Здравствуйте, многоуважаемые профессионалы!
Похожая тема была, не хотел мусорить, хотел в ней же написать, но что-то не получилось.
Периодически, в результате некоторых действий (доступ к элементам контролпанели, отключении флэшки) выскакивает сообщение с заголовком "RUNDLL" "setupapi.dll: отсутствует s". Поглядел логи - нашлось много паразитов. Но по опыту решил сам не лезть, мало ли, не так я силен в системном программировании... Прошу помощи.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключит ьвосстановление системы не удается, т.к. при выборе свойств моего компьютера выскакивает все тоже самое сообщение про setupapi.dll и дальше все.
Добавлено через 12 минут
При выполнении первого скрипта AVZ ругается что невозможно поместить в карантин файлы - что-то про ошибку прямого чтения.
Папку c:\windows\temp очистить не удается полностью, остается файл Perflib_Perfdata_43c.dat и папка _Avast4_ (да, установлен он у меня, регулярно обновляется, но мышей оказывается не ловит) с файлом webshlock.txt размером 0 байт внутри.
Логи собираются
Последний раз редактировалось 0xBA0BAB; 23.03.2008 в 08:14.
Причина: Добавлено
Отключит ьвосстановление системы не удается, т.к. при выборе свойств моего компьютера выскакивает все тоже самое сообщение про setupapi.dll и дальше все.
После выполнения моего скриптика ситауция должна измениться. Попробуйте.
Bratez, я выполнил Ваш скрипт. Увы, ситуация не поменялась. Впрочем, сейчас выполню еще раз, а пока прилагаю логи после всех действий.
Кстати, запрошенный карантин выслал, но туда попался только один файл, увы.
Bratez, выполнил Ваш скрипт повторно. Свойства компьютера стали появляться. Очистить временную папку по-прежнему не удается, ситуация схожая, но файл теперь называется Perflib_Perfdata_440.dat
Добавлено через 57 секунд
оп... поторпился. Видимо, зараза вновь подгрузилась, свойства компьютера снова исчезли
Добавлено через 17 минут
Поизучал систему. Нашел хитрый файл C:\Program Files\Internet Explorer\rundll32 без расширения. Файла C:\Program Files\Internet Explorer\setupapi.dll не было (судя по первому скрипту, Вас интересовал в т.ч. он). AVZ как раз на него ругается:
Опасно - отладчик процесса "rundll32.exe" = "C:\Program Files\Internet Explorer\rundll32 setupapi.dll,s"
Этот хитрый файл без расширения запаковал в зип-архив с паролем virus. Высылать?
Последний раз редактировалось 0xBA0BAB; 23.03.2008 в 09:10.
Причина: Добавлено
Компьютер перезагрузится. При перезагрузке жмите F8 и входите в безопасный режим. Отключайте сразу восстановление системы. Потом перезагрузитесь в обычный режим и сделайте новые логи, начиная с п.10 правил.
Добавлено через 1 минуту
Ваш rundll32 - это копия системного rundll32.exe.
Впрочем пришлите, мало ли что...
Последний раз редактировалось Bratez; 23.03.2008 в 09:23.
Причина: Добавлено
Простите, неожиданно закончился интернет, поэтому даже не смог поблагодарить. Прилагаю логи, сделанные после рекомендованных процедур.
И, собственно, искренне благодарю хелперов - людей, которые очень оперативно и профессионально помогают людям, которым, собственно, ничем не обязаны. Спасибо.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: