monoca32.exe - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - monoca32.exe (http://forum.oszone.net/showthread.php?t=197453)

вот такая вот беда((Помогите пожалуйста!

Если запускали ComboFix, прикрепите лог.

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(true);

 ClearQuarantine;

 QuarantineFile('\\?\globalroot\systemroot\system32\pDgHs59.exe','');

 QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');

 QuarantineFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\monoca32.exe','');

 QuarantineFile('C:\WINDOWS\system32\drivers\hnmlik.sys','');

 QuarantineFile('C:\WINDOWS\system32\drivers\CmDE10k.SYS','');

 QuarantineFile('C:\WINDOWS\system32\drivers\kmkjgh.sys','');

 DeleteFile('C:\WINDOWS\system32\drivers\kmkjgh.sys');

 DeleteFile('C:\WINDOWS\system32\drivers\hnmlik.sys');

 DeleteFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\monoca32.exe');

 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');

 DeleteFile('\\?\globalroot\systemroot\system32\pDgHs59.exe');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');

 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');

BC_ImportAll;

ExecuteSysClean;

 BC_DeleteSvc('abp470n5');

 BC_DeleteSvc('NdisFileServices32');

BC_Activate;

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.

• Просканируйте систему утилитой SalityKiller
http://support.kaspersky.ru/viruses/...&qid=208636131

Сделайте повторные логи AVZ, а также подготовьте лог RSIT.

• Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Выполнил все по пунктам!

у вас в папке темп рассадник, ее надо очистить

Очистите и создайте новую контрольную точку восстановления, чтобы если во время лечения произошла непредвиденная ситуация, вы могли вернуть систему к предыдущему состоянию:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.[list]
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner скачайте ATF Cleaner,

обязательно смените ваши важные пароли!!!

Проверьте файл на http://www.virustotal.com/ ссылку на результат проверки сюда запостите
C:\WINDOWS\system32\drivers\CmDE10k.SYS

этот тулбар вам нужен? C:\Program Files\mediabar Toolbar\rubar.dll

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');

QuarantineFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\monoca32.exe','');

DeleteFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\monoca32.exe');

 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');

 RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');

 CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');

 DeleteFile('%windir%\system32\sfcfiles.bak');

DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');

DeleteFile('C:\Program Files\Common Files\keylog.txt');

DelAutorunByFileName('monoca32.exe');

BC_ImportAll;

ExecuteSysClean;

 BC_DeleteSvc('sfc');

BC_DeleteFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\monoca32.exe');

BC_Activate;

ExecuteRepair(20);

RebootWindows(true);

end.

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы

Пофиксить в HijackThis следующие строчки:

Код:

O4 - Startup: monoca32.exe

повторите логи обязательно!

Все сделал.
http://www.virustotal.com/file-scan/...9fb-1295946564
Пофиксить в HijackThis не удалось,нет такой строчки.

Цитата:

Цитата beer4eg

Все сделал. »

не все, лог RSIT не наблюдаю, будьте любезны показать

Код:

C:\WINDOWS\system32\drivers\CmDE10k.SYS

на проверку этого файла ссылка устарела, моя вина-не смогла посмотреть вовремя.
Повторите пожалуйста проверку и ссылку сюда

Цитата:

Цитата beer4eg

Пофиксить в HijackThis не удалось,нет такой строчки. »

это хорошо)

и повторите лог Malwarebytes' Anti-Malware

Благодарю, файл чист

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.

• Выполните скрипт AVZ
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 ClearQuarantine;

  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\wineuje.exe','');

  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\hunp.exe','');

  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\gwuvq.exe','');

  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\winpidn.exe','');

  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\winpdrt.exe','');

  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\ixyfb.exe','');

  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\fltdw.exe','');

  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\ygprt.exe','');

  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\mhfx.exe','');

  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\wintmmf.exe','');

  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\winpgkn.exe','');

  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\winexahl.exe','');

  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\vgmeni.exe','');

  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\wingojfcl.exe','');

  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\kifwna.exe','');

  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\ajeccf.exe','');

  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\winnfii.exe','');

  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\winyokeq.exe','');

  QuarantineFile('J:\tyylta.exe','');

  QuarantineFile('C:\WINDOWS\system32\Paint.exe','');

  DeleteFile('C:\WINDOWS\system32\Paint.exe');

  DeleteFile('J:\tyylta.exe');

  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\winyokeq.exe');

  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\winnfii.exe');

  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\ajeccf.exe');

  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\kifwna.exe');

  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\wingojfcl.exe');

  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\vgmeni.exe');

  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\winexahl.exe');

  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\winpgkn.exe');

  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\wintmmf.exe');

  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\mhfx.exe');

  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\ygprt.exe');

  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\fltdw.exe');

  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\ixyfb.exe');

  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\winpdrt.exe');

  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\winpidn.exe');

  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\gwuvq.exe');

  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\hunp.exe');

  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\wineuje.exe');

  RegKeyDel('HKLM','software\microsoft\shared tools\msconfig\startupreg\mspaint');

  BC_ImportAll;

  ExecuteSysClean;

  BC_Activate;

 RebootWindows(true);

end.

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы

- Очистите темп-папки, кэш проводников и корзину.
-Создайте новую контрольную точку и удалите зараженную!!!
- Сделайте повторные логи RSIT
у вас уже спрашивали лог Combofix - могу я на него взглянуть?