Здравствуйте!!! Примерно каждые 2-3 минуты антивирус NOD32 обнаруживает некий netprotocol.exe находящийся по адресу C:\Documents and Settings\Admin\Application Data\netprotocol.exe, но удалить его не может. Прошу вашей помощи
Printable View
Здравствуйте!!! Примерно каждые 2-3 минуты антивирус NOD32 обнаруживает некий netprotocol.exe находящийся по адресу C:\Documents and Settings\Admin\Application Data\netprotocol.exe, но удалить его не может. Прошу вашей помощи
Уважаемый(ая) [B]brutalist[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте.
Пофиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"](как пофиксить)[/URL]:
[CODE]
R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
O2 - BHO: URLToolBHO - {B2150688-1AA5-4698-90BE-C3CBECBB5786} - (no file)
O2 - BHO: Визуальные Закладки - {C93F72A2-2162-4BBA-A07A-F13663C297A6} - (no file)
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O4 - HKCU\..\Run: [Netprotocol] C:\Documents and Settings\Admin\Application Data\netprotocol.exe
[/CODE]
Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\admin\application data\netprotocol.exe');
ClearQuarantine;
QuarantineFile('gupdate.sys','');
QuarantineFile('c:\documents and settings\admin\application data\netprotocol.exe','');
DeleteFile('c:\documents and settings\admin\application data\netprotocol.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
Пофиксите в HijackThis:
[code]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:53677
3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
OO2 - BHO: URLToolBHO - {B2150688-1AA5-4698-90BE-C3CBECBB5786} - (no file)
O2 - BHO: Визуальные Закладки - {C93F72A2-2162-4BBA-A07A-F13663C297A6} - (no file)
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Netprotocol] C:\Documents and Settings\Admin\Application Data\netprotocol.exe
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Application Data\netprotocol.exe','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\netprotocol.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=112404[/url]).
Установите все доступные обновления безопасности для Windows.
Сделайте новые логи.
карантин и логи выслал. Проблема осталась.
так что проблему решить не получится???
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
[QUOTE=thyrex;841763]Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url][/QUOTE]
Просканировал с помошью MBAM. Выслал лог.
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные ниже записи[/b] [code]Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2DA0C6B8-8A27-4CBC-AF49-F8C0FD63D954} (Adware.LinkPlacing) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B2150688-1AA5-4698-90BE-C3CBECBB5786} (Adware.LinkPlacing) -> No action taken.
HKEY_CLASSES_ROOT\JS_Hijack.BHOImpl (Adware.LinkPlacing) -> No action taken.
HKEY_CLASSES_ROOT\JS_Hijack.BHOImpl.1 (Adware.LinkPlacing) -> No action taken.
HKEY_CLASSES_ROOT\LinkPlacing.LPBHOImpl (Adware.LinkPlacing) -> No action taken.
HKEY_CLASSES_ROOT\LinkPlacing.LPBHOImpl.1 (Adware.LinkPlacing) -> No action taken.
HKEY_CLASSES_ROOT\AppID\JS_Hijack.DLL (Adware.LinkPlacing) -> No action taken.
HKEY_CLASSES_ROOT\AppID\LinkPlacing.DLL (Adware.LinkPlacing) -> No action taken.
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microwsoft (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\JetSwap (Adware.JetSwap) -> No action taken.
Зараженные параметры в реестре:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> No action taken.
Зараженные папки:
c:\documents and settings\Admin\application data\20813249 (Rogue.Multiple) -> No action taken.[/code]
[B]thyrex[/B],
данные записи удалили. Лог прилогается. Проблема осталась....
Вот такое сообщение каждый раз выдает мой нод.
[ATTACH=CONFIG]337059[/ATTACH]
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
высылаю лог combofix
проблемы вроде бы пока не замечаю.
Прокси-сервер 127.0.0.1:53677 в настройках Firefox сами прописывали? Если нет добавьте в ниже приведенных скрипт и эти строчки
[CODE]FF - prefs.js: network.proxy.http - 127.0.0.1
FF - prefs.js: network.proxy.http_port - 53677[/CODE]
Скопируйте текст ниже в Блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на диск С.
[code]KillAll::
Firefox::
FF - ProfilePath - c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\elvef1q0.default\
FF - prefs.js: browser.search.selectedEngine - Webalta Search
FF - prefs.js: browser.startup.homepage - hxxp://webalta.ru
FF - prefs.js: keyword.URL - hxxp://webalta.ru/poisk?q=
[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://safezone.cc/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
Прокси в мозиле не прописыывал. Высылаю повторный лог.
Проблема решена?
[quote="thyrex;842060"]Проблема решена?[/quote]
ДА. Огромное спасибо.
[url="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/url]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\application data\\netprotocol.exe - [B]Backdoor.Win32.Buterat.czm[/B] ( DrWEB: BackDoor.Butirat.44, BitDefender: Backdoor.Generic.694986, AVAST4: Win32:SMSSend-QG [Trj] )[/LIST][/LIST]