Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] monoca32 (http://forum.oszone.net/showthread.php?t=182482)

zen 09-08-2010 11:04 1469877
monoca32
 
Вложений: 1
Здрувствуйте. Месяц назад систему блокировал банер, от которого в скором времени избавился. После этого система работала нормально, но недавно всё начало подтормаживать, и при загрузке системы, и при загрузке приложений. Один из процессов svhost.exe стал постоянно при включённой сети выдавать загрузку ЦП от 49% и выше. В автозагрузке находилось 2 процесса monoca32, один из которых уже пропал, а второй, несмотря на отключение его, постоянно при старте системы появляется снова. Кроме того рандомно появляются ошибки explorer.exe с разным дествием: только показ окна об ошибке с возможностью работать дальше, исчезновение ярлыков с рабочего стола и панели инструментов. Иногда после ошибки explorer.exe появлялась ошибка drwtsn.exe из-за которой всё намертво зависало. Систему проверял в безопасном режиме вирусов не найдено. Пробовал искать решение проблемы в теме от 06.08.10, но решил не испытывать удачу т.к. в правилах упоминалось про индивидуальное решение проблемы.

Drongo 09-08-2010 12:24 1469929
zen, Привет. :)

HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\3c333c6b.exe,\\?\globalroot\systemroot\system32\Xjbzxk6.exe,\\?\globalroot\systemroot\system32\rJKB1fY.exe,\\?\globalroot\systemroot\system32\egUdZoL.exe,C:\WINDOWS\system32\18e6181d.exe,C:\WINDOWS\system32\ynmywc.exe,
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - Startup: monoca32.exe
Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\uaservice7.exe','');
 QuarantineFile('c:\documents and settings\конкистадор\главное меню\программы\автозагрузка\monoca32.exe','');
 QuarantineFile('c:\program files\internet explorer\setupapi.dll','');
 QuarantineFile('c:\windows\system32\18e6181d.exe','');
 QuarantineFile('c:\windows\system32\3c333c6b.exe','');
 QuarantineFile('c:\windows\system32\ynmywc.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\xjbzxk6.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\egudzol.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\rjkb1fy.exe','');
 DeleteFile('c:\documents and settings\конкистадор\главное меню\программы\автозагрузка\monoca32.exe');
 DeleteFile('c:\program files\internet explorer\setupapi.dll');
 DeleteFile('c:\windows\system32\18e6181d.exe');
 DeleteFile('c:\windows\system32\3c333c6b.exe');
 DeleteFile('c:\windows\system32\ynmywc.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\xjbzxk6.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\egudzol.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\rjkb1fy.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

После выполнения скрипта попробуйте обновить базы и сделайте повторные логи также дополнительно сделайте лог RSIT

• Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

zen 09-08-2010 14:15 1470011
Вложений: 4
uaservice7.exe
Вредоносный код в файле не обнаружен.
С уважением, Лаборатория Касперского

RSIT - по первой ссылке ничего не происходит, по второй ошибка 404. Сделать эти логи нет возможности.
Новые логи AVZ и HiJackThis

thyrex 09-08-2010 14:49 1470033
Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

zen 09-08-2010 15:42 1470069
Вложений: 4
Логи RSIT

thyrex 10-08-2010 11:16 1470652
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\fjhdyfhsn.bat');
DeleteFile('C:\Program Files\Common Files\keylog.txt');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Сделайте новые логи RSIT

zen 10-08-2010 11:33 1470659
Вложений: 2
Новые логи RSIT. Не знаю можно ли в этой теме ещё описывать проблему, но теперь в опере у видео файлов пропал звук, а mp3 и другие звуковые файлы загружаются, но не проигрываются. При попытке воспроизведения в опере выдаётся сообщение что программа не отвечает и через минуту опера снова начинает работать, но звук всё равно не появляется.

Drongo 10-08-2010 12:05 1470673
zen, И дополнительно проверьте МВАМ

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

zen 10-08-2010 15:12 1470812
Вложений: 1
Лог MBAM.

thyrex 10-08-2010 15:46 1470842
Удалите в МВАМ все, кроме
Код:
C:\Program Files\DAEMON Tools\daemon.tools.pro.patch.Vexe (Trojan.Agent) -> No action taken.
D:\Games\RE4\asx-re4_eu110.exe (Malware.Packer) -> No action taken.
D:\из сетки\trainers\trainers\asx-bio4.exe (Malware.Packer) -> No action taken.
K:\Новая папка\avz4\avz4\Infected\2010-08-08\avz00001.dta (Malware.Packer) -> No action taken.

zen 10-08-2010 16:04 1470856
Обьеты удалены, с последующей перезагрузкой. monoca32 всё ещё находится в автозагрузке, но теперь появилась в папке из которой загружается. Файл просто удалить или же с какими-нибудь допольнительными операциями?

zen 10-08-2010 17:07 1470885
Файл удалён из папки и из автозагрузки. svhost.exe пришёл в норму. Спасибо за помощь.


Время: 17:49.

Время: 17:49.
© OSzone.net 2001-