RUNDLL. Ошибка при загрузке tftp.nfo

**Drkedr** · 16.12.2009, 01:31

При запуске компа вечно выскакивают окошка:
RUNDLL
Ошибка при загрузке tftp.nfo
Не найден указанный модуль

Наверно это последствия вируса, обновлённый Drweb CureIt его совсем не видит.
Как исправить?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 16.12.2009, 05:16

Сделайте логи по правилам.

**Drkedr** · 17.12.2009, 16:49

вот вроде получилось

**snifer67** · 17.12.2009, 16:57

Пофиксить в HijackThis

Код:

F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe tftp.nfo beforegllav
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

ПК перезагрузите.

Выполните скрипт в avz

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\MicrSoft.exe','');
 DeleteFile('C:\WINDOWS\system32\MicrSoft.exe');
 DelCLSID('{12LOP3S8-1VRX-81VS-JKL6-61OP5G7774441}');
 QuarantineFile('E:\autorun.wsh','');
 QuarantineFile('C:\KALBA\MAAFENA\LAXOURY.exe','');
 DeleteFile('C:\KALBA\MAAFENA\LAXOURY.exe');
 DeleteFile('E:\autorun.wsh');
 DeleteFileMask('C:\KALBA', '*.*', true);
 DeleteDirectory('C:\KALBA');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи.

**PavelA** · 17.12.2009, 17:00

профиксить:

Код:

F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe tftp.nfo beforegllav
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

Выполнить:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\MicrSoft.exe','');
DeleteFile('C:\WINDOWS\system32\MicrSoft.exe');
DeleteFile('E:\autorun.wsh ');
DelCLSID('12LOP3S8-1VRX-81VS-JKL6-61OP5G7774441');
 QuarantineFile('C:\KALBA\MAAFENA\LAXOURY.exe','');
 DeleteFile('C:\KALBA\MAAFENA\LAXOURY.exe');
BC_ImportaLL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Повторить логи.
Прислать карантин.

**Drkedr** · 17.12.2009, 18:45

Профиксил, выполнил, потом прислал запрошенный карантин, потом по новой сделал три лога и присылаю их снова. Надеюсь всё сделал правильно?

Окошко про модуль исчезло, Огромное вам спасибо!
Сам процесс был интересным и даже захватывающим

**Drkedr** · 17.12.2009, 19:16

На этом всё? процесс завершён правильно? можно ещё спросить?

**thyrex** · 17.12.2009, 19:58

Выполните скрипт в AVZ

Код:

begin
ExecuteREpair(9);
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новый лог virusinfo_syscheck.zip

**Drkedr** · 17.12.2009, 21:02

Сделал вот..а теперь как???

**PavelA** · 17.12.2009, 21:14

Да, теперь вроде бы все. СПС thyrex, а то я эту команду упустил.

**Drkedr** · 17.12.2009, 22:58

1.Можно ли мне теперь обратно включить восстановление системы?
2.Во время запуска Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". он по умолчанию сканировал только локальный диск С, так и должно быть? Или мне нужно было вручную отметить галочками и диски D и E? (D и E это части разделённого у меня жёсткого диска).
3.Что мне делать с флешками которые были в компе до этих «профиксиваний»? не смогут ли флешки вернуть этот «RUNDLL Ошибка при загрузке tftp.nfo» ?
4.Нужны ли теперь мне HiJackThis и avz4 или их можно уже удалить вместе с их логами? Если можно уже удалить, то, как это безопаснее сделать? У них нет файлов деинсталляции.
5.Какого вируса был последствием мой «RUNDLL»? С какого сайта или программы? (это чтоб я теперь держался подальше от него).

**PavelA** · 17.12.2009, 23:38

Сообщение от Drkedr

1.Можно ли мне теперь обратно включить восстановление системы?

Можно

Сообщение от Drkedr

4.Нужны ли теперь мне HiJackThis и avz4 или их можно уже удалить вместе с их логами?

Можно и удалить. точнее Хиджак деинсталлировать, а AVZ удалить.

Сообщение от Drkedr

3.Что мне делать с флешками которые были в компе до этих «профиксиваний»?

вставлять и делать логи. Или проверять их Cureit-ом

Добавлено через 1 минуту

Сообщение от Drkedr

2.Во время запуска Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". он по умолчанию сканировал только локальный диск С, так и должно быть? Или мне нужно было вручную отметить галочками и диски D и E? (D и E это части разделённого у меня жёсткого диска).

Я вообще советую после нашего лечения проверить полностью все диски своим, штатным а/вирусом.

**Drkedr** · 18.12.2009, 18:15

Сохранил эти проги на болванке. А Curelt сказал сейчас, что в HiJackThis есть инфицированные файлы. Как лучше поступить теперь с ним поступить: HiJackThis деинсталлировать и остатки от деинсталляции удалить в корзину вручную?
Ответьте пожалуйста.

**pig** · 18.12.2009, 23:14

Где и что конкретно CureIt нашёл? Впрочем, неважно, это либо ложное срабатывание на "коллегу", либо бэкапы после фиксов детектируются. Uninstall HijackThis, а остатки, если будут, удалите МИМО корзины.