-
Junior Member
- Вес репутации
- 52
Вирус nettir32.exe
Угораздило поймать порнобаннер pornohub.com. Просил отправить SMS 1840151734244 на номер 3381. Заблокировал диспетчер задачь, regedit и msconfig. Так же любые попытки запустить антивирус или фаерволл сраз пресекались вирусом. Через сайт drweb нашёл пароль дря разблокировки баннера. Ввёл его. Баннер выдал сообщение что пароль не верный и перезагрузил компьютер. Однако, больше он не появлялся. Появилась возможность запускать msconfig, антивирус и фаерволл, но система ужасно тормозит. Реестр и диспетчер задач по прежнему заблокированы. Просканировал систему антивирусом Symantec Norton Antivirus. Ничего не нашёл. Хотя базы последние. Process Explorer тоже запустился, но "левых" процессов я не обнаружил. Через msconfig в Автозагрузке обнаружил процессы nettir32.exe, ysdvwrp.exe, dumprep 0 -k. По указанным путям такие файлы отсутствуют. Убрал галочки с автозагрузки этих процессов, но nettir32.exe сделал свою копию и всёравно повторно запускается. CureIt нашёл и удалил ysdvwrp.exe но из списка Автозагрузки он не исчез, хоть и не дублирует себя как nettir32. Если необходимо могу прикрепить скриншот с файлами Автозагрузки. Заранее благодарен за помощь.
Последний раз редактировалось DxL; 15.04.2011 в 16:53.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('C:\Documents and Settings\Саня\Главное меню\Программы\Автозагрузка\nettir32.exe','');
DeleteFile('C:\Documents and Settings\Саня\Главное меню\Программы\Автозагрузка\nettir32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Обновите базы AVZ.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 52
Скрипт выполнил. Диспетчер задач и редактор реестра запускаются. Дублёр nettir32.exe в автозагрузке исчез. Но nettir32.exe, ysdvwrp.exe, dumprep 0 -k в списке по прежнему остались, хоть и не запускаются. Карантин выслал. Базы AVZ обновил. Новый лог сделал и прикладываю.
Последний раз редактировалось DxL; 15.04.2011 в 16:53.
-
Сообщение от
DxL
Но nettir32.exe, ysdvwrp.exe, dumprep 0 -k в списке по прежнему остались
Я их в списке автозапуска не вижу. В логе чисто.
-
-
Junior Member
- Вес репутации
- 52
Ок. Спасибо 
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\саня\главное меню\программы\автозагрузка\nettir32.exe - Backdoor.Win32.Bredolab.ext ( DrWEB: Trojan.Packed.20358, AVAST4: Win32:MalOb-BH [Cryp] )
-
