Атака с сайта cooleasy.com

Printable View

08.06.2010, 22:48
dross

Атака с сайта cooleasy.com

После включения системы NOD32 выдает следующее сообщение "Заблокировано :http:cooleasy.com/cgi-bin/prxjdg.cgi ip adress 218.5.74.190:80", после этого интрнет очень плохо работает..Помогите пожалуйста(
08.06.2010, 23:24
DefesT

Отключите компьютер от интернета, а также [URL="http://virusinfo.info/showthread.php?t=57441"]отключите[/URL] [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\wndrive32.exe');
QuarantineFile('C:\WINDOWS\wndrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\wiaservc.dll','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0187069217-0684480158-809974219-7439\syscr.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\netmonz.sys','');
QuarantineFile('c:\windows\wndrive32.exe','');
DeleteFile('c:\windows\wndrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0187069217-0684480158-809974219-7439\syscr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам
09.06.2010, 09:03
dross

все сделал,это все?)
09.06.2010, 12:02
pig

Логи вообще-то надо было к новому сообщению...
09.06.2010, 12:14
dross

блин( а я думал все в шапке..

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

и что делать? кстати лучше щас работает интернет)
09.06.2010, 12:44
DefesT

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]R3 - URLSearchHook: (no name) - - (no file)[/CODE]
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SetAVZGuardStatus(True);
DeleteService('netmonzMP');
DeleteService('netmonz');
DeleteFile('C:\WINDOWS\system32\DRIVERS\netmonz.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Сделайте новый лог по правилам virusinfo_syscheck.zip
09.06.2010, 19:07
dross

вот...
09.06.2010, 19:39
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\wndrive32.exe');
QuarantineFile('D:\Программы\pdf\Bonus.ScreenshotReader.exe','');
QuarantineFile('C:\WINDOWS\system32\ntshrui.dll','');
QuarantineFile('C:\WINDOWS\system32\sol.exe','');
DeleteFile('C:\WINDOWS\wndrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1811038439-2090558691-756681900-1300\syscr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_DeleteFile('C:\WINDOWS\wndrive32.exe');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log;)
09.06.2010, 21:39
dross

файл quarantine.zip уже был выложен..больше он не хочет его отправлять))
09.06.2010, 21:54
polword

обновите систему
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
10.06.2010, 08:26
dross

сделано:)

[size="1"][color="#666686"][B][I]Добавлено через 8 часов 21 минуту[/I][/B][/color][/size]

больше ничего не надо?)
10.06.2010, 10:39
polword

если Вас больше ничего не тревожит - то не надо
10.06.2010, 10:58
dross

спасибо ВАм большое)))) очень нужный и полезный сайт)
11.06.2010, 10:58
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]