Тормозит компьютер. monoca

@Spartak · Регистрация: 07.03.2010

Author24 — интернет-сервис помощи студентам

Привет.
Вчера вроде аваст поймал и удалил что то. Сегодня, при запуске винды, очень долго что то дозагружалось, появлялась ошибка Explorer.exe, затем dwstn - что то такое помоему. Посмотрел в автозагрузке появился этот monoca. Комп тормозит. Нэт тоже и иногда пропадает строка ввода. Сайты антивирусные не открываются. Обновление баз авз - не обновляется. Посмотрите и подскажите пожалуйста, что делать?

@thyrex · 01.08.2010, 12:56

Выполните скрипт в AVZ (в безопасном режиме)

Код

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\vehiko.exe','');
 QuarantineFile('C:\WINDOWS\system32\sidebar32.exe','');
 QuarantineFile('C:\WINDOWS\system32\e1b088fd.exe','');
 QuarantineFile('C:\Documents and Settings\пользователь\Главное меню\Программы\Автозагрузка\monoca32.exe','');
 DeleteFile('C:\Documents and Settings\пользователь\Главное меню\Программы\Автозагрузка\monoca32.exe');
 DeleteFile('C:\WINDOWS\system32\e1b088fd.exe');
 DeleteFile('C:\WINDOWS\system32\sidebar32.exe');
 DeleteFile('C:\WINDOWS\system32\vehiko.exe');
DeleteFile('C:\Program Files\Common Files\keylog.txt');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Secure Star');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте через форму.
1. Выберите тип запроса "неизвестная вредоносная программа" и введите изображенное на картинке число, нажмите "Далее".
2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".
3. Прикрепите файл карантина и нажмите "Далее".
4. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь.

Обновите базы AVZ

Сделайте новые логи (в нормальном режиме)

@Spartak · 01.08.2010, 14:04 **[ТС]**

Тормоза остались. Сайты открываются.
В автозагрузке файл этот остался.
Сообщение отправил, ответа не было.

@Spartak · 01.08.2010, 14:17 **[ТС]**

Почему то на прикрепляется info

@MotherBoard · 01.08.2010, 14:44

выполните скрипт в AVZ:

Код

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\e1b088fd.exe','');
 QuarantineFile('c:\windows\system32\vehiko.exe','');
DeleteFile('c:\windows\system32\e1b088fd.exe');
 DeleteFile('c:\windows\system32\vehiko.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(20);
RebootWindows(true);
end.

Комп перезагрузится:
Выполните скрипт:

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Карантин отправьте согласно формы, неполучится по форме.. отправьте на емейл.

Попробуйте удалить вручную файл: monoca32.exe из папки автозагрузки:

C:\Documents and Settings\пользователь\Главное меню\Программы\Автозагрузка
monoca32.exe

Плюс проверьте ветку в реестре:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Если в ней будет упоминаться данный файл, сотрите это:

C:\Documents and Settings\пользователь\Главное меню\Программы\Автозагрузка
monoca32.exe

Повторите логи AVZ и HJT

Не забудьте перед тем, как делать логи, обновить базы AVZ, они у вас восьмым числом июля(

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

@Spartak · 01.08.2010, 19:17 **[ТС]**

Вроде удалил. На диске С - нет. В реестре - [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^пользователь^Главное меню^Программы^Автозагрузка^monoca32.exe] - тоже нет.
Здесь - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run - не было.
что выдал аваст, хоть и отключён был, при скаировании авз.
Затем просканировал Malwarebytes' Anti-Malware, нашёл 5 файлов, только вот лог я не сохранил, нажал перезагрузить, хотя лог этот показался, но он ведь куда то сохраняется, а я забыл куда, подскажите.
Эти логи авз уже сделал после сканирвания Malwarebytes' Anti-Malware.
Комп работает вроде нормально. Что в логах?

@thyrex · 01.08.2010, 20:12

МВАМ сохраняет свой лог туда, куда укажете ему это сделать Вы при сохранении лога

Плохого логи не показывают

Вопрос: первый скрипт из сообщения №2 Вы выполняли, как было указано в безопасном режиме?

@Spartak · 01.08.2010, 20:18 **[ТС]**

thyrex, так вот в том то и дело что я не указал куда, а сразу после появления лога и последующего окошка с перезагрузкой компьютера нажал перезагрузить.
Да, отключил вроде всё.
МВАМ - нашёл каких то 5 файлов, помню что помоему 3 из реестра были, 2 из которых волюм информ., и какие то на диске С в документ энд сетин

@thyrex · 01.08.2010, 20:21

Сообщение от Spartak

Да, отключил вроде всё.

Это Вы о чем? Я спросил - Вы в каком режиме скрипт выполняли - в нормальном или безопасном? Причем здесь какое-то отключение чего-то???

@Spartak · 01.08.2010, 20:23 **[ТС]**

thyrex, а, в нормальном

Добавлено через 44 секунды

Сообщение от thyrex

Сделайте новые логи (в нормальном режиме)

как здесь сказали

@thyrex · 01.08.2010, 22:15

Сообщение от thyrex

Вы в каком режиме скрипт выполняли - в нормальном или безопасном?

Сообщение от thyrex

Выполните скрипт в AVZ (в безопасном режиме)

А Вы пытаетесь сказать про сбор логов

@Spartak · 01.08.2010, 22:44 **[ТС]**

thyrex, сорри, невнимательно посмотрел, не заметил.
В логах чисто?
Спасибо за помощь!

@thyrex · 02.08.2010, 19:18

Ничего необычного

Просьба читать указания внимательно

@thyrex 13283 / 7407 / 1566 Регистрация: 06.09.2009 Сообщений: 27,005
	01.08.2010, 22:15	11
	Сообщение от thyrex Вы в каком режиме скрипт выполняли - в нормальном или безопасном? Сообщение от thyrex Выполните скрипт в AVZ (в безопасном режиме) А Вы пытаетесь сказать про сбор логов 1

@thyrex 13283 / 7407 / 1566 Регистрация: 06.09.2009 Сообщений: 27,005
	02.08.2010, 19:18	13
	Сообщение было отмечено как решение Решение Ничего необычного Просьба читать указания внимательно 3

Новые блоги и статьи
Почему при инициализации массива 3х3х3 будет создано 13 одномерных массивов? Alexander-7 16.01.2025 При инициализации многомерного массива, в данном случае трехмерного массива размерностью 3x3x3, может возникнуть путаница относительно того, как структура данных организована в памяти. Общее число. . .	Использование связки C# и PHP в корпоративной разработке и микросервисной архитектуре InfoMaster 16.01.2025 Введение в интеграцию C# и PHP В современной корпоративной разработке все чаще возникает потребность в создании гибких и масштабируемых решений, способных эффективно решать широкий спектр. . .	Как использовать Kerio дома для управления сетью и пользователями InfoMaster 16.01.2025 Использование технологий для улучшения повседневной жизни стало неотъемлемой частью современного быта. Одной из таких технологий является Kerio — мощный инструмент для управления сетью и. . .	Есть ли будущее у DVD и Blu-ray? InfoMaster 16.01.2025 В эпоху стремительного развития цифровых технологий и повсеместного распространения потоковых сервисов вопрос о будущем физических носителей информации становится все более актуальным. Особенно остро. . .	Как проводить научные вычисления на Python InfoMaster 15.01.2025 Python стал одним из наиболее востребованных языков программирования в области научных вычислений благодаря своей простоте, гибкости и обширной экосистеме специализированных библиотек. Научные. . .	Создание игры типа Minecraft на PyGame/Python: пошаговое руководство InfoMaster 15.01.2025 В данном руководстве мы рассмотрим процесс создания игры в стиле Minecraft с использованием библиотеки PyGame на языке программирования Python. Этот проект идеально подходит как для начинающих. . .
Как создать свою первую игру в стиле Doom на Unreal Engine InfoMaster 15.01.2025 Разработка шутера от первого лица в стиле классического Doom представляет собой увлекательное путешествие в мир игрового программирования, где сочетаются творческий подход и технические навыки. . . .	Параллельное программирование: основные технологии и принципы InfoMaster 15.01.2025 Введение в параллельное программирование Параллельное программирование представляет собой фундаментальный подход к разработке программного обеспечения, который позволяет одновременно выполнять. . .	Как написать микросервис на C# с Kafka, MediatR, Redis и GitLab CI/CD InfoMaster 15.01.2025 В современной разработке программного обеспечения микросервисная архитектура стала стандартом де-факто для создания масштабируемых и гибких приложений. Этот подход позволяет разделить сложную систему. . .	Что такое CQRS и как это реализовать на C# с MediatR InfoMaster 15.01.2025 Концепция CQRS и её роль в современной разработке В современном мире разработки программного обеспечения архитектурные паттерны играют ключевую роль в создании масштабируемых и поддерживаемых. . .	Как настроить CI/CD с Azure DevOps InfoMaster 15.01.2025 CI/ CD, или непрерывная интеграция и непрерывное развертывание, представляет собой современный подход к разработке программного обеспечения, который позволяет автоматизировать и оптимизировать процесс. . .	Как настроить CI/CD с помощью Jenkins InfoMaster 15.01.2025 Введение в CI/ CD и Jenkins В современной разработке программного обеспечения непрерывная интеграция (CI) и непрерывная доставка (CD) стали неотъемлемыми элементами процесса создания качественных. . .

@thyrex 13283 / 7407 / 1566 Регистрация: 06.09.2009 Сообщений: 27,005
	01.08.2010, 12:56	2
	Выполните скрипт в AVZ (в безопасном режиме) Код begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\vehiko.exe',''); QuarantineFile('C:\WINDOWS\system32\sidebar32.exe',''); QuarantineFile('C:\WINDOWS\system32\e1b088fd.exe',''); QuarantineFile('C:\Documents and Settings\пользователь\Главное меню\Программы\Автозагрузка\monoca32.exe',''); DeleteFile('C:\Documents and Settings\пользователь\Главное меню\Программы\Автозагрузка\monoca32.exe'); DeleteFile('C:\WINDOWS\system32\e1b088fd.exe'); DeleteFile('C:\WINDOWS\system32\sidebar32.exe'); DeleteFile('C:\WINDOWS\system32\vehiko.exe'); DeleteFile('C:\Program Files\Common Files\keylog.txt'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Secure Star'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(20); RebootWindows(true); end. Компьютер перезагрузится. Выполните скрипт в AVZ Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через форму. 1. Выберите тип запроса "неизвестная вредоносная программа" и введите изображенное на картинке число, нажмите "Далее". 2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus". 3. Прикрепите файл карантина и нажмите "Далее". 4. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь. Обновите базы AVZ Сделайте новые логи (в нормальном режиме) 1

@Spartak 2 / 2 / 1 Регистрация: 07.03.2010 Сообщений: 258
	01.08.2010, 14:17 [ТС]	4
	Почему то на прикрепляется info 0

@MotherBoard Путешественница 1250 / 478 / 11 Регистрация: 22.02.2009 Сообщений: 2,842
	01.08.2010, 14:44	5
	выполните скрипт в AVZ: Код begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\e1b088fd.exe',''); QuarantineFile('c:\windows\system32\vehiko.exe',''); DeleteFile('c:\windows\system32\e1b088fd.exe'); DeleteFile('c:\windows\system32\vehiko.exe'); RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(20); RebootWindows(true); end. Комп перезагрузится: Выполните скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Карантин отправьте согласно формы, неполучится по форме.. отправьте на емейл. Попробуйте удалить вручную файл: monoca32.exe из папки автозагрузки: C:\Documents and Settings\пользователь\Главное меню\Программы\Автозагрузка monoca32.exe Плюс проверьте ветку в реестре: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Если в ней будет упоминаться данный файл, сотрите это: C:\Documents and Settings\пользователь\Главное меню\Программы\Автозагрузка monoca32.exe Повторите логи AVZ и HJT Не забудьте перед тем, как делать логи, обновить базы AVZ, они у вас восьмым числом июля( Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. 1

@thyrex 13283 / 7407 / 1566 Регистрация: 06.09.2009 Сообщений: 27,005
	01.08.2010, 20:12	7
	МВАМ сохраняет свой лог туда, куда укажете ему это сделать Вы при сохранении лога Плохого логи не показывают Вопрос: первый скрипт из сообщения №2 Вы выполняли, как было указано в безопасном режиме? 0

@Spartak 2 / 2 / 1 Регистрация: 07.03.2010 Сообщений: 258
	01.08.2010, 20:18 [ТС]	8
	thyrex, так вот в том то и дело что я не указал куда, а сразу после появления лога и последующего окошка с перезагрузкой компьютера нажал перезагрузить. Да, отключил вроде всё. МВАМ - нашёл каких то 5 файлов, помню что помоему 3 из реестра были, 2 из которых волюм информ., и какие то на диске С в документ энд сетин 0

@thyrex 13283 / 7407 / 1566 Регистрация: 06.09.2009 Сообщений: 27,005
	01.08.2010, 20:21	9
	Сообщение от Spartak Да, отключил вроде всё. Это Вы о чем? Я спросил - Вы в каком режиме скрипт выполняли - в нормальном или безопасном? Причем здесь какое-то отключение чего-то??? 1

@Spartak 2 / 2 / 1 Регистрация: 07.03.2010 Сообщений: 258
	01.08.2010, 20:23 [ТС]	10
	thyrex, а, в нормальном Добавлено через 44 секунды Сообщение от thyrex Сделайте новые логи (в нормальном режиме) как здесь сказали 0

@Spartak 2 / 2 / 1 Регистрация: 07.03.2010 Сообщений: 258
	01.08.2010, 22:44 [ТС]	12
	thyrex, сорри, невнимательно посмотрел, не заметил. В логах чисто? Спасибо за помощь! 0

Тормозит компьютер. monoca

Решение