Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Все та же monoca32 и невозможность зайти на drweb.ru и прочие (http://forum.oszone.net/showthread.php?t=182962)

Mecenat1970 14-08-2010 22:10 1473814
Все та же monoca32 и невозможность зайти на drweb.ru и прочие
 
Вложений: 1
Стандартная здесь, как я понимаю, проблема: в автозагрузке monoca32 и невозможность зайти на drweb.ru, каспера, NOD32 и прочие сайты.
Часть проблемы удалось кое-как решить (типа убрать ее из автозагрузки), но в целом проблема осталась - не на все сайты пускает.
AVZ обновляться не дает, поэтому логировал не самой последней его версией.

Прилагаю логи. Надеюсь, инструкции по их созданию выполнил правильно. :)

Заранее спасибо!

iskander-k 14-08-2010 22:25 1473826
  1. Отключите интернет и локальную сеть если таковая имеется.
  2. Очистите временные файлы.
    Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
    • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
    • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
    Восстановление системы.
    • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.

HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\program files\internet explorer\setupapi.dll','');
 DeleteFile('c:\program files\internet explorer\setupapi.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(20);
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Обновите АВЗ и сделайте новые логи.


• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Mecenat1970 14-08-2010 23:59 1473873
Спасибо, сейчас буду попробовать, утром доложусь.

Mecenat1970 02-09-2010 22:50 1487486
Цитата:
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.
Сделал, отправил, получил письмо в том смысле, что файл получили, как сможем - разберемся. Пока жду.


Цитата:
Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Версия базы данных: 4524

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

02.09.2010 8:07:01
mbam-log-2010-09-02 (08-07-01).txt

Тип сканирования: Полное сканирование (C:\|D:\|E:\|)
Просканированные объекты: 245797
Времени прошло: 1 часов, 38 минут, 52 секунд

Зараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 1
Зараженные параметры в реестре: 3
Объекты реестра заражены: 3
Зараженные папки: 1
Зараженные файлы: 4

Зараженные процессы в памяти:
(Вредоносных программ не обнаружено)

Зараженные модули в памяти:
(Вредоносных программ не обнаружено)

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{456a3b12-8fe6-41ae-9e5c-5e55f0712c09} (Rogue.PCDefender) -> Quarantined and deleted successfully.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Quarantined and deleted successfully.

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Зараженные папки:
C:\Program Files\Common Files\wm\keys (Trojan.KeyLog) -> Quarantined and deleted successfully.

Зараженные файлы:
D:\Distr\Antivir\SpyWareDoctor\Spyware_Doctor_7.0.0.545\Spyware_Doctor_7.0.0.545\Keygen\keygen\sdkey gen.exe (Malware.Packer.Gen) -> Not selected for removal.
D:\Distr\Utils\GetData.Recover.My.Files.v4.0.4.448.READNFO_CRKEXE-FFF\armaccess.dll (Malware.Packer) -> Not selected for removal.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fjhdyfhsn.bat (Malware.Trace) -> Quarantined and deleted successfully.

Drongo 03-09-2010 11:48 1487757
После всех процедур остались ли какие-нибудь проблемы с компом?

Mecenat1970 03-09-2010 21:54 1488141
Если не считать, что я так и не дождался ответа на отправленный quarantine.zip, то пока никаких проблем не замечено. На drweb.ru, kaspersky.ru, nod32.ru пускает без проблем.
Громадное спасибо, или, как говорят в Турции, "Тещекюр эдерим"! :)

Drongo 04-09-2010 00:27 1488217
Ну, как ответят, напишете сюда. А раз проблем нет, то тема решена. :) Спасибо.


Время: 13:50.

Время: 13:50.
© OSzone.net 2001-