Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

заблокирован адрес cooleasy.com (заявка № 94227)

  1. #1
    Junior Member Репутация
    Регистрация
    25.12.2010
    Сообщений
    10
    Вес репутации
    22

    Exclamation заблокирован адрес cooleasy.com

    Здравствуйте. Помогите, пожалуйста, с вирусами. Нод регулярно начал выдавать уведомление о заблокированном айпи адресе от cooleasy.com. Одновременно с этим начались проблемы с определением звуковой карты, перебои в стабильности инетсоединения. В диспетчере задач постоянно видны явно левые процессы, чистка тем же нодом и куретом вирусы выявляет, лечит, удаляет, но все восстанавливается снова.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,043
    Вес репутации
    1254
    Здравствуйте.

    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Пофиксите в hijackthis -

    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    O2 - BHO: (no name) - AutorunsDisabled - (no file)
    O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file)
    O18 - Filter: AutorunsDisabled - (no CLSID) - (no file)
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     TerminateProcessByName('c:\windows\gwdrive32.exe');
     TerminateProcessByName('c:\windows\system32\msvmiode.exe');
     DeleteService('fmvardwiavvkx');
     QuarantineFile('C:\WINDOWS\system32\drivers\lheuq.sys','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\oekx.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe','');
     QuarantineFile('C:\WINDOWS\system32\41.exe','');
     QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
     QuarantineFile('C:\WINDOWS\gwdrive32.exe','');
     DeleteFile('C:\WINDOWS\gwdrive32.exe');
     DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
     DeleteFile('C:\WINDOWS\system32\41.exe');
     DeleteFile('C:\WINDOWS\system32\25.exe');
     DeleteFile('C:\WINDOWS\system32\00.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\oekx.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnawy');
     DeleteFile('C:\WINDOWS\system32\drivers\lheuq.sys');
     BC_DeleteSvc('fmvardwiavvkx');  
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Повторите логи

  4. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,578
    Вес репутации
    2916
    А также

    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  5. #4
    Junior Member Репутация
    Регистрация
    25.12.2010
    Сообщений
    10
    Вес репутации
    22
    выполнил.
    Вложения Вложения

  6. #5
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,043
    Вес репутации
    1254
    Удалите в МВАМ всё, кроме

    Код:
    Объекты реестра заражены:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    
    Заражённые файлы:
    d:\soft\kaspersky.keyviewer\antihacker\Crack.exe (RiskWare.Tool.CK) -> No action taken.
    d:\soft\конвертеры\xilisoft.3gp.video.converter.v2.1.55.1107b\keygen.exe (Trojan.Downloader) -> No action taken.
    d:\soft\eset nod32 antivirus\offline update\Fixes\eset login viewer\eset login viewer.exe (Trojan.Agent.CK) -> No action taken.
    e:\progs\автокад\keygens\xf-a2011-32bits.exe (RiskWare.Tool.CK) -> No action taken.
    e:\progs\автокад\keygens\xf-a2011-64bits.exe (RiskWare.Tool.CK) -> No action taken.
    - Повторите логи

  7. #6
    Junior Member Репутация
    Регистрация
    25.12.2010
    Сообщений
    10
    Вес репутации
    22
    и еще. нод перестал запускаться.

  8. #7
    Junior Member Репутация
    Регистрация
    25.12.2010
    Сообщений
    10
    Вес репутации
    22
    готово.
    Вложения Вложения

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,043
    Вес репутации
    1254
    Повторите ещё лог МВАМ, плиз.

  10. #9
    Junior Member Репутация
    Регистрация
    25.12.2010
    Сообщений
    10
    Вес репутации
    22
    конечно)
    Вложения Вложения

  11. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,043
    Вес репутации
    1254
    Удалите в МВАМ, всё, кроме того, что я уже перечислил выше.

    Потом срочно -

    - Установите все важные обновления.
    - Установите IE 8 - даже если Вы им не пользуетесь.

  12. #11
    Junior Member Репутация
    Регистрация
    25.12.2010
    Сообщений
    10
    Вес репутации
    22
    установил все. начались тормоза жуткие. нод так и не заработал. снес его, но при попытке его установки не получается запустить службу ekern, установка не получается(

  13. #12
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,043
    Вес репутации
    1254
    Повторите лог МВАМ

  14. #13
    Junior Member Репутация
    Регистрация
    25.12.2010
    Сообщений
    10
    Вес репутации
    22
    с антивирусом так и не получается.
    Вложения Вложения

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    1. удалите в MBAM
    Код:
    Заражённые параметры в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.Palevo) -> Value: Shell -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tnawy (Trojan.Agent) -> Value: Tnawy -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.Palevo) -> Value: Taskman -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Trojan.Agent) -> Value: Microsoft Driver Setup -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSODESNV7 (Backdoor.Bot) -> Value: MSODESNV7 -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Trojan.Agent) -> Value: Microsoft Driver Setup -> No action taken.
    
    Объекты реестра заражены:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\Documents and Settings\Администратор\Application Data\ltzqai.exe,C:\RECYCLER\S-1-5-21-3606839521-7355148070-778077706-9009\csisd.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe,C:\Documents and Settings\Администратор\Application Data\oekx.exe,explorer.exe,C:\RECYCLER\S-1-5-21-6251295644-1736572919-244501615-3286\svmgr.exe) Good: (Explorer.exe) -> No action taken.
    
    Заражённые файлы:
    c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1417\systm.exe (Trojan.Agent) -> No action taken.
    c:\WINDOWS\gwdrive32.exe (Trojan.Agent) -> No action taken.
    c:\WINDOWS\system32\msvmiode.exe (Backdoor.Bot) -> No action taken.
    c:\documents and settings\администратор\application data\ltzqai.exe (Worm.Palevo) -> No action taken.
    c:\documents and settings\администратор\application data\oekx.exe (Worm.Palevo) -> No action taken.
    c:\documents and settings\администратор\local settings\Temp\1815807.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\администратор\local settings\Temp\2124.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\администратор\local settings\Temp\2403.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\администратор\local settings\Temp\250.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\администратор\local settings\Temp\30234.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\администратор\local settings\Temp\4992.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\администратор\local settings\Temp\70454.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\администратор\local settings\Temp\7530.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\администратор\local settings\Temp\806.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\администратор\local settings\Temp\956294.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\администратор\local settings\Temp\980.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\5OX5YWTW\a1[1].exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\5OX5YWTW\n1[2].exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\D7WLEG1H\a2[1].exe (Trojan.Agent) -> No action taken.
    c:\windows\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
    2.Выполните скрипт в AVZ
    Код:
    begin
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
      DeleteFileMask('c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5', '*.*', true);
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторный лог MBAM

  16. #15
    Junior Member Репутация
    Регистрация
    25.12.2010
    Сообщений
    10
    Вес репутации
    22
    готово. нод не устанавливается, касперский не запускается.
    Вложения Вложения

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('c:\windows\system32\drivers\str.sys','');
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    После перезагрузки:
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - quarantine.zip - удалите из темы
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

  19. #18
    Junior Member Репутация
    Регистрация
    25.12.2010
    Сообщений
    10
    Вес репутации
    22
    что-т не пойму. вроде загрузил карантин, нмчего не изменилось, пытаюсь повторить - пишет, мол, файл уже был загружен.

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteFile('c:\windows\system32\drivers\str.sys');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    Что с проблемой?

  21. #20
    Junior Member Репутация
    Регистрация
    25.12.2010
    Сообщений
    10
    Вес репутации
    22
    работа компа все равно подторможенная, нод все так же не ставится, касперский все так же устанавливается, но не запускается(

  • Уважаемый(ая) glass, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Aнтивирус блокирует адрес URL www.cooleasy.com....
      От Kirill_M в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 16.12.2010, 03:09
    2. \" Адрес заблокирован , адрес Url \" 208.53.183.124/ms5.exe\" (заявка №27060)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 3
      Последнее сообщение: 12.08.2010, 00:00
    3. Ответов: 7
      Последнее сообщение: 28.07.2010, 09:47
    4. Атаки с адреса URL "www.cooleasy.com/cgi-bin/prxjdg.cgi" IP адрес 218.5.74.190:80
      От Елена Гусева в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 12.03.2010, 00:21
    5. Ответов: 5
      Последнее сообщение: 05.12.2009, 19:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01081 seconds with 22 queries