Junior Member
Вес репутации
50
svchost на 50%, monoca32 в автозагрузке
Здравствуйте. svchost загружает полностью одно ядро, в автозагрузке появилась странная программа monoca32.exe, которую оттуда невозможно удалить. Не работает ни одна программа связанная с интернетом, кроме браузеров и webmoney. Поставил последние обновления на систему, обновил IE, java но ничего не помогло. Надеюсь на вашу помощь.
Вложения
Последний раз редактировалось sarcasm; 29.07.2010 в 17:55 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Выполните скрипт в АВЗ в безопасном режиме -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Крюковы\Local Settings\Temp\~DFF57.tmp','');
QuarantineFile('C:\Documents and Settings\Крюковы\Local Settings\Temp\~DF4940.tmp','');
QuarantineFile('C:\WINDOWS\system32\sidebar32.exe','');
QuarantineFile('C:\Documents and Settings\Крюковы\Главное меню\Программы\Автозагрузка\monoca32.exe','');
DeleteFile('C:\Documents and Settings\Крюковы\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\WINDOWS\system32\sidebar32.exe');
DelAutorunByFileName('C:\WINDOWS\system32\sidebar32.exe');
DelAutorunByFileName('C:\Documents and Settings\Крюковы\Главное меню\Программы\Автозагрузка\monoca32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи.
Junior Member
Вес репутации
50
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
O4 - HKCU\..\Policies\Explorer\Run: [Secure Star] C:\WINDOWS\system32\sidebar32.exe
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\sidebar32.exe');
DelAutorunByFileName('C:\WINDOWS\system32\sidebar32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи.
Junior Member
Вес репутации
50
Вложения
Junior Member
Вес репутации
50
Все заработало, как нужно. Огромное спасибо за вашу работу!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 10 В ходе лечения обнаружены вредоносные программы:
c:\documents and settings\крюковы\главное меню\программы\автозагрузка\monoca32.exe - Trojan-Downloader.Win32.FraudLoad.xepg ( DrWEB: Trojan.DownLoad2.14913, BitDefender: Gen:Trojan.Heur.FU.bC0@aSw6kQli, AVAST4: Win32:Crypt-HCS [Drp] ) c:\windows\system32\sidebar32.exe - Trojan-Spy.Win32.BZub.iad ( DrWEB: Trojan.PWS.Ibank.77, BitDefender: Gen:Trojan.Heur.RP.gmW@aq84WXn )
Рекомендации:
Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !