monoca32.exe, загрузка цп 100%

Printable View

13.08.2010, 13:17
msf13

monoca32.exe, загрузка цп 100%

monoca32.exe прописала себя в автозагрузку и не хочет удаляться. процесс svchost грузит цп под 100%. надеюсь на вашу помощь
13.08.2010, 13:27
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -

[CODE]R3 - URLSearchHook: (no name) - - (no file)
O4 - Startup: monoca32.exe[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] [B]в безопасном режиме[/B] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe','');
QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Application Data\Rolebu\gywod.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите лог [B]virusinfo_syscheck.zip[/B]
13.08.2010, 14:07
msf13

сделал
13.08.2010, 14:18
olejah

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] [B]в безопасном режиме[/B] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Application Data\Rolebu\gywod.exe','');
DeleteFile('C:\WINDOWS\system32\syspanel32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Panel');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine2.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите лог [B]virusinfo_syscheck.zip[/B] + сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL]
13.08.2010, 17:29
msf13

вот
13.08.2010, 17:36
olejah

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в MBAM[/URL]

[CODE]C:\Documents and Settings\Admin\Application Data\avdrn.dat (Malware.Trace) -> No action taken.[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('D:\SOFT\Other\Погода на рабочем столе 1.0.exe','');
QuarantineFile('D:\Sb.exe','');
if FileExists('C:\WINDOWS\System32\dllcache\sfcfiles.dll')then
begin
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.bak','');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
end else
AddToLog('dllcache\sfcfiles.dll does not exist');
SaveLog(GetAVZDirectory + 'sfcfiles.log');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine3.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine3.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Прикрепите файл [B]sfcfiles.log[/B] к следующему своему сообщению

- Повторите лог MBAM
13.08.2010, 18:07
msf13

лог MBAM будет позже
13.08.2010, 18:23
olejah

Скачайте файл во вложении, распакуйте и поместите в папку [B]C:\WINDOWS\System32\dllcache\[/B], после этого выполните скрпт АВЗ из поста №6, потом аналогично - Прикрепите файл sfcfiles.log к следующему своему сообщению
13.08.2010, 18:54
msf13

сделал, как вы сказали
13.08.2010, 19:49
olejah

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('D:\Sb.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Application Data\Rolebu\gywod.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{05FC721C-535F-D97D-5ED4-969E3193E49E}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

- Повторите лог [B]virusinfo_syscheck.zip[/B]

В карантине обнаружены зловреды, крадущие пароли и личные данные, после лечения настоятельно рекомендуется сменить все пароли.
13.08.2010, 20:48
msf13

вот
13.08.2010, 20:54
olejah

monoca32.exe каким-то образом воскресла, будем добивать -

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] [B]в безопасном режиме[/B] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

- Повторите лог [B]virusinfo_syscheck.zip[/B] либо проверьте наличие monoca32.exe в папке автозагрузки
13.08.2010, 21:28
msf13

она исчезла, но на долго ли?
13.08.2010, 21:36
olejah

В логе не вижу плохого.

- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8.[/URL](даже если Вы его не используете)

- Обновите C:\Program Files\Adobe\Acrobat [B]7.0[/B]
13.08.2010, 21:42
msf13

спасибо
14.08.2010, 21:42
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\главное меню\\программы\\автозагрузка\\monoca32.exe - [B]Trojan-Dropper.Win32.Agent.dzvu[/B] ( DrWEB: Trojan.Botnetlog.496, BitDefender: Trojan.Generic.6879039, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\\program files\\internet explorer\\setupapi.dll - [B]Trojan.Win32.Zapchast.cbh[/B] ( DrWEB: Trojan.WinSpy.935, BitDefender: Trojan.Spy.Agent.OFN, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Patched-TI [Trj] )[*] c:\\windows\\system32\\config\\systemprofile\\application data\\rolebu\\gywod.exe - [B]Packed.Win32.Katusha.p[/B] ( DrWEB: Trojan.PWS.Panda.430, BitDefender: Gen:Heur.ManBat.1, AVAST4: Win32:MalOb-IJ [Cryp] )[*] c:\\windows\\system32\\syspanel32.exe - [B]Trojan-Banker.Win32.Fibbit.y[/B] ( DrWEB: Trojan.PWS.Ibank.81, BitDefender: Gen:Trojan.Heur.RP.gmW@amZceDb, NOD32: Win32/Spy.Agent.NSQ trojan, AVAST4: Win32:Malware-gen )[/LIST][/LIST]