Rundll32.exe - Неверный образ

[MaklauT]

Ситуация заключается в следующем. при запущенном Касперском когда пытаешься открыть свойства моего компьютера или вызвать какое нибуть приложение из тря, или часы выводит сообщение: "Rundll32.exe - неверный образ.

Приложение или библиотека C:\WINDOWS\system32\MSCTF.dll не является образом программы для Windows NT. проверьте назначение установочного образа"

При это Касперский постоянно ругается на попытку загрузки нового или измененного модуля в процессе C:\Windows\system32\run32.exe (PID: 1176)

Причем в диспетчере задач постоянно весит процесс rundll.exe и пока не завершишь этот процесс будут постоянно появлятся эти сообщения.

При выключенном касперским никаких ошибок не выподает.

virusinfo_syscheck.zip

virusinfo_syscure.zip

avz_log.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

avz_log.txt

log.txt

[thyrex]

d:\lib\служба\project1.exe - это что за такой файл? Ваш или неизвестный?

У Вас похоже Kido. Возможно, заражена и флэшка.

Выполнить все инструкции http://forum.kaspersky.com/index.php?showtopic=101154 при вставленной флэшке

[MaklauT]

d:\lib\служба\project1.exe - это что за такой файл? Ваш или неизвестный?

d:\lib\служба\project1.exe - это мой файл

[thyrex]

Выполняйте рекомендации по Кido.

После этого дополнительно

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe

Изменено 19 мая, 2009 пользователем thyrex

[MaklauT]

У Вас похоже Kido. Возможно, заражена и флэшка.

Выполнить все инструкции http://forum.kaspersky.com/index.php?showtopic=101154 при вставленной флэшке

Выполнил все пункты согласно инструкции. Но KidoKiller ничего не обнаружил.

[Pili]

MaklauT: Здравствуйте. А где логи gmer?

При это Касперский постоянно ругается на попытку загрузки нового или измененного модуля в процессе C:\Windows\system32\run32.exe (PID: 1176)

Точно файл C:\Windows\system32\run32.exe, а не Rundll32.exe? Проверьте run32.exe на virustotal.com, рез-т проверки выложите.

Проверьте систему по инструкции, не забудьте поставить все обновления и включить брандмауэр windows и отключить автозапуск со съемных носителей.

Скачайте OTMoveIt3 by OldTimer и сохраните на рабочий стол.

Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processesexplorer.exe:FilesC:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx:Reg[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7e9cf162-2fdb-11de-a38a-001e4cdc5237}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b4f7ae75-3e7e-11de-a39a-001e4cdc5237}]:Commands[purity][emptytemp][start explorer][Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctfl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.

Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Базы МВАМ можно обновить отдельно - downloading the update MBAM

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Установочные диски для установки с гибкого диска.

После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.

Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.

Приложите также лог gmer.

[MaklauT]

MaklauT: Здравствуйте. А где логи gmer?

Прикрепляю логи gmer и coreit, так как при проверки он находил несколько вирусов.

При это Касперский постоянно ругается на попытку загрузки нового или измененного модуля в процессе C:\Windows\system32\run32.exe (PID: 1176)

Точно файл C:\Windows\system32\run32.exe, а не Rundll32.exe? Проверьте run32.exe на virustotal.com, рез-т проверки выложите.

Действительно, ;) опечатка файл C:\Windows\system32\rundll32.exe.

Проверьте систему по инструкции, не забудьте поставить все обновления и включить брандмауэр windows и отключить автозапуск со съемных носителей.

Эти действия я уже выполнял, KidoKiller ничего не обнаружил

Gmer_log.log

Coreit_log.txt

Gmer_log.log

Coreit_log.txt

[Pili]

Эти действия я уже выполнял, KidoKiller ничего не обнаружил

Windows 5.1.2600 Service Pack 2

Так же желательно установить ВСЕ обновления для Вашей версии Windows с сайта: http://windowsupdate.microsoft.com/

И не вижу логов по рекомендациям поста 6

[MaklauT]

И не вижу логов по рекомендациям поста 6

Вот логи по рекомендациям поста №6

05192009_100609.log

mbam_log_2009_05_19__11_12_11_.txt

ComboFix.txt

05192009_100609.log

mbam_log_2009_05_19__11_12_11_.txt

ComboFix.txt

[Pili]

По логам ничего плохого, проверьте на всякий случай файлы:

c:\windows\system32\evtsys.exec:\windows\system32\evtsys.dll

на http://www.virustotal.com/ или http://virscan.org/

Если файлы окажутся чистыми, деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u

Скачайте OTCleanIt, запустите, нажмите CleanUp!

Рекомендую установить WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com

Изменено 19 мая, 2009 пользователем Pili

[MaklauT]

Все разобрался. Проблема заключалась в том что в касперском в проактивной защите в контроле целостности приложений на приложении rundll32.exe стоял запрет на изменение C:\WINDOWS\system32\MSCTF.dll но почему то я так и не смог найти назначение этой библиотеки.

Огромное всем спасибо, тему можно клоуз!

[Svetik]

В самом окошке конкретно указывается путь файла и название, например: С:\Windows\... и т.д. самый последний файл - это имя файла, я просто заменила файл с ошибкой на нормальный файл с установочного диска, с таким же названием, при перемещении нужно согласиться на замену файла, и все неработающие приложения заработают. У меня не открывались свойства моего компьютера, а потом стали нормально открываться.