netprotocol.exe

Здравствуйте.

Поймал на варезнике эту гадость. Avast его постоянно блокирует:
[url]http://i1176.photobucket.com/albums/x322/komo9do/Avast.png[/url]

Сперва попытался удалить его вручную, используя следующий FAQ:
[url]http://i1176.photobucket.com/albums/x322/komo9do/XP.jpg[/url]

Часть файлов нашел, удалил. Неделю всё было тихо, но сегодня он опять откуда-то вылез.

Теперь я сделал всё по вашей инструкции (проверка компьютера в безопасном режиме с помощью Dr.Web CureIt!):
[url]http://i1176.photobucket.com/albums/x322/komo9do/copyfinal.jpg[/url]
3 выделенных exe-шника я переместил в карантил сам (надо было, наверное, удалять, да?)

Это тоже не помогло. netprotocol.exe остался.

Логи утилит AVZ и HiJackThis прилагаются.

Буду благодарен за помощь!

Уважаемый(ая) [B]unicre[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Пофиксите в HijackThis:
[code]
O4 - HKLM\..\Run: [RelevantKnowledge] C:\Program Files\RelevantKnowledge\rlvknlg.exe -boot
O4 - HKCU\..\Run: [MRDaemon.exe] C:\Program Files\Mnet\QuickManager2\MRDaemon.exe
O4 - HKCU\..\Run: [Netprotocol] C:\Documents and Settings\Beta\Application Data\netprotocol.exe
O4 - Startup: PowerReg Scheduler V3.exe
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Beta\Application Data\netprotocol.exe','');
DeleteFile('C:\Documents and Settings\Beta\Application Data\netprotocol.exe');
DeleteFile('C:\Program Files\relevantknowledge\rlls.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 2 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=120374[/url]).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

Готово.

Чисто.

[QUOTE=Bratez;890262]Чисто.[/QUOTE]
[B]Bratez[/B], огромное Вам спасибо за помощь! :beer:

[B]Bratez[/B], здравствуйте.

Это снова я :( Он опять появился. По говно-варезникам я не лазил, не знаю что за напасть такая.

Новую тему не стал создавать. Прошу помочь.

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Beta\Application Data\netprotocol.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

Ставьте все обновления безопасности для Windows через Microsoft или [URL="http://forum.oszone.net/thread-232235.html"]вот такой набор[/URL].

[QUOTE=Bratez;891379]
Ставьте все обновления безопасности для Windows через Microsoft или [URL="http://forum.oszone.net/thread-232235.html"]вот такой набор[/URL].[/QUOTE]
Сейчас буду разбираться с этим делом.

В логах чисто.

[QUOTE=Bratez;891468]В логах чисто.[/QUOTE]
Спасибо!

P.S. [B]Bratez[/B], скажите, а чем может быть вызвано повторное появление этого вируса (при условии, что я не посещал варезники и др. опасные сайты)? Насколько я понял, перечитав с десяток разных форумов, этот вирус не может удалить ни один антивирус.

И ещё, об обновлениях. Достаточно будет поставить лишь вот это - [B]Обновление для системы безопасности Windows XP Embedded (KB2686509) [/B]?
[URL]http://www.microsoft.com/downloads/ru-ru/details.aspx?FamilyID=91ff3c9d-e546-4b31-9b25-fb9abbb61ee9#QuickDetails[/URL]

Задаю этот вопрос по той причине, что использую нелицензионный Windows, а полное обновление, как известно, сулит смертью операционки.

[quote="unicre;891563"]а чем может быть вызвано повторное появление этого вируса[/quote]
Подозреваю, что наличием уязвимостей в системе (которые закрываются путем установки обновлений).

[quote="unicre;891563"]Достаточно будет поставить лишь вот это - Обновление для системы безопасности Windows XP Embedded (KB2686509) ?
[url]http://www.microsoft.com/downloads/r...9#QuickDetails[/url][/quote]
Нет, это вообще не то.

Вы по моей ссылке смотрели? Скачайте оттуда набор Security Pre-SP4 и поставьте, активация не потребуется.

[QUOTE=Bratez;891564]
Нет, это вообще не то.

Вы по моей ссылке смотрели? Скачайте оттуда набор Security Pre-SP4 и поставьте, активация не потребуется.[/QUOTE]
Да, читал. Но я почему-то зациклился на фразе "Если вы домашний пользователь, то рекомендую для обновления операционных систем Windows использовать Microsoft Update или Windows Update". Поэтому и начал искать эти обновления.

[B]Перед использованием рекомендуется сделать образ диска или системной партиции утилитами Symantec Ghost или Acronis True Image.[/B]
Этот пункт строго обязателен перед тем как ставить Security Pre-SP4?

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]

[quote="unicre;891683"]Этот пункт строго обязателен перед тем как ставить Security Pre-SP4?[/quote]
Нет. Я много раз устанавливал эти пакеты, проблем не было никогда.

[QUOTE=thyrex;891784]Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/URL][/QUOTE]
[B]thyrex[/B], сделал.
[QUOTE=Bratez;891826]Нет. Я много раз устанавливал эти пакеты, проблем не было никогда.[/QUOTE]
[B]Bratez[/B], установил, спасибо.

P.S. Пока шло сканирование MBAM Avast переместил в карантин следующие вирусы:
[URL]http://i1176.photobucket.com/albums/x322/komo9do/Avast-kanatin.png[/URL]

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные строки[/b] [code]Обнаруженные ключи в реестре: 2
HKLM\SOFTWARE\StimulProfit (Adware.Agent) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{d08d9f98-1c78-4704-87e6-368b0023d831} (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.

Обнаруженные папки: 2
C:\Program Files\RelevantKnowledge (PUP.Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Главное меню\Программы\RelevantKnowledge (PUP.Spyware.MarketScore) -> Действие не было предпринято.

Обнаруженные файлы: 22
C:\Program Files\RelevantKnowledge\rlls64.dll (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.
C:\Program Files\RelevantKnowledge\rlvknlg64.exe (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.
L:\Users\User\DoctorWeb\Quarantine\rlservice.exe (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.
L:\Users\User\DoctorWeb\Quarantine\rlvknlg.exe (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.
C:\Program Files\RelevantKnowledge\ncncf.dat (PUP.Spyware.MarketScore) -> Действие не было предпринято.
C:\Program Files\RelevantKnowledge\rloci.bin (PUP.Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Главное меню\Программы\RelevantKnowledge\About RelevantKnowledge.lnk (PUP.Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Главное меню\Программы\RelevantKnowledge\Privacy Policy and User License Agreement.lnk (PUP.Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Главное меню\Программы\RelevantKnowledge\Support.lnk (PUP.Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Главное меню\Программы\RelevantKnowledge\Uninstall Instructions.lnk (PUP.Spyware.MarketScore) -> Действие не было предпринято.[/code]

Готово.

Теперь полный порядок

Ребята, огромное вам спасибо за помощь!!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\beta\\application data\\netprotocol.exe - [B]Backdoor.Win32.Buterat.hzl[/B] ( DrWEB: Trojan.Packed.22581, BitDefender: Gen:Variant.Zusy.7006, AVAST4: Win32:Downloader-OLW [Trj] )[/LIST][/LIST]