vadiman Posted November 6, 2009 Report Share Posted November 6, 2009 Помогите разобраться- Удалил несколько троянов - теперь при включении или перезагрузке появляется окно с записью "ошибка при запуске pqrs.tmo" - не найден указанный модуль , как это исправить? virusinfo_syscure.zip virusinfo_syscheck.zip log.txt info.txt virusinfo_syscure.zip virusinfo_syscheck.zip log.txt info.txt Link to comment Share on other sites More sharing options...
edde Posted November 6, 2009 Report Share Posted November 6, 2009 Здравствуйте. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы. 2. Очистите и создате новую контрольную точку восстановления, чтобы если во время лечения произошла непредвиденная ситуация, вы могли вернуть систему к предыдущему состоянию Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать. 3. Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли Если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли 4. Сделайте резервную копию реестра Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению Описание SDFix есть здесь Link to comment Share on other sites More sharing options...
Diongo Posted November 7, 2009 Report Share Posted November 7, 2009 (edited) Пофиксите в HiJackThis R3 - URLSearchHook: (no name) - - (no file)F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe pqrs.tmo printerF2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\8CE5~1\APPLIC~1\UFASTD~1\PROPET~1.EXEO2 - BHO: (no name) - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - (no file) И выполните скрипт в AVZ beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\DOCUME~1\8CE5~1\APPLIC~1\UFASTD~1\PROPET~1.EXE','');QuarantineFile('pqrs.tmo','');DeleteFile('C:\DOCUME~1\8CE5~1\APPLIC~1\UFASTD~1\PROPET~1.EXE');DeleteFile('pqrs.tmo');DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(16);RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма i Уведомление:Добавил рекомендации Edited November 7, 2009 by akoK Link to comment Share on other sites More sharing options...
akoK Posted November 7, 2009 Report Share Posted November 7, 2009 В догонку AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\regedit.exe',' ');DeleteFile('C:\WINDOWS\system32\regedit.exe');BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма Повторите логи. Link to comment Share on other sites More sharing options...
vadiman Posted November 8, 2009 Author Report Share Posted November 8, 2009 Здравствуйте, Спасибо за помощь, сделал все как написано - только не так получилось как должно было- после перезагрузки программа SDfix - не закончила работу надписью finished- вообще ничего не появилось, поэтому то и файла C:\Report.txt не получилось - вместо него вот что появилось(Прикреплено), и еще в процессе проверки ( в безопасном режиме) в окне программы SDFix появилась надпись - Protective host such as MVPS/HP host or spybots, Immunizer feature should be reapplied after using SDFix Еще появился txt файл пустой AdminCheck.txt, и в C:\Documents and Settings файл catchme.log F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe pqrs.tmo printer - этой строки у меня нет - что без неё профиксовать? FilterLog.log catchme.log FilterLog.log catchme.log Link to comment Share on other sites More sharing options...
vadiman Posted November 8, 2009 Author Report Share Posted November 8, 2009 в догонку - значит сначало профиксовать? - только вот одной строки то нет у меня- без неё есть смысл ? F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe pqrs.tmo printer - этой строки у меня нет - что без неё профиксовать? Link to comment Share on other sites More sharing options...
edde Posted November 8, 2009 Report Share Posted November 8, 2009 (edited) 1 Удалите остатки работы утилиты SDFix скачайте OTCleanIt запустите утилиту и нажмите CleanUp! Перезагрузите компьютер. 2 Выполните два предложенных скрипта, дождитесь ответа из kaspersky lab, повторите логи. Как пофиксить в HJT: http://www.softboard.ru/index.php?showtopic=51989 Edited November 8, 2009 by edde Link to comment Share on other sites More sharing options...
vadiman Posted November 8, 2009 Author Report Share Posted November 8, 2009 профиксовать надо ? перед выполнением скриптов ? или не важно - а то у меня строки одной нет А2 как написано в совете Link to comment Share on other sites More sharing options...
миднайт Posted November 8, 2009 Report Share Posted November 8, 2009 Если нет, то и фиксить нчего =). Выполняйте скрипт. Link to comment Share on other sites More sharing options...
vadiman Posted November 8, 2009 Author Report Share Posted November 8, 2009 thanks! ждал ответа Link to comment Share on other sites More sharing options...
vadiman Posted November 8, 2009 Author Report Share Posted November 8, 2009 Спасибо Всем за помощь !!! :) Link to comment Share on other sites More sharing options...
edde Posted November 8, 2009 Report Share Posted November 8, 2009 Виноват, дал битый линк, от шаблонов понимаете не отходим :) Скачайте http://oldtimer.geekstogo.com/OTC.exe для удаления SDFix Link to comment Share on other sites More sharing options...
vadiman Posted November 9, 2009 Author Report Share Posted November 9, 2009 вроде бы все нормально стало вот логи virusinfo_syscure.zip virusinfo_syscheck.zip log.txt info.txt virusinfo_syscure.zip virusinfo_syscheck.zip log.txt info.txt Link to comment Share on other sites More sharing options...
akoK Posted November 12, 2009 Report Share Posted November 12, 2009 Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол. Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора) временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C) :Processesexplorer.exe:Reg[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{14114a14-a348-11de-8dff-001731d865ec}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18899e0a-5f03-11de-8d5f-001731d865ec}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{56875969-af3b-11dd-8b87-001731d865ec}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ead08423-21b6-11dd-890a-001731d865ec}]:Commands[purity][emptytemp][start explorer][Reboot] В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Компьютер перезагрузится. После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение. Как самочуствие? Link to comment Share on other sites More sharing options...
vadiman Posted November 12, 2009 Author Report Share Posted November 12, 2009 Привет, самочувствие хорошее! а что с ним что то не то- explorer.exe ? Только что то перезагрузки не произошло - окно то появилось c запросом reboot - нажмал и только исчез рабочий стол с панелью задач и пуском, пришлось с кнопки выключить комп вот лог All processes killed ========== PROCESSES ========== No active process named explorer.exe was found! ========== REGISTRY ========== Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{14114a14-a348-11de-8dff-001731d865ec}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{14114a14-a348-11de-8dff-001731d865ec}\ not found. Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18899e0a-5f03-11de-8d5f-001731d865ec}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{18899e0a-5f03-11de-8d5f-001731d865ec}\ not found. Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{56875969-af3b-11dd-8b87-001731d865ec}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{56875969-af3b-11dd-8b87-001731d865ec}\ not found. Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ead08423-21b6-11dd-890a-001731d865ec}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ead08423-21b6-11dd-890a-001731d865ec}\ not found. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 2936317 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Администратор ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 151609 bytes User: Саша ->Temp folder emptied: 147284 bytes ->Temporary Internet Files folder emptied: 208820 bytes ->Opera cache emptied: 21074765 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 19569 bytes %systemroot%\System32 .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 23922312 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes RecycleBin emptied: 1434138144 bytes Total Files Cleaned = 1414,07 mb OTM by OldTimer - Version 3.1.1.0 log created on 11122009_164233 Files moved on Reboot... Registry entries deleted on Reboot... Link to comment Share on other sites More sharing options...
akoK Posted November 12, 2009 Report Share Posted November 12, 2009 а что с ним что то не то- explorer.exe ? Все хорошо. Просто утилита, для более корректного удаления убивает на время работы процесс. explorer.exe Link to comment Share on other sites More sharing options...
vadiman Posted November 13, 2009 Author Report Share Posted November 13, 2009 Понятно, спасибо за помощь и внимание Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now