Windows не удалось найти "С:Windows\eksplorasi.exe"

[Wazza]

Добрый день .Проблема следующая :комп при загрузке , после выбора пользователя рестартится , при загрузке в безопасном режиме вылетает ошибка:Windows не удалось найти "С:Windows\eksplorasi.exe" .
При выполнении скрипта лечения/карантина в AVZ комп тоже рестартится .Поэтому этот скрипт выслать не могу .
ЗЫ:В безопасном режиме нашел Курейтом порядка 400 троянов , но всеравно не помогло .Систему переустанавливать нежелательно .

[Гриша]

Пофиксить

Код:

F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\eksplorasi.exe"
O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\logika\Local Settings\Application Data\smss.exe"

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\eksplorasi.exe','');
 QuarantineFile('C:\Documents and Settings\logika\Local Settings\Application Data\smss.exe','');
 QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe','');
 DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe');
 DeleteFile('C:\Documents and Settings\logika\Local Settings\Application Data\smss.exe');
 DeleteFile('C:\WINDOWS\eksplorasi.exe');
BC_ImportALL;  
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(17 );    
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);    
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=23880


AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

Нужно попасть в нормальный режим,у вас зараза которую не извести в Safe Mode,если попадете в обычные режим напишите,сварганим скрипт.

[Wazza]

После загрузки срипта удалось попасть в нормальный режим ."Системные проблемы" и "Все проблемы" пофиксил как вы сказали .Выслать новые логи или сразу карантин?
И подскажите пожалуйста как пофиксить код что вы мне дали первым?

[Гриша]

http://virusinfo.info/showthread.php?t=4491 этих строк возможно и нет уже,сделайте логи в обычном режиме

[Wazza]

При попытке выполнить скрипт лечения/карантина комп опять сделал рестарт .
Загрузился со второго раза .Два других скрипта высылаю .

Добавлено через 2 минуты

Блин , прикрепить забыл =)

Добавлено через 3 минуты

Странно .Приклепляю файлы , загружаются , но в топике их не вижу

Добавлено через 6 минут

Подскажите что сделать , не могу отправить логи ...

[Гриша]

Удалите старые логи через "Мой кабинет"=>"Управление вложениями"

[Wazza]

Есть

[Wazza]

Cкрипт лечения/карантина выполнить невозможно .Сразу идет рестарт .

[PavelA]

Ваш НОД32 виноват во всем, столько всего наловили.

[Wazza]

Понимаю , что делать сейчас?

[Гриша]

Скачать,меню,File,появится аналог проводника,найти:otY38.sys,WLCtrl32.dll,WinCtrl32. dll,правая кнопка мыши Force Delete на запрос ответьте положительно.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dll ',' ');       
 QuarantineFile('WinCtrl32.dll','');
 QuarantineFile('WLCtrl32.dll','');
 DeleteService('tcpsr');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 DeleteService('Nsx16');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Nsx16.sys','');
 DeleteService('Jpu40');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Jpu40.sys','');
 DeleteService('Flq16');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Flq16.sys','');
 DeleteService('otY38');
 QuarantineFile('C:\WINDOWS\System32\Drivers\otY38.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\otY38.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Flq16.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Jpu40.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Nsx16.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dll ');     
 DeleteFile('WLCtrl32.dll');
 DeleteFile('WinCtrl32.dll');
BC_ImportALL;  
ExecuteSysClean;
BC_DeleteSvc('tcpsr ');
BC_DeleteSvc('Nsx16 ');
BC_DeleteSvc('Jpu40 ');
BC_DeleteSvc('Flq16 ');
BC_DeleteSvc('otY38 ');    
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин,повторите логи.

[Wazza]

Карантин отослал . Логи:

[Гриша]

Отключите восстановление системы!

Пофиксить

Код:

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('otY38');
 DeleteFile('C:\WINDOWS\System32\Drivers\otY38.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('otY38 ');    
BC_Activate;
RebootWindows(true);
end.

Повторите логи с п.10 правил,задание в планировщике ваше?

[Wazza]

Если Вы про проверку дисков в планировщике , то уберу .
Логи соотв п.10 :

[Rene-gad]

Вроде подчистили. Проблемы какие-нибудь наблюдаются? Обновить Виндовс в ближайшее время надо.

[Wazza]

Вроде все нормально .Обновить виндовс , т.е. переустановить в порядке обновления ?

Добавлено через 1 минуту

или 3й сервис пак поставить?

[Rene-gad]

или 3й сервис пак поставить?

его, родного и поставить...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 6
• В ходе лечения вредоносные программы в карантинах не обнаружены