amudel.exe, monoca32.exe

Printable View

09.08.2010, 11:14
Luka_

amudel.exe, monoca32.exe

Добрый день.
Компьютер заблокирован, нет прав доступа на все.
Загрузился через ERD командер, в авторане нашел amudel.exe, monoca32.exe + 20b66e6d.exe
Все файлы и пути в реестре почистил, но система видать еще загружена чемто. Логи выкладываю.

АВЗ создал карантин после выполнения стандартных скриптов. Выложу после создания темы.

Заранее спс.
09.08.2010, 11:15
Luka_

[B][FONT=Arial][SIZE=2]Результат загрузки[/SIZE][/FONT][/B]

[FONT=Arial][SIZE=2]Файл сохранён как[/SIZE][/FONT][FONT=Arial][SIZE=2]100809_111524_virus_4c5fab0c9419c.zip[/SIZE][/FONT][FONT=Arial][SIZE=2]Размер файла[/SIZE][/FONT][FONT=Arial][SIZE=2]10611[/SIZE][/FONT][FONT=Arial][SIZE=2]MD5[/SIZE][/FONT][FONT=Arial][SIZE=2]aebb52e6019d1094eb4a872c76d324f0[/SIZE][/FONT][B][FONT=Arial][SIZE=2]Файл закачан, спасибо![/SIZE][/FONT][/B]
09.08.2010, 12:09
PavelA

профиксить:
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe[/CODE]

Надо сделать логи с новой версии AVZ.
09.08.2010, 13:03
Luka_

Логи выкладываю, пофиксил.

После перезагрузки появляется окно отчета об ошибке.
09.08.2010, 13:23
PavelA

выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\~.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\dsnpfd.sys','');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
DeleteFile('%windir%\system32\sfcfiles.bak');
AddToLog('Замена sfcfiles.dll успешно произведена');
SaveLog('Replace_sfcfiles.dll.log');
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
SaveLog('Replace_sfcfiles.dll.log');
end;
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузить карантин по Правилам. Прислать Replace_sfcfiles.dll.log
Сделать логи заново.
09.08.2010, 14:19
Luka_

Логи выкладываю, карантин почему то пуст, хотя судя по скрипту должен быть с файлами.
09.08.2010, 14:29
thyrex

Файл C:\WINDOWS\system32\sfcfiles.bak запакуйте с паролем virus и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Скачайте [url="http://images.malwareremoval.com/random/RSIT.exe"]RSIT[/url]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.

Проверьтесь [url]http://support.kaspersky.ru/viruses/solutions?qid=208636926[/url]
09.08.2010, 14:31
PavelA

Провериться TdSSКиллером.
Выполнить:
[CODE]begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sfcfiles.bak','');
QuarantineFile('C:\WINDOWS\system32\~.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Карантин прислать.
09.08.2010, 14:38
Luka_

[B][SIZE=2]Результат загрузки[/SIZE][/B]

[SIZE=2]Файл сохранён как[/SIZE][SIZE=2]100809_143746_sfcfiles_4c5fda7a3e5ab.zip[/SIZE][SIZE=2]Размер файла[/SIZE][SIZE=2]195421[/SIZE][SIZE=2]MD5[/SIZE][SIZE=2]86cec2fbacade02fdf46c06c51911222[/SIZE][B][SIZE=2]Файл закачан, спасибо[/SIZE][/B]

Логи сохранил.
09.08.2010, 14:46
Luka_

[QUOTE=PavelA;684914]Карантин прислать.[/QUOTE]
"Карантин выслал." - что-то не получается, не пишет об удачной загрузке.
09.08.2010, 14:48
PavelA

sfcfiles.bak -- Trojan-Spy.Win32.Agent.bije по Касперскому
09.08.2010, 15:06
Luka_

tdsskiller.zip не удается скачать с офф.сайта Касперского. Тренд-Микро ругается на сайт :(
Есть еще ссылки , откуда можно безопасно скачать ? или на почту [email][email protected][/email].
Заранее благодарю

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[QUOTE=Luka_;684931]tdsskiller.zip не удается скачать с офф.сайта Касперского. Тренд-Микро ругается на сайт :(
Есть еще ссылки , откуда можно безопасно скачать ? или на почту [EMAIL="[email protected]"][email protected][/EMAIL].
Заранее благодарю[/QUOTE]

Скачал.. проверяюсь.. Ну и Антивирус у нас %)

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

[B][SIZE=2]Результат загрузки[/SIZE][/B]

[SIZE=2]Файл сохранён как[/SIZE][SIZE=2]100809_150531_TDSSKiller_Quarantine_4c5fe0fbe9c90.zip[/SIZE][SIZE=2]Размер файла[/SIZE][SIZE=2]55815[/SIZE][SIZE=2]MD5[/SIZE][SIZE=2]2620f9b70b3e2ffc3fabee6f5f5112ed[/SIZE][B][SIZE=2]Файл закачан, спасибо![/SIZE][/B]

TDSSKiller_Quarantine выгрузил.
09.08.2010, 15:11
PavelA

Станд. скрипт №3 повторить надо и лог прислать. Еще должен быть лог TDSSКиллера.
09.08.2010, 15:31
Luka_

[QUOTE=PavelA;684943]Станд. скрипт №3 повторить надо и лог прислать. Еще должен быть лог TDSSКиллера.[/QUOTE]
Логи выкладываю.
09.08.2010, 23:28
thyrex

Выполните скрипт в AVZ
[code]begin
BC_DeleteFile('C:\WINDOWS\system32\~.exe');
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Поищите sfcfiles.dll в папке system32. Если не найдете, восстановите с дистрибутива [url]http://virusinfo.info/showthread.php?t=51654[/url]

Сделайте новый лог virusinfo_syscure.zip + лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]МВАМ[/URL]
10.08.2010, 10:50
Luka_

sfcfiles.dll в папке не найден, есть только sfcfiles.bak.
sfcfiles.dll есть в C:\WINDOWS\ServicePackFiles\i386, конечно не известно какой он.

Логи выкладываю.
10.08.2010, 10:57
thyrex

[QUOTE='Luka_;685497']sfcfiles.dll есть в C:\WINDOWS\ServicePackFiles\i386, конечно не известно какой он.[/QUOTE]Восстанавливайте оттуда

[QUOTE='Luka_;685497']есть только sfcfiles.bak.[/QUOTE]Удаляйте вручную

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] все найденное и предоставьте новые логи МВАМ и RSIT
10.08.2010, 11:45
Luka_

Файл восстановил, другой удалил. Логи выкладываю.
Вроде чисто.
10.08.2010, 11:49
thyrex

Плохого не видно
10.08.2010, 11:51
Luka_

[QUOTE=thyrex;685534]Плохого не видно[/QUOTE]

Большое спасибо.
11.08.2010, 11:51
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \sfcfiles.bak - [B]Trojan-Spy.Win32.Agent.bije[/B] ( DrWEB: Trojan.WinSpy.921, BitDefender: Gen:Trojan.Heur.LP.Fr7@ae9eEUn, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]