Войти

Показать полную графическую версию : monoca32.exe

beer4eg
24-01-2011, 00:57
вот такая вот беда((Помогите пожалуйста!
zirreX
24-01-2011, 01:35
Если запускали ComboFix, прикрепите лог.

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". (http://www.forum.oszone.net/post-1430637-4.html)
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('\\?\globalroot\systemroot\system32\pDgHs59.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\monoca32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\hnmlik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\CmDE10k.SYS','');
QuarantineFile('C:\WINDOWS\system32\drivers\kmkjgh.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\kmkjgh.sys');
DeleteFile('C:\WINDOWS\system32\drivers\hnmlik.sys');
DeleteFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('\\?\globalroot\systemroot\system32\pDgHs59.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('abp470n5');
BC_DeleteSvc('NdisFileServices32');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". (http://www.forum.oszone.net/post-1430637-4.html)
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту (http://www.oszone.net/virusnet/) форму.

• Просканируйте систему утилитой SalityKiller
http://support.kaspersky.ru/viruses/solutions?print=true&qid=208636131

Сделайте повторные логи AVZ, а также подготовьте лог RSIT.

• Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)
beer4eg
24-01-2011, 13:38
Выполнил все по пунктам!
SolarSpark
24-01-2011, 16:40
смотрю
SolarSpark
24-01-2011, 17:23
у вас в папке темп рассадник, ее надо очистить

Очистите и создайте новую контрольную точку восстановления, чтобы если во время лечения произошла непредвиденная ситуация, вы могли вернуть систему к предыдущему состоянию:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.[list]
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1) скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1),

обязательно смените ваши важные пароли!!!

Проверьте файл на http://www.virustotal.com/ ссылку на результат проверки сюда запостите
C:\WINDOWS\system32\drivers\CmDE10k.SYS

этот тулбар вам нужен? C:\Program Files\mediabar Toolbar\rubar.dll


Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\monoca32.exe','');
DeleteFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
DeleteFile('%windir%\system32\sfcfiles.bak');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\Program Files\Common Files\keylog.txt');
DelAutorunByFileName('monoca32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sfc');
BC_DeleteFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\monoca32.exe');
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы

Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:
O4 - Startup: monoca32.exe

повторите логи обязательно!
beer4eg
25-01-2011, 12:38
Все сделал.
http://www.virustotal.com/file-scan/reanalysis.html?id=18d20a2b346900b411a948cb0ac128f6e44169c5ada2c4b5069a54739ceee9fb-1295946564
Пофиксить в HijackThis не удалось,нет такой строчки.
SolarSpark
25-01-2011, 13:27
Все сделал. »
не все, лог RSIT не наблюдаю, будьте любезны показать

C:\WINDOWS\system32\drivers\CmDE10k.SYS
на проверку этого файла ссылка устарела, моя вина-не смогла посмотреть вовремя.
Повторите пожалуйста проверку и ссылку сюда

Пофиксить в HijackThis не удалось,нет такой строчки. »
это хорошо)

и повторите лог Malwarebytes' Anti-Malware
beer4eg
26-01-2011, 11:37
Смотрите:
http://www.virustotal.com/file-scan/reanalysis.html?id=18d20a2b346900b411a948cb0ac128f6e44169c5ada2c4b5069a54739ceee9fb-1296027067
SolarSpark
26-01-2011, 11:46
Благодарю, файл чист

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.

• Выполните скрипт AVZ
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\wineuje.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\hunp.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\gwuvq.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\winpidn.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\winpdrt.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\ixyfb.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\fltdw.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\ygprt.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\mhfx.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\wintmmf.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\winpgkn.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\winexahl.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\vgmeni.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\wingojfcl.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\kifwna.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\ajeccf.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\winnfii.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\winyokeq.exe','');
QuarantineFile('J:\tyylta.exe','');
QuarantineFile('C:\WINDOWS\system32\Paint.exe','');
DeleteFile('C:\WINDOWS\system32\Paint.exe');
DeleteFile('J:\tyylta.exe');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\winyokeq.exe');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\winnfii.exe');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\ajeccf.exe');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\kifwna.exe');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\wingojfcl.exe');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\vgmeni.exe');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\winexahl.exe');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\winpgkn.exe');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\wintmmf.exe');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\mhfx.exe');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\ygprt.exe');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\fltdw.exe');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\ixyfb.exe');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\winpdrt.exe');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\winpidn.exe');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\gwuvq.exe');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\hunp.exe');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\wineuje.exe');
RegKeyDel('HKLM','software\microsoft\shared tools\msconfig\startupreg\mspaint');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы

- Очистите темп-папки, кэш проводников и корзину.
-Создайте новую контрольную точку и удалите зараженную!!!
- Сделайте повторные логи RSIT
у вас уже спрашивали лог Combofix - могу я на него взглянуть?



© OSzone.net 2001-2012