Показано с 1 по 9 из 9.

monoca32.exe и еще куча всего (заявка № 84910)

  1. #1
    Junior Member Репутация
    Регистрация
    19.06.2010
    Сообщений
    41
    Вес репутации
    28

    Exclamation monoca32.exe и еще куча всего

    Доброго времени суток. Помогите вернуть к жизни компьютер. А то я сам даже логи толком посмотреть не могу. IE не работает.
    Вложение 258680
    Вложение 258681
    Сейчас попытаюсь добавить третий лог.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2829
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в Safe Mode:

    Код:
    begin
    SetAVZGuardStatus(True);
    DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
    RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
     DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');
     QuarantineFile('C:\WINDOWS\system32\qdzmcv.exe','');
     QuarantineFile('C:\WINDOWS\system32\2f5e60da.exe','');
     QuarantineFile('C:\Documents and Settings\rdima\Главное меню\Программы\Автозагрузка\monoca32.exe','');
     DeleteFile('C:\Documents and Settings\rdima\Главное меню\Программы\Автозагрузка\monoca32.exe');
     DeleteFile('C:\WINDOWS\system32\2f5e60da.exe');
     DeleteFile('C:\WINDOWS\system32\qdzmcv.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    3. Выполните скрипт в AVZ:

    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=84910

    4. Сделайте лог virusinfo_syscure в обычном режиме.
    Сердце решает кого любить... Судьба решает с кем быть...

  4. #3
    Junior Member Репутация
    Регистрация
    19.06.2010
    Сообщений
    41
    Вес репутации
    28
    Файл сохранён как 100808_175905_quarantine_4c5eb829e676c.zip
    Сейчас сделаю лог syscure.

    Прежде, чем обратиться сюда, прошелся парсером по логу syscheck, там было
    >>> C:\Program Files\Internet Explorer\setupapi.dll ЭПС: подозрение на "Троянская DLL в каталоге IE" (высокая степень вероятности)
    >>> C:\Program Files\Internet Explorer\setupapi.dll ЭПС: подозрение на скрытый автозапуск AppCertDlls (высокая степень вероятности)
    9. Мастер поиска и устранения проблем
    >> Обнаружен статический маршрут к сайту производителя антивируса
    C:\WINDOWS\system32\config\systemprofile\Applicati on Data\Microsoft\svchost.exe
    (Лог могу выложить)
    После этого прошелся скриптом
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('digeste.dll');
    DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
    DeleteFile('C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\svchost.exe');
    BC_ImportALL;
    ExecuteSysClean;
    ExecuteRepair(20);
    BC_Activate;
    RebootWindows(true);
    end.
    Парсер еще это предлагал
    RegKeyParamDel('HKEY_LOCAL_MACHINE','System\Curren tControlSet\Control\SecurityProviders','SecurityPr oviders');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','System\Curren tControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
    RegKeyParamDel('HKEY_CURRENT_USER','Software\Micro soft\Windows\CurrentVersion\Run','svchost.exe');
    Когда запускал Firefox, Касперский нашел тот же setupapi.dll в папке этого браузера и выполнил программу лечения. Был TrojanWin32.BHO.ajcb

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2829
    Цитата Сообщение от Betelgeize Посмотреть сообщение
    А то я сам даже логи толком посмотреть не могу.
    А не можете, потому как используете парсер логов вместо головы.
    Сердце решает кого любить... Судьба решает с кем быть...

  6. #5
    Junior Member Репутация
    Регистрация
    19.06.2010
    Сообщений
    41
    Вес репутации
    28
    Вложение 258717
    Предлагаю выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    DelAutorunByFileName('C:\WINDOWS\system32\2f5e60da.exe');
    DeleteFileMask('C:\WINDOWS\Temp\', '*.*', true);
    ExecuteWizard('TSW',2,2,true);
    RebootWindows(true);
    end.
    Провериться антивирусом.
    Установить обновления и IE, т.к. его удалил вирус.
    Еще что-нибудь нужно?

    В данном случае, Aleksandra, вместо. А с рабочим интернетом и нетормозящим компьютером головой. Пусть это останется на моей совести.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2829
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
     DeleteFile('C:\WINDOWS\system32\2f5e60da.exe');
     DeleteFile('C:\WINDOWS\system32\qdzmcv.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    3. Повторите лог virusinfo_syscheck.
    Сердце решает кого любить... Судьба решает с кем быть...

  8. #7
    Junior Member Репутация
    Регистрация
    19.06.2010
    Сообщений
    41
    Вес репутации
    28
    Вложение 258768
    Скрипт выполнил, только файлы из скрипта уже были удалены еще в сообщении 2 (проверял).
    Кроме того, что написал выше, не нравится в логах GMSIPCI (какой-то драйвер с диска F) и порты TCP 1042, 1053.

    Вирусы обнаружил такие:
    Trojan.Win32.BHO.ajcb
    Trojan.BAT.KillFiles.np
    Trojan-Spy.Win32.Agent.biiq
    Trojan-Banker.Win32.Fibbit.y
    HEUR:Trojan.Win32.Generic

    Пароли, думаю, надо поменять.

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2829
    Ничего плохого в логах не увидела. Установите SP3 и все доступные обновления.
    Сердце решает кого любить... Судьба решает с кем быть...

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\rdima\главное меню\программы\автозагрузка\monoca32.exe - Rootkit.Win32.Agent.bijs ( DrWEB: Trojan.Botnetlog.478, BitDefender: Backdoor.Generic.412084, AVAST4: Win32:Rootkit-gen [Rtk] )
      2. c:\windows\system32\qdzmcv.exe - Backdoor.Win32.Shiz.se ( DrWEB: Trojan.Packed.20817, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Spyware-gen [Spy] )
      3. c:\windows\system32\2f5e60da.exe - Backdoor.Win32.Shiz.ts ( DrWEB: Trojan.Packed.20815, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Betelgeize, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. скорее всего это вирус
      От misspony в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 05.10.2010, 16:15
    2. всего много!!!
      От serg_64 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 26.02.2010, 16:50
    3. Много всего...
      От 17_sqrt_2 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 15.07.2009, 16:26
    4. Много всего
      От Darkey в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 21.04.2009, 02:43
    5. блокировка всего и вся
      От theaspect в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.01.2009, 21:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01567 seconds with 16 queries