-
Junior Member
- Вес репутации
- 51
И снова monoca32.exe
Подцепил где-то эту гадость. Изначально грузила процессор, при перезагрузке винда вылетала в БСОД, антивирусы вешались. Путем поиска и удаления файлов и записей в реестре ручками удалось добиться, чтобы компьютер нормально работал и антивири запускались. К сожалению, CureIt нашел только пару файлов, вирус по-прежнему грузится. Помогите, пожалуйста.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в Hijackthis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\f079c110.exe,C:\WINDOWS\system32\iigyes.exe,C:\WINDOWS\system32\4e10faca.exe,C:\WINDOWS\system32\7ff31f6e.exe,
Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
QuarantineFile('C:\WINDOWS\system32\iigyes.exe','');
QuarantineFile('C:\WINDOWS\system32\f079c110.exe','');
QuarantineFile('C:\WINDOWS\system32\7ff31f6e.exe','');
QuarantineFile('C:\WINDOWS\system32\4e10faca.exe','');
DeleteFile('C:\WINDOWS\system32\4e10faca.exe');
DeleteFile('C:\WINDOWS\system32\7ff31f6e.exe');
DeleteFile('C:\WINDOWS\system32\f079c110.exe');
DeleteFile('C:\WINDOWS\system32\iigyes.exe');
DeleteFile('C:\WINDOWS\system32\syspanel32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Обновите базы AVZ. Сделайте новые логи по правилам + лог mbam
-
-
Junior Member
- Вес репутации
- 51
-
пришлите карантин по правилам и сделайте лог mbam
-
-
Junior Member
- Вес репутации
- 51
Карантин выложил, лог МБАМ сделал
-
1. удалите в MBAM
Код:
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avz.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hijackthis.exe (Security.Hijack) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
2. Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Program Files\Alcohol Soft\Alcohol 120\Plugins\Helper\AlSrvN.exe','');
QuarantineFile('C:\Program Files\Mozilla Firefox\setupapi.dll','');
DeleteFile('C:\Program Files\Mozilla Firefox\setupapi.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
-
-
Junior Member
- Вес репутации
- 51
Карантин прислал
Файл сохранён как100811_020123_quarantine_4c61cc3348f36.zip
Размер файла6911
MD5da9c4937183b8942484aa38d2fd5a35d
-
Junior Member
- Вес репутации
- 51
-
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\fjhdyfhsn.bat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится. Плохого больше не видно. Отпишите о состоянии системы
-
-
+ Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
DeleteFile('C:\WINDOWS\system32\mssfc.dll');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
if CheckFile('%System32%\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
DeleteFile('%windir%\system32\sfcfiles.bak');
AddToLog('Замена sfcfiles.dll успешно произведена');
SaveLog('sfcfiles.log');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
SaveLog('sfcfiles.log');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
SaveLog('sfcfiles.log');
end;
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог RSIT
-
-
Junior Member
- Вес репутации
- 51
Всем спасибо! Вопрос решен )
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\7ff31f6e.exe - Backdoor.Win32.Shiz.qf ( DrWEB: BackDoor.Siggen.25737, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Rootkit-gen [Rtk] )
-