Здравствуйте!!! Примерно каждые 2-3 минуты антивирус NOD32 обнаруживает некий netprotocol.exe находящийся по адресу C:\Documents and Settings\Admin\Application Data\netprotocol.exe, но удалить его не может. Прошу вашей помощи
Здравствуйте!!! Примерно каждые 2-3 минуты антивирус NOD32 обнаруживает некий netprotocol.exe находящийся по адресу C:\Documents and Settings\Admin\Application Data\netprotocol.exe, но удалить его не может. Прошу вашей помощи
Уважаемый(ая) brutalist, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте.
Пофиксите в HijackThis (как пофиксить):
Выполните скрипт в AVZ (как выполнить):Код:R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file) O2 - BHO: URLToolBHO - {B2150688-1AA5-4698-90BE-C3CBECBB5786} - (no file) O2 - BHO: Визуальные Закладки - {C93F72A2-2162-4BBA-A07A-F13663C297A6} - (no file) O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file) O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file) O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file) O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file) O4 - HKCU\..\Run: [Netprotocol] C:\Documents and Settings\Admin\Application Data\netprotocol.exe
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\documents and settings\admin\application data\netprotocol.exe'); ClearQuarantine; QuarantineFile('gupdate.sys',''); QuarantineFile('c:\documents and settings\admin\application data\netprotocol.exe',''); DeleteFile('c:\documents and settings\admin\application data\netprotocol.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:53677 3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file) OO2 - BHO: URLToolBHO - {B2150688-1AA5-4698-90BE-C3CBECBB5786} - (no file) O2 - BHO: Визуальные Закладки - {C93F72A2-2162-4BBA-A07A-F13663C297A6} - (no file) O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file) O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file) O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file) O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file) O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [Netprotocol] C:\Documents and Settings\Admin\Application Data\netprotocol.exe
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Admin\Application Data\netprotocol.exe',''); DeleteFile('C:\Documents and Settings\Admin\Application Data\netprotocol.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=112404).
Установите все доступные обновления безопасности для Windows.
Сделайте новые логи.
I am not young enough to know everything...
карантин и логи выслал. Проблема осталась.
так что проблему решить не получится???
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Удалите в МВАМ только указанные ниже записиКод:Зараженные ключи в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2DA0C6B8-8A27-4CBC-AF49-F8C0FD63D954} (Adware.LinkPlacing) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B2150688-1AA5-4698-90BE-C3CBECBB5786} (Adware.LinkPlacing) -> No action taken. HKEY_CLASSES_ROOT\JS_Hijack.BHOImpl (Adware.LinkPlacing) -> No action taken. HKEY_CLASSES_ROOT\JS_Hijack.BHOImpl.1 (Adware.LinkPlacing) -> No action taken. HKEY_CLASSES_ROOT\LinkPlacing.LPBHOImpl (Adware.LinkPlacing) -> No action taken. HKEY_CLASSES_ROOT\LinkPlacing.LPBHOImpl.1 (Adware.LinkPlacing) -> No action taken. HKEY_CLASSES_ROOT\AppID\JS_Hijack.DLL (Adware.LinkPlacing) -> No action taken. HKEY_CLASSES_ROOT\AppID\LinkPlacing.DLL (Adware.LinkPlacing) -> No action taken. HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microwsoft (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\JetSwap (Adware.JetSwap) -> No action taken. Зараженные параметры в реестре: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> No action taken. Зараженные папки: c:\documents and settings\Admin\application data\20813249 (Rogue.Multiple) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
thyrex,
данные записи удалили. Лог прилогается. Проблема осталась....
Вот такое сообщение каждый раз выдает мой нод.
Вложение 337059
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
высылаю лог combofix
проблемы вроде бы пока не замечаю.
Прокси-сервер 127.0.0.1:53677 в настройках Firefox сами прописывали? Если нет добавьте в ниже приведенных скрипт и эти строчки
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.Код:FF - prefs.js: network.proxy.http - 127.0.0.1 FF - prefs.js: network.proxy.http_port - 53677
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: Firefox:: FF - ProfilePath - c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\elvef1q0.default\ FF - prefs.js: browser.search.selectedEngine - Webalta Search FF - prefs.js: browser.startup.homepage - hxxp://webalta.ru FF - prefs.js: keyword.URL - hxxp://webalta.ru/poisk?q=
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Прокси в мозиле не прописыывал. Высылаю повторный лог.
Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\application data\\netprotocol.exe - Backdoor.Win32.Buterat.czm ( DrWEB: BackDoor.Butirat.44, BitDefender: Backdoor.Generic.694986, AVAST4: Win32:SMSSend-QG [Trj] )
Уважаемый(ая) brutalist, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.