Лечение от monoca32

[Ladoha]

Здравствуйте! Помогите вылечиться! Симптомы следующие: в автозагрузке висит файл monoca32, не обновляются базы AVZ, не открываются сайты, посвященные борьбе с вирусами, ошибки и глюки в эксплорере.

[Alexey_VI]

"Пофиксите" в HijackThis (Как фиксить и выполнять скрипт, написано в правилах внизу )

Код:

R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\92bdb084.exe,C:\WINDOWS\system32\rxvhhw.exe,
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

Выполните скрипт в AVZ в следующем порядке (Меню "Файл" -> "Выполнить скрипт"):
1. Выполнить обязательно в безопасном режиме

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Dmitriy\Главное меню\Программы\Автозагрузка\monoca32.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
 QuarantineFile('C:\WINDOWS\system32\92bdb084.exe','');
 QuarantineFile('C:\WINDOWS\system32\rxvhhw.exe','');
 QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
 DeleteFile('C:\WINDOWS\system32\syspanel32.exe');
 DeleteFile('C:\WINDOWS\system32\rxvhhw.exe');
 DeleteFile('C:\WINDOWS\system32\92bdb084.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
 DeleteFile('C:\Documents and Settings\Dmitriy\Главное меню\Программы\Автозагрузка\monoca32.exe');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
 if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
  begin
    RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
    CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
    DeleteFile('%windir%\system32\sfcfiles.bak');
    AddToLog('Замена sfcfiles.dll успешно произведена');
    SaveLog('Replace_sfcfiles.dll.log');
  end
 else
  begin  
    AddToLog('Файл sfcfiles.dll отсутствует в кеше');
    SaveLog('Replace_sfcfiles.dll.log');
  end;
BC_ImportAll;
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Panel');
ExecuteSysClean;
 ExecuteRepair(21);
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится!

2.

Код:

begin
 CreateQurantineArchive('C:\quarantine.zip');
end.

Отправьте файл quarantine.zip, он находится в корне вашего диска C:\ на nowahelp@gmail.com. В загаловке письма укажите ваш ник на форуме или сслыку на тему.

После этого в настройках сетевого подключения пропишите адреса DNS-серверов, выданные вашим провайдером. Они у вас были заменены на троянские.

Повторите логи

[Ladoha]

Вроде все сделал как сказали...
Уточнение: второй скрипт AVZ делал не в безопасном режиме.
Новые логи прилагаются

[Alexey_VI]

Replace_sfcfiles.dll.log ещё прикрепите, или напишите сюда. Он в папке AVZ .

[Ladoha]

Цитата: Сообщение от Alexey_VI Replace_sfcfiles.dll.log ещё прикрепите, или напишите сюда. Он в папке AVZ .

да как скажете

P.S. что-то ответа нет по почте... или не должно быть??

[Alexey_VI]

Замените файл

Код:

C:\system32\dllcache\sfcfiles.dll

на файл из моего вложения sfcfiles.zip


Пофиксите в HiJackThis

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\92bdb084.exe,C:\WINDOWS\system32\rxvhhw.exe,
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.88 85.255.112.103
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.88 85.255.112.103
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.88 85.255.112.103

Выполните скрипт в AVZ в обычном режиме

Код:

begin
 ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
 DeleteFile('C:\WINDOWS\system32\92bdb084.exe');
 DeleteFile('C:\WINDOWS\system32\rxvhhw.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Обновите базы AVZ! (Файл - Обновление баз) .

Повторите пункты 2 и 3 диагностики правил

[Ladoha]

Цитата: Сообщение от Alexey_VI Замените файл Код: C:\system32\dllcache\sfcfiles.dll на файл из моего вложения sfcfiles.zip

Я так понимаю в папке C:\windows\system32\dllcache\sfcfiles.dll.

Но там у меня такого файла (sfcfiles.dll) не оказалось - я туда его дописал. (есть файл sfc.dll)

Базы теперь обновляются.

Диагностику прилагаю.

[Alexey_VI]

Опс, после трудовых будней уже не смотрю, что копипастю )
Извините меня, но этот файл, во вложении, нужно было копировать вместо
C:\windows\system32\sfcfiles.dll. Но и в dllcache пусть тоже остаётся)


Потом скрипт в avz

Код:

begin
 ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

И только пунтк 2 диагностики повторите. Это быстро.
У вас только эта мелочь осталась.

[Ladoha]

Цитата: Сообщение от Alexey_VI Извините меня, но этот файл, во вложении, нужно было копировать вместо C:\windows\system32\sfcfiles.dll

... но у меня файла с таким именем в этой папке не было
есть только sfc.dll

[Alexey_VI]

sfcfiles.zip распакуйте и замените файл C:\windows\system32\sfcfiles.dll Просто копируйте и вставьте
А в C:\windows\system32\dllcache\sfcfiles.dll оставьте его и не трогайте)

Кстати, попутно скажите, что там с проблемами ?

[Ladoha]

прошу прощения - сам затупил
не заметил, что папка dllcache в пути исчезла

заменить файл получилось только из безопасного режима, а то ОКНА ругались.

пока, вроде, все заработало, только на www.freedrweb.com не выходит
...может и не должен??

Добавлено через 4 минуты

обратил внимание на название темы - "Лечение от поноса" практически

[Alexey_VI]

В логах чисто

- Установите Service Pack 3 на Windows - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите Internet Exlorer 8 - даже если Вы им не пользуетесь.
- Установите все важные обновления.


А на компьютере у вас было это

Цитата: C:\Documents and Settings\Dmitriy\Главное меню\Программы\Автозагрузка\monoca32.exe - Rootkit.Win32.Agent.bijs C:\WINDOWS\system32\92bdb084.exe - Backdoor.Win32.Shiz.qd C:\WINDOWS\system32\sfcfiles.dll (файл подменён трояном) - Trojan-Spy.Win32.Agent.biiq C:\WINDOWS\system32\rxvhhw.exe - Backdoor.Win32.Shiz.qw C:\WINDOWS\system32\syspanel32.exe - Trojan-Banker.Win32.Fibbit

На kaspersky.com выходит?

[Ladoha]

СПАСИБО ОГРОМНОЕ!!!
Все заработало (на касперского выходит).
а зачем ставить IE8 ?
SP3 и обновления вроде как там должна защита какая-то быть. В IE тоже?

P.S. Так у меня теперь чистенький комп? Делать точку восстановления?

[Alexey_VI]

Цитата: Сообщение от Ladoha а зачем ставить IE8 ?

А IE 7 поддерживается что ли? Я не помню этого.
Обновлять браузер нужно обязательно, тем более это часть системы.

Цитата: Сообщение от Ladoha Так у меня теперь чистенький комп? Делать точку восстановления?

Да. Да.

[Alex_Goodwin]

Желательно сменить пароли онлайн банкинг, если таковой имеется. Был зловред, ворующий пароли. на доктор вэб пускает?