Появилась откуда не возьмись. Приписала себя к автозапуску, в процессах не видно. Грузит процессор.
Появилась откуда не возьмись. Приписала себя к автозапуску, в процессах не видно. Грузит процессор.
Последний раз редактировалось Bladger; 11.08.2010 в 23:22.
Выполните скрипт в AVZ (в безопасном режиме)
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\system32\d539fa04.exe',''); QuarantineFile('C:\Users\Кочарян Марат\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\monoca32.exe',''); QuarantineFile('C:\Users\9F03~1\AppData\Local\Temp\coN4V5am.sys',''); DeleteFile('C:\Users\9F03~1\AppData\Local\Temp\coN4V5am.sys'); DeleteFile('C:\Users\Кочарян Марат\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\monoca32.exe'); DeleteFile('C:\Windows\system32\d539fa04.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(20); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Выполнил. После перезагрузки Dr.Web снова ругнулся на наличие monoca32.exe в папке автозагрузки, а также на наличие вируса в одном из файлов карантина. Того, который имеет расширение .dta.
Выполните скрипт в AVZ (в безопасном режиме)
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Users\Кочарян Марат\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\monoca32.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(20); RebootWindows(true); end.
Сделайте новый лог virusinfo_syscheck.zip
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Выполнил. monoca32.exe все так же в автозапуске.
Выполняете в безопасном режиме? С правами Администратора по правой кнопке мыши?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Так, в общем смотрите. Мы с вами почти добили его. Дело в том, что я невнимательно выполнил последнее ваше указание и выполнил скрипт в обычном режиме. Потом я перезагрузился в безопасный и удалил его вручную из папки. При загрузке в обычный режим - др. веб больше не ругается на моноку, и из автозапуска он тоже пропал. Но ведь помимо удаления моноки, вы мне давали удалять что-то еще из временных файлов, так? Вот, прикрепляю вам еще логи. Если что-то осталось - давайте скрипт.
Последний раз редактировалось Bladger; 12.08.2010 в 01:26.
в логах чисто
Симптомов тоже не наблюдается. Лечение можно считать законченным. Спасибо.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\d539fa04.exe - Trojan.Win32.Inject.atka ( DrWEB: Trojan.Siggen2.438, BitDefender: Gen:Variant.Zbot.15 )
Уважаемый(ая) Bladger, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.