rundll32.exe проблемма

Антивирусов нет. После посиделок в интете начались траблы, не могу запустить exe, только через пользователя.

почитал форум нашел похожую проблемму, попробовал совет из того форума, в АВЗ востановление, но у меня ломается..
спасибо за раннее:)

[b]Отключите восстановление системы![/b]
Пофиксите в HijackThis:
[code]
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\red\cftmon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [svcshare] C:\WINDOWS\system32\drivers\svchast.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\red\cftmon.exe
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
[/code]
Не перезагружаясь после фикса, выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Pwd53');
SetServiceStart('Pwd53', 4);
QuarantineFile('C:\WINDOWS\system32\drivers\svchast.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dll','');
QuarantineFile('C:\GH0ST.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Pwd53.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ndisaluo.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Pwd53.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Pwd53.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\ndisaluo.sys');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Pwd53.sys');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\GH0ST.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\GH0ST.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\drivers\svchast.exe');
BC_ImportALL;
BC_DeleteSvc('Pwd53');
ExecuteSysClean;
ExecuteRepair(1);
ExecuteRepair(6);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=21068[/url]).
Сделайте новые логи.

[B]фАЙЛ ЗАКАЧАЛ НО ЕСТЬ НЮАНС, ТАКОЕ ОЩУЩЕНИЕ, ЧТО НАДО БУДЕТ ПОВТОРИТЬ МАНИПУЛЯЦИЮ С ОТКЛЮЧЕНИЕМ, ВОСТАНОВЛЕНИЯ СИСТЕМЫ. Как вызвать своиства моего компьютера, упираюсь в rundll32.exe[/B]





[B]Результат загрузки[/B]

Файл сохранён как080405_070931_virus_47f76bfb14d7e.zipРазмер файла91568MD5c09e12ff4123da537db19c35c0644bc1[B]Файл закачан, спасибо![/B]

Давайте новые логи, посмотрим, что осталось.

Доброго утра.
Вот собрал логи, только опять же не удалось отключить в винде согласно пункту 7.

Что происходит при попытке отключать восст. системы?

Проблемма в том, что я не могу туда добраться, по инструкции. Приходится использовать комб: WIN-E. А далле при попытке вызвать на ярлыке мой компьютер своиств, выдает ошибку связанную с rundll32.exe

Попробуйте выполнить скрипт из сообщения #2 в безопасном режиме (я его чуть-чуть подправил). При перезагрузке снова входите в безопасный и отключайте восстановление, надеюсь это получится. Затем перезагрузитесь в обычный режим и сделайте новые логи.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

И еще - при выполнении скрипта выходит сообщение "Скрипт выполнен без ошибок" или нет?

В безопасном режиме к сожалению АВЗ вообще не смог запуститься!

присоединенное к системе устроитсво не работает.

Вы АВЗ с внешнего носителя запускаете?

нет! запускаю с логического диска D. винчестер один. ума не приложу

Так а что пишет в защищённом режиме (при запуске АВЗ)?

вот что пишет:
присоединенное к системе устроитсво не работает.

Выполните такой скрипт:
[code]
begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Pwd53\0000', 'CSConfigFlags', '1');
BC_QrFile('C:\WINDOWS\System32\drivers\Pwd53.sys');
BC_DeleteSvc('Pwd53');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Pwd53.sys');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
[/code]
после перезагрузки приложите сюда файл boot_clr.log из папки с AVZ.
Если вдруг система не загрузится - по F8 выбирайте "Последнюю удачную конфигурацию".

скрипт выполнил а файла не создается.
В перезагрузку пришлось пускать вручную...

Теперь выполните снова фикс и скрипт из сообщения #2
и сделайте логи, начиная с п.10 правил.

запустил указания сообщения №2. вот лог запуска в АВЗ

Сейчас перезагружусь и выполню с 10 пункта правил.

вот логи по правилам.

1. Скачайте эту программу:
[url]http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip[/url]
Распакуйте, запустите, слева внизу File,
найдите [b]C:\WINDOWS\System32\drivers\Pwd53.sys[/b]
и сделайте ему Force Delete.
2. Выполните скрипт в AVZ:
[code]begin
BC_DeleteSvc('symavc32');
BC_DeleteSvc('Mwqk68');
BC_DeleteSvc('Pwd53');
BC_DeleteSvc('Schedule');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\ndisaluo.sys');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Pwd53.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(6);
RebootWindows(true);
end.[/code]
3. Попробуйте таки отключить восстановление системы.
4. Повторите лог syscheck (п.10 правил).

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\gh0st.exe - [B]Worm.Win32.Fujack.ca[/B] (DrWEB: Win32.HLLW.Whboy)[*] c:\\windows\\system32\\drivers\\svchast.exe - [B]Worm.Win32.Fujack.ca[/B] (DrWEB: Win32.HLLW.Whboy)[*] c:\\windows\\system32\\wlctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.da[/B] (DrWEB: Trojan.DownLoader.54123)[*] d:\\gh0st.exe - [B]Worm.Win32.Fujack.ca[/B] (DrWEB: Win32.HLLW.Whboy)[/LIST][/LIST]