monoca32.exe

zirreX · Конфигурация компьютера

Если запускали ComboFix, прикрепите лог.

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 ClearQuarantine;
 QuarantineFile('\\?\globalroot\systemroot\system32\pDgHs59.exe','');
 QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 QuarantineFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\monoca32.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\hnmlik.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\CmDE10k.SYS','');
 QuarantineFile('C:\WINDOWS\system32\drivers\kmkjgh.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\kmkjgh.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\hnmlik.sys');
 DeleteFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\monoca32.exe');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
 DeleteFile('\\?\globalroot\systemroot\system32\pDgHs59.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('abp470n5');
 BC_DeleteSvc('NdisFileServices32');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.

• Просканируйте систему утилитой SalityKiller
http://support.kaspersky.ru/viruses/...&qid=208636131

Сделайте повторные логи AVZ, а также подготовьте лог RSIT.

• Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

beer4eg · mbam-log-2011-01-24 (15-30-16).rar

Выполнил все по пунктам!

SolarSpark · Отправлено: **16:40, 24-01-2011** | #4

смотрю

SolarSpark · Отправлено: **17:23, 24-01-2011** | #5

у вас в папке темп рассадник, ее надо очистить

Очистите и создайте новую контрольную точку восстановления, чтобы если во время лечения произошла непредвиденная ситуация, вы могли вернуть систему к предыдущему состоянию:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.[list]
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner скачайте ATF Cleaner,

обязательно смените ваши важные пароли!!!

Проверьте файл на http://www.virustotal.com/ ссылку на результат проверки сюда запостите
C:\WINDOWS\system32\drivers\CmDE10k.SYS

этот тулбар вам нужен? C:\Program Files\mediabar Toolbar\rubar.dll

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\monoca32.exe','');
DeleteFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\monoca32.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
 RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
 CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
 DeleteFile('%windir%\system32\sfcfiles.bak');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\Program Files\Common Files\keylog.txt');
DelAutorunByFileName('monoca32.exe');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('sfc');
BC_DeleteFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\monoca32.exe');
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы

Пофиксить в HijackThis следующие строчки:

Код:

O4 - Startup: monoca32.exe

повторите логи обязательно!

beer4eg · Отправлено: **12:38, 25-01-2011** | #6

Все сделал.
http://www.virustotal.com/file-scan/...9fb-1295946564
Пофиксить в HijackThis не удалось,нет такой строчки.

SolarSpark · Отправлено: **13:27, 25-01-2011** | #7

Цитата beer4eg:

Все сделал. »

не все, лог RSIT не наблюдаю, будьте любезны показать

Код:

C:\WINDOWS\system32\drivers\CmDE10k.SYS

на проверку этого файла ссылка устарела, моя вина-не смогла посмотреть вовремя.
Повторите пожалуйста проверку и ссылку сюда

Цитата beer4eg:

Пофиксить в HijackThis не удалось,нет такой строчки. »

это хорошо)

и повторите лог Malwarebytes' Anti-Malware

beer4eg · mbam-log-2011-01-26 (13-15-31).rar

Смотрите:
http://www.virustotal.com/file-scan/...9fb-1296027067

SolarSpark · Отправлено: **11:46, 26-01-2011** | #9

Благодарю, файл чист

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.

• Выполните скрипт AVZ
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\wineuje.exe','');
  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\hunp.exe','');
  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\gwuvq.exe','');
  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\winpidn.exe','');
  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\winpdrt.exe','');
  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\ixyfb.exe','');
  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\fltdw.exe','');
  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\ygprt.exe','');
  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\mhfx.exe','');
  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\wintmmf.exe','');
  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\winpgkn.exe','');
  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\winexahl.exe','');
  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\vgmeni.exe','');
  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\wingojfcl.exe','');
  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\kifwna.exe','');
  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\ajeccf.exe','');
  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\winnfii.exe','');
  QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\winyokeq.exe','');
  QuarantineFile('J:\tyylta.exe','');
  QuarantineFile('C:\WINDOWS\system32\Paint.exe','');
  DeleteFile('C:\WINDOWS\system32\Paint.exe');
  DeleteFile('J:\tyylta.exe');
  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\winyokeq.exe');
  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\winnfii.exe');
  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\ajeccf.exe');
  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\kifwna.exe');
  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\wingojfcl.exe');
  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\vgmeni.exe');
  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\winexahl.exe');
  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\winpgkn.exe');
  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\wintmmf.exe');
  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\mhfx.exe');
  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\ygprt.exe');
  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\fltdw.exe');
  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\ixyfb.exe');
  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\winpdrt.exe');
  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\winpidn.exe');
  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\gwuvq.exe');
  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\hunp.exe');
  DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\wineuje.exe');
  RegKeyDel('HKLM','software\microsoft\shared tools\msconfig\startupreg\mspaint');
  BC_ImportAll;
  ExecuteSysClean;
  BC_Activate;
 RebootWindows(true);
end.

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы

- Очистите темп-папки, кэш проводников и корзину.
-Создайте новую контрольную точку и удалите зараженную!!!
- Сделайте повторные логи RSIT
у вас уже спрашивали лог Combofix - могу я на него взглянуть?