Junior Member
Вес репутации
51
Нужна помощь в удалении порноинформера умного происхождения
Всем доброго времени суток, столкнулся с порноинформером
1)Информер запускается когда хочет, в основном когда пытаюсь запустить какие либо программы антивирусы (Запускается информер, закрывается антивирус,закрывается информер, в некоторых случаях вообще выключает компьютер сразу после запуска утилит.)
2)Пробовал все возможные утилиты которые находил через поиск по этому сайту и читал правила форума, но ни одну не получилось запустить так как информер сразу же запускается либо выключает компьютер. (переименовывать утилиты не приносили успеха)
3)Заблокированны:реестр, локальная политика безопасности, сайты антивирусов и утилит.
Пожалуйста помогите справиться с вирусом.
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
надо сделать логи по правилам и мы Вам поможем
Junior Member
Вес репутации
51
Сообщение от
polword
Не получается запустить утилиту avz в безопасном режиме, в обычном тоже. Удалось сохранить лог hijackthis.
порноинформер на номер 3381?
Junior Member
Вес репутации
51
Сообщение от
polword
порноинформер на номер 3381?
Да, он самый, заметил что он сегодня на форуме очень популярен.
Пофиксите в Hijackthis:
Код:
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe srnh.lto iqfnr
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\QxkfNHk.exe,
O4 - HKLM\..\Run: [Generic Host for Win32 Services] L‘|x<
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: C:\WINDOWS\system32\tknkea.dll
O23 - Service: Network Protocol Driver (Netprotocol) - Unknown owner - C:\Documents and Settings\Admin\Application Data\netprotocol.exe (file missing)
Перезагрузитесь. попробуйте сделать теперь логи
Junior Member
Вес репутации
51
Пификсил, сделал новый лог hijackthis. avz по прежнему не получилось запустить.
а логи AVZ пробовали сделать?
Junior Member
Вес репутации
51
Сообщение от
polword
а логи AVZ пробовали сделать?
Пробовал, ничего не вышло.
Есть ли у Вас возможность найти и скачать Live CD с возможностью просмотра и правки реестра, например, ERD Commander ?
Junior Member
Вес репутации
51
Сообщение от
DefesT
Есть ли у Вас возможность найти и скачать Live CD с возможностью просмотра и правки реестра, например, ERD Commander ?
В системе не получается запустить ERD Commander, компьютер презагружается, думаю через пару часов смогу запустить LiveCD.
Образ ERD Commander записывали на болванку и загружались с созданного диска? Если нет, исправляйтесь
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
51
Сообщение от
thyrex
Образ ERD Commander записывали на болванку и загружались с созданного диска? Если нет, исправляйтесь
Загрузился с LiveCD, жду дальнейших инструкций
Junior Member
Вес репутации
51
Хочу добавить, что вирус отошел вместе с порноинформером, все стало на круги своя, все полностью разблокировалось. Логи AVZ прикрепил ниже.
Вложения
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Documents and Settings\Admin\Application Data\netprotocol.exe','');
DeleteService('Netprotocol');
DeleteFile('C:\Documents and Settings\Admin\Application Data\netprotocol.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
51
Эти файлы
c:\windows\regedit.exe
c:\windows\system32\msgsvc.dll
проверьте на virustotal
Ссылки на результат проверки сообщите
Код:
<pre>
c:\program files\QIP\Users\428199584\RcvdFiles\394908422_Настенка\Электричка .exe
</pre>
В этом файле уберите лишний пробел перед расширением
c:\windows\System32\sfcfiles.dll восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
51
Обе ссылки с древними результаттами проверки. Нужно было выбрать Повторить проверку сейчас или что-то подобное. Переделайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
51
Сообщение от
thyrex
Обе ссылки с древними результаттами проверки. Нужно было выбрать Повторить проверку сейчас или что-то подобное. Переделайте
Исправил.
1)http://www.virustotal.com/ru/analisi...ad5-1274417832
2)http://www.virustotal.com/ru/analisi...04b-1274417987