp\eanebqn.exe','');[/FONT]
[FONT=Calibri]QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');[/FONT]
[FONT=Calibri]DeleteFile('C:\Temp\eanebqn.exe');[/FONT]
[FONT=Calibri]DeleteFile('C:\Temp\kmhrf.exe');[/FONT]
[FONT=Calibri]DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\monoca32.exe'); [/FONT]
[FONT=Calibri]DeleteFile('C:\WINDOWS\Tasks\Windows Update.job');[/FONT]
[FONT=Calibri]DeleteFile('C:\WINDOWS\Tasks\WindowsCheck.job'); [/FONT]
[FONT=Calibri]BC_ImportAll;[/FONT]
[FONT=Calibri]ExecuteSysClean;[/FONT]
[FONT=Calibri]ExecuteWizard('TSW',2,2,true);[/FONT]
[FONT=Calibri]BC_Activate;[/FONT]
[FONT=Calibri]RebootWindows(true);[/FONT]
[FONT=Calibri]end.[/FONT][/QUOTE]

[FONT=Calibri]Затем:[/FONT]
[QUOTE]
[FONT=Calibri]begin[/FONT]
[FONT=Calibri]CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); [/FONT]
[FONT=Calibri]end.[/FONT]
[/QUOTE]

[FONT=Calibri]Теперь мне нужно прислать файл quarantine.zip из папки AVZ?[/FONT]

скрипт сами писали? Там имена файлов надо подправлять, елси писали не по логам.


Да, присылайте+ комплект логов.

В след. раз набирайте сообщение прямо в форуме, очень трудно его подправлять

Нет, скрипт взял в аналогичной теме. Теперь понял, что это была ошибка.

ProxyServer = http=127.0.0.1:2080 вы настраивали?

Запустите AVZ. Выполните скрипт через меню Файл:
[code]begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
end.[/code]
Установите Windows Vista SP2: [url]http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=8ad69826-03d4-488c-8f26-074800c55bc3[/url]

Да прокси я использую.. скрипт выполнил, а вот в паке 2 смысла не вижу
Можно ламерский вопрос? Архив quarantine.zip АВЗ запаролил потому что там вирусы? Не дошли руки еще толком с АВЗ познакомиться. Спасибо.

AVZ ставит пароль на архив карантина всегда. Иначе, этот архив по дороге может быть удалён каким-нибудь фильтром.

[QUOTE='outsider3;685106']в паке 2 смысла не вижу[/QUOTE]Менее чем через год, Windows Vista Service Pack 1 отправиться на свалку истории.
[url]http://support.microsoft.com/lifecycle/?p1=12534[/url]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\internet explorer\setupapi.dll - [B]Trojan.Win32.BHO.ajcb[/B] ( DrWEB: Trojan.Siggen2.353, BitDefender: Trojan.BHO.Agent.BY )[/LIST][/LIST]