Компьютерный форум NoWa.cc
Правила Форума
редакция от 29.01.2013
Портал .::2Baksa.Net::. Трекер BRODIM.COM
Вернуться   Компьютерный форум NoWa.cc > Информационная безопасность > Лечение систем от вредоносных программ

Уважаемые пользователи nowa.cc и 2baksa.net. У нас сложилось тяжелое финансовое положение. Мы работаем для вас вот уже более 14 лет
и теперь вынуждены просить о помощи. Окажите посильную поддержку проектам. Мы очень надеемся на вас. Реквизиты для переводов ниже.
Webmoney Webmoney Z826074280762 Webmoney R087294265364 Webmoney U051530505194 Webmoney E804621616710
PayPal E-mail для связи / to Contact E-mail для связи по вопросу помощи / to Contact : E-mail для связи / to Contact
Кошелек для вашей помощи Yandex 410013204813773
Yandex Спасибо за поддержку!

Российский интернет-шлюз: контроль трафика, DLP, антивирус, fail2ban, прокси-сервер, шифрование данных, https-фильтрация. Сертификат ФСТЭК

загрузка...
Закрытая тема
 
Опции темы Language
Старый 09.08.2010, 17:12   #1
Новичок
 
Пол:Мужской
Регистрация: 07.11.2009
Сообщений: 8
Репутация: 3
По умолчанию Лечение от monoca32

Здравствуйте! Помогите вылечиться! Симптомы следующие: в автозагрузке висит файл monoca32, не обновляются базы AVZ, не открываются сайты, посвященные борьбе с вирусами, ошибки и глюки в эксплорере.
Вложения
Тип файла: zip virusinfo_syscure.zip (23.2 Кб, 13 просмотров)
Тип файла: zip virusinfo_syscheck.zip (22.6 Кб, 5 просмотров)
Тип файла: log hijackthis.log (10.5 Кб, 5 просмотров)

Последний раз редактировалось Ladoha; 09.08.2010 в 17:15..
Ladoha вне форума
 
Вверх
Надежный китайский посредник Taobao.com


Реклама: аренда мелкощитовой опалубки стен в суткифутбольные принадлежностикупить футбольную форму казаньремонт сколов на лобовом стекле москвакровать корсо 8


Старый 09.08.2010, 17:35   #2
Alexey_VI
ViP
 
Аватар для Alexey_VI
 
Пол:Мужской
Регистрация: 03.08.2010
Адрес: Пермь
Сообщений: 87
Репутация: 142
По умолчанию Re: Лечение от monoca32

"Пофиксите" в HijackThis (Как фиксить и выполнять скрипт, написано [Для просмотра ссылок требуется регистрация. Зарегистрироваться...] внизу )
Код:
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\92bdb084.exe,C:\WINDOWS\system32\rxvhhw.exe,
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

Выполните скрипт в AVZ в следующем порядке (Меню "Файл" -> "Выполнить скрипт"):
1. Выполнить обязательно в безопасном режиме
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Dmitriy\Главное меню\Программы\Автозагрузка\monoca32.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
 QuarantineFile('C:\WINDOWS\system32\92bdb084.exe','');
 QuarantineFile('C:\WINDOWS\system32\rxvhhw.exe','');
 QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
 DeleteFile('C:\WINDOWS\system32\syspanel32.exe');
 DeleteFile('C:\WINDOWS\system32\rxvhhw.exe');
 DeleteFile('C:\WINDOWS\system32\92bdb084.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
 DeleteFile('C:\Documents and Settings\Dmitriy\Главное меню\Программы\Автозагрузка\monoca32.exe');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
 if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
  begin
    RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
    CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
    DeleteFile('%windir%\system32\sfcfiles.bak');
    AddToLog('Замена sfcfiles.dll успешно произведена');
    SaveLog('Replace_sfcfiles.dll.log');
  end
 else
  begin  
    AddToLog('Файл sfcfiles.dll отсутствует в кеше');
    SaveLog('Replace_sfcfiles.dll.log');
  end;
BC_ImportAll;
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Panel');
ExecuteSysClean;
 ExecuteRepair(21);
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится!

2.
Код:
begin
 CreateQurantineArchive('C:\quarantine.zip');
end.
Отправьте файл quarantine.zip, он находится в корне вашего диска C:\ на [Для просмотра ссылок требуется регистрация. Зарегистрироваться...]. В загаловке письма укажите ваш ник на форуме или сслыку на тему.

После этого в настройках сетевого подключения пропишите адреса DNS-серверов, выданные вашим провайдером. Они у вас были заменены на троянские.

Повторите логи
__________________
Карету мне и глобус Марса!..

Последний раз редактировалось Alexey_VI; 09.08.2010 в 17:42..
Alexey_VI вне форума
 
Вверх
Эти 2 пользователя(ей) сказали cпасибо за это полезное сообщение:
Старый 09.08.2010, 18:49   #3
Ladoha
Новичок
 
Пол:Мужской
Регистрация: 07.11.2009
Сообщений: 8
Репутация: 3
По умолчанию Re: Лечение от monoca32

Вроде все сделал как сказали...
Уточнение: второй скрипт AVZ делал не в безопасном режиме.
Новые логи прилагаются
Вложения
Тип файла: zip virusinfo_syscure.zip (22.4 Кб, 3 просмотров)
Тип файла: zip virusinfo_syscheck.zip (22.0 Кб, 2 просмотров)
Тип файла: log hijackthis.log (10.9 Кб, 5 просмотров)
Ladoha вне форума
 
Вверх
Старый 09.08.2010, 19:05   #4
Alexey_VI
ViP
 
Аватар для Alexey_VI
 
Пол:Мужской
Регистрация: 03.08.2010
Адрес: Пермь
Сообщений: 87
Репутация: 142
По умолчанию Re: Лечение от monoca32

Replace_sfcfiles.dll.log ещё прикрепите, или напишите сюда. Он в папке AVZ .
__________________
Карету мне и глобус Марса!..

Последний раз редактировалось Alexey_VI; 09.08.2010 в 19:22..
Alexey_VI вне форума
 
Вверх
Старый 09.08.2010, 19:32   #5
Ladoha
Новичок
 
Пол:Мужской
Регистрация: 07.11.2009
Сообщений: 8
Репутация: 3
По умолчанию Re: Лечение от monoca32

Цитата:
Сообщение от Alexey_VI Посмотреть сообщение
Replace_sfcfiles.dll.log ещё прикрепите, или напишите сюда. Он в папке AVZ .

да как скажете

P.S. что-то ответа нет по почте... или не должно быть??
Вложения
Тип файла: log Replace_sfcfiles.dll.log (2.8 Кб, 4 просмотров)
Ladoha вне форума
 
Вверх
Старый 09.08.2010, 19:40   #6
Alexey_VI
ViP
 
Аватар для Alexey_VI
 
Пол:Мужской
Регистрация: 03.08.2010
Адрес: Пермь
Сообщений: 87
Репутация: 142
По умолчанию Re: Лечение от monoca32

Замените файл
Код:
C:\system32\dllcache\sfcfiles.dll
на файл из моего вложения sfcfiles.zip


Пофиксите в HiJackThis
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\92bdb084.exe,C:\WINDOWS\system32\rxvhhw.exe,
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.88 85.255.112.103
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.88 85.255.112.103
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.88 85.255.112.103
Выполните скрипт в AVZ в обычном режиме

Код:
begin
 ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
 DeleteFile('C:\WINDOWS\system32\92bdb084.exe');
 DeleteFile('C:\WINDOWS\system32\rxvhhw.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Обновите базы AVZ! (Файл - Обновление баз) .

Повторите пункты 2 и 3 диагностики правил
__________________
Карету мне и глобус Марса!..

Последний раз редактировалось Alexey_VI; 10.08.2010 в 09:52.. Причина: Удалил вложение...
Alexey_VI вне форума
 
Вверх
Старый 09.08.2010, 20:35   #7
Ladoha
Новичок
 
Пол:Мужской
Регистрация: 07.11.2009
Сообщений: 8
Репутация: 3
По умолчанию Re: Лечение от monoca32

Цитата:
Сообщение от Alexey_VI Посмотреть сообщение
Замените файл
Код:
C:\system32\dllcache\sfcfiles.dll
на файл из моего вложения sfcfiles.zip

Я так понимаю в папке C:\windows\system32\dllcache\sfcfiles.dll.

Но там у меня такого файла (sfcfiles.dll) не оказалось - я туда его дописал. (есть файл sfc.dll)

Базы теперь обновляются.

Диагностику прилагаю.
Вложения
Тип файла: zip virusinfo_syscheck.zip (22.1 Кб, 2 просмотров)
Тип файла: log hijackthis.log (10.4 Кб, 1 просмотров)
Ladoha вне форума
 
Вверх
Старый 09.08.2010, 20:40   #8
Alexey_VI
ViP
 
Аватар для Alexey_VI
 
Пол:Мужской
Регистрация: 03.08.2010
Адрес: Пермь
Сообщений: 87
Репутация: 142
По умолчанию Re: Лечение от monoca32

Опс, после трудовых будней уже не смотрю, что копипастю )
Извините меня, но этот файл, во вложении, нужно было копировать вместо
C:\windows\system32\sfcfiles.dll. Но и в dllcache пусть тоже остаётся)


Потом скрипт в avz
Код:
begin
 ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
И только пунтк 2 диагностики повторите. Это быстро.
У вас только эта мелочь осталась.
__________________
Карету мне и глобус Марса!..

Последний раз редактировалось Alexey_VI; 09.08.2010 в 20:43.. Причина: Запутался уже... спать пора :)
Alexey_VI вне форума
 
Вверх
Эти 2 пользователя(ей) сказали cпасибо за это полезное сообщение:
Старый 09.08.2010, 20:47   #9
Ladoha
Новичок
 
Пол:Мужской
Регистрация: 07.11.2009
Сообщений: 8
Репутация: 3
По умолчанию Re: Лечение от monoca32

Цитата:
Сообщение от Alexey_VI Посмотреть сообщение
Извините меня, но этот файл, во вложении, нужно было копировать вместо
C:\windows\system32\sfcfiles.dll

... но у меня файла с таким именем в этой папке не было
есть только sfc.dll
Ladoha вне форума
 
Вверх
Старый 09.08.2010, 20:51   #10
Alexey_VI
ViP
 
Аватар для Alexey_VI
 
Пол:Мужской
Регистрация: 03.08.2010
Адрес: Пермь
Сообщений: 87
Репутация: 142
По умолчанию Re: Лечение от monoca32

sfcfiles.zip распакуйте и замените файл C:\windows\system32\sfcfiles.dll Просто копируйте и вставьте
А в C:\windows\system32\dllcache\sfcfiles.dll оставьте его и не трогайте)

Кстати, попутно скажите, что там с проблемами ?
__________________
Карету мне и глобус Марса!..
Alexey_VI вне форума
 
Вверх
Старый 09.08.2010, 21:24   #11
Ladoha
Новичок
 
Пол:Мужской
Регистрация: 07.11.2009
Сообщений: 8
Репутация: 3
По умолчанию

прошу прощения - сам затупил
не заметил, что папка dllcache в пути исчезла

заменить файл получилось только из безопасного режима, а то ОКНА ругались.

пока, вроде, все заработало, только на [Для просмотра ссылок требуется регистрация. Зарегистрироваться...] не выходит
...может и не должен??

Добавлено через 4 минуты

обратил внимание на название темы - "Лечение от поноса" практически
Вложения
Тип файла: zip virusinfo_syscheck.zip (21.9 Кб, 2 просмотров)

Последний раз редактировалось regist; 09.08.2010 в 21:37.. Причина: объединил посты
Ladoha вне форума
 
Вверх
Старый 09.08.2010, 21:38   #12
Alexey_VI
ViP
 
Аватар для Alexey_VI
 
Пол:Мужской
Регистрация: 03.08.2010
Адрес: Пермь
Сообщений: 87
Репутация: 142
По умолчанию Re: Лечение от monoca32

В логах чисто

- Установите [Для просмотра ссылок требуется регистрация. Зарегистрироваться...]- возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- [Для просмотра ссылок требуется регистрация. Зарегистрироваться...] - даже если Вы им не пользуетесь.
- Установите [Для просмотра ссылок требуется регистрация. Зарегистрироваться...].


А на компьютере у вас было это
Цитата:
C:\Documents and Settings\Dmitriy\Главное меню\Программы\Автозагрузка\monoca32.exe - Rootkit.Win32.Agent.bijs
C:\WINDOWS\system32\92bdb084.exe - Backdoor.Win32.Shiz.qd
C:\WINDOWS\system32\sfcfiles.dll (файл подменён трояном) - Trojan-Spy.Win32.Agent.biiq
C:\WINDOWS\system32\rxvhhw.exe - Backdoor.Win32.Shiz.qw
C:\WINDOWS\system32\syspanel32.exe - Trojan-Banker.Win32.Fibbit


На [Для просмотра ссылок требуется регистрация. Зарегистрироваться...] выходит?
__________________
Карету мне и глобус Марса!..
Alexey_VI вне форума
 
Вверх
Эти 2 пользователя(ей) сказали cпасибо за это полезное сообщение:
Старый 09.08.2010, 22:05   #13
Ladoha
Новичок
 
Пол:Мужской
Регистрация: 07.11.2009
Сообщений: 8
Репутация: 3
По умолчанию Re: Лечение от monoca32

СПАСИБО ОГРОМНОЕ!!!
Все заработало (на касперского выходит).
а зачем ставить IE8 ?
SP3 и обновления вроде как там должна защита какая-то быть. В IE тоже?

P.S. Так у меня теперь чистенький комп? Делать точку восстановления?
Ladoha вне форума
 
Вверх
Старый 09.08.2010, 22:54   #14
Alexey_VI
ViP
 
Аватар для Alexey_VI
 
Пол:Мужской
Регистрация: 03.08.2010
Адрес: Пермь
Сообщений: 87
Репутация: 142
По умолчанию Re: Лечение от monoca32

Цитата:
Сообщение от Ladoha Посмотреть сообщение
а зачем ставить IE8 ?

А IE 7 поддерживается что ли? Я не помню этого.
Обновлять браузер нужно обязательно, тем более это часть системы.

Цитата:
Сообщение от Ladoha Посмотреть сообщение
Так у меня теперь чистенький комп? Делать точку восстановления?

Да. Да.
__________________
Карету мне и глобус Марса!..
Alexey_VI вне форума
 
Вверх
Старый 10.08.2010, 11:00   #15
Alex_Goodwin
Пользователь
 
Пол:Мужской
Регистрация: 26.12.2005
Сообщений: 96
Репутация: 42
По умолчанию Re: Лечение от monoca32

Желательно сменить пароли онлайн банкинг, если таковой имеется. Был зловред, ворующий пароли. на доктор вэб пускает?
Alex_Goodwin вне форума
 
Вверх
Закрытая тема
 Уважаемые пользователи портала 2BakSa.NeT и форума NoWa.cc !

  Рады Вам сообщить, что у нас открылся Torrent трекер >> BRODIM.COM

  Приглашаем вас принять участие в обмене полезной информацией,

  и ждем от вас поддержки в создании новых раздач.

Опции темы

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Лечение пcориаза! Ashkinezer Если хочешь быть здоров 9 05.08.2011 13:01
Лечение Сколиоза. Olesea Если хочешь быть здоров 14 02.12.2010 21:49
Лечение RAR-архива willbe Архив 4 27.09.2009 19:24
Лечение от вирусов NatalkaBal Архив 3 14.03.2009 12:39

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 11:48. Часовой пояс GMT +3.


Rambler's Top100
Copyright ©2004 - 2018 2Baksa.Net

Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc. Перевод: zCarot
Время генерации страницы 0.19335 секунды с 11 запросами