Постоянно кричит, что IE изменился и пытался блокировать его dll-ки.
Сканирование указало на одну мессагу в помойке.
Вот прогнал по Правилам - гляньте, что осталось?
Printable View
Постоянно кричит, что IE изменился и пытался блокировать его dll-ки.
Сканирование указало на одну мессагу в помойке.
Вот прогнал по Правилам - гляньте, что осталось?
[b]Отключите восстановление системы![/b]
Пофиксите в HijackThis:
[code]
O2 - BHO: RuPass module - {954A0637-9147-4b5e-964E-9F20E58FC29D} - C:\Program Files\RuPass\RuPass.dll (file missing)
O3 - Toolbar: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - C:\Program Files\Rambler Assistant\ramblertoolbarU0.dll (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
[/code]
Выполните скрипт в AVZ:
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
ClearQuarantine;
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\DMSKSSRh.sys','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=24614[/url]).
Обновите базы AVZ и сделайте логи заново.
Ноут отдали только сейчас - сделал как написано. Стал намного дольше загружаться. В эвентах ничего подозрительного.
Файл в карантине чистый.
[quote=Bratez;240947]Обновите базы AVZ и сделайте логи заново.[/quote]
Внешне все вроде нормально, но при попытке увидеть свойства объекта "Мой компьютер" выкидывает окно с заголовком "rundll32.exe - Неверный образ" в котором написано "Приложение или библиотека C:\Program Files\CyberLink\Shared Files\CLRCEngine.dll не является образом программы для Windows NT. Проверьте назначение установочного диска." и кнопка "OK". После нескольких появлений новых таких-же окон в ответ на OK открывается обычное окно свойств системы.
[QUOTE=ascodts;248259]Внешне все вроде нормально,[/QUOTE]не совсем: например Вы дважды проигнорировли просьбу хелпера Bratez
[QUOTE]Обновите базы AVZ и сделайте логи заново. [/QUOTE]
Будем закрывать тему?
Виноват! Исключительно по невнимательности. Высылаю свежие логи. Посмотрите пожалуйста.
В логах ничего подозрительного не видно.
По поводу проблемы с CLRCEngine.dll - предлагаю сделать так:
1. Деинсталлируйте программу от CyberLink (Power DVD?).
2. Выполните такой скрипт:
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\CyberLink\Shared Files\CLRCEngine.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/code]
3. Установите программу заново, если она нужна.
[quote=Bratez;248319]В логах ничего подозрительного не видно.
По поводу проблемы с CLRCEngine.dll - предлагаю сделать так:
1. Деинсталлируйте программу от CyberLink (Power DVD?).
<scipped>
3. Установите программу заново, если она нужна.[/quote]
В "Установке и удалении программ" она не фигурирует, правда есть некая WinDVD. В меню запуска нет обеих. В папке Program Files есть папка Cyberlink и в ней только Shared Files с потрохами. WinDVD представлена полностью (мне раньше казалось что это один и тот-же продукт под разными брендами).
Удаление необходимо и в новой установке нет никакой нужды. Удивило - почему такая диагностика при попытке посмотреть свойства системы и не нужна-ли дополнительная диагностика/очистка соотв. ключей реестра?
Тогда просто выполните скрипт, после перезагрузки удалите папку CyberLink. Скрипт подчистит ключи реестра, ссылающиеся на этот файл, и проблема должна исчезнуть.
WinDVD не удаляйте, она не имеет отношения к CyberLink.
Спасибо! Проблема устранилась. Резко сократилось время ожидания от момента, когда открылся десктоп до возможности хоть что-то запустить.
[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]
При дальнейшем обследовании обнаружилось, что при запускеприложений MS Office, в частности Word 2003, появляется аналогичное сообщение с про C:\Program Files\Common Files\Microsoft Shared\office11\mso.dll.
Предпологаю, что dll-ки мог зкарантинить или удалить Касперский (стоит KIS7). Где в нем поискать, потому-что если это он, придется проверять все программы (могу и пропустить что-нибудь, а пользователь сам несправится)?
Кстати Exel запустился.
[size="1"][color="#666686"][B][I]Добавлено через 7 часов 20 минут[/I][/B][/color][/size]
Проблема с незапуском Word2003 решена и как решать ее для других приложений выяснено. Всем еще раз большое спасибо!
[QUOTE=ascodts;248374]Проблема с незапуском Word2003 решена и как решать ее для других приложений выяснено. ![/QUOTE]Спасибо, конечно, но хорошо было бы с народом опытом поделиться 8)
Собственно причиной было то, что каспер блокировал не сам Winword, а дочерние от него процессы - точный путь сейчас не помню, но все скрывалось в Проактивной защите.