Johnny123
Вот что удалось выяснить:
Где сидит:
%windir%\System32
Пуск - Выполнить - Автозагрузка
создает и загружает .dll, которая перехватывает ввод с клавиатуры. Имя, например *prntsvr.dll, но может быть и другим.
изменяет значение Shell с "explorer.exe" на "explorer.exe %System%\netdc.exe"
следит за окнами которые ты открываешь. Если в нем содержаться слова подобные этим:
Bank bank bull Bull cash ebay ePass Fethard fethard Fidelity gold iKobo mull PayPal storm webmoney WM Keeper + формы для авторизации, то вирус перехватывает клавиатурные нажатия и записывает их в лог-файл %Windir%\TEMP\fe43e701.htm
запускает процесс, который перехватывает данные из буфера обмена и записывает их в лог-файл %Windir%\TEMP\feff35a0.htm
переодически проверяет размер лог-файлов и, если они содержат достаточное к-во информации, отсылает на зашифрованые *e-mail адресса
добавляет следуйщие строки в файл %System%\Drivers\Etc\Hosts
127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 rads.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 viruslist.com
127.0.0.1
www.avp.com
127.0.0.1
www.ca.com
127.0.0.1
www.f-secure.com
127.0.0.1
www.kaspersky.com
127.0.0.1
www.mcafee.com
127.0.0.1
www.my-etrust.com
127.0.0.1
www.nai.com
127.0.0.1
www.networkassociates.com
127.0.0.1
www.sophos.com
127.0.0.1
www.symantec.com
127.0.0.1
www.trendmicro.com
127.0.0.1
www.viruslist.com
это приводит к тому, что вы не сможете зайти на сайты, указаные выше.
Как избавится от вируса:
1. Исправить ключи реестра, которые модифицировал вирус:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
значение "load32"="%System%\netda.exe..."
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
меням значение Shell с "explorer.exe %System%\netdc.exe" на "explorer.exe"
2. нажимаем Пуск->Выполнить, вводим msconfig.
Так как у тебя 2000, то msconfig отсутствует, но прекрасно подходит msconfig от XP? Который можешь скачать здесь:
http://www.blastpass.nm.ru/msconfig.exe
помести его в WINNT (или в System32…)
в открывшемся окне нажимаем на вкладку "Автозагрузка"и снимаем с автозагрузки файл netdb.exe
Либо просто пройдись по реестру поиском с запросом netd* и поудаляй что найдется.
3. Ищем и удаляем с диска файлы
netda.exe
netdb.exe
netdc.exe
4. Находим на диске файл hosts и открываем его блокнотом, удаляем все строки кроме 127.0.0.1 localhost
