[QUOTE]RP55 RP55 пишет:
Читаю тут одну книжку.
Несколько выдержек.
-------------------------------

Для обсуждения. :)
-----------[/QUOTE]
rundll32 используется для альтернативного запуска функций из dll

[QUOTE]EVE N пишет:
А винлок Reveton(распространяется через эксплойты) использует rundll32.exe для загрузки/автозагрузки dll. В папку автозагрузка копируется файл/ярлык ink:
C:\WINDOWS\system32\rundll32.exe C:\DOCUME~1\XPMUser\LOCALS~1\Temp\tolje2.dat,OKL00
[/QUOTE]
[B]EVE N[/B], а сделай в uVS образ автозапуска системы с подобным винлоком :) по идее, должен попасть в автозапуск

угу, видел. (причем, похоже, долгожитель.)
здесь еще и betweenServiceXP используется для доступа к рабочему столу. (хотя сам по себе софт легальный.)

удалите найденное в АдвКлинере по кнопке delete
автоперезагрузка

далее,

выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

угу, а так же как микроволновка, зажигалка и перочинный швейцарский нож :)

добавьте новый образ автозапуска
(скорее всего осталась только ссылка в реестре, сам файл возможно удален.)

удалите найденное в мбам,
перегрузите систему

и еще раз сделайте быстрое сканрование в мбам

удалите найденное в мбам,
перегрузите систему,

далее,

сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]

;uVS v3.80.14 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\USERS\MAKSIM\APPDATA\LOCAL\YANDEX\UPDATER\PRAE­TORIAN.EXE
addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 praetorian

zoo %SystemDrive%\USERS\MAKSIM\APPDATA\ROAMING\DSITE\UPDATEPROC\­UPDATETASK.EXE
addsgn A7679B19919AF4663F95AE5978DFEDFA4F8A945ABBBB1F10DDF084BC385A­420D23AE73637F5527AD1FC18427BA2208FA9558688DAA32F229D288A42F­38F9DD8C 9 Adware.Downware.1195 [DrWeb]

zoo %SystemDrive%\USERS\MAKSIM\APPDATA\ROAMING\DEALPLY\UPDATEPRO­C\UPDATETASK.EXE
addsgn A7679B23526A4C7261D4C4B12DBDEB549D06E8B78912614E7A3CF67C05BE­E25A6217A7A80E311469C3539560B99389F5F980E9725532B2B2D288296A­2BEED44D 17 Adware.Shopper.331 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\DEALPLY\DEALPLYUPDATEVER.EXE
addsgn A7679B19B97A1A9A4F2B514E61DD0400252984E5C9FABE009683C5ECB809­724C239407539DD18E092B0B891B555649AB9534EB72555974288EFFB76F­C7C127FF 8 majachok.tasks

zoo %SystemDrive%\PROGRAMDATA\MOZILLA\IWPEACB.EXE
;------------------------autoscript---------------------------

chklst
delvir

; Bonjour
exec MsiExec.exe /X{6E3610B2-430D-4EB0-81E3-2B57E8B9DE8D} /quiet

; Pandora Service
exec C:\Program Files (x86)\PANDORA.TV\PanService\unins000.exe

; DealPly (remove only)
exec C:\Program Files (x86)\DealPly\uninst.exe

; Ask Toolbar
exec MsiExec.exe /X{86D4B82A-ABED-442A-BE86-96357B70F4FE} /quiet

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/