-
Junior Member
- Вес репутации
- 48
Проблема с подключением к интернету.
При подключении VPN NOD32 выдает сообщение "Заблокировано cooleasy.com/cgi-bin/prxjdg.cgi ip adress 218.85.133.201:80", после этого интернет-соединение не устанавливается (т.е. через браузер я не могу зайти ни на какой сайт)
Вложение 306334
Вложение 306335
Вложение 306336
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\WlCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\winctrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-2734\ju7bd.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451\games.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('C:\WINDOWS\system32\1042q.exe','');
QuarantineFile('C:\WINDOWS\system32\1033q.exe','');
DeleteService('PlugPlaySPBBCSvc');
DeleteService('PlugPlaySavRoam');
TerminateProcessByName('c:\documents and settings\work\hddd.exe');
QuarantineFile('c:\documents and settings\work\hddd.exe','');
TerminateProcessByName('c:\windows\ggdrive32.exe');
QuarantineFile('c:\windows\ggdrive32.exe','');
DeleteFile('c:\windows\ggdrive32.exe');
DeleteFile('c:\documents and settings\work\hddd.exe');
DeleteFile('C:\WINDOWS\system32\1033q.exe');
DeleteFile('C:\WINDOWS\system32\1042q.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced HTTPL Enable');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451\games.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-2734\ju7bd.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-2734\ju7bd.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451\games.exe,Explorer.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ju7bd');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','games');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ntuser');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','SysRun');
DeleteFile('C:\WINDOWS\system32\winctrl32.dll');
DeleteFile('C:\WINDOWS\system32\WlCtrl32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
-
Установите все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)
Удалите в МВАМ
Код:
Заражённые процессы в памяти:
c:\WINDOWS\ghdrive32.exe (Worm.Palevo) -> 1872 -> No action taken.
Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{F0E06662-71F5-4fb0-A9A2-70DBA996EAC3} (Adware.LinkPlacing) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{4ECB0173-D952-42C3-802A-E3B04E5AD127} (Adware.LinkPlacing) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{CAFDA1CA-DD5F-41DC-BE5D-9E06E01E510C} (Adware.LinkPlacing) -> No action taken.
HKEY_CLASSES_ROOT\LinkPlacing.LPBHOImpl.1 (Adware.LinkPlacing) -> No action taken.
HKEY_CLASSES_ROOT\LinkPlacing.LPBHOImpl (Adware.LinkPlacing) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0E06662-71F5-4FB0-A9A2-70DBA996EAC3} (Adware.LinkPlacing) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{F0E06662-71F5-4FB0-A9A2-70DBA996EAC3} (Adware.LinkPlacing) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{F0E06662-71F5-4FB0-A9A2-70DBA996EAC3} (Adware.LinkPlacing) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{D7FFD784-5276-42D1-887B-00267870A4C7} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Aware SErus (Malware.Packer.Gen) -> No action taken.
HKEY_CLASSES_ROOT\WR (Malware.Trace) -> No action taken.
HKEY_CLASSES_ROOT\AppID\LinkPlacing.DLL (Adware.LinkPlacing) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_ZZZSVC_LICH (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\asc3550p (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ZZZsvc_lich (Rootkit.Agent) -> No action taken.
Заражённые параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autoload (Trojan.Agent) -> Value: autoload -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\kr_done1 (Malware.Trace) -> Value: kr_done1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Worm.Palevo) -> Value: Microsoft Driver Setup -> No action taken.
Заражённые папки:
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1455 (Worm.AutoRun) -> No action taken.
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.
Заражённые файлы:
c:\program files\ToolBHO\module.dll (Adware.LinkPlacing) -> No action taken.
c:\documents and settings\Work\doctorweb\quarantine\actualsp0.exe (Application.ActualSpy) -> No action taken.
c:\documents and settings\Work\doctorweb\quarantine\actualspy.exe (Application.ActualSpy) -> No action taken.
c:\WINDOWS\system32\dllgh8jkd1q8.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\kr_done1 (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\lich.dat (Stolen.data) -> No action taken.
c:\WINDOWS\system32\svcp.csv (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\userini.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\vx.tll (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\winsub.xml (Malware.Trace) -> No action taken.
c:\WINDOWS\fastsmell.config (Trojan.Agent) -> No action taken.
c:\WINDOWS\ghdrive32.exe (Worm.Palevo) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1455\Desktop.ini (Worm.AutoRun) -> No action taken.
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 38
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\work\\hddd.exe - Trojan.Win32.FakeAv.bhes ( DrWEB: Trojan.Proxy.2751, BitDefender: Trojan.Fakealert.28761, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:FakeSysdef-ED [Trj] )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1413\\syitm.exe - Worm.Win32.Bybz.epl ( DrWEB: Trojan.DownLoader2.13949, BitDefender: Trojan.Generic.5964447, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Ruskill-BN [Trj] )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1451\\games.exe - Trojan.Win32.FakeAv.biwe ( DrWEB: BackDoor.Siggen.637, BitDefender: Trojan.Generic.5942627, AVAST4: Win32:FakeSysdef-ED [Trj] )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-2734\\ju7bd.exe - Worm.Win32.Bybz.epl ( DrWEB: Win32.HLLW.Autoruner.37980, BitDefender: Trojan.Generic.5713579, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Crypt-IWU [Trj] )
- c:\\recycler\\s-1-5-21-0243936033-3052116371-381863308-1811\\vsbntlo.exe - P2P-Worm.Win32.Palevo.dedu ( DrWEB: Trojan.DownLoader4.6043, BitDefender: Worm.Generic.337303, AVAST4: Win32:Ruskill-AL [Trj] )
- c:\\windows\\ggdrive32.exe - Backdoor.Win32.IRCBot.spl ( DrWEB: BackDoor.Siggen.41841, BitDefender: Backdoor.Generic.621298, NOD32: IRC/SdBot trojan, AVAST4: Win32:Downloader-NUE [Trj] )
-