-
Junior Member
- Вес репутации
- 53
RUNDLL Ошибка при загрузке. AVZ AVPTool не запускаются даже в безоп режиме
Операционная система ХР SP3
Периодически выскакивает окно, похожее на системное с красным крестом и заголовком RUNDLL
При попытке в адресной строке браузера открыть ссылку на антивирусное ПО - окно браузера закрывается
При попытке открыть папку с антивирусным ПО - папка сразу закрывается, после этого другие папки и файлы перестают закрываться - выдается тоже самое сообщение с красным крестом и заголовком RUNDLL. После этого приходится перезагружать.
Пробовал переименовать AVZ. AVZ в этом случае запускается, но система сразу завершает работу.
В безопасном режиме - все то же самое.
При запуске AVZ и CureIT начинает выдавать ту же ошибку
Удалось только запустить HiJackThis, переименовав его в тест.com
Просьба помочь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксить в HijackThis
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O1 - Hosts: 210.51.166.253 www.vkontakte.ru
O1 - Hosts: 210.51.166.253 vkontakte.ru
O4 - HKLM\..\Run: [Internet Connection Wizard Setup Tool] C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe
O4 - HKLM\..\Run: [sysgif32] C:\WINDOWS\Temp\wpv841253309382.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\Policies\Explorer\Run: [Java Plug-in] C:\WINDOWS\system32\chknt32.exe
O4 - Startup: ikowin32.exe
O4 - Global Startup: icwsetup.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\y.dll
ПК перезагрузите.
Сделайте логи avz.
-
-
Junior Member
- Вес репутации
- 53
Добрый вечер.
Пофиксил. Перезагрузил.
Удалось 1 раз запустить AVZ.
Сделал лог AVZ
Потом лог HiJackThis
Второй раз AVZ не запускается - как только открываю папку где он лежит - комп уходит в перезагрузку.
Пробовал сканировать DrWEB Live CD, McAfee Stinger.
При запуске McAfee Stinger выскочило окно, в котором предлагалось ввести ключ к программе iMAX Download Manager, получив его по смс с короткого номера. Перевел системное время на январь 2009, перезагрузил - окно больше не выскакивало.
удалил несколько вирусов, но эта ошибка так и остается.
в безопасном режиме все тоже самое.
Есть ли какой-нибудь способ запустить AVZ, что бы вирус не перезагружал компъютер?
Последний раз редактировалось Egorik; 27.12.2009 в 01:21.
-
Пофиксите в HiJack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\sdra64.exe,
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\dntmm.dll','');
DeleteFile('C:\WINDOWS\system32\dntmm.dll');
QuarantineFile('C:\WINDOWS\system32\A.dll','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\chknt32.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe','');
QuarantineFile('C:\WINDOWS\system32\wkqv.dll','');
QuarantineFile('C:\WINDOWS\system32\pcu.dll','');
QuarantineFile('C:\WINDOWS\system32\kij.dll','');
QuarantineFile('C:\WINDOWS\system32\cddcwun.dll','');
QuarantineFile('C:\WINDOWS\system32\C.dll','');
QuarantineFile('C:\WINDOWS\system32\ainlpj.dll','');
DeleteFile('C:\WINDOWS\system32\ainlpj.dll');
DeleteFile('C:\WINDOWS\system32\C.dll');
DeleteFile('C:\WINDOWS\system32\cddcwun.dll');
DeleteFile('C:\WINDOWS\system32\kij.dll');
DeleteFile('C:\WINDOWS\system32\pcu.dll');
DeleteFile('C:\WINDOWS\system32\wkqv.dll');
DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Internet Connec-tion Wizard Setup Tool');
DeleteFile('C:\WINDOWS\system32\chknt32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Java Plug-in');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
DeleteFile('C:\WINDOWS\system32\A.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Добрый вечер.
В связи с тем, что антивирусные утилиты не запускались, на чистом компе скачал ISO образ Касперский Rescue Disc, создал диск, просканировал зараженный комп.
Удалиллось порядка 9 000 тел вируса, в основном *.dll в основном в пакпе windows32
Затем удалось выполнить все инструкции по правилам
логи прилагаю. Карантин выслал
Просьба посмотреть, осталась ли зараза.
-
Пофиксите в HiJack
Код:
F2 - REG:system.ini: UserInit=userinit.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\dntmm.dll
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\dntmm.dll','');
DeleteFile('C:\WINDOWS\system32\dntmm.dll');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\chknt32.exe','');
DeleteFile('C:\WINDOWS\system32\chknt32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Java Plug-in');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(11);
ExecuteREpair(17);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
>> Заблокированы настройки системы System Restore
Исправьте через AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы - отметить указанное - Исправить
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Все в точности выполнил
логи прилагаю
-
-
-
Junior Member
- Вес репутации
- 53
новая разновидность - eKAV antivirus
Было все нормально, но как только системное время перевел на правильное (до этого был установлен январь 2009) опять все те же смиптомы - бликируется запуск утилит, при попытке запустить компуходит в перезагрузку.
при запуске IE выскочило окно
eKAV antivirus, которое делает вид что сканирует систему, затем выдает якобы найденные вирусы, после чего выскакивает другое окно, которое просит отправить sms на номер 4460 с текстом К704113200
Касперский rescue disk от 26.12.2009 не нашел ничего -(
позвонил в службу поддержки а1.агрегатор (собственник короткого номера) - дали код разблокировки). Разблокировал кодом.
опять завелась sdra64.exe - хайджек ее уже не фиксит.
сделал логи по правилам
просьба помочь навсегда убить эту заразу
-
Выполните скрипт в avz
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Help\nwdoc.chm:WVTD1D:$DATA','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
Карантин выслал.
логи обновил
почему sdra64 нету в карантине?
-
C:\WINDOWS\Help\nwdoc.chm:WVTD1D:$DATA - новый зловред Trojan-Downloader.Win32.Piker.bae
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Егор\Local Settings\Temp\n.dll','');
DeleteFile('C:\Documents and Settings\Егор\Local Settings\Temp\n.dll');
QuarantineFile('C:\Documents and Settings\Егор\Local Settings\Temp\ztaq.dll','');
DeleteFile('C:\Documents and Settings\Егор\Local Settings\Temp\ztaq.dll');
DeleteFile('C:\WINDOWS\Help\nwdoc.chm:WVTD1D:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Карантин выслал
логи прилагаю.
-
Плохого не видно. Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Ну вроде все в порядке, ничего такого не заметно пока.
беспокоит только что комп довольно часто в винчестере копается без видимых причин - на работе вин2000 стоит - такого нет
что делать с файлами в карантине?
там сидят
ztag.dll
n.dll
C:\WINDOWS\Help\nwdoc.chm:WVTD1D:$DATA
-
Файлы с карантина можете удалить.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 20
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\help\nwdoc.chm:wvtd1d:$data - Trojan-Downloader.Win32.Piker.bae ( AVAST4: Win32:Rootkit-gen [Rtk] )
-