Полностью потеряно управление настройками компьютера.

[Evgeniy Koltsov]

Добрый день уважаемые эксперты.
Подхватил какую-то невероятную дрянь. Причем, заметил далеко не сразу.
Полностью потеряно управление компьютером.
При попытке изменить параметры экрана выдается ошибка.
Не найден файл rundll32.exe, хотя файл спокойно лежит на своем месте.
Та же ошибка возникает при попытке просмотра свойств системы,
попытке войти в панель управления (Установка и удаление программ).

То есть работать можно, а поменять что-либо в настройках компьютера нельзя.
Нельзя удалить ни одной программы. Хотя установить – можно. Удалось поставить nero7.
Откатить систему назад нельзя. Я отключил восстановление системы и заменил его на купленный Акронис 10 версии. Двухдневные попытки восстановить из полного архива диск С ни к чему не привели. Акронис видит простой диск IDE , как SCSI, а после перезагрузки не видит диск С вообще.

Плюнул на восстановление. Решил установить систему на новый диск.
Отформатировал через Администрирование на своей машине. (слава Богу, еще работает.)
При установке системы, во время тестирования появляется синий экран с кодом остановки
STOP 0x00000007b(0xF78…….
Сверху пояснение, что если это первый раз, то попробуйте повторить.
Если не первый, то у вас на Вашем диске вирусы.
Не первый. Значит надо искать вирусы.
Сканирование системы в безопасном режиме не выявило ни одного вируса.
(До этого сканировал Вебером в простом режиме и все вычистил).

Система Windows XP Pro.
Материнская плата P5K Delux.
Диск С Seagate 160 Gb IDE
Диск F RAID “0” из двух дисков Seagate 160 Gb SATA.
Привод Pioner SATA.

В процессе сканирования AVZ заметил три странных момента.
1. Поиск маскировки процессов и драйверов не производится так как не установлен драйвер мониторинга AVZPM.
2. Поиск открытых портов TCP/UDP не проводится.
Отключено пользователем. Я НИЧЕГО не отключал!
3. Проверка системы указала, что ВКЛЮЧЕНО восстановление системы.
Я его ТОЧНО отключил, когда поставил Акронис. Сейчас ни включить ни выключить восстановление системы просто не могу. Невозможно управлять настройками моего компьютера.

Очень прошу помочь. Лог-файлы прилагаю.
С уважением.
Евгений.

[Макcим]

Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\winlogan.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\smwdm.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\SjyPkt.sys','');
 DeleteFile('C:\WINDOWS\TEMP\winlogan.exe');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

Загрузите карантин согласно приложению №3 правил.

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

Повторите логи.

[V_Bond]

выполните скрипт. ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('NdisWon');
 QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\winlogan.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\NdisWon.sys','');
 DeleteFile('C:\WINDOWS\TEMP\winlogan.exe');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\NdisWon.sys');
 BC_DeleteSvc('NdisWon');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...

[Evgeniy Koltsov]

Загрузите карантин согласно приложению №3 правил.

Файл загрузил. Только зазипован он без пароля. Не заметил сразу.

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

Повторите логи.

Спасибо. Сейчас сделаю.
Вопрос. Надо ли отключать Вебера при проведении этих процедур?

[V_Bond]

антивирус отключать обязательно ... скрипт из поста 3 тоже выполнять ...

[V_Bond]

через HiJackThis ничего фиксить не нужно .... логи сейчас смотрю ...

Добавлено через 8 минут

выполните скрипт ...

Код:

begin
 ClearQuarantine;
 QuarantineFile('C:\Program Files\webHancer\Programs\whSurvey.exe','');
BC_Importall;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...

[Evgeniy Koltsov]

.....пришлите карантин согласно приложения 3 правил ...

Только что пришел с работы. Прогнал скрипт.
При просмотре архива размер файлов был указан ноль.(???)
После архивации зазипованный размер архива 606 байт. (???)
Файл отправлен.

[V_Bond]

профиксите (в хайджек поставте галочки и нажмите Fix Cheked)

Код:

O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"

сделайте новые логи ..hijackthis.log и virusinfo_syscheck.zip

[wise-wistful]

Вроде бы всех демонов изгнали.

Что-то из этого нужно

>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

[Evgeniy Koltsov]

Проблема осталась в полном объеме.
Может надо перечислить пункты настроек в панели управления, куда я не могу войти?
Потому, что кое-куда меня все-таки "пускают".
Например, работает администрирование.
Я могу включить и отключить сеть. Работает закладка "Выполнить".
В то же время, я не могу войти в "Учетные записи пользователей", в "Систему", "Дата и время" и др.
При обращении к "закрытым" пунктам всегда диагностируется отсутствие в системе файла rundll32.exe.
Хотя файл лежит на своем месте.

Да еще я не сказал, что довольно давно у меня из системы исчез брандмауэр windows. Хотя до этой "беды" мое соединение с сетью было им защищено. Недели три назад я обнаружил, что надпись "защищено брандмауэром" исчезла из свойств моего соединения.

Добавлено через 4 минуты

Вроде бы всех демонов изгнали.

Что-то из этого нужно

Как только удастся вернуть управление настройками я большинство этих служб поотключаю.
Сейчас попробую отключить "анонимного пользователя".

[V_Bond]

выполните скрипт ....

Код:

begin
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
RebootWindows(true);
end.

[Evgeniy Koltsov]

Вроде бы всех демонов изгнали.

Что-то из этого нужно

Как только удастся вернуть управление настройками я большинство этих служб поотключаю.
Сейчас попробую отключить "анонимного пользователя".
И в сеть из-под администратора не буду заходить.

Добавлено через 11 минут

выполните скрипт ....

Выпонил.
Пока не помогло.

[V_Bond]

При обращении к "закрытым" пунктам всегда диагностируется отсутствие в системе файла rundll32.exe.

сделайте принскрин ошибки ...

[Evgeniy Koltsov]

выполните скрипт ....

Скрипт выполнен.

[V_Bond]

есть возможность скопировать rundll32.exe с другой системы ?

[Evgeniy Koltsov]

есть возможность скопировать rundll32.exe с другой системы ?

Сейчас попробую. С другого работающего компьютера через флешку можно?

[V_Bond]

да конечно ...

[V_Bond]

пришлите файлик с измененной датой ...

[V_Bond]

присылать по ссылке над темой .... прикреплять к сообщениям нельзя ...

[Evgeniy Koltsov]

присылать по ссылке над темой .... прикреплять к сообщениям нельзя ...

Прошу извинить. Отправил по ссылке над темой.