Такое соообщение об ошибке уже обсуждалось, но у меня, видимо, несколько иной случай. Стало появляться после обнаружения Avir'ой зараженного файла setupapi.dll в папке c:\Program Files\Internet Explorer, который я затем удалил руками.
Printable View
Такое соообщение об ошибке уже обсуждалось, но у меня, видимо, несколько иной случай. Стало появляться после обнаружения Avir'ой зараженного файла setupapi.dll в папке c:\Program Files\Internet Explorer, который я затем удалил руками.
[url]http://virusinfo.info/showthread.php?t=1235[/url]
Не сразу вложились :)
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelBHO('{5321E378-FFAD-4999-8C62-03CA8155F0B3}');
QuarantineFile('C:\WINDOWS\inet10054\1.02.05.dll','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\abc32.dll','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\abc32.dll');
DeleteFile('C:\WINDOWS\inet10054\1.02.05.dll');
BC_ImportALL;
BC_DeleteSvc('smtpdrv');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Загрузите карантин согласно приложению №3 правил. Повторите логи.
Пофиксить в HijackThis следующие строчки, если останутся ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[code]
O20 - Winlogon Notify: abc32reg - C:\Documents and Settings\All Users.WINDOWS\ִמךףלוםע\Settings\abc32.dll (file missing)
O20 - Winlogon Notify: reset5 - reset5.dll (file missing)[/code]
Фикс в [B]HjJackThis[/B] не понадобился
Ну, не то чтобы сосем не понадобился... ;)
Пофиксите в HijackThis:
[code]
O20 - Winlogon Notify: abc32reg - C:\WINDOWS\
O20 - Winlogon Notify: reset5 - reset5.dll (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
BC_DeleteSvc('Qunw71');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Посмотрите, нужно ли вам что-то из этого:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/code]
Лишнее отключим.
Карантин
Карантин надо бы отправлять сюда - [url]http://virusinfo.info/upload_virus.php?tid=16652[/url]
У Вас там вредоносного не обнаружено.
Какие службы из вышеуказанных не нужны?
Фикс HijackThis выполнен, виноват, что не сразу докрутил окно до этих строк.
При запуске скрипта Bratez Авира сказала, что заражен файл
c:\windows\system32\drivers\vdeznjcy.sys
TR/Agent.AFQN.1
Файл переименован, могу прислать.
Из списка служб нужен только автозапуск с CDROM.
Сообщение об ошибке [B]"Ошибка в setupapi.dll" [/B]по прежнему выдается при запуске.
В каталоге c:\Program Files\Internet Explorer присутствуют файлы, которых нет в чистой системе - rundll32 и rundll32.exe. Если их переименовать, то при запуске, например, брандмауэра Windows выдается сообщение, что не найден файл
c:\windows\system32\rundll32.exe
[quote]
При запуске скрипта Bratez Авира сказала, что заражен файл
c:\windows\system32\drivers\vdeznjcy.sys
TR/Agent.AFQN.1
Файл переименован, могу прислать.
[/Quote]
При выполнении скриптов антивирус полагается отключать.
Файл однако пришлите, и еще эти:
c:\Program Files\Internet Explorer\iexplore.exe
c:\Program Files\Internet Explorer\rundll32
c:\Program Files\Internet Explorer\rundll32.exe
Отправил
Или файл не дошел?
вирлаб еще не проверил похоже
Что-то долго проверяют...
Я что-то не нахожу вашего последнего архива в карантине...
Отправляли тут: [url]http://virusinfo.info/upload_virus.php?tid=16652[/url] ?
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
Попробуйте такой скрипт:
[code]begin
SysCleanAddFile('c:\Program Files\Internet Explorer\setupapi.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Будет ли по-прежнему появляться сообщение об ошибке после этого?
Сообщение перестало появляться после удаления из реестра ветки "rundll32.exe" с вызовом "C:\Progran Files\Internet Explorer\rundll32 setupapi.dll,s"
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]