Мonoca32.exe

Printable View

07.08.2010, 11:35
archibldjat

Мonoca32.exe

Безопасный режим не работает, при запуске программ пишет "ошибка инициализации 0x0000005c компьютер до этого при выключении включал синий экран и зависал. очень грузится ЦП.проверял касперским полностью, не помогло. AVZ неможет обновить базы из за ошибки и блокируется все ссылки связанные с антивирусами.
сохранил логи какие смог.
07.08.2010, 12:01
PavelA

Пока логи не вижу. Присылайте какие есть.
07.08.2010, 12:07
archibldjat

1

1
07.08.2010, 13:45
archibldjat

[QUOTE=archibldjat;683605]1[/QUOTE]
вроде сделал все три лога и прошу прощения за "корявость" оформления темы.
07.08.2010, 14:18
PavelA

Что-то логи получились совсем не те. Надо присылать из директории Logs. Э
ти нам не помогут Вас вылечить.
07.08.2010, 15:12
archibldjat

[QUOTE=PavelA;683664]Что-то логи получились совсем не те. Надо присылать из директории Logs. Э
ти нам не помогут Вас вылечить.[/QUOTE]
вот переделал
07.08.2010, 15:16
PavelA

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
QuarantineFile('C:\WINDOWS\system32\90559908.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\Documents and Settings\лох\Главное меню\Программы\Автозагрузка\monoca32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\scfsp.sys','');
DeleteFile('C:\Documents and Settings\лох\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\WINDOWS\system32\90559908.exe');
//DeleteFile('m‘|\ь');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(10);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки попробовать защищ. режим. Карантин прислать по Правилам.
07.08.2010, 15:21
archibldjat

[QUOTE=PavelA;683718]Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
QuarantineFile('C:\WINDOWS\system32\90559908.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\Documents and Settings\лох\Главное меню\Программы\Автозагрузка\monoca32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\scfsp.sys','');
DeleteFile('C:\Documents and Settings\лох\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\WINDOWS\system32\90559908.exe');
DeleteFile('m‘|\ь');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(10);
BC_Activate;
RebootWindows(true);
end.[/CODE]После перезагрузки попробовать защищ. режим. Карантин прислать по Правилам.[/QUOTE]
пишет: Ошибка скрипта: ')' expected, позиция [12:13]
07.08.2010, 15:35
PavelA

Скрипт вверху поправил.
07.08.2010, 15:44
archibldjat

[QUOTE=PavelA;683744]Скрипт вверху поправил.[/QUOTE]
я прочитал сообщение человека которое уже удалили и выполнил его.
защищ. режим. Карантин прислать по Правилам. где находится защищенный режим и как карантин отсылать?
07.08.2010, 15:48
Никита Соловьев

[QUOTE='archibldjat;683750']Карантин прислать по Правилам.[/QUOTE]Присылайте. Ссылка "прислать запрошенный карантин" над первым сообщением темы.

[QUOTE='archibldjat;683750']где находится защищенный режим[/QUOTE]Защищенный, он же безопасный режим (F8 при загрузке ОС)

После сделайте новый комплект логов
07.08.2010, 16:18
archibldjat

[QUOTE=Venus Doom;683751]Присылайте. Ссылка "прислать запрошенный карантин" над первым сообщением темы.

Защищенный, он же безопасный режим (F8 при загрузке ОС)

После сделайте новый комплект логов[/QUOTE]

карантин отправил, с ссылкой на тему.Безопасного режима по прежнему нету. + полно всплывающих надписей о том, что файлы повреждены(в основном это c/windows/system32
возможно ли это как то исправить?
и пропал звук в интернете
08.08.2010, 21:53
polword

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- [B][COLOR="Red"]Обязательно!!! Системное восстановление!!![/COLOR][/B][URL="http://virusinfo.info/pravila_old.html"] как- посмотреть можно тут[/URL]
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
QuarantineFile('C:\Documents and Settings\лох\Главное меню\Программы\Автозагрузка\monoca32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\scfsp.sys','');
DeleteFile('C:\Documents and Settings\лох\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\WINDOWS\system32\syspanel32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Panel');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteRepair(10);
BC_DeleteFile('C:\Documents and Settings\лох\Главное меню\Программы\Автозагрузка\monoca32.exe');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
проверьте наличие безопасного режима, если появился- выполните скрипт еще раз в нем.

- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
09.08.2010, 10:08
archibldjat

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]

RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
как я понял выполняя это, он начинает грузиться дико и AVZ не отвечает
09.08.2010, 10:36
PavelA

Это отключение автозапуска. Можно эту строчку удалить из скрипта, а затем его-скрипт выполнить.
09.08.2010, 12:17
archibldjat

[QUOTE=PavelA;684719]Это отключение автозапуска. Можно эту строчку удалить из скрипта, а затем его-скрипт выполнить.[/QUOTE]
попробовал и так и так все равно пишет в в отчете при выполнении что то с сылкой /current/(дальше не видно из за того что антивирус виснет)
причем этих надписей в столбик около 5 и виснет.
и еще я не понял где там про системное восстановление написано
09.08.2010, 19:15
polword

[QUOTE=archibldjat;684800]и еще я не понял где там про системное восстановление написано[/QUOTE]
читайте в [B]Приложение 1. Как отключить восстановление системы[/B] [URL="http://virusinfo.info/pravila_old.html"]правил[/URL]

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- [B][COLOR="Red"]Обязательно!!! Системное восстановление!!![/COLOR][/B][URL="http://virusinfo.info/pravila_old.html"] как- посмотреть можно тут[/URL]
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
QuarantineFile('C:\Documents and Settings\лох\Главное меню\Программы\Автозагрузка\monoca32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\scfsp.sys','');
DeleteFile('C:\Documents and Settings\лох\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\WINDOWS\system32\syspanel32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Panel');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteRepair(10);
BC_DeleteFile('C:\Documents and Settings\лох\Главное меню\Программы\Автозагрузка\monoca32.exe');
BC_Activate;
RebootWindows(true);
end.
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
10.08.2010, 14:35
archibldjat

скрипты выполнил. карантин отправил, логи скидываю.
10.08.2010, 14:50
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
DeleteFile('C:\WINDOWS\system32\mssfc.dll');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_DeleteSvc('sfc'); BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
10.08.2010, 18:24
archibldjat

вот лог.
карантин отправил
10.08.2010, 18:28
polword

- Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [GEST] m‘|\ь
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
[/CODE]

больше подозрительного нет.

Обновите систему
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]

После обновления:
- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
11.08.2010, 21:59
archibldjat

Огромное спасибо.
12.08.2010, 21:59
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\sfcfiles.dll - [B]Trojan-Spy.Win32.Agent.bimk[/B] ( DrWEB: Trojan.WinSpy.921, BitDefender: Gen:Trojan.Heur.LP.Er7@ae9eEUn, AVAST4: Win32:Malware-gen )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]