категории | RSS

NETPROTOCOL .EXE - Что это такое?

NETPROTOCOL.EXE - это вредоносный код, позволяющий хакеру получать доступ к зараженному компьютеру. Представляет собой обычное приложение ОС Windows (PE-EXE файл). Размер 89088 байт и 181 КБ в распакованном виде. Упакован неизвестным упаковщиком. Написан на языке программирования C++. Это новый или не очень вирус, который берет компьютер в свои "руки", после чего действия компьютера становятся непредсказуемыми. Компьютер начинает тормозить, блокируется посещение многих сайтов. Что же это такое? Это не системный процесс Windows. Процесс начинает работу при запуске Windows. У файла нет информации о создателе этого файла. Это неизвестный файл в папке Windows. Может менять поведение других программ или манипулировать другими программами а так же запускать вирус WinLocker(блокировщик системы с просьбой отправить платное смс сообщение для разблокировки) и не имеет видимого окна. К сожалению антивирусные программы, по неизвестным причинам, находят этот вирус но не удаляют или делают видимость, что удаляют но вирус остается на месте.

Решение проблемы:

Для Windows XP
Загружаемся в безопасном режиме. Для этого, при перезагрузке, до запуска Windows жмём на клавишу F8 до появления загрузочного меню. В меню выбираем верхний пункт «Безопасный режим» Нажимаем Пуск / выполнить /regedit/, открываем редактор реестра. Идём по ветке
HKEY_CURRENT_USER \ Software \Microsoft \ Windows \ CurrentVersion \ Run
Удаляем строки
conime32.exe и netprotocol.exe
Идём по ветке
HKEY_LOCAL_MACHINE \ Software\ Microsoft \
Удаляем строку Netprotocol
Открываем доступ к скрытым папкам. Для этого открываем любую папку, нажимаем в верхней строке «сервис» / «свойства папки» /«вид» / листаем ползунок вниз, ставим точку «показывать скрытые файлы и папки» /«ок»
Идём в папку С: / Documents and settings / *Имя пользователя* (чаще всего Admin) / Application Data
Там удаляем файлы system.exe, netprotdrvss.exe и netprotocol.exe
Идём в папку С: / Windows / system32
Удаляем файлы netprotdrvss и netprotocol.dll
Перезагружаемся.

Для Windows Vista/7
Загружаемся в безопасном режиме. Для этого, при перезагрузке, до запуска Windows жмём на клавишу F8 до появления загрузочного меню. В меню выбираем верхний пункт «Безопасный режим»
Нажимаем Пуск / выполнить /regedit/, открываем редактор реестра.
Идём по ветке
HKEY_CURRENT_USER \ Software \Microsoft \ Windows \ CurrentVersion \ Run
Удаляем строки conime32.exe и netprotocol.exe
Идём по ветке HKEY_LOCAL_MACHINE \ Software\ Microsoft \
Удаляем строку Netprotocol
Открываем доступ к скрытым папкам. Для этого открываем любую папку, в верхнем левом углу «Упорядочить» / «параметры папок и поиска» / «вид» / листаем ползунок вниз, ставим точку «показывать скрытые файлы и папки» / «ок»
Идём в папку C: / Пользователи / *Имя пользователя* / AppData / Roaming
Там удаляем файлы system.exe, netprotdrvss.exe и netprotocol.exe
Идём в папку С: / Windows / system32
Удаляем файлы netprotdrvss и netprotocol.dll
Перезагружаемся.
После вышеуказанной процедуры рекомендуется почистить систему, например программой CCleaner, обязательно установив галочку на пункте «очистить кэш DNS».
Всем удачи.

bogatstvo
2012-05-14T12:37:12Z

Здесь находятся
всего 0. За сутки здесь было 0 человек

Комментарии 23

  • 1
  • 2
  • #
#23   Black dance    

А где взять сам файл?


0 ответить

#23   Angel-iz-Ada    

ali.gamidov
лечиться в обычном режиме


0 ответить

#23   ali.gamidov    

А что делать если в безопасном режиме комп отказывается запускаться? smile
Бывали у меня такие случаи, приходилось тупо переустанавливать систему.


0 ответить

#23   Angel-iz-Ada    

amurec
только отключенный антивирус не заблокировал бы его)


0 ответить

#23   amurec    

А у меня Аваст даже при попытке извлечь из архива заблокировал его

Прикрепленный файл:

Внимание! У вас нет прав для просмотра скрытого текста.
(79, 82 Kb)


* редактировал(а) amurec 16 май 2012

0 ответить

#23   sever99    

Vint2208, Ну так виртулка же wink Да и увс у меня всегда в загашнике


0 ответить

#23   Vint2208    

Цитата: bogatstvo
Аваст точно пропускает

мне больше интересно, что аваст не пропускает
*ссори за офф))
Цитата: sever99
Так что песочница работает

а если б пропустила? winked


1 ответить

#23   sever99    

Щас попробую в санбокси.
-------------
Добавлено в 16.23: bogatstvo, Он начинает делать свое грязное дело в песочнице, как только запустил  НОД

заблокировал попытку доступа в сеть. Вот  скрин с запущенным вирусом.
Вот после удаления  песочницы Так что песочница работает.
-------------
Добавлено в 16.28: надо наверное настроить песочницу, на будущее, чтоб вообще не пускала в сеть без запроса, ни одну программу.


* редактировал(а) sever99 15 май 2012

0 ответить

#23   bogatstvo    

Ну ребята у вас тут целая лаборатория ))) на нобелевскую премию я в долях )))
-------------
Добавлено в 16.03: sever99
песочница ему не помеха. Аваст точно пропускает.


0 ответить

#23   sever99    

Angel-iz-Ada, А через песочницу просочится?

-------------
наверно нет...?


* редактировал(а) sever99 15 май 2012

0 ответить

#23   Vint2208    

Angel-iz-Ada,
ну это да) само собой.. есть конеш способ с помощью акроника подобное замутить(Try & Decide), но я бы не рискнул даже с самым безобидным зловредом winked


0 ответить

#23   Angel-iz-Ada    

Vint2208
да, работает
лучше на виртуалке запускай чтоб он не слил в сеть твои данные)


0 ответить

#23   Vint2208    

Angel-iz-Ada,
ага.. Благодарю, забрал. Сам испытывал его?
*попробую вылечить обоими методами


0 ответить

#23   Angel-iz-Ada    

Vint2208,
вот один из свежих, но уже всеми детектится. пароль на архив virus. расширение файла сам изменишь (чтоб всякие идиоты не запустили случайно)


Прикрепленный файл:

Внимание! У вас нет прав для просмотра скрытого текста.
(93, 93 Kb)


2 ответить

#23   Vint2208    

Angel-iz-Ada,
ОК'э.. не забудь только)) затестим


0 ответить

#23   Angel-iz-Ada    

Vint2208,
завтра кучу разных поищу, скину


1 ответить

#23   Vint2208    

bogatstvo,
коллекционирую)


0 ответить

#23   bogatstvo    

Angel-iz-Ada
я отлично знаю эту прогу и раньше постоянно ее здесь выкладывал. А решил описать ручной способ потому, что в сети много комментариев, что ничего не помогает и даже если как бы вирус удалился то через время какой-то хвост его затягивает из сети. В любом случае от статьи хуже не будет. Еще с ним проблема может быть такая, что вылазит окно и курсор мыши не выходит за пределы этого окна.

-------------
Добавлено в 18.08: Vint2208
а зачем он тебе? Рисковый ты )))


0 ответить

#23   Vint2208    

а есть тело этого чуда у кого нть? winked


1 ответить

#23   Angel-iz-Ada    

bogatstvo
Эта прога дает smile
И не только с этим вирусом. Лечит все кроме файловых.
Да и весит она всего 1, 5 мб.


0 ответить

  • 1
  • 2
  • #