помогите пожалуйста

Printable View

14.09.2007, 11:15
Katena

Вложений: 3

помогите пожалуйста

Здравствуйте у меня такая проблема после загрузки компьютера выводиться сообщение explorer.exe вызвало ошибку и будет закрыто, создан журнал ошибок, необходимо перезапустить программу. И вообще пропал рабочий стол. работаю только с помощью клавиш Ctrl-Alt-Delete Помогите!!!
14.09.2007, 11:27
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~1\INSTAL~1\{BBE2F~1\setup.exe','');
BC_ImportQuarantineList;
BC_DeleteFile('C:\PROGRA~1\INSTAL~1\{BBE2F~1\setup.exe');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите всё содержимое карантина согласно приложению 3 правил.

Пофиксите в HijackThis:
[code]
O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\PROGRA~1\INSTAL~1\{BBE2F~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{BBE2F~1\reboot.ini -l0x19
O4 - HKLM\..\RunOnce: [InstallShieldSetup1] C:\PROGRA~1\INSTAL~1\{BBE2F~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{BBE2F~1\reboot.ini -l0x19
O4 - HKLM\..\RunOnce: [InstallShieldSetup2] C:\PROGRA~1\INSTAL~1\{BBE2F~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{BBE2F~1\reboot.ini -l0x19
O4 - HKLM\..\RunOnce: [InstallShieldSetup3] C:\PROGRA~1\INSTAL~1\{BBE2F~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{BBE2F~1\reboot.ini -l0x19
O4 - HKLM\..\RunOnce: [InstallShieldSetup4] C:\PROGRA~1\INSTAL~1\{BBE2F~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{BBE2F~1\reboot.ini -l0x19
O4 - HKLM\..\RunOnce: [InstallShieldSetup5] C:\PROGRA~1\INSTAL~1\{BBE2F~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{BBE2F~1\reboot.ini -l0x19
O4 - HKLM\..\RunOnce: [InstallShieldSetup6] C:\PROGRA~1\INSTAL~1\{BBE2F~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{BBE2F~1\reboot.ini -l0x19
[/code]

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

И еще, сделайте в AVZ:
Файл - Восстановление системы - отметить п.5 и 8 - Выполнить,
потом перезагрузитесь.
14.09.2007, 11:55
Katena

Сделала все как вы сказали.Но сообщение все равно появилось.Что еще можно сделать???
14.09.2007, 12:10
Rene-gad

[QUOTE=Katena;134489]сообщение все равно появилось.Что еще можно сделать???[/QUOTE]
давайте посмотрим, что это за файлы:
[CODE]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
ClearQuarantine;
BC_QrFile('C:\WINDOWS\system32\cpadvai.dll');
BC_QrFile('C:\WINNT\system32\\SoUI.dll');
BC_QrFile('C:\WINNT\system32\HtBt.dll');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Новый каранатин после перезагрузки закачайте по правилам
14.09.2007, 14:01
Bratez

[B]Rene-gad[/B], 2-й и 3-й уже есть в первом карантине, сейчас смотрю...

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

HtBt.dll - потенциально опасное ПО [B]not-a-virus:FraudTool.Win32[/B]
SoUI.dll - [B]Trojan-Downloader.Win32.Agent.csp[/B]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINNT\system32\HtBt.dll');
DeleteFile('C:\WINNT\system32\SoUI.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Поищите с помощью AVZ файл [B]C:\WINDOWS\system32\cpadvai.dll[/B] и пришлите его (см. приложение 2 правил).
14.09.2007, 14:04
PavelA

[url]http://swatrant.blogspot.com/2007/08/xp-entertainments-new-av-killer-trojan.html[/url] - по поводу SoUI.dll Классная штучка.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

@Bratez C:\WINDOWS\system32\cpadvai.dll - это от Crypto Pro (см. Hj лог)
14.09.2007, 14:14
Bratez

1. Стало быть, надо найти и удалить еще файлы:
[B]C:\winnt\system32\head.exe
C:\winnt\system32\XPEntertainmentsUninstall.exe[/B]
и папку
[B]C:\program files\SoftPortal[/B]

2. Я ошибся в пути файла cpadvai.dll, надо так:
[B]C:\WINNT\system32\cpadvai.dll [/B]
Хотя, он скорее всего действительно не виноват ;)
14.09.2007, 14:19
Katena

Комп перезагрузился, рабочий стол загрузился.и еще не оч. поняла удаляю первые три и присылаю последний?
14.09.2007, 14:23
Bratez

[QUOTE]удаляю первые три и присылаю последний?[/QUOTE]
Именно так.
14.09.2007, 14:35
Katena

у меня при включении когда загрузился комп. появляестя сообщение HASP not found (-3) OK что это такое и что делать?
14.09.2007, 14:43
Bratez

Это после того, что в сообщении #7?
1С-бухгалтерию используете?
Сделайте новые логи, посмотрим, что получилось.
14.09.2007, 14:57
Katena

Нет это сразу было. 1С-бухгалтерию использую, т.к. сама бухгалтер.логи сейчас вышлю
14.09.2007, 15:02
drongo

я бы переставил вашу бухгалтерию ;)
14.09.2007, 15:03
Bratez

[QUOTE]Нет это сразу было.[/QUOTE]
Опять не понял: сразу - это после моего первого скрипта или еще до обращения на форум?
14.09.2007, 16:14
Katena

нет после последнего скрипта

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

А что делать с файлами в карантине, я могу их удалить???
14.09.2007, 16:21
PavelA

Да, можно удалять карантин.
14.09.2007, 16:27
Numb

[quote=drongo;134557]я бы переставил вашу бухгалтерию ;)[/quote] Бухгалтерию переставлять не надо, следует попробовать переставить драйвер защиты для ключа HASP, насколько я помню, в меню 1С (пуск - программы - 1СVXX) есть готовые ярлыки: "Удаление драйвера защиты" и "Установка драйвера защиты" Вот и выполнить: сначала удаление драйвера - перезагрузка - установка драйвера - снова перезагрузка. А перед этим - проверить сам ключ защиты - возможно, он просто неплотно установлен или вообще снят с машины.
17.09.2007, 08:19
Katena

Хотела сказать ВАМ ВСЕМ БОЛЬШОЕ СПАСИБО, особенно Bratez. СВЕРШИЛОСЬ ЧУДО,ДРУГ СПАС ЖИЗНЬ ДРУГА!!! СПАСИБО!!!
22.02.2009, 02:22
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\winnt\\system32\\htbt.dll - [B]not-a-virus:FraudTool.Win32.ExpertAntivirus.c[/B][*] c:\\winnt\\system32\\soui.dll - [B]Trojan-Downloader.Win32.Agent.csp[/B] (DrWEB: Trojan.DownLoader.35975)[/LIST][/LIST]