-
Junior Member
- Вес репутации
- 51
Проблема с cooleasy.com
Доброе время суток. Тема далеко не первая, но я столкнулся впервые. На свежеустановленной XP sp2 + доустановки sp3 при подключении к интернету NOD32 блокирует обращение к сайту cooleasy.com, а также периодически находит injector.BYY. Плюс к этому через 5-7 минут работы гасится интернет (сначала начинает сильно тормозить открытие страниц, затем полностью прерывается соединение). Проблема частично решилась откатом до sp2 (интернет стал работать устойчиво, может это просто какая-то параллельная проблема?), но NOD по-прежнему блокирует подключение к вышеупомянутому сайту. Полная проверка nod'ом и AVP ничего не дала, переустановка xp - тоже.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы, выгрузите антивирус, фаерволл
Выполните в AVZ скрипт:
Код:
begin
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\wndrive32.exe');
QuarantineFile('C:\WINDOWS\system32\sol.exe','');
QuarantineFile('C:\WINDOWS\system32\53.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0293119101-3485892523-415813646-1105\syscr.exe','');
QuarantineFile('c:\windows\wndrive32.exe','');
DeleteFile('c:\windows\wndrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0293119101-3485892523-415813646-1105\syscr.exe');
DeleteFile('C:\WINDOWS\system32\53.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер сам перезагрузится.
Выполните после перезагрузки такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
end.
В папке c АВЗ сохранится virus.zip.
Пришлите его по ссылке Прислать запрошенный карантин вверху темы.
Повторите логи.
-
-
Junior Member
- Вес репутации
- 51
сделал. закачал. вот логи
-
C:\RECYCLER\S-1-5-21-0293119101-3485892523-415813646-1105\syscr.exe - P2P-Worm.Win32.Palevo.ampu
C:\WINDOWS\system32\53.exe -- P2P-Worm.Win32.Palevo.ampu
C:\WINDOWS\wndrive32.exe -- Net-Worm.Win32.Kolab.jac
В логах не видно ничего плохого.
Попробуйте поставить sp3.
+ поставьте последующие обновления.
Обновите IE до 8 версии, даже если им не пользуетесь.
-
-
Junior Member
- Вес репутации
- 51
Спасибо большое за быструю и квалифицированную помощь!
-
Junior Member
- Вес репутации
- 51
Проблема вернулась
Прошу прощения после установки sp3 (проблема в дистрибутиве?) проблема вернулась. прилагаю логи.
-
Сообщение от
vadimmamotin
проблема в дистрибутиве?
Очень даже может быть...
Выполните скрипт:
Код:
begin
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\wndrive32.exe');
DeleteFile('c:\windows\wndrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-8502942137-3497185615-280210198-5609\syscr.exe');
DeleteFile('C:\WINDOWS\system32\14.exe');
DeleteFile('C:\WINDOWS\system32\43.exe');
TerminateProcessByName('c:\windows\system32\13.exe');
DeleteFile('c:\windows\system32\13.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
Повторите лог virusinfo_syscheck
-
-
Junior Member
- Вес репутации
- 51
интернет полностью перестал загружаться, поэтому запустился с чистого резервного системного винта и с него же сделал проверку Касперским. Нашел уже порядка 180 объектов. Какие действия после проверки предпринять? Применение скрипта еще актуально? Или лучше сделать новые логи?
-
Новые логи лучше сделайте, как закончится проверка, а там посмотрим...
-
-
Junior Member
- Вес репутации
- 51
После лечения на сторонней системе принципиально ничего не изменилось, также грузятся процессы wndrive32.exe и другие.
-
Выполните в AVZ скрипт:
Код:
begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
DeleteFile(GetAVZDirectory+'virus.zip');
TerminateProcessByName('c:\windows\wndrive32.exe');
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
QuarantineFile('C:\WINDOWS\system32\36.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1028229608-0372408520-106558274-4774\syscr.exe','');
QuarantineFile('c:\windows\wndrive32.exe','');
QuarantineFile('c:\windows\system32\msvmiode.exe','');
DeleteFile('c:\windows\system32\msvmiode.exe');
DeleteFile('c:\windows\wndrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1028229608-0372408520-106558274-4774\syscr.exe');
DeleteFile('C:\WINDOWS\system32\36.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер сам перезагрузится.
Выполните после перезагрузки такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
end.
В папке c АВЗ сохранится virus.zip.
Пришлите его по ссылке Прислать запрошенный карантин вверху темы.
Повторите лог virusinfo_syscheck.zip
Обновления, вышедшие после SP3, все установлены?
-
-
Junior Member
- Вес репутации
- 51
установлено обновление windowsxp-kb936929-sp3-x86-rus
-
Junior Member
- Вес репутации
- 51
сейчас nod периодически изолирует червя peerfrag.FD c http://208.53.183.164/663.exe
-
В логе чисто.
Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Деактивируйте ссылку.
-
-
Junior Member
- Вес репутации
- 51
всё сделал. в temp нод опять находит файлы вида xxx.exe и изолирует, а в корзине опять прописался syscr.exe. в процессах подозрительных программ вроде как нет
-
avz_log.txt прикрепите + сделайте лог virusinfo_syscheck.zip
-
-
+ к polar_owl
-Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
-
-
Junior Member
- Вес репутации
- 51
-
Junior Member
- Вес репутации
- 51
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\RECYCLER\S-1-5-21-0106337123-7904041998-141052279-0422\syscr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
-