Помогите "Ошибка в setupapi.dll"

Printable View

01.04.2008, 18:40
Gabidz

Помогите "Ошибка в setupapi.dll"

Собственно после чистки ПК от вирусов вылезает такое сообщение:"Ошибка в Setupupi.dll Отсутствует: s"
Не позволяетзайти в Систему, не позволяет зайти в сетевое окружение. Прошу помощи!
01.04.2008, 19:40
Numb

На время выполнения скриптов, отключитесь от сети, отключите антивирусный монитор и отключите восстановление системы.
Пофиксите с помощью Hijackthis строчки: [code]F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [WinMed] winmed.exe
O4 - HKLM\..\Run: [Printer] C:\WINDOWS\system32\printer.exe
O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [PromoReg] C:\WINDOWS\system32\alt.exe.exe
O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\comp\Local Settings\Application Data\cftmon.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKUS\S-1-5-18\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe (User 'SYSTEM')
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll
O20 - Winlogon Notify: crypt - crypts.dll (file missing)
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\[/code]Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\xlibgfl254.dll','');
QuarantineFile('C:\WINDOWS\xlibgfl254.dll','');
QuarantineFile('C:\WINDOWS\system32\wowfx.dll','');
QuarantineFile('C:\WINDOWS\system32\spoolvs.exe','');
QuarantineFile('C:\WINDOWS\system32\printer.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\system32\alt.exe.exe','');
QuarantineFile('C:\Program Files\ESET\regnod.bat','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
BC_DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\WINDOWS\system32\alt.exe.exe');
BC_DeleteFile('C:\WINDOWS\system32\alt.exe.exe');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
BC_DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\printer.exe');
BC_DeleteFile('C:\WINDOWS\system32\printer.exe');
DeleteFile('C:\WINDOWS\system32\spoolvs.exe');
BC_DeleteFile('C:\WINDOWS\system32\spoolvs.exe');
DeleteFile('C:\WINDOWS\system32\wowfx.dll');
BC_DeleteFile('C:\WINDOWS\system32\wowfx.dll');
DeleteFile('C:\WINDOWS\xlibgfl254.dll');
BC_DeleteFile('C:\WINDOWS\xlibgfl254.dll');
DeleteFile('C:\WINDOWS\system32\xlibgfl254.dll');
BC_DeleteFile('C:\WINDOWS\system32\xlibgfl254.dll');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Cyj62.sys');
BC_DeleteFile('C:\Windows\System32\drivers\NdisWon.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Anr84.sys');
BC_DeleteSvc('Anr84');
BC_DeleteSvc('NdisWon');
BC_DeleteSvc('Cyj62');
BC_ImportquarantineList;
BC_Activate;
ExecuteSysClean;
executerepair(6);
executerepair(9);
RebootWindows(true);
end.[/code]Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=20809[/url] , как написано в прил.3 правил, и повторите логи, начиная с п. 10 правил.
02.04.2008, 12:27
Gabidz

Спасибо за помощь! После выполнения рекомендаций система работает пока без сбоев:D Но высылаю Вам на всякий случай логи, может что-то ещё обнаружится.
02.04.2008, 12:33
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('xlibgfl254.dll','');
QuarantineFile('wowfx.dll','');
DeleteFile('wowfx.dll');
DeleteFile('xlibgfl254.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=20809[/url]

Повторите логи.
02.04.2008, 12:37
wise-wistful

Профиксите
[quote]O16 - DPF: {33331111-1111-1111-1111-615111193427} -[/quote]
02.04.2008, 13:33
Gabidz

Пофиксил, просканировал. Высылаю логи.
02.04.2008, 13:37
V_Bond

выполните скрипт ...
[code]
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\Installer\{557b0024-0389-4246-8493-9b012eeb5c3f}\PrxRam.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
02.04.2008, 14:02
Gabidz

Выслал карантин.
02.04.2008, 14:04
Гриша

Карантин пустой,пришлите PrxRam.dll согласно приложению 2 правил.
02.04.2008, 14:38
Gabidz

Такого файла нет.
02.04.2008, 15:52
V_Bond

выполните скрипт ...
[code]
begin
DeleteFile('C:\WINDOWS\Installer\{557b0024-0389-4246-8493-9b012eeb5c3f}\PrxRam.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи начиная с пункта 10 правил ....
02.04.2008, 16:39
Gabidz

Высылаю логи.
02.04.2008, 16:46
Bratez

Ничего подозрительного больше нет.

Мелкие подчистки -

1. Пофиксите в hijackThis:
[code]O16 - DPF: {E cellSpacing=5 cellPadding=3 width=400} - [/code]
2. Пуск - Выполнить - [b]cmd[/b]
Наберите команду:
[b]sc delete CCALib8[/b]
и нажмите Enter.

3. Рекомендуется отключить все что вам не нужно из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/code]
02.04.2008, 17:28
Gabidz

Спасибо всем, кто учавствовал в решении проблемы! Честь Вам и хвала за такую оперативность и отзывчивость!:)
02.04.2008, 17:29
Гриша

Нам интересно [URL="http://virusinfo.info/showthread.php?t=19883"]Ваше мнение[/URL] о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

Советуем прочитать [URL="http://security-advisory.virusinfo.info/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
22.02.2009, 04:41
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]27[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]