Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] monoca32 (http://forum.oszone.net/showthread.php?t=183032)

SamHall 16-08-2010 00:57 1474448
monoca32
 
Вложений: 1
Здравствуйте. Проблема с monoca32. Больше нечего добавить. Помогите, пожалуйста.

Arbitr 16-08-2010 01:20 1474454
Скрипт AVZ.
Выполните скрипт AVZ в безопасном режиме!!!. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
 QuarantineFile('C:\Documents and Settings\46\csrss.exe','');
 QuarantineFile('C:\Program Files\Common Files\dtmp.crt','');
 QuarantineFile('C:\Documents and Settings\46\Application Data\Gaenno\ytqiy.exe','');
 DeleteFile('C:\Documents and Settings\46\Главное меню\Программы\Автозагрузка\monoca32.exe');
 DeleteFile('C:\Program Files\Common Files\dtmp.crt');
 DeleteFile('\\?\globalroot\systemroot\system32\9kHjJBX.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\rlDGg8c.exe');
 DeleteFile('C:\Documents and Settings\46\csrss.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.
обновите базы AVZ
Запрос GMER
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

SamHall 16-08-2010 17:23 1474896
Вложений: 1
Фаил карантина по офрме отправил. Логи гмера прилагаю.

Arbitr 16-08-2010 18:30 1474936
Спасибо, будьте добры повторите логи AVZ
что с проблемой? вам надо обновить SP2 до SP3? так же скачать и установить
explorer 8? даже если вы им и не пользуетесь, так же после!! лечения вам надо будет поменять логины и пароли

SamHall 16-08-2010 20:55 1475006
Повторяю AVZ. Кажется проблема решена. Во всяком случае из автозапуска вирус убран. Большое спасибо. По поводу надо ли мне обновить SP2 до SP3 - сам не знаю. Наверно надо, но пока с этим возникают трудности. Восьмой експлорер установлю. А по поводу логинов и паролей прошу поподробнее - неужели все логины какие только у меня есть? Или только какие то основные?

Arbitr 16-08-2010 21:06 1475014
Цитата:
Цитата SamHall
Кажется проблема решена »
тоже подозрительного не вижу
Цитата:
Цитата SamHall
По поводу надо ли мне обновить SP2 до SP3 - сам не знаю. Наверно надо, но пока с этим возникают трудности. Восьмой експлорер установлю. »
это обязательно, иначе риск заражения очень высок!!!
Цитата:
Цитата SamHall
А по поводу логинов и паролей прошу поподробнее - неужели все логины какие только у меня есть? Или только какие то основные? »
сами решайте какие, так как информация обо всех скорее всего есть у злоумышленников

Обязательно!!
так же необходимо выполнить следующие процедуры.
1. запустите ATFcliner, поставьте галочку напротив Select All и нажмите Empty Selected.
2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
3. нажмите No, если вы хотите оставить ваши сохраненные пароли
4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
5. нажмите No, если вы хотите оставить ваши сохраненные пароли.
# Очистить и создать новую контрольную точку восстановления,
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

так же
лучше всего поставьте автоматическое обновление и это будет делаться автоматически(Нажмите кнопку Пуск и выберите Панель управления.
В зависимости от используемого вида панели управления (классического или по категориям) выполните одно из следующих действий.
Щелкните пункт Система и перейдите на вкладку Автоматическое обновление.
Щелкните пункт Производительность и обслуживание, выберите пункт Система и затем перейдите на вкладку Автоматическое обновление.
Выберите необходимый параметр. Убедитесь, что функция "Автоматическое обновление" включена.)

Общие рекомендации
Рекомендую проверять систему регулярно, утилитой CureIT или Kaspersky Virus Removal Tool
Flash Disinfector или Скачать Anti-autorun 3.0.9.3.3.1 или Бесплатные программы для борьбы с вирусами "autorun", на флэшке.

SamHall 17-08-2010 01:27 1475180
Всё сделал как сказали. Проблема решена, большое спасибо ещё раз.


Время: 17:13.

Время: 17:13.
© OSzone.net 2001-