Ошибка RUNDLL при загрузке винды

**qwert_17** · 19.03.2010, 14:41

C:/Program Files/ESET/infected/XCZNSPCA.NQF статус: archive BINARYRES
C:/Program Files/ESET/infected/YOGDVRCA.NQF статус: infected with Trojan.MulDrop.52982
C:/Program Files/ESET/infected/YOGDVRCA.NQF статус: infected with Trojan.Packed.19720
C:/Program Files/ESET/infected/15DEXZBA.NQF статус: infected with Win32.HLLW.Autoruner.6326

Это не все, их много, но все такого типа, как я перечислил, если надо, напишу все.
Есть и другие, не НОДовские

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**миднайт** · 19.03.2010, 15:15

Это карантин НОДа. Убивайте\лечите всё.

**qwert_17** · 20.03.2010, 15:50

Готово

**Шапельский Александр** · 20.03.2010, 16:16

Сделайте вот такой лог--http://virusinfo.info/showthread.php?t=37840
только отключите в Logging State опцию File Systems

**qwert_17** · 20.03.2010, 16:31

Как это сделать и что такое Logging State?

**Шапельский Александр** · 20.03.2010, 16:36

Как сделать лог с помощью программы Vba32 AntiRootkit?
Если Вы еще не скачали программу Vba32 AntiRootkit, то скачайте ее по следующим ссылкам:

ftp://anti-virus.by/beta/Vba32arkit_beta.zip
ftp://vba.ok.by/vba/beta/Vba32arkit_beta.zip

Далее:

Распакуйте и запустите программу (в Vista нужно запускать правой кнопкой от имени администратора*);
Включите драйвер расширенного мониторинга ArKit Driver -> Install AntiRootKit Driver (на запрос о перезагрузке ответьте утвердительно);
Вверху слева выберите меню File -> Logging State и нажмите Start;
Сохраните лог (файл Vba32arkitLog) и прикрепите его zip-архив к сообщению в Вашей теме;
По требованию специалиста удалите драйвер расширенного мониторинга ArKit Driver -> UnInstall AntiRootKit Driver.

Внимание!!! Не удаляйте файлы и ключи реестра на свое усмотрение. Этим Вы можете нанести непоправимый вред Вашему компьютеру.

Сделайте лог, как здесь написано.

**qwert_17** · 22.03.2010, 18:40

Прошу прощения за последний вопрос, не посмотрел ссылку.

**Шапельский Александр** · 23.03.2010, 15:04

Выполните скрипт

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Temp\nse69D.tmp\setuphlp.dll','');
 BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).

**qwert_17** · 23.03.2010, 21:05

Сделал.

**миднайт** · 25.03.2010, 01:52

Сейчас какие-то проблемы наблюдаются?

**qwert_17** · 25.03.2010, 18:20

Осталось только окошко с иероглифом при загрузке винды (появляется не каждый раз) и хотелось бы восстановить БЛОКНОТ

**Шапельский Александр** · 25.03.2010, 20:42

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(7);
CopyFile('%windir%\system32\dllcache\notepad.exe', '%windir%\notepad.exe');
RebootWindows(true);
end.

Отпишитесь

**qwert_17** · 26.03.2010, 23:16

Ничего не изменилось. Я, может быть, не точно описал проблему. Блокнот, на самом деле есть в списке программ и в папке system32, но он называется не notepad, а netdde, но он не открывается и файлы, которые должны открываться блокнотом, отображаются как файлы, формат которых не определен. И в списке программ меню-пуск-прораммы-стандартные вместо значка блокнота просто значок exeшника неопределенного формата. Окошко при загрузке пока не появлялось, зато сегодня утром при загрузке появился синий экран с ошибкой винлогона, но это было только один раз.

**Шапельский Александр** · 27.03.2010, 09:59

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
CopyFile('%windir%\system32\dllcache\notepad.exe', '%windir%\system32\notepad.exe');
Executerepair(1);
RebootWindows(true);
end.

Пробуйте запустить блокнот.

**qwert_17** · 27.03.2010, 12:03

Попробовал, не запускается.

**миднайт** · 28.03.2010, 13:53

распакуйте вложение в каталог C:\WINDOWS\system32 переписывание файла подтвердите. Пуск - выполнить %windir%\system32\notepad.exe
Блокнот запустится?
Вложение 226931

**qwert_17** · 30.03.2010, 00:02

Теперь запускается, правда не из ПРОГРАММЫ-СТАНДАРТНЫЕ-БЛОКНОТ, а пришлось сделать отдельный ярлык в меню Пуск, но это мелочи. Осталось убрать окошко с иероглифом при загрузке винды, пожалуйста.