Jump to content
СофтФорум - всё о компьютерах и не только

Recommended Posts

Помогите разобраться- Удалил несколько троянов - теперь при включении или перезагрузке появляется окно с записью "ошибка при запуске pqrs.tmo" - не найден указанный модуль , как это исправить?

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

Link to post
Share on other sites

Здравствуйте.

Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы.

2. Очистите и создате новую контрольную точку восстановления, чтобы если во время лечения произошла непредвиденная ситуация, вы могли вернуть систему к предыдущему состоянию

Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

3. Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли

Если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли

4. Сделайте резервную копию реестра

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению

Описание SDFix есть здесь

Link to post
Share on other sites

Пофиксите в HiJackThis

R3 - URLSearchHook: (no name) -  - (no file)F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe pqrs.tmo printerF2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\8CE5~1\APPLIC~1\UFASTD~1\PROPET~1.EXEO2 - BHO: (no name) - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - (no file)

И выполните скрипт в AVZ

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\DOCUME~1\8CE5~1\APPLIC~1\UFASTD~1\PROPET~1.EXE','');QuarantineFile('pqrs.tmo','');DeleteFile('C:\DOCUME~1\8CE5~1\APPLIC~1\UFASTD~1\PROPET~1.EXE');DeleteFile('pqrs.tmo');DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(16);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

i

Уведомление:

Добавил рекомендации

Edited by akoK
Link to post
Share on other sites

В догонку

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\regedit.exe',' ');DeleteFile('C:\WINDOWS\system32\regedit.exe');BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

Повторите логи.

Link to post
Share on other sites

Здравствуйте, Спасибо за помощь, сделал все как написано - только не так получилось как должно было- после перезагрузки программа SDfix - не закончила работу надписью finished- вообще ничего не появилось, поэтому то и файла C:\Report.txt не получилось - вместо него вот что появилось(Прикреплено), и еще в процессе проверки ( в безопасном режиме) в окне программы SDFix появилась надпись - Protective host such as MVPS/HP host or spybots, Immunizer feature should be reapplied after using SDFix

Еще появился txt файл пустой AdminCheck.txt, и в C:\Documents and Settings файл catchme.log

F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe pqrs.tmo printer - этой строки у меня нет - что без неё профиксовать?

FilterLog.log

catchme.log

FilterLog.log

catchme.log

Link to post
Share on other sites

в догонку - значит сначало профиксовать? - только вот одной строки то нет у меня- без неё есть смысл ?

F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe pqrs.tmo printer - этой строки у меня нет - что без неё профиксовать?

Link to post
Share on other sites

1 Удалите остатки работы утилиты SDFix скачайте OTCleanIt запустите утилиту и нажмите CleanUp! Перезагрузите компьютер.

2 Выполните два предложенных скрипта, дождитесь ответа из kaspersky lab, повторите логи.

Как пофиксить в HJT:

http://www.softboard.ru/index.php?showtopic=51989

Edited by edde
Link to post
Share on other sites

Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.

Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processesexplorer.exe:Reg[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{14114a14-a348-11de-8dff-001731d865ec}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18899e0a-5f03-11de-8d5f-001731d865ec}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{56875969-af3b-11dd-8b87-001731d865ec}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ead08423-21b6-11dd-890a-001731d865ec}]:Commands[purity][emptytemp][start explorer][Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Как самочуствие?

Link to post
Share on other sites

Привет, самочувствие хорошее!

а что с ним что то не то- explorer.exe ?

Только что то перезагрузки не произошло - окно то появилось c запросом reboot - нажмал и только исчез рабочий стол с панелью задач и пуском, пришлось с кнопки выключить комп

вот лог

All processes killed

========== PROCESSES ==========

No active process named explorer.exe was found!

========== REGISTRY ==========

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{14114a14-a348-11de-8dff-001731d865ec}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{14114a14-a348-11de-8dff-001731d865ec}\ not found.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18899e0a-5f03-11de-8d5f-001731d865ec}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{18899e0a-5f03-11de-8d5f-001731d865ec}\ not found.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{56875969-af3b-11dd-8b87-001731d865ec}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{56875969-af3b-11dd-8b87-001731d865ec}\ not found.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ead08423-21b6-11dd-890a-001731d865ec}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ead08423-21b6-11dd-890a-001731d865ec}\ not found.

========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService

->Temp folder emptied: 66016 bytes

->Temporary Internet Files folder emptied: 2936317 bytes

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

User: Администратор

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 151609 bytes

User: Саша

->Temp folder emptied: 147284 bytes

->Temporary Internet Files folder emptied: 208820 bytes

->Opera cache emptied: 21074765 bytes

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 19569 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

Windows Temp folder emptied: 0 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 23922312 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes

RecycleBin emptied: 1434138144 bytes

Total Files Cleaned = 1414,07 mb

OTM by OldTimer - Version 3.1.1.0 log created on 11122009_164233

Files moved on Reboot...

Registry entries deleted on Reboot...

Link to post
Share on other sites
а что с ним что то не то- explorer.exe ?

Все хорошо. Просто утилита, для более корректного удаления убивает на время работы процесс. explorer.exe

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...