Помогите - netprotocol.exe

**4erkov** · 03.08.2011, 11:33

Здравствуйте.
После того, как полазил по всяким "левым" сайтам, после перезагрузки я заметил новый процесс "netprotocol.exe", но к сожелению недолго думая я удалил процес и сам файл (C:\Documents and Settings\User\Application Data\netprotocol.exe)... А точнее, их там было два. Но сохранился ексешник во временной папке, закинул на вирустотал

Код:

http://www.virustotal.com/file-scan/report.html?id=e06bfb90384ad0a97df3ac7b2125c97909ddd2de221b2a350c4886b9aedff81b-1312355440

Также заметил, что в пунтке "показывать скрытые файлы и папки", стоит "нет", но изменить значение можно. Думаю, что я далеко не все удалил, прошу вашей помощи.

Сразу извиняюсь, я новичок, если что не так, исправлю/добавлю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 03.08.2011, 11:34

Уважаемый(ая) 4erkov, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**olejah** · 03.08.2011, 12:33

Здравствуйте. Необходимо выполнить правила оформления запроса о помощи.

**4erkov** · 03.08.2011, 14:51

Здравствуйте. Вот логи.

Кстати, при сканировании системы с LiveCD, касперский ругается на файл ProduKey.exe (C:\\Windows\system32\cpldapu\produkey.exe).

**4erkov** · 03.08.2011, 18:40

Похоже, что-то новенькое.
Утром еще только 3-ма антивирусами определялась как вредоносная программа, в обдед - уже 6.
Судя по описанию - Trojan-Dropper.Win32.TDSS.aqyz

Добавлено через 49 минут

Пишу сейчас с LiveDVD.
Когда увидел, что программа определяется уже по точному имени, решил ее погуглить.
Нашел описание похожей версии на securelist:

Код:

http://www.securelist.com/ru/descriptions/15075011/Trojan-Dropper.Win32.TDSS.ddf

Прочитал про:

Руткит использует свою собственную реализацию шифрованной файловой системы за пределами размеченной области, в которой хранятся конфигурационные данные и дополнительные библиотеки пользовательского режима.

Также руткит перехватывает DriverStartIO в драйвере-минипорте для контроллера жесткого диска с целью обслуживания запросов к своим файлам.
Производит заражение одного из системных драйверов, выбранного случайным образом, куда прописывает свой код, цель которого загрузить тело руткита с диска и затем передать управление.

И решил проверить через LiveDVD и жахнулся: каждый том сожержит шифрованую папку "## aswSnx private storage" и в ней в папке Opera (да и в других) куча файлов, в том числе и dat.

Очееень прошу вашей помощи...

Добавлено через 10 минут

Хмм... Дата создания той папки - 2011,07,16, может она связанна с другой вредоносной программой...