При подключении интернета НОД32 выдает ошыбку, что адрес заблокирован "cooleasy.com..." после чего пропадает интернет подключение. Надеюсь на вашу помощь
При подключении интернета НОД32 выдает ошыбку, что адрес заблокирован "cooleasy.com..." после чего пропадает интернет подключение. Надеюсь на вашу помощь
Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
-Восстановление системы
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean; var i : integer; KeyList : TStringList; KeyName : string; begin RegKeyResetSecurity(ARoot, AName); KeyList := TStringList.Create; RegKeyEnumKey(ARoot, AName, KeyList); for i := 0 to KeyList.Count-1 do begin KeyName := AName+'\'+KeyList[i]; RegKeyResetSecurity(ARoot, KeyName); RegKeyResetSecurityEx(ARoot, KeyName); end; KeyList.Free; end; Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte; var i : integer; KeyList : TStringList; KeyName : string; begin Result := 0; if StopService(AServiceName) then Result := Result or 1; if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2; KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName; if RegKeyExistsEx('HKLM', KeyName) then begin Result := Result or 4; RegKeyResetSecurityEx('HKLM', KeyName); RegKeyDel('HKLM', KeyName); if RegKeyExistsEx('HKLM', KeyName) then Result := Result or 8; end; end; if AIsSvcHosted then BC_DeleteSvcReg(AServiceName) else BC_DeleteSvc(AServiceName); KeyList.Free; end; begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\documents and settings\saggitarius\serv.exe'); TerminateProcessByName('c:\windows\ggdrive32.exe'); QuarantineFile('C:\WINDOWS\system32\62.exe',''); QuarantineFile('C:\WINDOWS\system32\15.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe',''); QuarantineFile('C:\DOCUME~1\SAGGIT~1\LOCALS~1\Temp\FLTBB6.tmp',''); QuarantineFile('C:\Documents and Settings\Saggitarius\Application Data\oekx.exe',''); QuarantineFile('C:\WINDOWS\system32\86.exe',''); QuarantineFile('C:\WINDOWS\system32\25.exe',''); QuarantineFile('C:\WINDOWS\system32\21.exe',''); QuarantineFile('C:\WINDOWS\system32\18.exe',''); QuarantineFile('C:\WINDOWS\system32\14.exe',''); QuarantineFile('C:\WINDOWS\system32\12.exe',''); QuarantineFile('C:\WINDOWS\system32\udlcv.dll',''); QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe',''); QuarantineFile('C:\Documents and Settings\Saggitarius\serv.exe',''); DeleteFile('C:\Documents and Settings\Saggitarius\serv.exe'); DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe'); DeleteFile('C:\WINDOWS\system32\12.exe'); DeleteFile('C:\WINDOWS\system32\14.exe'); DeleteFile('C:\WINDOWS\system32\18.exe'); DeleteFile('C:\WINDOWS\system32\21.exe'); DeleteFile('C:\WINDOWS\system32\25.exe'); DeleteFile('C:\WINDOWS\system32\86.exe'); DeleteFile('C:\WINDOWS\system32\15.exe'); DeleteFile('C:\WINDOWS\system32\62.exe'); DeleteFile('c:\windows\ggdrive32.exe'); DeleteFile('C:\WINDOWS\system32\udlcv.dll'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe'); DeleteFile('C:\Documents and Settings\Saggitarius\Application Data\oekx.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced HTTPL Enable'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); BC_ImportAll; BC_ServiceKill('xzjqk'); BC_ServiceKill('elfqfyp'); ExecuteSysClean; ExecuteRepair(16); ExecuteWizard('TSW',2,3,true); SaveLog(GetAVZDirectory+'avz.log'); BC_Activate; RebootWindows(true); end.
Затем выполните ещё один скрипт:
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Повторите логи.
Скрипт выполнил, а вот карантин загрузить не могу: "Ошибка загрузки. Данный файл уже был загружен". Пока что проблема себя не проявляет.
Логи повоторил:
Лог syscheck старый прикрепили!
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\PROGRA~1\WI9130~1\ToolBar\SearchquDx.dll',''); QuarantineFile('c:\progra~1\wi9130~1\datamngr\datamngr.dll',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe'); DeleteFile('C:\WINDOWS\system32\06.exe'); DeleteFile('C:\WINDOWS\system32\51.exe'); DeleteFile('C:\WINDOWS\system32\68.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи.
I am not young enough to know everything...
Карантин загрузил, ну в смысле опять "Ошибка загрузки. Данный файл уже был загружен"
Логи:
Последний раз редактировалось Bratez; 20.02.2011 в 16:42. Причина: Добавлено
I am not young enough to know everything...
Да, именно по этой ссылке, но опять же "Ошибка загрузки. Данный файл уже был загружен".
Вот новые логи:
Кстати проблема через некоторое время вернулась ((
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\windows\temp\guardguard.exe'); QuarantineFile('c:\windows\temp\guardguard.exe',''); QuarantineFile('C:\WINDOWS\system32\84.exe',''); QuarantineFile('C:\WINDOWS\system32\55.exe',''); QuarantineFile('C:\WINDOWS\system32\31.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe'); DeleteFile('C:\WINDOWS\system32\31.exe'); DeleteFile('C:\WINDOWS\system32\55.exe'); DeleteFile('C:\WINDOWS\system32\84.exe'); DeleteFile('c:\windows\temp\guardguard.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(16); ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end.
Затем выполните ещё один скрипт:
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте повторные логи.
Подготовьте лог MBAM.
Перед повторными логами
Установите все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Уважаемый(ая) LowBuz, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.