www . cooleasy . com

Printable View

05.06.2010, 20:58
_hhh_

www . cooleasy . com

Здравствуйте,
Я тут видела у вас много подобных тем, поэтому коротко. Стоял аваст, все время сообщал о наличии зараженных файлов в папке windows/system32 (файлы с именами типа 32.exe). Теперь стоит Nod и блокирует обращение к адресам www. cooleasy. com/разные_буквы_и_цифры и 208. 53. 183. 163/63.exe. (цифры тоже меняются)
Не нашла решений нигде, кроме как у вас на сайте. Буду очень благодарна за помощь.
05.06.2010, 21:11
ARMA9000

Отключить восстановление системы, защитное ПО.
Профиксить:
[CODE]
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
[/CODE]

Выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\36.exe','');
QuarantineFile('C:\WINDOWS\system32\12.exe','');
QuarantineFile('C:\WINDOWS\system32\78.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7081777587-9936420582-074410695-5628\syscr.exe','');
QuarantineFile('C:\Program Files\Application Updater\ApplicationUpdater.exe','');
TerminateProcessByName('c:\windows\wndrive32.exe');
QuarantineFile('c:\windows\wndrive32.exe','');
DeleteFile('c:\windows\wndrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-7081777587-9936420582-074410695-5628\syscr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\78.exe');
DeleteFile('C:\WINDOWS\system32\12.exe');
DeleteFile('C:\WINDOWS\system32\36.exe');
DeleteFile('C:\WINDOWS\system32\23.exe');
BC_Activate;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится. Карантин загрузить по красной ссылке. Логи повторить.
05.06.2010, 21:46
_hhh_

Сделала
05.06.2010, 21:57
ARMA9000

Выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
QuarantineFile('c:\windows\system32\msvmiode.exe','');
DeleteFile('c:\windows\system32\msvmiode.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится. Карантин загрузить по красной ссылке. Сделать лог hijackthis.log и virusinfo_syscheck.zip. Проблемы наблюдаются?
05.06.2010, 22:21
thyrex

А также сделайте такой лог [url]http://virusinfo.info/showpost.php?p=457118&postcount=1[/url]
05.06.2010, 22:23
_hhh_

Сделала. Проблем пока не заметила, но не знаю как проверить насовсем ли они пропали. Если появятся, сообщу.
Спасибо большое.
05.06.2010, 22:26
thyrex

Сообщение №5 прочтите и выполните
05.06.2010, 23:03
_hhh_

Вот.
05.06.2010, 23:20
thyrex

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] все найденное и не забудьте выложить лог
06.06.2010, 00:32
_hhh_

Готово. Это всё?
06.06.2010, 00:46
thyrex

Похоже Вы снова едва не заразились. Обновления для системы, вышедшие после SP3, все установлены?
06.06.2010, 01:08
_hhh_

Если Вы имеете в виду то, что устанавливается при автоматическом обновлении виндовс, тогда да, только что установила. А если что-то другое, то вряд ли.
И вот кстати, только что Нод снова выдал указанное в первом посте предупреждение.
06.06.2010, 01:10
thyrex

Еще раз делайте лог МВАМ и сразу все удаляйте
06.06.2010, 02:12
_hhh_

Вложений: 1

Вот такое получилось...
06.06.2010, 11:33
thyrex

Что сейчас с проблемой?
06.06.2010, 16:47
_hhh_

вроде как молчит пока.
Спасибо большое за помощь!
07.06.2010, 16:47
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-7081777587-9936420582-074410695-5628\syscr.exe - [B]P2P-Worm.Win32.Palevo.akyt[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.Generic.250423, AVAST4: Win32:VBMod [Trj] )[*] c:\windows\system32\msvmiode.exe - [B]Trojan.Win32.Inject.arpw[/B] ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Agent.Delf.RMJ, AVAST4: Win32:Dracur-D [Cryp] )[*] c:\windows\system32\12.exe - [B]P2P-Worm.Win32.Palevo.akyt[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.Generic.250423, AVAST4: Win32:VBMod [Trj] )[*] c:\windows\system32\23.exe - [B]P2P-Worm.Win32.Palevo.akyt[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.Generic.250423, AVAST4: Win32:VBMod [Trj] )[*] c:\windows\system32\36.exe - [B]P2P-Worm.Win32.Palevo.akyt[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.Generic.250423, AVAST4: Win32:VBMod [Trj] )[*] c:\windows\system32\78.exe - [B]P2P-Worm.Win32.Palevo.akyt[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.Generic.250423, AVAST4: Win32:VBMod [Trj] )[*] c:\windows\wndrive32.exe - [B]Net-Worm.Win32.Kolab.isl[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Agent.VB.BLD, AVAST4: Win32:VBMod [Trj] )[/LIST][/LIST]