-
Junior Member
- Вес репутации
- 49
заблокирован адрес cooleasy.com
Здравствуйте. Помогите, пожалуйста, с вирусами. Нод регулярно начал выдавать уведомление о заблокированном айпи адресе от cooleasy.com. Одновременно с этим начались проблемы с определением звуковой карты, перебои в стабильности инетсоединения. В диспетчере задач постоянно видны явно левые процессы, чистка тем же нодом и куретом вирусы выявляет, лечит, удаляет, но все восстанавливается снова.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file)
O18 - Filter: AutorunsDisabled - (no CLSID) - (no file)
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\gwdrive32.exe');
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
DeleteService('fmvardwiavvkx');
QuarantineFile('C:\WINDOWS\system32\drivers\lheuq.sys','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\oekx.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe','');
QuarantineFile('C:\WINDOWS\system32\41.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS\gwdrive32.exe','');
DeleteFile('C:\WINDOWS\gwdrive32.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\WINDOWS\system32\41.exe');
DeleteFile('C:\WINDOWS\system32\25.exe');
DeleteFile('C:\WINDOWS\system32\00.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\oekx.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnawy');
DeleteFile('C:\WINDOWS\system32\drivers\lheuq.sys');
BC_DeleteSvc('fmvardwiavvkx');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
-
Удалите в МВАМ всё, кроме
Код:
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Заражённые файлы:
d:\soft\kaspersky.keyviewer\antihacker\Crack.exe (RiskWare.Tool.CK) -> No action taken.
d:\soft\конвертеры\xilisoft.3gp.video.converter.v2.1.55.1107b\keygen.exe (Trojan.Downloader) -> No action taken.
d:\soft\eset nod32 antivirus\offline update\Fixes\eset login viewer\eset login viewer.exe (Trojan.Agent.CK) -> No action taken.
e:\progs\автокад\keygens\xf-a2011-32bits.exe (RiskWare.Tool.CK) -> No action taken.
e:\progs\автокад\keygens\xf-a2011-64bits.exe (RiskWare.Tool.CK) -> No action taken.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 49
и еще. нод перестал запускаться.
-
Junior Member
- Вес репутации
- 49
-
Повторите ещё лог МВАМ, плиз.
-
-
Junior Member
- Вес репутации
- 49
-
Удалите в МВАМ, всё, кроме того, что я уже перечислил выше.
Потом срочно -
- Установите все важные обновления.
- Установите IE 8 - даже если Вы им не пользуетесь.
-
-
Junior Member
- Вес репутации
- 49
установил все. начались тормоза жуткие. нод так и не заработал. снес его, но при попытке его установки не получается запустить службу ekern, установка не получается(
-
-
-
Junior Member
- Вес репутации
- 49
с антивирусом так и не получается.
-
1. удалите в MBAM
Код:
Заражённые параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.Palevo) -> Value: Shell -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tnawy (Trojan.Agent) -> Value: Tnawy -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.Palevo) -> Value: Taskman -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Trojan.Agent) -> Value: Microsoft Driver Setup -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSODESNV7 (Backdoor.Bot) -> Value: MSODESNV7 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Trojan.Agent) -> Value: Microsoft Driver Setup -> No action taken.
Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\Documents and Settings\Администратор\Application Data\ltzqai.exe,C:\RECYCLER\S-1-5-21-3606839521-7355148070-778077706-9009\csisd.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe,C:\Documents and Settings\Администратор\Application Data\oekx.exe,explorer.exe,C:\RECYCLER\S-1-5-21-6251295644-1736572919-244501615-3286\svmgr.exe) Good: (Explorer.exe) -> No action taken.
Заражённые файлы:
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1417\systm.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\gwdrive32.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\msvmiode.exe (Backdoor.Bot) -> No action taken.
c:\documents and settings\администратор\application data\ltzqai.exe (Worm.Palevo) -> No action taken.
c:\documents and settings\администратор\application data\oekx.exe (Worm.Palevo) -> No action taken.
c:\documents and settings\администратор\local settings\Temp\1815807.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\local settings\Temp\2124.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\local settings\Temp\2403.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\local settings\Temp\250.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\local settings\Temp\30234.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\local settings\Temp\4992.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\local settings\Temp\70454.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\local settings\Temp\7530.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\local settings\Temp\806.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\local settings\Temp\956294.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\local settings\Temp\980.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\5OX5YWTW\a1[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\5OX5YWTW\n1[2].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\D7WLEG1H\a2[1].exe (Trojan.Agent) -> No action taken.
c:\windows\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
2.Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFileMask('c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5', '*.*', true);
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог MBAM
-
-
Junior Member
- Вес репутации
- 49
готово. нод не устанавливается, касперский не запускается.
-
- Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('c:\windows\system32\drivers\str.sys','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
После перезагрузки:
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
-
-
- quarantine.zip - удалите из темы
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 49
что-т не пойму. вроде загрузил карантин, нмчего не изменилось, пытаюсь повторить - пишет, мол, файл уже был загружен.
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('c:\windows\system32\drivers\str.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Что с проблемой?
-
-
Junior Member
- Вес репутации
- 49
работа компа все равно подторможенная, нод все так же не ставится, касперский все так же устанавливается, но не запускается(