Junior Member
Вес репутации
47
вирус netprotocol и netprotdrvss
Здравствуйте! Позавчера подцепил порно баннер. При загрузке винды иногда успеваю запустить диспетчер задач и в процессах удалить 2 образа: 11.exe и netprotocol (при завершении этих процессов баннер не появляется). Доктором вебом и Нодом проверял на вирусы, нашел netprotocol и netprotdrvss, удалил их, но при загрузке винды в процессах все еще появляется 11.exe, при завершении этого процесса баннер не появляется.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) gaulon , спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Здравствуйте!!!
- Пофиксите в HijackThis:
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxl.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxl.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxl.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxl.net
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)
- Выполните в АВЗ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Windows\system32\system','');
QuarantineFile('C:\Windows\system32\ac3acm.acm','');
QuarantineFile('C:\Windows\system32\csrcs.exe','');
QuarantineFile('C:\Windows\system32\conime32.exe','');
QuarantineFile('C:\Users\пмлпл\aegvvp.exe','');
QuarantineFile('C:\Users\пмлпл\AppData\Roaming\netprotocol.exe','');
QuarantineFile('C:\Users\пмлпл\AppData\Roaming\Desktopicon\eBayShortcuts.exe','');
QuarantineFile('C:\Users\пмлпл\AppData\Roaming\11.exe','');
DeleteFile('C:\Users\пмлпл\AppData\Roaming\11.exe');
DeleteFile('C:\Users\пмлпл\AppData\Roaming\Desktopicon\eBayShortcuts.exe');
DeleteFile('C:\Users\пмлпл\AppData\Roaming\netprotocol.exe');
DeleteFile('C:\Users\пмлпл\aegvvp.exe');
DeleteFile('C:\Windows\system32\conime32.exe');
DeleteFile('C:\Windows\system32\csrcs.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','11.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Test System Key');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
После перезагрузки:
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин " вверху темы.
- Обновите базы АВЗ , отключите восстановление системы и Повторите логи.
- Сделайте лог полного сканирования MBAM .
Junior Member
Вес репутации
47
Спасибо большое! Теперь баннера нету и процесс 11.exe не появляется.
Карантин отправил, логи тоже. А лог полного сканирования MBAM обязательно делать?
Вложения
Сообщение от
gaulon
А лог полного сканирования MBAM обязательно делать?
Обязательно
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
47
Вложения
c:\downloads\secheot.exe - файл Вам знаком?
Выполните в АВЗ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\downloads\secheot.exe','');
QuarantineFile('c:\Windows\System32\config\systemprofile\aegvvp.exe','');
DeleteFile('c:\Windows\System32\config\systemprofile\aegvvp.exe');
QuarantineFile('c:\Users\пмлпл\AppData\Roaming\fieryads.dat','');
DeleteFile('c:\Users\пмлпл\AppData\Roaming\fieryads.dat');
QuarantineFile('c:\Users\пмлпл\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\04FSMZ5U\11[1].exe','');
DeleteFile('c:\Users\пмлпл\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\04FSMZ5U\11[1].exe');
DeleteFileMask('c:\Users\пмлпл\AppData\Roaming\FieryAds','*.*',true);
DeleteDirectory('c:\Users\пмлпл\AppData\Roaming\FieryAds');
DeleteFileMask('c:\program files\mycentria','*.*',true);
DeleteDirectory('c:\program files\mycentria');
RegkeyDel('HKEY_CURRENT_USER','SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
RegkeyDel('HKEY_CURRENT_USER','Software\winxarj');
RegkeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\MyCentria');
RegkeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\DRM\amty');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Junior Member
Вес репутации
47
нет, secheot.exe мне не знаком.
после выполнения команды в АВЗ еще что-то нужно делать?
Сообщение от
gaulon
после выполнения команды в АВЗ еще что-то нужно делать?
Да, еще один скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\downloads\secheot.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Если жалоб нет, то всё!!!
Junior Member
Вес репутации
47
жалоб нет) спасибо большое!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 19 В ходе лечения обнаружены вредоносные программы:
c:\\users\\пмлпл\\aegvvp.exe - Worm.Win32.FFAuto.csd ( DrWEB: Win32.HLLW.Autoruner.44048, BitDefender: Gen:Variant.Kazy.55682, AVAST4: Win32:FoldRun [Trj] ) c:\\users\\пмлпл\\appdata\\roaming\\11.exe - Trojan.Win32.Menti.hmtn ( DrWEB: Trojan.Winlock.3333, BitDefender: Trojan.Generic.KD.311815, AVAST4: Win32:Malware-gen )