Junior Member
Вес репутации
61
помогите пожалуйста
Здравствуйте у меня такая проблема после загрузки компьютера выводиться сообщение explorer.exe вызвало ошибку и будет закрыто, создан журнал ошибок, необходимо перезапустить программу. И вообще пропал рабочий стол. работаю только с помощью клавиш Ctrl-Alt-Delete Помогите!!!
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~1\INSTAL~1\{BBE2F~1\setup.exe','');
BC_ImportQuarantineList;
BC_DeleteFile('C:\PROGRA~1\INSTAL~1\{BBE2F~1\setup.exe');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите всё содержимое карантина согласно приложению 3 правил.
Пофиксите в HijackThis:
Код:
O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\PROGRA~1\INSTAL~1\{BBE2F~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{BBE2F~1\reboot.ini -l0x19
O4 - HKLM\..\RunOnce: [InstallShieldSetup1] C:\PROGRA~1\INSTAL~1\{BBE2F~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{BBE2F~1\reboot.ini -l0x19
O4 - HKLM\..\RunOnce: [InstallShieldSetup2] C:\PROGRA~1\INSTAL~1\{BBE2F~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{BBE2F~1\reboot.ini -l0x19
O4 - HKLM\..\RunOnce: [InstallShieldSetup3] C:\PROGRA~1\INSTAL~1\{BBE2F~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{BBE2F~1\reboot.ini -l0x19
O4 - HKLM\..\RunOnce: [InstallShieldSetup4] C:\PROGRA~1\INSTAL~1\{BBE2F~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{BBE2F~1\reboot.ini -l0x19
O4 - HKLM\..\RunOnce: [InstallShieldSetup5] C:\PROGRA~1\INSTAL~1\{BBE2F~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{BBE2F~1\reboot.ini -l0x19
O4 - HKLM\..\RunOnce: [InstallShieldSetup6] C:\PROGRA~1\INSTAL~1\{BBE2F~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{BBE2F~1\reboot.ini -l0x19
Добавлено через 3 минуты
И еще, сделайте в AVZ:
Файл - Восстановление системы - отметить п.5 и 8 - Выполнить,
потом перезагрузитесь.
Последний раз редактировалось Bratez; 14.09.2007 в 11:27 .
Причина: Добавлено
I am not young enough to know everything...
Junior Member
Вес репутации
61
Сделала все как вы сказали.Но сообщение все равно появилось.Что еще можно сделать???
Сообщение от
Katena
сообщение все равно появилось.Что еще можно сделать???
давайте посмотрим, что это за файлы:
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
ClearQuarantine;
BC_QrFile('C:\WINDOWS\system32\cpadvai.dll');
BC_QrFile('C:\WINNT\system32\\SoUI.dll');
BC_QrFile('C:\WINNT\system32\HtBt.dll');
BC_Activate;
RebootWindows(true);
end.
Новый каранатин после перезагрузки закачайте по правилам
Rene-gad , 2-й и 3-й уже есть в первом карантине, сейчас смотрю...
Добавлено через 3 минуты
HtBt.dll - потенциально опасное ПО not-a-virus:FraudTool.Win32
SoUI.dll - Trojan-Downloader.Win32.Agent.csp
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINNT\system32\HtBt.dll');
DeleteFile('C:\WINNT\system32\SoUI.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Добавлено через 3 минуты
Поищите с помощью AVZ файл C:\WINDOWS\system32\cpadvai.dll и пришлите его (см. приложение 2 правил).
Последний раз редактировалось Bratez; 14.09.2007 в 14:01 .
Причина: Добавлено
I am not young enough to know everything...
http://swatrant.blogspot.com/2007/08...er-trojan.html - по поводу SoUI.dll Классная штучка.
Добавлено через 1 минуту
@Bratez C:\WINDOWS\system32\cpadvai.dll - это от Crypto Pro (см. Hj лог)
Последний раз редактировалось PavelA; 14.09.2007 в 14:04 .
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
1. Стало быть, надо найти и удалить еще файлы:
C:\winnt\system32\head.exe
C:\winnt\system32\XPEntertainmentsUninstall.exe
и папку
C:\program files\SoftPortal
2. Я ошибся в пути файла cpadvai.dll, надо так:
C:\WINNT\system32\cpadvai.dll
Хотя, он скорее всего действительно не виноват
I am not young enough to know everything...
Junior Member
Вес репутации
61
Комп перезагрузился, рабочий стол загрузился.и еще не оч. поняла удаляю первые три и присылаю последний?
удаляю первые три и присылаю последний?
Именно так.
I am not young enough to know everything...
Junior Member
Вес репутации
61
у меня при включении когда загрузился комп. появляестя сообщение HASP not found (-3) OK что это такое и что делать?
Это после того, что в сообщении #7?
1С-бухгалтерию используете?
Сделайте новые логи, посмотрим, что получилось.
I am not young enough to know everything...
Junior Member
Вес репутации
61
Нет это сразу было. 1С-бухгалтерию использую, т.к. сама бухгалтер.логи сейчас вышлю
я бы переставил вашу бухгалтерию
Опять не понял: сразу - это после моего первого скрипта или еще до обращения на форум?
I am not young enough to know everything...
Junior Member
Вес репутации
61
нет после последнего скрипта
Добавлено через 2 минуты
А что делать с файлами в карантине, я могу их удалить???
Последний раз редактировалось Katena; 14.09.2007 в 16:14 .
Причина: Добавлено
Да, можно удалять карантин.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Сообщение от
drongo
я бы переставил вашу бухгалтерию
Бухгалтерию переставлять не надо, следует попробовать переставить драйвер защиты для ключа HASP, насколько я помню, в меню 1С (пуск - программы - 1СVXX) есть готовые ярлыки: "Удаление драйвера защиты" и "Установка драйвера защиты" Вот и выполнить: сначала удаление драйвера - перезагрузка - установка драйвера - снова перезагрузка. А перед этим - проверить сам ключ защиты - возможно, он просто неплотно установлен или вообще снят с машины.
Junior Member
Вес репутации
61
Хотела сказать ВАМ ВСЕМ БОЛЬШОЕ СПАСИБО, особенно Bratez. СВЕРШИЛОСЬ ЧУДО,ДРУГ СПАС ЖИЗНЬ ДРУГА!!! СПАСИБО!!!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 3 Обработано файлов: 10 В ходе лечения обнаружены вредоносные программы:
c:\\winnt\\system32\\htbt.dll - not-a-virus:FraudTool.Win32.ExpertAntivirus.c c:\\winnt\\system32\\soui.dll - Trojan-Downloader.Win32.Agent.csp (DrWEB: Trojan.DownLoader.35975)