monoca32 помогите вылечить

[betep52]

висит monoca32 в автозагрузке(также как и в соседней теме удалить не получается), и еще процесс жрет на 100 то winlogon, то svchost, под пользователем систем, выполнил скрип из соседней темы " http://www.nowa.cc/showthread.php?t=294731 " только вот что там предлагалось по фиксить у меня не было.
уповаю на вашу помошь, не ругайте строго если не так как то оформил тему,

[regist]

betep52, тему вы оформили правильно, несмотря на то что правила похоже читали невнимательно:

Цитата: Сообщение от ispolin Важное замечание Пожалуйста, не выполняйте скрипты лечения, написанные для других пользователей. Каждый случай уникален, Вы можете нанести вред Вашему компьютеру и нашей репутации. За последствия, наступившие в случае невыполнения данного пункта, форум Nowa.cc ответственности не несет! В данном случае администрация ресурса имеет право отказать в оказании помощи без пояснения причин.

[Alexey_VI]

"Пофиксите" в HijackThis

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\807287c4.exe,C:\WINDOWS\system32\htfmzs.exe,

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
Выполните скрипты в AVZ в следующем порядке:

1. Этот скрипт нужно сделать в безопасном режиме !!!

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\htfmzs.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\aec.sys','');
 QuarantineFile('C:\WINDOWS\system32\807287c4.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe','');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe');
 DeleteFile('C:\WINDOWS\system32\807287c4.exe');
 DeleteFile('C:\WINDOWS\system32\jjjvhhhl.dl');
 DeleteFile('C:\WINDOWS\system32\htfmzs.exe');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится!

2.

Код:

begin
 CreateQurantineArchive('С:\quarantine.zip');
end.

Отправьте файл quarantine.zip, он находится в корне вашего диска C:\, на nowahelp@gmail.com. В загаловке письма укажите ваш ник на форуме или сслыку на тему.

Выполните всё, что написано тут http://support.kaspersky.ru/wks6mp3/error?qid=208636215
Скачайте AVZ 4.34 по ссылке в правилах. Обновите базы AVZ
Повторите логи по правилам.

[betep52]

а после этого востановление системы включить можно?

[Alexey_VI]

Логи повторно сделайте после всего, а там посмотрим.

[betep52]

логи!

[Alexey_VI]

1. Запустите AVZ, выберите из меню "Файл" -> "Просмотр карантина".
2. Справа в списке файлов отметьте все файлы.
3. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранен архив. Настоятельно рекомендуется принимать название файла по умолчанию, т.е. virus.zip.

Пришлите virus.zip на тот же ящик.

Добавлено через 19 минут
Выполните скрипт в avz

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 QuarantineFile('%windir%\system32\sfcfiles.dll','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
 if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3  then
  begin
    RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
    CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
    DeleteFile('%windir%\system32\sfcfiles.bak');
    AddToLog('Замена sfcfiles.dll успешно произведена');
    SaveLog('Replace_sfcfiles.dll.log');
  end
 else
  begin  
    AddToLog('Файл sfcfiles.dll отсутствует в кеше');
    SaveLog('Replace_sfcfiles.dll.log');
  end;
 DeleteFile('C:\WINDOWS\system32\807287c4.exe');
 DeleteFile('C:\WINDOWS\system32\Drivers\sfc.sys');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
 DeleteService('aec', true);
 DeleteService('gajtw', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Шлите карантин.
Повторяйте логи

Цитата: Сообщение от Alexey_VI Выполните всё, что написано тут http://support.kaspersky.ru/wks6mp3/error?qid=208636215

Всё выполнили?

[betep52]

скрипт делать в безопаснике?

[Alexey_VI]

В обычном режиме. И в добавок приложьте файл Replace_sfcfiles.dll.log из папки AVZ