ошибка при запуске pqrs.tmo

[vadiman]

Помогите разобраться- Удалил несколько троянов - теперь при включении или перезагрузке появляется окно с записью "ошибка при запуске pqrs.tmo" - не найден указанный модуль , как это исправить?

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

[edde]

Здравствуйте.

Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы.

2. Очистите и создате новую контрольную точку восстановления, чтобы если во время лечения произошла непредвиденная ситуация, вы могли вернуть систему к предыдущему состоянию

Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

3. Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли

Если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли

4. Сделайте резервную копию реестра

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению

Описание SDFix есть здесь

[Diongo]

Пофиксите в HiJackThis

R3 - URLSearchHook: (no name) -  - (no file)F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe pqrs.tmo printerF2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\8CE5~1\APPLIC~1\UFASTD~1\PROPET~1.EXEO2 - BHO: (no name) - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - (no file)

И выполните скрипт в AVZ

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\DOCUME~1\8CE5~1\APPLIC~1\UFASTD~1\PROPET~1.EXE','');QuarantineFile('pqrs.tmo','');DeleteFile('C:\DOCUME~1\8CE5~1\APPLIC~1\UFASTD~1\PROPET~1.EXE');DeleteFile('pqrs.tmo');DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(16);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

i

Уведомление:

Добавил рекомендации

Изменено 7 ноября, 2009 пользователем akoK

[akoK]

В догонку

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\regedit.exe',' ');DeleteFile('C:\WINDOWS\system32\regedit.exe');BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

Повторите логи.

[vadiman]

Здравствуйте, Спасибо за помощь, сделал все как написано - только не так получилось как должно было- после перезагрузки программа SDfix - не закончила работу надписью finished- вообще ничего не появилось, поэтому то и файла C:\Report.txt не получилось - вместо него вот что появилось(Прикреплено), и еще в процессе проверки ( в безопасном режиме) в окне программы SDFix появилась надпись - Protective host such as MVPS/HP host or spybots, Immunizer feature should be reapplied after using SDFix

Еще появился txt файл пустой AdminCheck.txt, и в C:\Documents and Settings файл catchme.log

F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe pqrs.tmo printer - этой строки у меня нет - что без неё профиксовать?

FilterLog.log

catchme.log

FilterLog.log

catchme.log

[vadiman]

в догонку - значит сначало профиксовать? - только вот одной строки то нет у меня- без неё есть смысл ?

F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe pqrs.tmo printer - этой строки у меня нет - что без неё профиксовать?

[edde]

1 Удалите остатки работы утилиты SDFix скачайте OTCleanIt запустите утилиту и нажмите CleanUp! Перезагрузите компьютер.

2 Выполните два предложенных скрипта, дождитесь ответа из kaspersky lab, повторите логи.

Как пофиксить в HJT:

http://www.softboard.ru/index.php?showtopic=51989

Изменено 8 ноября, 2009 пользователем edde

[vadiman]

профиксовать надо ? перед выполнением скриптов ? или не важно - а то у меня строки одной нет А2 как написано в совете

[миднайт]

Если нет, то и фиксить нчего =). Выполняйте скрипт.

[vadiman]

thanks! ждал ответа

[vadiman]

Спасибо Всем за помощь !!! :)

[edde]

Виноват, дал битый линк, от шаблонов понимаете не отходим :)

Скачайте http://oldtimer.geekstogo.com/OTC.exe для удаления SDFix

[vadiman]

вроде бы все нормально стало

вот логи

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

[akoK]

Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.

Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processesexplorer.exe:Reg[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{14114a14-a348-11de-8dff-001731d865ec}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18899e0a-5f03-11de-8d5f-001731d865ec}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{56875969-af3b-11dd-8b87-001731d865ec}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ead08423-21b6-11dd-890a-001731d865ec}]:Commands[purity][emptytemp][start explorer][Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Как самочуствие?

[vadiman]

Привет, самочувствие хорошее!

а что с ним что то не то- explorer.exe ?

Только что то перезагрузки не произошло - окно то появилось c запросом reboot - нажмал и только исчез рабочий стол с панелью задач и пуском, пришлось с кнопки выключить комп

вот лог

All processes killed

========== PROCESSES ==========

No active process named explorer.exe was found!

========== REGISTRY ==========

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{14114a14-a348-11de-8dff-001731d865ec}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{14114a14-a348-11de-8dff-001731d865ec}\ not found.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18899e0a-5f03-11de-8d5f-001731d865ec}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{18899e0a-5f03-11de-8d5f-001731d865ec}\ not found.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{56875969-af3b-11dd-8b87-001731d865ec}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{56875969-af3b-11dd-8b87-001731d865ec}\ not found.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ead08423-21b6-11dd-890a-001731d865ec}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ead08423-21b6-11dd-890a-001731d865ec}\ not found.

========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService

->Temp folder emptied: 66016 bytes

->Temporary Internet Files folder emptied: 2936317 bytes

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

User: Администратор

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 151609 bytes

User: Саша

->Temp folder emptied: 147284 bytes

->Temporary Internet Files folder emptied: 208820 bytes

->Opera cache emptied: 21074765 bytes

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 19569 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

Windows Temp folder emptied: 0 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 23922312 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes

RecycleBin emptied: 1434138144 bytes

Total Files Cleaned = 1414,07 mb

OTM by OldTimer - Version 3.1.1.0 log created on 11122009_164233

Files moved on Reboot...

Registry entries deleted on Reboot...

[akoK]

а что с ним что то не то- explorer.exe ?

Все хорошо. Просто утилита, для более корректного удаления убивает на время работы процесс. explorer.exe

[vadiman]

Понятно, спасибо за помощь и внимание