Нужна помощь в удалении порноинформера умного происхождения

**Marik90** · 19.05.2010, 14:26

Всем доброго времени суток, столкнулся с порноинформером
1)Информер запускается когда хочет, в основном когда пытаюсь запустить какие либо программы антивирусы (Запускается информер, закрывается антивирус,закрывается информер, в некоторых случаях вообще выключает компьютер сразу после запуска утилит.)
2)Пробовал все возможные утилиты которые находил через поиск по этому сайту и читал правила форума, но ни одну не получилось запустить так как информер сразу же запускается либо выключает компьютер. (переименовывать утилиты не приносили успеха)
3)Заблокированны:реестр, локальная политика безопасности, сайты антивирусов и утилит.
Пожалуйста помогите справиться с вирусом.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**polword** · 19.05.2010, 14:43

надо сделать логи по правилам и мы Вам поможем

**Marik90** · 19.05.2010, 14:53

Сообщение от polword

надо сделать логи по правилам и мы Вам поможем

Не получается запустить утилиту avz в безопасном режиме, в обычном тоже. Удалось сохранить лог hijackthis.

**polword** · 19.05.2010, 15:07

порноинформер на номер 3381?

**Marik90** · 19.05.2010, 15:09

Сообщение от polword

порноинформер на номер 3381?

Да, он самый, заметил что он сегодня на форуме очень популярен.

**DefesT** · 19.05.2010, 15:31

Пофиксите в Hijackthis:

Код:

F2 - REG:system.ini: Shell=explorer.exe rundll32.exe srnh.lto iqfnr
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\QxkfNHk.exe,
O4 - HKLM\..\Run: [Generic Host for Win32 Services] L‘|x<
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: C:\WINDOWS\system32\tknkea.dll
O23 - Service: Network Protocol Driver (Netprotocol) - Unknown owner - C:\Documents and Settings\Admin\Application Data\netprotocol.exe (file missing)

Перезагрузитесь. попробуйте сделать теперь логи

**Marik90** · 19.05.2010, 15:46

Пификсил, сделал новый лог hijackthis. avz по прежнему не получилось запустить.

**polword** · 19.05.2010, 15:47

а логи AVZ пробовали сделать?

**Marik90** · 19.05.2010, 15:49

Сообщение от polword

а логи AVZ пробовали сделать?

Пробовал, ничего не вышло.

**DefesT** · 19.05.2010, 16:06

Есть ли у Вас возможность найти и скачать Live CD с возможностью просмотра и правки реестра, например, ERD Commander ?

**Marik90** · 19.05.2010, 16:22

Сообщение от DefesT

Есть ли у Вас возможность найти и скачать Live CD с возможностью просмотра и правки реестра, например, ERD Commander ?

В системе не получается запустить ERD Commander, компьютер презагружается, думаю через пару часов смогу запустить LiveCD.

**thyrex** · 19.05.2010, 16:43

Образ ERD Commander записывали на болванку и загружались с созданного диска? Если нет, исправляйтесь

**Marik90** · 20.05.2010, 11:24

Сообщение от thyrex

Образ ERD Commander записывали на болванку и загружались с созданного диска? Если нет, исправляйтесь

Загрузился с LiveCD, жду дальнейших инструкций

**Marik90** · 20.05.2010, 16:33

Хочу добавить, что вирус отошел вместе с порноинформером, все стало на круги своя, все полностью разблокировалось. Логи AVZ прикрепил ниже.

**thyrex** · 20.05.2010, 16:43

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\netprotocol.exe','');
 DeleteService('Netprotocol');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\netprotocol.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1

**Marik90** · 20.05.2010, 17:29

Готово, все сделал.

**thyrex** · 20.05.2010, 19:19

Эти файлы

c:\windows\regedit.exe
c:\windows\system32\msgsvc.dll

проверьте на virustotal
Ссылки на результат проверки сообщите

Код:

<pre>
c:\program files\QIP\Users\428199584\RcvdFiles\394908422_Настенка\Электричка .exe
</pre>

В этом файле уберите лишний пробел перед расширением

c:\windows\System32\sfcfiles.dll восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654