Сейчас обсуждают

[lario]

это кошмар какой то опять этот червь сидит на моем компе и мешает ему нормально жить
даже представить не могу откуда он лезет. вроде захожу только на проверенные сайты

на этот раз без синего экрана и блокирования всех браузеров. загрузка процессора на 100% и Monoca32.exe в автозагрузке.

помогите пожалуйста еще раз его удалить и подсказать решение чтобы он больше не появлялся на компе

 hijackthis.rar ( 2.62 килобайт ) Кол-во скачиваний: 54

 virusinfo_syscheck.zip ( 19.3 килобайт ) Кол-во скачиваний: 49

 virusinfo_syscure.zip ( 20.86 килобайт ) Кол-во скачиваний: 44

[Feo]

Пофиксите в HijackThis

Код

O4 - Startup: monoca32.exe

В БЕЗОПАСНОМ РЕЖИМЕ
-Отключите Антивирус
AVZ - Файл - Выполнить скрипт

Код

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните

Код

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке AVZ появится архив quarantine.zip, отошлите его на virusforfeo@yandex.ru или загрузите на файлообменник (ссылку в лс) - ОБЯЗАТЕЛЬНО!

Повторите лог AVZ (Скрипт №2, "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №2), HijackThis и MBAM

[lario]

Повторите лог AVZ (Скрипт №2, "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №2), HijackThis и MBAM

 virusinfo_syscheck.zip ( 18.74 килобайт ) Кол-во скачиваний: 39

 hijackthis.rar ( 2.48 килобайт ) Кол-во скачиваний: 45


вот пока что. MBAM пока сканирует, думаю долго будет

[Feo]

В логах нормально все, что с проблемой?

вот пока что. MBAM пока сканирует, думаю долго будет

Пусть сканирует. По окончании загрузите, мало ли что обнаружит.

В карантине почти свежая модификация. Мало, кто ловит из известных вендоров.
monoca32.exe - Win32.Packed.Krap.ao.7

Выполните пока скрипт по ссылке для поиска уязвимостей
http://dataforce.ru/~kad/ScanVuln.txt
В папке log будет текстовик avz_log.txt, откройте его блокнотом и сходите по ссылкам (если будут) и обновитесь.

[lario]

Пусть сканирует. По окончании загрузите, мало ли что обнаружит.

после того как просканирует выложить лог сюда?

В папке log будет текстовик avz_log.txt, откройте его блокнотом и сходите по ссылкам (если будут) и обновитесь.

обнаружено 5 уязвимостей. обновиться это значит скачать все что по ссылкам дано?

[Feo]

после того как просканирует выложить лог сюда?

Да.

обнаружено 5 уязвимостей. обновиться это значит скачать все что по ссылкам дано?

Да, скачать и установить/обновить.

Загрузка процессора в норме?

[lario]

вот лог MBAM:
 mbam_log_2010_08_15__18_59_21_.rar ( 824 байт ) Кол-во скачиваний: 43


проблема с загрузкой процессора устранена еще после первого выполненного скрипта

В карантине почти свежая модификация. Мало, кто ловит из известных вендоров.

кто такие вендоры?

[Feo]

В AVZ выполнить:

Код

begin
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
DeleteFile(GetAVZDirectory+'quarantine.zip');
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
end.

В MBAM удалить (Подробнее...(Приложение 6))

Код

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
Зараженные файлы:
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\Documents and Settings\Admin\Application Data\avdrn.dat (Malware.Trace) -> No action taken.

кто такие вендоры?

В данном случае, антивирусные компании.

Более ничего плохого не вижу.

[lario]

все сделал. последний вопрос - все 5 установленных обновления помогут защититься в дальнейшем от вируса?

Сообщение отредактировал lario - 15.8.2010, 19:36

[Feo]

все сделал. последний вопрос - все 5 установленные обновления помогут защититься в дальнейшем от вируса?

Помогут от вирусов, которые используют уязвимости в системе и программах. Ведь систему нужно защищать не только антивирусами, но и обновлениями.

Могу порекомендовать установить вдобавок HIPS, который будет отслеживать все действия системы. В случае подозрительных действий, будет сообщать Вам, чтобы приняли действие. Поэтому запаситесь терпением В COMODO Internet Security как раз такой имеется + фаерволл и антивирус. Антивирус, думаю, не стоит ставить, а фаерволл поможет защитить от сетевых атак

[lario]

понятно у меня сейчас стоит KAV 2009. может поставить KAV 2010 или KIS?

Сообщение отредактировал lario - 15.8.2010, 19:49

[Feo]

понятно у меня сейчас стоит KAV 2009. может поставить KAV 2010 или KIS?

Ну, поставьте. Лучше KAV и вместе с ним COMODO без антивирусного модуля (выбирается при установке)

[lario]

Ну, поставьте. Лучше KAV и вместе с ним COMODO без антивирусного модуля (выбирается при установке)

а стоит 2010 скачать или 2009 пойдет?)

[Feo]

а стоит 2010 скачать или 2009 пойдет?)

Лучше, скачайте

[lario]

ладно скачаю KAV 2010 + COMODO

еще раз громадное спасибо за помощь и советы