Junior Member
Вес репутации
51
www . cooleasy . com
Здравствуйте,
Я тут видела у вас много подобных тем, поэтому коротко. Стоял аваст, все время сообщал о наличии зараженных файлов в папке windows/system32 (файлы с именами типа 32.exe). Теперь стоит Nod и блокирует обращение к адресам www. cooleasy. com/разные_буквы_и_цифры и 208. 53. 183. 163/63.exe. (цифры тоже меняются)
Не нашла решений нигде, кроме как у вас на сайте. Буду очень благодарна за помощь.
Последний раз редактировалось _hhh_; 05.06.2010 в 21:12 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключить восстановление системы, защитное ПО.
Профиксить:
Код:
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\36.exe','');
QuarantineFile('C:\WINDOWS\system32\12.exe','');
QuarantineFile('C:\WINDOWS\system32\78.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7081777587-9936420582-074410695-5628\syscr.exe','');
QuarantineFile('C:\Program Files\Application Updater\ApplicationUpdater.exe','');
TerminateProcessByName('c:\windows\wndrive32.exe');
QuarantineFile('c:\windows\wndrive32.exe','');
DeleteFile('c:\windows\wndrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-7081777587-9936420582-074410695-5628\syscr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\78.exe');
DeleteFile('C:\WINDOWS\system32\12.exe');
DeleteFile('C:\WINDOWS\system32\36.exe');
DeleteFile('C:\WINDOWS\system32\23.exe');
BC_Activate;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. Карантин загрузить по красной ссылке. Логи повторить.
Junior Member
Вес репутации
51
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
QuarantineFile('c:\windows\system32\msvmiode.exe','');
DeleteFile('c:\windows\system32\msvmiode.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. Карантин загрузить по красной ссылке. Сделать лог hijackthis.log и virusinfo_syscheck.zip. Проблемы наблюдаются?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
51
Сделала. Проблем пока не заметила, но не знаю как проверить насовсем ли они пропали. Если появятся, сообщу.
Спасибо большое.
Сообщение №5 прочтите и выполните
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
51
Удалите в МВАМ все найденное и не забудьте выложить лог
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
51
Похоже Вы снова едва не заразились. Обновления для системы, вышедшие после SP3, все установлены?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
51
Если Вы имеете в виду то, что устанавливается при автоматическом обновлении виндовс, тогда да, только что установила. А если что-то другое, то вряд ли.
И вот кстати, только что Нод снова выдал указанное в первом посте предупреждение.
Еще раз делайте лог МВАМ и сразу все удаляйте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
51
Вложения
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
51
вроде как молчит пока.
Спасибо большое за помощь!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 18 В ходе лечения обнаружены вредоносные программы:
c:\recycler\s-1-5-21-7081777587-9936420582-074410695-5628\syscr.exe - P2P-Worm.Win32.Palevo.akyt ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.Generic.250423, AVAST4: Win32:VBMod [Trj] ) c:\windows\system32\msvmiode.exe - Trojan.Win32.Inject.arpw ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Agent.Delf.RMJ, AVAST4: Win32:Dracur-D [Cryp] ) c:\windows\system32\12.exe - P2P-Worm.Win32.Palevo.akyt ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.Generic.250423, AVAST4: Win32:VBMod [Trj] ) c:\windows\system32\23.exe - P2P-Worm.Win32.Palevo.akyt ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.Generic.250423, AVAST4: Win32:VBMod [Trj] ) c:\windows\system32\36.exe - P2P-Worm.Win32.Palevo.akyt ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.Generic.250423, AVAST4: Win32:VBMod [Trj] ) c:\windows\system32\78.exe - P2P-Worm.Win32.Palevo.akyt ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.Generic.250423, AVAST4: Win32:VBMod [Trj] ) c:\windows\wndrive32.exe - Net-Worm.Win32.Kolab.isl ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Agent.VB.BLD, AVAST4: Win32:VBMod [Trj] )