Сейчас обсуждают
Внимание! Теперь для входа на форум необходимо вводить единый пароль регистрации сервисов sibnet.ru! Здравствуйте, гость ( Вход | Регистрация ) Сейчас обсуждают
| |||||||||||||||||||||||||||||||||||||||||||
  |
[Решено] Все тот же Monoca32 и загрузка процессора   |
| lario |
 5.8.2010, 18:30
Сообщение
#1
|
 Поддерживает разговор  Группа: Пользователи Сообщений: 153 Регистрация: 27.4.2008 Пользователь №: 30 880 Репутация:  9   |
тоже подхватил эту дрянь ;( есть подозрение что с сайта playground. грузят ЦП два одинаковых процесса - svchost.exe. удалил из автозагрузки monoca32.exe, почистил реестр, проверил разными антивирусами, все сделал в прогах hijackthis и AVZ ничего не помогло =( на жестком и в реестре файлов и ключей с названием monoca32 нету. кстати еще после каждого выключения или перезагрузки компа появляется синий экран.
virusinfo_syscheck.zip ( 18.7 килобайт )
Кол-во скачиваний: 58
virusinfo_syscure.zip ( 17.9 килобайт )
Кол-во скачиваний: 50
hijackthis.rar ( 2.49 килобайт )
Кол-во скачиваний: 53Сообщение отредактировал lario - 5.8.2010, 21:00 |
   |
 
|
| Feo |
5.8.2010, 20:29
Сообщение
#2
|
 МЕГА флудер  Группа: VIP Сообщений: 8 239 Регистрация: 1.8.2007 Из: Новосибирск Пользователь №: 3 050 |
Лог hijackthis загрузите заново, лучше на файл сибнет. Ибо не могу скачать из сообщения.
» Спасибо сказали: «
|
|
|
|
| lario |
5.8.2010, 20:55
Сообщение
#3
|
|
Поддерживает разговор Группа: Пользователи Сообщений: 153 Регистрация: 27.4.2008 Пользователь №: 30 880 Репутация: 9 |
на файл сибнет не получилось залить, при загрузке вылетает опера. другие браузеры вообще не открываются
 поэтому добавил еще раз в аттач.
hijackthis.rar ( 2.49 килобайт )
Кол-во скачиваний: 59Сообщение отредактировал lario - 5.8.2010, 20:56 |
|
|
|
| Feo |
5.8.2010, 21:03
Сообщение
#4
|
|
МЕГА флудер Группа: VIP Сообщений: 8 239 Регистрация: 1.8.2007 Из: Новосибирск Пользователь №: 3 050 |
Пофиксите в HiJack строки (Сканирование, как делали лог, а затем ставите галки напротив строки и жмете Fix Checked)
Код F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\9c844cbd.exe,C:\WINDOWS\system32\pnlwsr.exe, AVZ - Файл - Скопировать скрипт (внимательно!), вставить и нажать Выполнить Код begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\pnlwsr.exe',''); QuarantineFile('C:\WINDOWS\system32\9c844cbd.exe',''); QuarantineFile('C:\WINDOWS\system32\90870ca5.exe',''); QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS',''); QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll',''); QuarantineFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll',''); RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak'); DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS'); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); DeleteFile('C:\WINDOWS\system32\90870ca5.exe'); DeleteFile('C:\WINDOWS\system32\9c844cbd.exe'); DeleteFile('C:\WINDOWS\system32\pnlwsr.exe'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки выполните Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В папке AVZ появится архив quarantine.zip, отошлите его на virusforfeo@yandex.ru или загрузите на файлообменник (ссылку в лс) - ОБЯЗАТЕЛЬНО! Повторите логи AVZ (Скрипт №2, "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №2) и Hijack. » Спасибо сказали: «
|
|
|
|
| lario |
5.8.2010, 21:51
Сообщение
#5
|
|
Поддерживает разговор Группа: Пользователи Сообщений: 153 Регистрация: 27.4.2008 Пользователь №: 30 880 Репутация: 9 |
Цитата Повторите логи AVZ (Скрипт №2, "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №2) и Hijack.
hijackthis.rar ( 2.57 килобайт )
Кол-во скачиваний: 56
virusinfo_syscheck.zip ( 18.88 килобайт )
Кол-во скачиваний: 51 |
|
|
|
| Feo |
5.8.2010, 22:09
Сообщение
#6
|
|
МЕГА флудер Группа: VIP Сообщений: 8 239 Регистрация: 1.8.2007 Из: Новосибирск Пользователь №: 3 050 |
В БЕЗОПАСНОМ режиме AVZ - Файл - Выполнить скрипт:
Код begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile(GetAVZDirectory+'quarantine.zip'); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\system32\90870ca5.exe',''); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); DeleteFile('C:\WINDOWS\system32\90870ca5.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run','FileSystem'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки выполните в нормальном режиме Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В папке AVZ появится архив quarantine.zip, отошлите его на virusforfeo@yandex.ru или загрузите на файлообменник (ссылку в лс) - ОБЯЗАТЕЛЬНО! Повторите логи AVZ (Скрипт №2, "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №2) и Hijack в нормальном режиме » Спасибо сказали: «
|
|
|
|
| lario |
5.8.2010, 22:51
Сообщение
#7
|
|
Поддерживает разговор Группа: Пользователи Сообщений: 153 Регистрация: 27.4.2008 Пользователь №: 30 880 Репутация: 9 |
Цитата Повторите логи AVZ (Скрипт №2, "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №2) и Hijack в нормальном режиме сделано 
virusinfo_syscheck.zip ( 19.82 килобайт )
Кол-во скачиваний: 53
hijackthis.rar ( 2.53 килобайт )
Кол-во скачиваний: 53 |
|
|
|
| Feo |
5.8.2010, 23:04
Сообщение
#8
|
|
МЕГА флудер Группа: VIP Сообщений: 8 239 Регистрация: 1.8.2007 Из: Новосибирск Пользователь №: 3 050 |
В логах чисто
Из архива, приложенного в аттаче, извлеките sfcfiles.dll и поместите его в папку system32. Из полученного карантина: sfcfiles.dll - Trojan.WinSpy.921 (Dr. Web) pnlwsr.exe - TR/Crypt.ZPACK.Gen (Avira) 9c844cbd.exe - TrojWare.Win32.Trojan.Agent.Gen (Comodo)
sfcfiles.zip ( 182.71 килобайт )
Кол-во скачиваний: 73» Спасибо сказали: «
|
|
|
|
| lario |
5.8.2010, 23:12
Сообщение
#9
|
|
Поддерживает разговор Группа: Пользователи Сообщений: 153 Регистрация: 27.4.2008 Пользователь №: 30 880 Репутация: 9 |
спасибо огромное за помощь!!! я уже винду сносить хотел
Цитата Из полученного карантина:sfcfiles.dll - Trojan.WinSpy.921 (Dr. Web)pnlwsr.exe - TR/Crypt.ZPACK.Gen (Avira)9c844cbd.exe - TrojWare.Win32.Trojan.Agent.Gen (Comodo) а то что в скобках это антивиры которые удалить смогут? |
|
|
|
| Feo |
5.8.2010, 23:16
Сообщение
#10
|
|
МЕГА флудер Группа: VIP Сообщений: 8 239 Регистрация: 1.8.2007 Из: Новосибирск Пользователь №: 3 050 |
Цитата(lario @ 5.8.2010, 23:12)  спасибо огромное за помощь!!! я уже винду сносить хотел а то что в скобках это антивиры которые удалить смогут? Да, это одни из тех антивирусов, которые знают зараженные файлы. Дабы знать, с чем боролись Знают, к сожалению, большинство, не по базам, а по эвристике, потому как, вирусы новые/модифицированные.Поблагодарить можно, нажав кнопку Спасибо внизу сообщения Как проблема с синим экраном? » Спасибо сказали: «
|
|
|
|
| lario |
5.8.2010, 23:27
Сообщение
#11
|
|
Поддерживает разговор Группа: Пользователи Сообщений: 153 Регистрация: 27.4.2008 Пользователь №: 30 880 Репутация: 9 |
Цитата Да, это одни из тех антивирусов, которые знают зараженные файлы. Дабы знать, с чем боролись Знают, к сожалению, большинство, не по базам, а по эвристике, потому как, вирусы новые/модифицированные. понятно Цитата Поблагодарить можно, нажав кнопку Спасибо внизу сообщения почему то не вижу у тебя репутации я бы так и плюс и "спасибо" нажал  Цитата Как проблема с синим экраном? убился кстати после всей этой процедуры исчезло сообщение при входе в ОС - "Ошибка rjug.mpo невозможно найти указанный модуль" вроде так Сообщение отредактировал lario - 5.8.2010, 23:30 |
|
|
|
| Feo |
5.8.2010, 23:31
Сообщение
#12
|
|
МЕГА флудер Группа: VIP Сообщений: 8 239 Регистрация: 1.8.2007 Из: Новосибирск Пользователь №: 3 050 |
Цитата(lario @ 5.8.2010, 23:27) почему то не вижу у тебя репутации я бы так и плюс и "спасибо" нажал Отключена. Напоследок выполните скрипт, дабы убить карантин: Код begin DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip'); DeleteFile(GetAVZDirectory+'quarantine.zip'); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); end. » Спасибо сказали: «
|
|
|
|
| lario |
5.8.2010, 23:36
Сообщение
#13
|
|
Поддерживает разговор Группа: Пользователи Сообщений: 153 Регистрация: 27.4.2008 Пользователь №: 30 880 Репутация: 9 |
сделал
ну все вопросов больше нет, можно закрывать, еще раз спасибо Сообщение отредактировал lario - 5.8.2010, 23:37 |
|
|
|
|
1 чел. просматривают этот форум (гостей: 1, скрытых пользователей: 0)
Пользователей: 0
| Текстовая версия | Сейчас: 30.4.2024, 19:09 |
