Подольский городской форум

Всем привет! Помогите с проблемкой пожалуйста...

После загрузки ОС "XP" выходит сообщение:

temp2.exe - Ошибка приложения
Инструкция по адресу "0x0040126e" обратилась к памяти по адресу "0x0000000c". Память не может быть "read".

"OK" -- завершение приложения
"Отмена" -- отладка приложения

Я нашла на каком-то форуме, что это вирус, надо его удалять. Касперский удаляет файлы ехе. с дисков С и D, и потом эти диски не открываются, приходится всё восстанавливать. Вот такое предложили решение, помогите это расшифровать подробнее, я не понимаю, что надо удалять... и мне очень надо сохранить информацию на диске D, чтобы ничего не удалилось. Вот, что они пишут:

- Первое что приходит на ум - почисти-ка на своем ПК вирусы. Таких файлов в системе быть не может. Скорей всего вирус/троян, да еще и кривой, раз ошибки выдает.

- Перед началом удаления настоятельно рекомендуется убить процесс"Temp2" (Ctrl+Alt+Del) -> Процессы

I Удалить файлы через FAR (через проводник удалять нельзя т.к функция автозапуска и копирования вируса прописана в реестре)

1) X – логический диск с системой
X:\autorun.inf
X:\copy.exe
X:\host.exe

2) Windir – каталог ОС
X:\Windir\svchost.exe (только не из папки system32)
X:\Windir\xcopy.exe
X:\Windir\autorun.inf

3)
X:\Windir\system32\temp1.exe
X:\Windir\system32\temp2.exe

II Чистим реестр

[HKEY_USERS\S-1-5-21-2000478354-1757981266-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\
(Удаляем каталоги Autorun in Shell) или все что связано с svchost.exe (X:\Windir\svchost.exe)!!!

III Чистим автозагрузку

Выполнить -> msconfig
Удалить (svchost.exe) (X:\Windir\svchost.exe)

- а зачем svchost.exe удалять-то?
- Потому-что нормальный лежит в папке %Windir%\System32

Вот... Помогите разобраться "блондинке"

Ну так вроде правдоподобно впонле написано, только не факт что это панацея

Да я бы попробовала так удалить, только я не понимаю откуда и чего удалять мне надо подробно

А что конкретно непонятно?
Вот еще ссылка, где очень подробно разжеванно про этот троян: http://daxa.com.ua/vir/num44/

Civil
Спасибо за ссылочку!
Скачала вот программку Far Manager. Теперь вот не могу понять как там эти файлы найти...
И ещё вопросик, если я их удалю с дисков С и D, у меня будут открываться эти диски? Или как с Касперским получится... И можно ли будет их, если что, восстановить? Или уже нет?..
И не понимаю конкретный путь этих файлов, где они лежат? Написано например:
X:\autorun.inf
X:\copy.exe
X:\host.exe

или:

X:\Windir\svchost.exe
X:\Windir\xcopy.exe
X:\Windir\autorun.inf

а в какие папки изначально заходить, чтобы найти эти .exe?
Заранее спасибо ))

Windir это папка где лежит Windows, сеорее всего C:\Windows
а X:\ это любой диск из имеющихся

Поискала эти файлы с помощью "Поиска" на диске С, autorun.inf - этот файл вообще не нашёл, copy.exe нашел в папке С:WindowsPrefetch целых три штуки нашёл, только называется COPY.EXE-1016991B.pf, COPY.EXE-1C777A21.pf, COPY.EXE-2D94020F.pf - это они? Ну и в систем32 нашел, но его я так понимаю не надо удалять. host.exe нашел также в папке С:WindowsPrefetch, называются файлы SVCHOST.EXE-16C7D411.pf, SVCHOST.EXE-3530F672.pf, SVCHOST.EXE-247D2792.pf и какой-то helphost нашел в С:Windowspchealthhelpctrinaries, а просто host почему-то не нашел??

Ромашечка писал(а):Поискала эти файлы с помощью "Поиска" на диске С, autorun.inf - этот файл вообще не нашёл

А это потому что отключено отображение скрытых и системный файлов.
Лучше в общем купить пива и пригласить кого-нибудь кто сможет помочь.

да, про скрытые я поняла, когда сообщение отправила уже
у меня некого позвать, хочу сама разобраться... Ну может кто тут чего ещё напишет, подскажет

Ромашечка писал(а):да, про скрытые я поняла, когда сообщение отправила уже
у меня некого позвать, хочу сама разобраться... Ну может кто тут чего ещё напишет, подскажет

Можно я спрошу по существу тогда, исходя из выделенного?
Ребят, может кто-нибудь из вас приедет домой к девушке, поможет? Я серьезно. Она сама очень долго будет удалять троян. Я думаю, это проще, чем вызывать "компьютерщика" из фирм за деньги, тем более они щас не работают.

Acmeolog
сам сходи

Acmeolog
Да не надо ко мне приходить, просто думала что кто-то сможет подробно объяснить, но видимо не судьба... ниче, сама поковыряюсь
Я просто не понимаю почему у меня файлы не находятся даже после того как включила отображение скрытых папок и файлов.

еуе писал(а):Acmeolog
сам сходи

Так я ж сам ламер!
Могу только езет поставить с каспером лицензионными и фсе!

Ромашечка
надо сделать CD с WinPE или чем нибудь подобным, залить на него актуальный Dr.Web CureIt!. Потом загрузиться с этой болванки и проверить систему. И все будет нормально, если повезет )
Ну нет смысла в зараженной копии Windows чего то руками чинить, шансы есть, но очень небольшие.

еуе
Кстати, CDBurnerXP 4.2.3.1110 может делать загрузочные диски http://www.cdburnerxp.se/
http://soft.softodrom.ru/ap/p2063.shtml
А проще скачать или купить Реаниматор на рынке здесь или в царях

еуе
Спасибочки за совет. Наверное надо попробовать так тогда сделать. Может чего получится ))
П.С. Да я просто первый раз удалила этот вирус с помощью Касперского, всё ок стало, а потом флешку зараженную этим же вирусом вставила (забыла, что на ней он есть) и всё заново, но вот второй раз Касперский почему-то не удаляет, точнее удаляет, но диски после этого не открываются

Ромашечка писал(а):удаляет, но диски после этого не открываются

а потому что вот это не сделано, вот и не открываются:

II Чистим реестр

[HKEY_USERS\S-1-5-21-2000478354-1757981266-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\
(Удаляем каталоги Autorun in Shell) или все что связано с svchost.exe (X:\Windir\svchost.exe)!!!

еуе
Вот-вот Только объясни ей, как попасть в реестр
Кстати, вот что еще можно http://freexpie.org.ru/

FreeXPie CD - это программный комплекс, умещающийся на одном CD, обладающий широкими загрузочными возможностями, и, несущий на борту полноценный и целостный набор подлинных (не "пиратских") win32-программ. Он позволяет превратить "голую" Windows в полноценную рабочую станцию со всем необходимым от хорошего антивируса, браузера, офисного пакета и высококачественного англо-русского словаря, до профессиональных программ для работы с графикой, 3d-моделирования и обработки звука. FreeXPIe - система для настройки и восстановления Windows.

еуе
аааааа, понятно теперь почему, спасибо! ниче скоро всё так выясню понемножку и сама сделаю
Acmeolog
ничего смешного, я правда не знаю как попасть в реестр, не всем же быть такими умными как ты Если бы все всё знали, то никто тут ничего и не спрашивал бы )) и форумов бы не было вообще )))

еуе
А тебе ОГРОМНЕЙШЕЕ спасибо!!! Очень хорошо объясняешь, понятно, спасибочки можно буду ещё спрашивать?

Ромашечка
Я не очень умный, глаз умнее меня в 3, 14 раза, как минимум! Слушай его, он поможет твоей системе! Тут таких много еще, скажу по секрету!

Acmeolog
А подскажи где этих умных найти

Попасть в реестр можно так:Пуск->Выполнить->набрать regedit

Civil
Спасибки! Вот я уже как много всего знаю! скоро хакером буду!

И еще, для того, чтобы что-то сделать с компьютером, необязательно к кому-то идти (хотя ясен пень, что помочь прекрасному созданью, да еще и у нее дома мало кто из парней откажется ). Но ближе к теме... я Вам настоятельно рекомендую установить у себя удаленный сервер (типа как на сайте logmein.com) и попросить удаленной помощи у понимающих в делах администрирования людей. Мой Вам дружеский совет, если будете делать что-то в реестре - делайте это ОЧЕНЬ аккуратно!

Civil писал(а):Мой Вам дружеский совет, если будете делать что-то в реестре - делайте это ОЧЕНЬ аккуратно!

А что может быть, если я что-то не так сделаю? Совсем так всё плохо?
П.С. Конечно я постараюсь осторожно, пока не буду уверена, что правильно делаю, ничего не начну ковырять

Civil
такое во первых в WinXP уже есть встроенное и бесплатное
а во вторых она его завести врядли сможет, потому как ему надо "белый" IP, который нынче редкость, или проброс портов надо мутить
гимор короче для тех не умеет

Ромашечка писал(а):А что может быть, если я что-то не так сделаю? Совсем так всё плохо?

если HKEY_USERS испортить, то его починить можно, а если HKEY_LOCAL_MACHINE то холодец ему настанет

еуе
Если Вы имеете ввиду удаленный помощник, то я им не пользовался (неприходилось, надо на досуге попробывать). А вы пробовали logmein? Ну уж куда проще настройки не видел. Выбрал его ибо мне так проще поддерживать обычных клиентов (для контор всегда VPN). Белый ip или не белый зависит от провайдера (собственно как динамика или статика). У меня, например, белый, но динамический (не реклама - domo**nk) (хотя dyndns решает сию траблу). Проброс портов... ну думаю для обычного пользователя тяжеловато, хотя треккерами многие пользуются, а там вышеописанными пробросами сталкиваешься. Да, что-то отвлекся...
Ромашечка
Ну там достаточно сделать совсем немного, для того, чтобы винда приказала долго жить. Поэтому настоятельно рекомендую делать все очень аккуратно и желательно понимать, что делаешь! Лучше один раз погеммороиться с удаленкой и поиском на форуме адекватного удаленного помощника!

Civil писал(а):Если Вы имеете ввиду удаленный помощник!

Нет, я имею ввиду службу Terminal Services

Ну уж куда проще настройки не видел.

TS для связи вообще никаких настроек нет

Белый ip или не белый зависит от провайдера (собственно как динамика или статика).

Вот как раз в то и упирается - белый он или серый, а динамика или статика в данном случае все равно.

Проброс портов... ну думаю для обычного пользователя тяжеловато, хотя треккерами многие пользуются, а там вышеописанными пробросами сталкиваешься.

ну вот она например ниасилит

В TS человек с другой стороны не видит, что ты делаешь - это не есть гуд! Ладно, хорош, далеко от темы отошли.
Ромашечка
Проблему победили?

Civil
Привет!!! Не, пока не победила, я что-то пару дней за комп не садилась вообще ))