-
Junior Member
- Вес репутации
- 58
Ошибка setupapi.dll (Tojan.DownLoader.62020)
Здравствуйте, товарищи. Нужна ваша помочь.
На компе поселился вот этот зверь - Tojan.DownLoader.62020 - Dr.Web, он же TR/Agent.30208 [trojan] - Avira AntiVir. Лежит он в папке с браузером (Internet Explorer). Антивирус ругается при запуске браузера и любой остнастки панели управления. Если его удалить выскакивает ошибка и ни одна остнастка не запускается:
RUNDLL
Ошибка setupapi.dll
Отсутствует: s
Проблема заключается в следующем: сей зверь поселился на компе бухгалтерии, для передачи налоговой отчетности используется прога СКБ Контур, для ее работы необходимо наличие сертификата безопасности, который слетает при запуске браузера или после перезагрузки машины.
Требуемые вам логи прикрепляю, заранее благодарю за помощь.
Последний раз редактировалось Synthetic_God; 10.12.2008 в 10:28.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите Восстановление системы - там враги.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
DeleteFile('C:\System Volume Information\_restore{E0BE8622-7C24-4E6B-8365-80FD93FD1D94}\RP721\A0100859.exe:ext.exe:$DATA');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=26214
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O20 - Winlogon Notify: datmps - datmps.dll (file missing)
Повторите логи.
-
Junior Member
- Вес репутации
- 58
Все сделал по инструкции, логи и карантин загрузил, жду дальнейших указаний
Последний раз редактировалось Synthetic_God; 10.12.2008 в 10:28.
-
отключите Восстановление системы !!!
выполните скрипт
Код:
begin
QuarantineFile('C:\WINDOWS\system32\cpssp.dll','');
QuarantineFile('C:\WINDOWS\system32\3ivxDSAudioDecodere.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
-
-
Junior Member
- Вес репутации
- 58
Выполнил скрипт, карантин выслал, сертификат уже нормально работает, после перезагрузки остается на месте
вот с восстановлением косяк, выключить его не могу, заблокировано групповой политикой, но отключил службу восстановления
-
C:\WINDOWS\system32\3ivxDSAudioDecodere.exe Backdoor:Win32/Momibot.gen!B
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('TapiSrvALG');
DeleteFile('C:\WINDOWS\system32\3ivxDSAudioDecodere.exe');
BC_ImportDeletedList;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи ...
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось Synthetic_God; 10.12.2008 в 10:29.
-
-
-
Junior Member
- Вес репутации
- 58
Спасибо, ребят, вам за помощь, очень выручили