monoca32.exe ...

Единственный глюк в работе компа, который замечен сейчас - видео ютуб и прочих флеш плееров в мозилле идет без звука. Не знаю, что есть причина сего - возникло внезапно. В других браузерах (например, chrome) все играет со звуком.

В поисках причины - решил проверить комп на наличие вирусов с использованием avz4, и в один из моментов, заметил, что он проверяет некий файл C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe
Ничего опасного в нем он не нашел, но погуглив, наткнулся на информацию о вирусном потенциале файла (например здесь у вас случай лечения - вчера)

Кроме того при вчерашней проверке компа на вирусы был создан карантин. При необходимости могу его присоединить так же.

Прошу помощи в поисках истины - заразен ли?

1.[URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis
[CODE]
R3 - URLSearchHook: (no name) - - (no file)
[/CODE]
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- [B][COLOR="Red"]Обязательно!!! Системное восстановление!!![/COLOR][/B][URL="http://virusinfo.info/pravila_old.html"] как- посмотреть можно тут[/URL]
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL] [B][COLOR="Blue"]в безопасном режиме[/COLOR][/B]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\aec.sys','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([B]virusinfo_syscheck.zip[/B]; [B]hijackthis.log[/B])

Карантин загрузить не удалось. Ни под каким именем.[QUOTE] [B]Результат загрузки[/B]

[B]Ошибка загрузки. Данный файл уже был загружен[/B]

[/QUOTE]

Пришлите файл C:\WINDOWS\system32\drivers\aec.sys запакованным в архив ZIP с паролем: [COLOR="Red"]virus[/COLOR] по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

[QUOTE]
Результат загрузки
Файл закачан, спасибо![/QUOTE]
С просонья не тот файл пытался залить...

Запрошенный файл сейчас залью тоже

подождем результатов

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

В логах подозрительного нет.

- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.

[B]Отлично, спасибо![/B]

Кстати, из симптомов вируса: не отображался значок подключения к интернету в трее. В сетевых подключениях корбина отображалась как "Отключено", при том, что я был к оному подключен (иначе как бы я писал на этом форуме?).
Могу предположить, что вирус используется для осуществления распределенных вычислений и таким образом скрывается...

[QUOTE]Trojan.Win32.VB.ajof
Trojan.Win32.BHO.ajtm
Rootkit.Win32.Agent.biiu[/QUOTE]
была вот эта живность у вас

Свежие...

Кстати, звук в браузерном видео так и не появился... Может знаете, как починить?

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]

тыц... что-то я совершенно забросил диагностику своей системы, прошу прощения.

ПС: звук вернулся после удаления файла 'c:\program files\mozilla firefox\setupapi.dll'
ППС: сканирование сейчас проведу.

[QUOTE='simplep;697078']ПС: звук вернулся после удаления файла 'c:\program files\mozilla firefox\setupapi.dll'[/QUOTE]Его и должен был найти МВАМ :)

Но нашел не только его...
С ошибкой в файле rgzcaazj.sys система вылетала в синий экран. Остальные объекты не знакомы.

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url]
[CODE]Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.

Зараженные файлы:
C:\WINDOWS\system32\drivers\rgzcaazj.sys (Rootkit.Bubnix) -> No action taken.
C:\Documents and Settings\Admin\Application Data\avdrn.dat (Malware.Trace) -> No action taken.[/CODE]

Удалились, как утверждает МБАМ, успешно.

Проблема решена?

Судя по всему - да:)

Спасибо большое за помощь в борьбе с заразой!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\главное меню\\программы\\автозагрузка\\monoca32.exe - [B]Trojan.Win32.VB.ajof[/B] ( DrWEB: Trojan.Siggen.64496, BitDefender: Trojan.Generic.4653289, NOD32: Win32/VB.PGC trojan, AVAST4: Win32:Trojan-gen )[*] c:\\program files\\internet explorer\\setupapi.dll - [B]Trojan.Win32.Zapchast.caz[/B] ( DrWEB: Trojan.WinSpy.935, BitDefender: Trojan.Generic.4672676, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Patched-TI [Trj] )[*] c:\\windows\\system32\\drivers\\aec.sys - [B]Rootkit.Win32.Agent.biiu[/B] ( DrWEB: Trojan.Packed.20819, BitDefender: Rootkit.40832, NOD32: Win32/Bubnix.AU trojan, AVAST4: Win32:Bubnix-J [Rtk] )[/LIST][/LIST]