Вирус nettir32.exe

Printable View

02.06.2010, 12:21
DxL

Вирус nettir32.exe

Угораздило поймать порнобаннер pornohub.com. Просил отправить SMS 1840151734244 на номер 3381. Заблокировал диспетчер задачь, regedit и msconfig. Так же любые попытки запустить антивирус или фаерволл сраз пресекались вирусом. Через сайт drweb нашёл пароль дря разблокировки баннера. Ввёл его. Баннер выдал сообщение что пароль не верный и перезагрузил компьютер. Однако, больше он не появлялся. Появилась возможность запускать msconfig, антивирус и фаерволл, но система ужасно тормозит. Реестр и диспетчер задач по прежнему заблокированы. Просканировал систему антивирусом Symantec Norton Antivirus. Ничего не нашёл. Хотя базы последние. Process Explorer тоже запустился, но "левых" процессов я не обнаружил. Через msconfig в Автозагрузке обнаружил процессы nettir32.exe, ysdvwrp.exe, dumprep 0 -k. По указанным путям такие файлы отсутствуют. Убрал галочки с автозагрузки этих процессов, но nettir32.exe сделал свою копию и всёравно повторно запускается. CureIt нашёл и удалил ysdvwrp.exe но из списка Автозагрузки он не исчез, хоть и не дублирует себя как nettir32. Если необходимо могу прикрепить скриншот с файлами Автозагрузки. Заранее благодарен за помощь.
02.06.2010, 12:51
AndreyKa

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]begin
SetAVZGuardStatus(True);
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('C:\Documents and Settings\Саня\Главное меню\Программы\Автозагрузка\nettir32.exe','');
DeleteFile('C:\Documents and Settings\Саня\Главное меню\Программы\Автозагрузка\nettir32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.
Обновите базы AVZ.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
02.06.2010, 14:26
DxL

Скрипт выполнил. Диспетчер задач и редактор реестра запускаются. Дублёр nettir32.exe в автозагрузке исчез. Но nettir32.exe, ysdvwrp.exe, dumprep 0 -k в списке по прежнему остались, хоть и не запускаются. Карантин выслал. Базы AVZ обновил. Новый лог сделал и прикладываю.
02.06.2010, 14:33
AndreyKa

[QUOTE='DxL;648102']Но nettir32.exe, ysdvwrp.exe, dumprep 0 -k в списке по прежнему остались[/QUOTE]Я их в списке автозапуска не вижу. В логе чисто.
02.06.2010, 14:36
DxL

Ок. Спасибо :)
03.06.2010, 14:36
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\саня\главное меню\программы\автозагрузка\nettir32.exe - [B]Backdoor.Win32.Bredolab.ext[/B] ( DrWEB: Trojan.Packed.20358, AVAST4: Win32:MalOb-BH [Cryp] )[/LIST][/LIST]