Проблема с cooleasy.com

**vadimmamotin** · 14.06.2010, 13:07

Доброе время суток. Тема далеко не первая, но я столкнулся впервые. На свежеустановленной XP sp2 + доустановки sp3 при подключении к интернету NOD32 блокирует обращение к сайту cooleasy.com, а также периодически находит injector.BYY. Плюс к этому через 5-7 минут работы гасится интернет (сначала начинает сильно тормозить открытие страниц, затем полностью прерывается соединение). Проблема частично решилась откатом до sp2 (интернет стал работать устойчиво, может это просто какая-то параллельная проблема?), но NOD по-прежнему блокирует подключение к вышеупомянутому сайту. Полная проверка nod'ом и AVP ничего не дала, переустановка xp - тоже.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**polar_owl** · 14.06.2010, 13:17

Закройте все программы, выгрузите антивирус, фаерволл

Выполните в AVZ скрипт:

Код:

begin
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\wndrive32.exe');
 QuarantineFile('C:\WINDOWS\system32\sol.exe','');
 QuarantineFile('C:\WINDOWS\system32\53.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0293119101-3485892523-415813646-1105\syscr.exe','');
 QuarantineFile('c:\windows\wndrive32.exe','');
 DeleteFile('c:\windows\wndrive32.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0293119101-3485892523-415813646-1105\syscr.exe');
 DeleteFile('C:\WINDOWS\system32\53.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер сам перезагрузится.
Выполните после перезагрузки такой скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
end.

В папке c АВЗ сохранится virus.zip.
Пришлите его по ссылке Прислать запрошенный карантин вверху темы.
Повторите логи.

**vadimmamotin** · 14.06.2010, 13:35

сделал. закачал. вот логи

**polar_owl** · 14.06.2010, 13:52

C:\RECYCLER\S-1-5-21-0293119101-3485892523-415813646-1105\syscr.exe - P2P-Worm.Win32.Palevo.ampu
C:\WINDOWS\system32\53.exe -- P2P-Worm.Win32.Palevo.ampu
C:\WINDOWS\wndrive32.exe -- Net-Worm.Win32.Kolab.jac

В логах не видно ничего плохого.
Попробуйте поставить sp3.
+ поставьте последующие обновления.
Обновите IE до 8 версии, даже если им не пользуетесь.

**vadimmamotin** · 14.06.2010, 14:05

Спасибо большое за быструю и квалифицированную помощь!

**vadimmamotin** · 14.06.2010, 15:05

Прошу прощения после установки sp3 (проблема в дистрибутиве?) проблема вернулась. прилагаю логи.

**polar_owl** · 14.06.2010, 15:36

Сообщение от vadimmamotin

проблема в дистрибутиве?

Очень даже может быть...
Выполните скрипт:

Код:

begin
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\wndrive32.exe');
 DeleteFile('c:\windows\wndrive32.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-8502942137-3497185615-280210198-5609\syscr.exe');
 DeleteFile('C:\WINDOWS\system32\14.exe');
 DeleteFile('C:\WINDOWS\system32\43.exe');
TerminateProcessByName('c:\windows\system32\13.exe');
 DeleteFile('c:\windows\system32\13.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

Повторите лог virusinfo_syscheck

**vadimmamotin** · 14.06.2010, 16:00

интернет полностью перестал загружаться, поэтому запустился с чистого резервного системного винта и с него же сделал проверку Касперским. Нашел уже порядка 180 объектов. Какие действия после проверки предпринять? Применение скрипта еще актуально? Или лучше сделать новые логи?

**polar_owl** · 14.06.2010, 16:25

Новые логи лучше сделайте, как закончится проверка, а там посмотрим...

**vadimmamotin** · 14.06.2010, 20:13

После лечения на сторонней системе принципиально ничего не изменилось, также грузятся процессы wndrive32.exe и другие.

**polar_owl** · 14.06.2010, 20:32

Выполните в AVZ скрипт:

Код:

begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
DeleteFile(GetAVZDirectory+'virus.zip');
TerminateProcessByName('c:\windows\wndrive32.exe');
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
 QuarantineFile('C:\WINDOWS\system32\36.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-1028229608-0372408520-106558274-4774\syscr.exe','');
 QuarantineFile('c:\windows\wndrive32.exe','');
 QuarantineFile('c:\windows\system32\msvmiode.exe',''); 
 DeleteFile('c:\windows\system32\msvmiode.exe');
 DeleteFile('c:\windows\wndrive32.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-1028229608-0372408520-106558274-4774\syscr.exe');
 DeleteFile('C:\WINDOWS\system32\36.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер сам перезагрузится.
Выполните после перезагрузки такой скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
end.

В папке c АВЗ сохранится virus.zip.
Пришлите его по ссылке Прислать запрошенный карантин вверху темы.
Повторите лог virusinfo_syscheck.zip

Обновления, вышедшие после SP3, все установлены?

**vadimmamotin** · 14.06.2010, 21:07

установлено обновление windowsxp-kb936929-sp3-x86-rus

**vadimmamotin** · 14.06.2010, 21:11

сейчас nod периодически изолирует червя peerfrag.FD c http://208.53.183.164/663.exe

**polar_owl** · 14.06.2010, 21:15

В логе чисто.
Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Деактивируйте ссылку.

**vadimmamotin** · 14.06.2010, 21:39

всё сделал. в temp нод опять находит файлы вида xxx.exe и изолирует, а в корзине опять прописался syscr.exe. в процессах подозрительных программ вроде как нет

**polar_owl** · 14.06.2010, 21:41

avz_log.txt прикрепите + сделайте лог virusinfo_syscheck.zip

**polword** · 14.06.2010, 23:47

+ к polar_owl
-Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

**vadimmamotin** · 15.06.2010, 00:40

вот логи от AVZ

**vadimmamotin** · 15.06.2010, 00:41

а вот логи от RSIT

**polword** · 15.06.2010, 00:47

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 DeleteFile('C:\RECYCLER\S-1-5-21-0106337123-7904041998-141052279-0422\syscr.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','taskman');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(11);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;