Ошибка RUNDLL при загрузке винды

[qwert_17]

Здравствуйте, при загрузке винды появлялось окошко "Ошибка RUNDLL": не найден какой-то файл, после выполнения скриптов AVZ ошибка исчезла.
Иногда бывает такая штука, после удаления файлов и их удаления из корзины они удаляются, но место на жестком диске остается занято. Еще один вопросик. У меня установлен NOD32, при проверке системы AVPTool-ом некоторые его файлы были определены как подозрительные и предлагалось их удалить. Я их не удалил, т.к. на мой взгляд это просто часть вирусной базы NODа. Как Вы считаете, их надо было удалить?

[Шапельский Александр]

Здравствуйте.
Пофиксите в Hijack

Код:

O4 - HKLM\..\Run: [GEST] =

Выполните скрипт

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\userini.exe','');
 DeleteFile('C:\WINDOWS\system32\userini.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

Сделайте лог Gmer!

[qwert_17]

Скрипт в AVZ не выполняется, Ошибка ';' expected в позиции 3:1

[Шапельский Александр]

Скрипт поправил.

[qwert_17]

Сделал.
Во время работы Gmer выскочила ошибка приложения DKService.exe (не знаю, имеет ли это значение).
Теперь при загрузке винды появляется белое окно с буквой d , внизу кнопка ОК, только после ее нажатия грузится винда.

[Шапельский Александр]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится 1zf5w1dv.exe (gmer)

Код:

1zf5w1dv.exe -del service  tac960nt
1zf5w1dv.exe -del service  xpn  
1zf5w1dv.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tac960nt"
1zf5w1dv.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xpn"
1zf5w1dv.exe -reboot

И запустите cleanup.bat. Компьютер перезагрузится. Сделайте новый лог gmer

[qwert_17]

Сохраните текст ниже как cleanup.bat

А как это сделать? У меня gmer на рабочем столе

[Шапельский Александр]

А как это сделать? У меня gmer на рабочем столе

Значит, на рабочий стол сохраняйте

[qwert_17]

У меня блокнот не открывается! Можно как-нибудь без него создать bat-ник?

[Шапельский Александр]

У меня блокнот не открывается! Можно как-нибудь без него создать bat-ник?

Держите. Распакуйте на рабочий стол и запустите 1.bat

[qwert_17]

Готово

[Шапельский Александр]

Делаем паузу, надо подумать

Добавлено через 26 минут

Выполните скрипт

Код:

begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\Temp\fonts.exe','');
 DeleteFile('D:\Temp\fonts.exe');
BC_ImportAll;
BC_DeleteSvc('tac960nt');
BC_DeleteSvc('xpn');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделайте новый лог Gmer

[qwert_17]

Готово. Лог Gmer сделал со второй попытки, в первый раз появился синий экран с какой-то ошибкой. А что делать со старыми логами, их можно удалить?

[Шапельский Александр]

А что делать со старыми логами, их можно удалить?

Пока не удаляйте.

[миднайт]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 QuarantineFile('c:\windows\explorer.exe','');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\tac960nt');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\tac960nt\Parameters');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\xpn');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\xpn\Parameters');
BC_ImportAll;
BC_Activate;
ExecuteRepair(3);
ExecuteRepair(4);
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Логи повторите.

[qwert_17]

Два раза выскакивал синий экран, первый раз на AVZ, второй на Gmer. Последний раз комп сам не смог перегрузиться, повис, спас только reset/

[qwert_17]

Два раза выскакивал синий экран, первый раз на AVZ, второй на Gmer. Последний раз комп сам не смог перегрузиться, повис, спас только reset

[Шапельский Александр]

Скачайте LiveCD, запишите как образ на CD-R, загрузитесь с него, просканируйте ПК. Затем сделайте лог Gmer.
Ссылку на скачивание LiveCD возьмите из моей подписи.

[qwert_17]

Вебер показывает, что NODовские файлы это трояны, то, о чем я писал в самом первом посте. Их удалять?

[миднайт]

На какие именно файлы нода ругается вебер? Не на карантин ли случаем? Названия и полный путь напишите.