KIS 7 беспокоится - блокирует IE

[ascodts]

Постоянно кричит, что IE изменился и пытался блокировать его dll-ки.
Сканирование указало на одну мессагу в помойке.
Вот прогнал по Правилам - гляньте, что осталось?

[Bratez]

Отключите восстановление системы!
Пофиксите в HijackThis:

Код:

O2 - BHO: RuPass module - {954A0637-9147-4b5e-964E-9F20E58FC29D} - C:\Program Files\RuPass\RuPass.dll (file missing)
O3 - Toolbar: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - C:\Program Files\Rambler Assistant\ramblertoolbarU0.dll (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Выполните скрипт в AVZ:

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
ClearQuarantine;
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\DMSKSSRh.sys','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=24614).

Обновите базы AVZ и сделайте логи заново.

[ascodts]

Ноут отдали только сейчас - сделал как написано. Стал намного дольше загружаться. В эвентах ничего подозрительного.

[Bratez]

Файл в карантине чистый.

Обновите базы AVZ и сделайте логи заново.

[ascodts]

Внешне все вроде нормально, но при попытке увидеть свойства объекта "Мой компьютер" выкидывает окно с заголовком "rundll32.exe - Неверный образ" в котором написано "Приложение или библиотека C:\Program Files\CyberLink\Shared Files\CLRCEngine.dll не является образом программы для Windows NT. Проверьте назначение установочного диска." и кнопка "OK". После нескольких появлений новых таких-же окон в ответ на OK открывается обычное окно свойств системы.

[Rene-gad]

Внешне все вроде нормально,

не совсем: например Вы дважды проигнорировли просьбу хелпера Bratez

Обновите базы AVZ и сделайте логи заново.

Будем закрывать тему?

[ascodts]

Виноват! Исключительно по невнимательности. Высылаю свежие логи. Посмотрите пожалуйста.

[Bratez]

В логах ничего подозрительного не видно.

По поводу проблемы с CLRCEngine.dll - предлагаю сделать так:
1. Деинсталлируйте программу от CyberLink (Power DVD?).
2. Выполните такой скрипт:

Код:

begin
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\CyberLink\Shared Files\CLRCEngine.dll');
ExecuteSysClean;
RebootWindows(true);
end.

3. Установите программу заново, если она нужна.

[ascodts]

В логах ничего подозрительного не видно.

По поводу проблемы с CLRCEngine.dll - предлагаю сделать так:
1. Деинсталлируйте программу от CyberLink (Power DVD?).
<scipped>
3. Установите программу заново, если она нужна.

В "Установке и удалении программ" она не фигурирует, правда есть некая WinDVD. В меню запуска нет обеих. В папке Program Files есть папка Cyberlink и в ней только Shared Files с потрохами. WinDVD представлена полностью (мне раньше казалось что это один и тот-же продукт под разными брендами).
Удаление необходимо и в новой установке нет никакой нужды. Удивило - почему такая диагностика при попытке посмотреть свойства системы и не нужна-ли дополнительная диагностика/очистка соотв. ключей реестра?

[Bratez]

Тогда просто выполните скрипт, после перезагрузки удалите папку CyberLink. Скрипт подчистит ключи реестра, ссылающиеся на этот файл, и проблема должна исчезнуть.
WinDVD не удаляйте, она не имеет отношения к CyberLink.

[ascodts]

Спасибо! Проблема устранилась. Резко сократилось время ожидания от момента, когда открылся десктоп до возможности хоть что-то запустить.

Добавлено через 12 минут

При дальнейшем обследовании обнаружилось, что при запускеприложений MS Office, в частности Word 2003, появляется аналогичное сообщение с про C:\Program Files\Common Files\Microsoft Shared\office11\mso.dll.
Предпологаю, что dll-ки мог зкарантинить или удалить Касперский (стоит KIS7). Где в нем поискать, потому-что если это он, придется проверять все программы (могу и пропустить что-нибудь, а пользователь сам несправится)?
Кстати Exel запустился.

Добавлено через 7 часов 20 минут

Проблема с незапуском Word2003 решена и как решать ее для других приложений выяснено. Всем еще раз большое спасибо!

[Rene-gad]

Проблема с незапуском Word2003 решена и как решать ее для других приложений выяснено. !

Спасибо, конечно, но хорошо было бы с народом опытом поделиться

[ascodts]

Собственно причиной было то, что каспер блокировал не сам Winword, а дочерние от него процессы - точный путь сейчас не помню, но все скрывалось в Проактивной защите.