Атака с cooleasy.com

[furyextreme]

при подключении к интернету нод32 выдает сообщение о атаке с ресурса cooleasy.com. Было такое раза 3. 2 раза я прописывал скрипты как было у вас на сайте от других пользователей, но теперь эти скрипты не помогают.
еще такие атаки были

[миднайт]

Выполните правила раздела http://virusinfo.info/pravila.html
Запускать скрипты лечения предназначенные не для вашей машины запрещено!

Важное замечание

Пожалуйста, не выполняйте скрипты лечения, написанные для других пользователей. Каждый случай уникален, Вы можете нанести вред и Вашему компьютеру, и нашему сервису. За последствия, наступившие в случае невыполнения данного пункта, портал VirusInfo ответственности не несет! В данном случае администрация ресурса имеет право отказать в оказании помощи без пояснения причин.

[furyextreme]

все сделал, но вот только почему то нету virusinfo_syscure.zip в папке log

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
  QuarantineFile('C:\WINDOWS\system32\11.exe','');
 QuarantineFile('C:\Program Files\pchd\PCHDPlayer.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1457\system.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
 QuarantineFile('C:\Documents and Settings\Влад\Application Data\ltzqai.exe','');
 DeleteFile('C:\Documents and Settings\Влад\Application Data\ltzqai.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1457\system.exe');
 DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe');
 DeleteFile('C:\WINDOWS\system32\11.exe');
 QuarantineFile('C:\Documents and Settings\Влад\Application Data\bowcav.exe','');
 DeleteFile('C:\Documents and Settings\Влад\Application Data\bowcav.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
 DeleteFileMask('C:\Program Files\pchd', '*.*', true);
 DeleteDirectory('C:\Program Files\pchd');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(11);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте лог Gmer
- Сделайте лог MBAM

[furyextreme]

сделал

[polword]

- Сохраните текст ниже как 1.bat в ту же папку, где находится 1yopjhkr.exe (GMER) и запустите этот батник(1.bat):

Код:

1yopjhkr.exe -del service umcqab
1yopjhkr.exe -del file "C:\WINDOWS\system32\nurmtmoo.dll"
1yopjhkr.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\umcqab"
1yopjhkr.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\umcqab"
1yopjhkr.exe -reboot

Компьютер перезагрузится.

После перезагрузки:

- Профиксите в HijackThis

Код:

R3 - URLSearchHook: (no name) -  - (no file)

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\system32\Paint.exe','');
 QuarantineFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\40ZQY71A\x1863[1].exe','');
 QuarantineFile('d:\system volume information\_restore{0962a307-77dc-4aa1-8041-ffef35af091a}\RP38\A0095952.exe','');
 DeleteFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\40ZQY71A\x1863[1].exe');
 DeleteFile('d:\system volume information\_restore{0962a307-77dc-4aa1-8041-ffef35af091a}\RP38\A0095952.exe');
 DeleteFileMask('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5', '*.*', true);
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

- удалите в MBAM оставшееся из этого

Код:

Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.

Заражённые файлы:
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\40ZQY71A\x1863[1].exe (Trojan.Agent) -> No action taken.
d:\system volume information\_restore{0962a307-77dc-4aa1-8041-ffef35af091a}\RP38\A0095952.exe (Malware.Packer.Gen) -> No action taken.

- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте повторный лог MBAM

[furyextreme]

вот
на счет загрузки карантина по ссылке вверху тему, то выдает ошибку что фаил уже загружен

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('btxgci.sys','');
 DeleteFile('btxgci.sys');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;

[furyextreme]

сделал

[polword]

подозрительного нет.

Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут

[furyextreme]

большое спасибо за помощь)

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 17
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\влад\\application data\\bowcav.exe - Packed.Win32.Krap.ig ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Generic.KDV.106228, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Trojan-gen )