Компьютерный форум NoWa.cc

Компьютерный форум NoWa.cc (https://nowa.cc/index.php)
-   Лечение систем от вредоносных программ (https://nowa.cc/forumdisplay.php?f=532)
-   -   monoca32 помогите вылечить (https://nowa.cc/showthread.php?t=296673)

betep52 24.08.2010 23:04
monoca32 помогите вылечить
 
висит monoca32 в автозагрузке(также как и в соседней теме удалить не получается), и еще процесс жрет на 100 то winlogon, то svchost, под пользователем систем, выполнил скрип из соседней темы " http://www.nowa.cc/showthread.php?t=294731 " только вот что там предлагалось по фиксить у меня не было.
уповаю на вашу помошь, не ругайте строго если не так как то оформил тему,

regist 25.08.2010 09:12
Re: monoca32 не лечится
 
betep52, тему вы оформили правильно, несмотря на то что правила похоже читали невнимательно:

Цитата:
Сообщение от ispolin (Сообщение 3371822)
Важное замечание

Пожалуйста, не выполняйте скрипты лечения, написанные для других пользователей. Каждый случай уникален, Вы можете нанести вред Вашему компьютеру и нашей репутации. За последствия, наступившие в случае невыполнения данного пункта, форум Nowa.cc ответственности не несет! В данном случае администрация ресурса имеет право отказать в оказании помощи без пояснения причин.

Alexey_VI 25.08.2010 10:32
Re: monoca32 не лечится
 
"Пофиксите" в HijackThis
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\807287c4.exe,C:\WINDOWS\system32\htfmzs.exe,
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
Выполните скрипты в AVZ в следующем порядке:

1. Этот скрипт нужно сделать в безопасном режиме !!!
Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\htfmzs.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\aec.sys','');
 QuarantineFile('C:\WINDOWS\system32\807287c4.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe','');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe');
 DeleteFile('C:\WINDOWS\system32\807287c4.exe');
 DeleteFile('C:\WINDOWS\system32\jjjvhhhl.dl');
 DeleteFile('C:\WINDOWS\system32\htfmzs.exe');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится!

2.
Код:
begin
 CreateQurantineArchive('С:\quarantine.zip');
end.
Отправьте файл quarantine.zip, он находится в корне вашего диска C:\, на [email protected]. В загаловке письма укажите ваш ник на форуме или сслыку на тему.

Выполните всё, что написано тут http://support.kaspersky.ru/wks6mp3/error?qid=208636215
Скачайте AVZ 4.34 по ссылке в правилах. Обновите базы AVZ
Повторите логи по правилам.

betep52 25.08.2010 10:52
Re: monoca32 не лечится
 
а после этого востановление системы включить можно?

Alexey_VI 25.08.2010 10:54
Re: monoca32 не лечится
 
Логи повторно сделайте после всего, а там посмотрим.

betep52 26.08.2010 19:56
Re: monoca32 помогите вылечить
 
логи!

Alexey_VI 26.08.2010 21:06
Re: monoca32 помогите вылечить
 
1. Запустите AVZ, выберите из меню "Файл" -> "Просмотр карантина".
2. Справа в списке файлов отметьте все файлы.
3. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранен архив. Настоятельно рекомендуется принимать название файла по умолчанию, т.е. virus.zip.

Пришлите virus.zip на тот же ящик.

Добавлено через 19 минут
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 QuarantineFile('%windir%\system32\sfcfiles.dll','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
 if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3  then
  begin
    RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
    CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
    DeleteFile('%windir%\system32\sfcfiles.bak');
    AddToLog('Замена sfcfiles.dll успешно произведена');
    SaveLog('Replace_sfcfiles.dll.log');
  end
 else
  begin 
    AddToLog('Файл sfcfiles.dll отсутствует в кеше');
    SaveLog('Replace_sfcfiles.dll.log');
  end;
 DeleteFile('C:\WINDOWS\system32\807287c4.exe');
 DeleteFile('C:\WINDOWS\system32\Drivers\sfc.sys');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
 DeleteService('aec', true);
 DeleteService('gajtw', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Шлите карантин.
Повторяйте логи

Цитата:
Сообщение от Alexey_VI (Сообщение 3404591)
Выполните всё, что написано тут http://support.kaspersky.ru/wks6mp3/error?qid=208636215
Всё выполнили?

betep52 26.08.2010 22:50
Re: monoca32 помогите вылечить
 
скрипт делать в безопаснике?

Alexey_VI 27.08.2010 08:29
Re: monoca32 помогите вылечить
 
В обычном режиме. И в добавок приложьте файл Replace_sfcfiles.dll.log из папки AVZ


Текущее время: 14:33. Часовой пояс GMT +3.

Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2026, vBulletin Solutions, Inc. Перевод: zCarot
Copyright ©2004 - 2026 NoWa.cc

Время генерации страницы 0.02745 секунды с 9 запросами