 |
|
|
05.05.2010, 15:56
|
#1 (ссылка) |
|
Новичок
Регистрация: 05.05.2010
Сообщений: 16
Репутация: 0
|
Нужна помощь победить rqfp.kmo в RUNDLL
Не могу избавиться от вируса, оторый уж встречался на форуме.
Проявляеся в виде окна "Ошибка RUNDLL. Отсутсвует rqfp.kmo" Логи AVZ и Hijackthis: Скачать virusinfo_syscure.zip с exfile.ru Скачать hijackthis.log с exfile.ru Зарнее благодарен. Александр Последний раз редактировалось alexbry; 05.05.2010 в 16:04. |
|
|
05.05.2010, 16:09
|
#4 (ссылка) |
|
Стажёр
Регистрация: 11.04.2010
Сообщений: 977
Репутация: 96
|
Пофиксить в HijackThis
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe O20 - AppInit_DLLs: nzorbe.dll Выполните скрипт в avz Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\nzorbe.dll','');
DeleteFile('C:\WINDOWS\System32\nzorbe.dll');
QuarantineFile('C:\WINDOWS\system','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
if FileExists('C:\WINDOWS\System32\dllcache\sfcfiles.dll') then begin
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.dll');
end else
AddToLog('Ошибка - не найден эталонный файл');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\WINDOWS\system');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System\ATService','EventMessageFile');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Выполнить скрипт в AVZ. Код:
var
qfolder: string;
qname: string;
begin
qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
qfolder := ExtractFilePath(qname);
if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
CreateQurantineArchive(qname);
ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.
Карантин отправьте на newvirus@tut.by Сделайте новые логи. |
|
|
|
05.05.2010, 18:19
|
#5 (ссылка) | |
|
Новичок
Регистрация: 05.05.2010
Сообщений: 16
Репутация: 0
|
Не получается. Нужно чо-то изменить
К сожалению, не получается полностью выплнить операции.
Пошагово: Цитата:
2. Скрипт avz выполняется. При перезагрузке ПК не может запустить Windows. Появляется сообщение: 'Подключение к системе невозможно, так как домен LENOVO-15006302 недоступен' 3. Пришлось с помощью F8 откатиться на последний успешный запуск WINDOWS. Сделал новые логи, которые находятся здесь: Скачать virusinfo_syscure.zip с exfile.ru Скачать hijackthis.log с exfile.ru Что делать дальше? |
|
|
|
|
05.05.2010, 18:22
|
#6 (ссылка) |
|
Стажёр
Регистрация: 11.04.2010
Сообщений: 977
Репутация: 96
|
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\nzorbe.dll','');
DeleteFile('C:\WINDOWS\System32\nzorbe.dll');
QuarantineFile('C:\WINDOWS\system','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
if FileExists('C:\WINDOWS\System32\dllcache\sfcfiles.dll') then begin
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.dll');
end else
AddToLog('Ошибка - не найден эталонный файл');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.
Выполнить скрипт в AVZ. Код:
var
qfolder: string;
qname: string;
begin
qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
qfolder := ExtractFilePath(qname);
if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
CreateQurantineArchive(qname);
ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.
Карантин отправьте на newvirus@tut.by Сделайте новые логи. |
|
|
|
05.05.2010, 19:27
|
#7 (ссылка) |
|
Новичок
Регистрация: 05.05.2010
Сообщений: 16
Репутация: 0
|
Все сделано
Карантин отправил, новые логи находятся здесь:
Скачать virusinfo_syscure.zip с exfile.ru Скачать hijackthis.log с exfile.ru |
|
|
|
05.05.2010, 20:12
|
#8 (ссылка) |
|
Стажёр
Регистрация: 11.04.2010
Сообщений: 977
Репутация: 96
|
Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.
1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe |
|
|
| Ads | |
|
06.05.2010, 00:09
|
#9 (ссылка) | |
|
Новичок
Регистрация: 05.05.2010
Сообщений: 16
Репутация: 0
|
Не могу выполнить ComboFix
Цитата:
Правда, мне не удалось полностью "обезвредить" Symantec Endpoint Protection. Я постарался остановить все его процессы через msconfig. В процессе всех этих действий снова стало появляться сообщение с пресловутым rqfp.kmo, с котрого все и началось. |
|
|
|
|
06.05.2010, 01:13
|
#11 (ссылка) | |
|
Новичок
Регистрация: 05.05.2010
Сообщений: 16
Репутация: 0
|
Цитата:
Скачать virusinfo_syscure.zip с WebFile.RU Скачать hijackthis.log с WebFile.RU |
|
|
|
|
06.05.2010, 02:22
|
#14 (ссылка) |
|
Знаток
|
Отключите компьютер от Интернет/локалки.
Закройте/отключите на время выполнения скрипта всё защитное ПО !!! Как выполнять скрипт и фиксить читаем здесь: http://pchelpforum.ru/f26/t24207/ Профиксите в HiJackThis: Код:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe rqfp.kmo vkkrh AVZ, файл, выполнить скрипт - в открывшееся окно внимательно!!! вставить текст: Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearHostsFile;
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('c:\c87362a63db3c5b979\wgasetup.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WgaSetup','EventMessageFile');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.
Выполните в avz стандартный скрипт №2 и архив virusinfo_syscheck.zip залейте на файлообменник http://exfile.ru - и ссылку на форум. + отпишитесь что с проблемой! |
|
|
|
06.05.2010, 03:11
|
#15 (ссылка) |
|
Новичок
Регистрация: 05.05.2010
Сообщений: 16
Репутация: 0
|
Процедура выполнена, но не сразу.
Попытка 1. При выполнении скрипта avz система выпала в голубой экран, но продолжила перезагрузку самостоятельно. После перезагрузки зависла намертво. Пришлось сделать PowerOff/PowerOn. Попытка 2. Скрипты выполнены успешно. Лог скрипта No2 находится здесь: Скачать virusinfo_syscheck.zip с WebFile.RU rqfp.kmo пока никак не проявляется |
|
|
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| нужна помощь | Александр Горбачёв | Железо | 4 | 05.12.2010 13:40 |
| помощь...нужна мне!! | arois | Выбор комплектующих | 12 | 04.12.2010 16:24 |
| нужна помощь!!!!! | xxsmerdxx | Безопасность | 12 | 24.10.2010 13:35 |
| RUNDLL Ошибка при загрузке rqfp.kmo | Nitrogen | Безопасность | 13 | 20.04.2010 22:51 |
| Помогите с вирусом RUNDLL rqfp.kmo при загрузке windows | supervital | Безопасность | 3 | 14.03.2010 11:56 |
| Нужна помощь с Вин ХР | iRomul | Мультимедиа | 2 | 17.12.2009 19:09 |
| Нужна помощь!!! | Muctuk | Железо | 1 | 25.03.2009 22:17 |
| Нужна помощь | zik3000 | Железо | 21 | 16.02.2009 21:26 |
| Нужна помощь!!! | FAST | Железо | 2 | 06.02.2009 11:56 |
| Нужна помощь. | Nick256 | Неисправности, настройка | 10 | 18.10.2008 18:14 |
| нужна помощь!!! | 555maykl | Железо | 1 | 01.10.2008 03:05 |
| нужна помощь | HDD | Игры | 1 | 29.08.2008 13:45 |
