NOD нашел зараженный hfpapi.dll [not-a-virus:HEUR:RiskTool.Win32.NetFilter.heur, not-a-virus:AdWare.Win32.Amonetize.faj ]

Printable View

17.10.2014, 17:51
Легич

NOD нашел зараженный hfpapi.dll [not-a-virus:HEUR:RiskTool.Win32.NetFilter.heur, not-a-virus:AdWare.Win32.Amonetize.faj ]

Добрый вечер!
NOD ругается на зараженный "C:\WINDOWS\system32\hfpapi.dll", пишет "win32/riskware.netfilter.b". Удалить не получается. Помогите, плиз!
17.10.2014, 17:52
Info_bot

Уважаемый(ая) [B]Легич[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
17.10.2014, 19:01
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Documents and Settings\Юля\Application Data\32365\Updater.exe','');
QuarantineFile('C:\Documents and Settings\Юля\dewuuogt.exe','');
QuarantineFile('C:\Documents and Settings\Юля\Application Data\netprotocol.exe','');
QuarantineFile('C:\WINDOWS\system32\netupdsrv.exe','');
QuarantineFile('C:\WINDOWS\system32\nethtsrv.exe','');
SetServiceStart('ServiceUpdater', 4);
DeleteService('ServiceUpdater');
SetServiceStart('NetHttpService', 4);
DeleteService('NetHttpService');
QuarantineFile('C:\WINDOWS\system32\hfpapi.dll','');
QuarantineFile('C:\WINDOWS\system32\hfnapi.dll','');
TerminateProcessByName('c:\windows\system32\netupdsrv.exe');
QuarantineFile('c:\windows\system32\netupdsrv.exe','');
TerminateProcessByName('c:\windows\system32\nethtsrv.exe');
QuarantineFile('c:\windows\system32\nethtsrv.exe','');
DeleteFile('c:\windows\system32\nethtsrv.exe','32');
DeleteFile('c:\windows\system32\netupdsrv.exe','32');
DeleteFile('C:\WINDOWS\system32\hfnapi.dll','32');
DeleteFile('C:\WINDOWS\system32\hfpapi.dll','32');
DeleteFile('C:\WINDOWS\system32\nethtsrv.exe','32');
DeleteFile('C:\WINDOWS\system32\netupdsrv.exe','32');
DeleteFile('C:\Documents and Settings\Юля\Application Data\netprotocol.exe','32');
DeleteFile('C:\Documents and Settings\Юля\Application Data\newnext.me\nengine.dll','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Netprotocol','command');
DeleteFile('C:\Documents and Settings\Юля\dewuuogt.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MSConfig','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');
DeleteFile('C:\Program Files\Mobogenie\DaemonProcess.exe','32');
DeleteFile('C:\Documents and Settings\Юля\Application Data\32365\Updater.exe','32');
DeleteFile('C:\WINDOWS\Tasks\AmiUpdXp.job','32');
DeleteFileMask('C:\Documents and Settings\Юля\Application Data\32365', '*', true);
DeleteDirectory('C:\Documents and Settings\Юля\Application Data\32365');
DeleteFileMask('C:\Program Files\Mobogenie', '*', true);
DeleteDirectory('C:\Program Files\Mobogenie');
DeleteFileMask('C:\Documents and Settings\Юля\Application Data\newnext.me', '*', true);
DeleteDirectory('C:\Documents and Settings\Юля\Application Data\newnext.me');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
17.10.2014, 19:46
Легич

Сделал.
17.10.2014, 20:46
thyrex

Выполните скрипт в AVZ
[code]begin
DeleteService('nethfdrv');
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Сделайте новые логи
18.10.2014, 09:36
Легич

Вот.
18.10.2014, 11:02
regist

[url=http://virusinfo.info/showthread.php?t=4491]Профиксите[/url] в HijackThis

[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
[/CODE]

Сделайте свежий лог HijackThis

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
20.10.2014, 13:30
Легич

Вот свежие логи.
20.10.2014, 14:45
regist

- [url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
20.10.2014, 15:23
Легич

Готово
20.10.2014, 17:34
regist

Проблема решена?
20.10.2014, 17:39
Легич

Решена. Спасибо огромное! :clapping::thumbs:
20.10.2014, 17:47
regist

[LIST][*]Пожалуйста, запустите adwcleaner.exe[*]Нажмите [B]Uninstall[/B] ([B]Удалить[/B]).[*]Подтвердите удаление нажав кнопку: Да.[/LIST]

Выполните скрипт в AVZ при наличии доступа в интернет:

[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
20.10.2014, 20:09
Легич

Рекомендации выполнил. Еще раз благодарю.
20.10.2014, 20:19
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\юля\application data\32365\updater.exe - [B]not-a-virus:AdWare.Win32.Amonetize.faj[/B] ( BitDefender: Adware.Generic.1027983 )[*] c:\windows\system32\netupdsrv.exe - [B]not-a-virus:HEUR:RiskTool.Win32.NetFilter.heur[/B] ( DrWEB: BackDoor.Siggen.57756, BitDefender: Gen:Variant.Adware.Netfilter.2 )[/LIST][/LIST]