-
Junior Member
- Вес репутации
- 50
monoca32.exe
По окончании загрузки компьютера фаервол Доктора Веба запросил разрешение на доступ в сеть приложению из директории c:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe под прикрытием svchost.exe. В доступе было "запрещено один раз". Файл был просканен Доктором (скан вируса не обноружил) потом удален на всякий случай (Shift+Del). Однако, далее запросы доступа в сеть не прекратились (нажимал "запретить").
Просканил все по правилам, перезагрузился. Запросов больше нет (файла тоже), но на всякий случай высылаю логи, может подскажете скриптик.
P.S.: Последствий на работоспособности и быстродействии не обнаружил.
Выписал несколько IP на которые просилось приложение через 80 порт:
188.40.58.19
88.191.47.83
217.195.160.74
77.37.21.166
Может вам пригодится.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\jwko0DGa.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\avbuyuww.SYS','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\jwko0DGa.sys');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
-
-
Junior Member
- Вес репутации
- 50
Спасибо. Скрипты выполнил. Карантин прислал. Логи ниже...
-
-
-
Junior Member
- Вес репутации
- 50
Запросов на досуп в сеть нет еще с первой диагностики с перезагрузкой. А система упасть не смогла, т.к. не давал доступа файлу в сеть. Поэтому проблем на лицо не наблюдаю, а по логам не знаю как должно быть... Красный текст в них еще присутствует.
-
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
-
-
Junior Member
- Вес репутации
- 50
Уязвимости устранены. Спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
-