-
Junior Member
- Вес репутации
- 51
Атака www.cooleasy.com
Тема не раз была здесь поднята, поэтому буду краток.
При подключении к интернету NOD32 выдает следующее сообщение "Заблокировано cooleasy.com/cgi-bin/prxjdg.cgi ip adress 218.5.74.190:80", после этого сообщения начинает не стабильно работать интернет!
Последний раз редактировалось Sannek; 05.06.2010 в 11:10.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Активную ссылку уберите!!!
Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\wndrive32.exe');
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
QuarantineFile('C:\WINDOWS\wndrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7532034274-4291682377-350215949-4565\syscr.exe','');
QuarantineFile('c:\Windows\system32\Dap\mssvchost.exe','');
DeleteFile('c:\windows\system32\msvmiode.exe');
DeleteFile('c:\windows\wndrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-7532034274-4291682377-350215949-4565\syscr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
-
-
Junior Member
- Вес репутации
- 51
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('c:\Windows\system32\Dap\mssvchost.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('WindowsUpdate');
DeleteService('smss');
DeleteService('Secure');
DeleteFile('c:\Windows\system32\Dap\mssvchost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Проблема устранилась. Огромное спасибо!
-
Установите Internet Explorer 8 (даже если им не пользуетесь)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 26
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe - Trojan-Dropper.Win32.VB.mzb ( DrWEB: Win32.HLLW.Lime.8, AVAST4: Win32:VB-PKR [Drp] )
- c:\recycler\s-1-5-21-7532034274-4291682377-350215949-4565\syscr.exe - P2P-Worm.Win32.Palevo.akuf ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.Generic.249637, AVAST4: Win32:VB-PKR [Drp] )
- c:\windows\system32\msvmiode.exe - Worm.Win32.VBNA.b ( AVAST4: Win32:VB-PKR [Drp] )
- c:\windows\wndrive32.exe - Worm.Win32.VBNA.b ( DrWEB: Trojan.Packed.20375, AVAST4: Win32:VB-PKR [Drp] )
-