-
Junior Member
- Вес репутации
- 51
Атака с ресурса www.cooleasy.com
Помогите мне пожалуйста в удалении очень стойкого вируса, с которым я сталкиваюсь первый раз. При подключении к интернету NOD32 выдает следующее сообщение "Заблокировано www.cooleasy.com/cgi-bin/prxjdg.cgi ip adress 218.5.74.190:80", после этого сообщения начинает не стабильно работать интернет! Очень надеюсь на вашу помощь, свою заявку отправляю по правилам.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-7974057065-6133111683-383410976-2500\syscr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('c:\windows\cidrive32.exe','');
QuarantineFile('c:\docume~1\admin\locals~1\temp\277.exe','');
QuarantineFile('c:\docume~1\admin\locals~1\temp\250.exe','');
DeleteFile('c:\docume~1\admin\locals~1\temp\250.exe');
DeleteFile('c:\docume~1\admin\locals~1\temp\277.exe');
DeleteFile('c:\docume~1\admin\locals~1\temp\622.exe');
DeleteFile('c:\docume~1\admin\locals~1\temp\738.exe');
DeleteFile('c:\docume~1\admin\locals~1\temp\872.exe');
DeleteFile('c:\windows\cidrive32.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\250.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-7974057065-6133111683-383410976-2500\syscr.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 51
Все сделал, как Вы написали, спасибо за помощь. Жду дальнейших инструкций.
-
Junior Member
- Вес репутации
- 51
-
1)Карантин нужно загрузить по красной ссылке.
2) Базы нужно обновить.
3) Вы загрузили старые логи.
-
-
Junior Member
- Вес репутации
- 51
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\msvmcls64.exe');
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\473.exe');
QuarantineFile('c:\windows\system32\msvmcls64.exe','');
QuarantineFile('c:\docume~1\admin\locals~1\temp\473.exe','');
DeleteFile('c:\docume~1\admin\locals~1\temp\473.exe');
DeleteFile('c:\windows\system32\msvmcls64.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced DHTML Enable');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\docume~1\admin\locals~1\temp\250.exe - Trojan-Proxy.Win32.Agent.ciy ( DrWEB: Trojan.DownLoad.35732, AVAST4: Win32:Malware-gen )
- c:\docume~1\admin\locals~1\temp\277.exe - Trojan.Win32.VBKrypt.qu ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.VB.OCP, AVAST4: Win32:Malware-gen )
- c:\recycler\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe - Trojan.Win32.Scar.cdnd ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.VB.OCP, AVAST4: Win32:VB-PDX [Drp] )
- c:\recycler\s-1-5-21-7974057065-6133111683-383410976-2500\syscr.exe - P2P-Worm.Win32.Palevo.aase ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.Generic.238712, AVAST4: Win32:VB-OWZ [Drp] )
- c:\windows\cidrive32.exe - Trojan.Win32.VBKrypt.rh ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.VB.OCP, AVAST4: Win32:Malware-gen )
-