Небыло доступа на соц.сети, Hosts был чист. Проверил утилитой Dr.Web CureIt! обнаруженные вирусы обезвредил. Все заработало, НО исчез пуск, панель задач, звук пропал и в Папке "Сетевые подключения" отсутсвуют все файлы. Как быть?
Небыло доступа на соц.сети, Hosts был чист. Проверил утилитой Dr.Web CureIt! обнаруженные вирусы обезвредил. Все заработало, НО исчез пуск, панель задач, звук пропал и в Папке "Сетевые подключения" отсутсвуют все файлы. Как быть?
Уважаемый(ая) [B]Samargal[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Упакуйте в архив лог Dr.Web CureIt!, он должен быть здесь: [CODE]C:\Documents and Settings\Администратор.KRAFTWAY-84DA97\Doctor Web\CureIt.log[/CODE]и прикрепите его к своему следующему сообщению.
[URL="http://virusinfo.info/showthread.php?t=122524"]Сделайте лог MiniToolBox[/URL] [U]при подключённом сетевом соединении[/U].
Обновите базы и переделайте логи AVZ.
Пожалуйста...
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{ae212641-c42a-426d-b0a5-83d6af093118}');
DelBHO('{7558B7E5-7B26-4201-BEDB-00D5FF534523}');
DelBHO('{02E2473F-766B-4ce2-8FD0-C4E8071EF1C4}');
DelBHO('{98889811-442D-49dd-99D7-DC866BE87DBC}');
DelBHO('{09900DE8-1DCA-443F-9243-26FF581438AF}');
DeleteService('kahuvzyv');
DeleteService('gvezcvot');
DeleteFile('C:\Documents and Settings\Администратор.KRAFTWAY-84DA97\Application Data\taskhost.exe');
DeleteFile('C:\Documents and Settings\Администратор.KRAFTWAY-84DA97\Local Settings\Application Data\KLiteCodecPack_is1\KLiteCodecPack_is1.com');
DeleteFile('C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe');
DeleteFile('C:\DOCUME~1\BF91~1.KRA\APPLIC~1\DealPly\UPDATE~1\UPDATE~1.EXE');
DeleteFile('C:\WINDOWS.0\Tasks\At1.job');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(3);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
[url=http://virusinfo.info/showthread.php?t=121767]Сделайте полный образ автозапуска uVS[/url].
Вот...
Да, похоже залечил систему Dr.Web CureIt! :>
[QUOTE]c:\windows.0\system32\rpcss.dll - infected with Trojan.Zekos
...
c:\windows.0\system32\rpcss.dll - cured, reboot required[/QUOTE]Я уж не знаю, как он сам файл пролечил, но реестр от него почистил славно. Это уже не первый случай, и дело было ещё хуже, система совсем не грузилась.
Сейчас почистим немного систему и соберём карантин, чтобы стало ясно, что там с файлом rpcss.dll.
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url][code];uVS v3.77.9 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
delref HTTP://SEARCH.BABYLON.COM/HOME?AF=55555
delref %SystemDrive%\PROGRAM FILES\WEB-MONETA.COM\PRXTBWEB0.DLL
delref %SystemDrive%\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.DLL
delref %SystemDrive%\PROGRAM FILES\BABYLONTOOLBAR\BABYLONTOOLBAR\1.4.19.5\BABYLONTOOLBARTLBR.DLL
delref HTTP://SEARCH.BABYLON.COM/?AFFID=119849&BABSRC=HP_SS&MNTRID=34661C6F6550A211
delref %SystemDrive%\PROGRAM FILES\BABYLONTOOLBAR\BABYLONTOOLBAR\1.4.19.5\BABYLONTOOLBARSRV.EXE
delref %SystemDrive%\PROGRAM FILES\BABYLONTOOLBAR\BABYLONTOOLBAR\1.4.19.5\BH\BABYLONTOOLBAR.DLL
delref %SystemDrive%\PROGRAM FILES\CONDUIT\COMMUNITY ALERTS\ALERT0.DLL
exec MSIEXEC.EXE /quiet /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
uidel "C:\PROGRAM FILES\BABYLONTOOLBAR\BABYLONTOOLBAR\1.4.19.5\UNINSTALL.EXE"
uidel "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216035FF}
uidel C:\PROGRAM FILES\MAIL.RU\AGENT\MAGENTSETUP.EXE -UNINSTALLLM
uidel C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.EXE UNINSTALL
uidel C:\PROGRAM FILES\AHEAD\NERO\UNINSTALL\UNNERO.EXE /UNINSTALL
exec C:\PROGRAM FILES\PANDO NETWORKS\MEDIA BOOSTER\UNINST.EXE
zoo %Sys32%\RPCSS.DLL
zoo %Sys32%\dllcache\rpcss.dll
restart[/code]На вопросы об удалении программ соглашайтесь.
Компьютер перезагрузится.
Упакуйте содержимое папки ZOO с помощью WinRar в архив формата [B].zip[/B] с паролем [B]virus[/B] и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Все сделал, карантин отправил)) я не очень силен в этом деле и нехотелось бы Вас отвлекать по пустякам, но как я понимаю др.Веб залечил вирусы и вместе с ними пару хороших файлов?)
Не совсем. И чтобы понять, что именно он сделал, нужны [B]все[/B] файлы из папки ZOO, их там должно быть минимум два. Ещё раз упакуйте в архив всё содержимое папки, можно прикрепить его к следующему своему сообщению.
Но у меня там только один файл. А можно выполнить скрипт в uVS еще раз?
Не надо.
Выполните скрипт в AVZ:[CODE]begin
ClearQuarantine;
QuarantineFile('C:\Windows.0\system32\rpcss.dll','');
QuarantineFile('C:\Windows.0\system32\dllcache\rpcss.dll','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]В папке с AVZ появится архив карантина quarantine.zip, прикрепите его к следующему сообщению.
[b]Samargal[/b], уберите карантин из темы.
[CODE]C:\Windows.0\system32\rpcss.dll
C:\Windows.0\system32\dllcache\rpcss.dll[/CODE]
Пришлите в карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Отвечает "Ошибка загрузки. Данный файл уже был загружен"
Что делать дальше, подскажите пожалуйста
Пока скопируйте файл rpcss.dll из папки C:\Windows.0\system32\dllcache в C:\Windows.0\system32. Если скажет, что такой файл существует - перезаписывайте. Я подготовлю сейчас для Вас твик реестра, попробуем восстановить. Подождите некоторое время.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Распакуйте твик реестра из вложения и кликните дважды мышкой. На предупреждение о внесении изменений в реестр соглашайтесь. Затем перегружайте систему и надейтесь на лучшее.
Прошу прощения, но у меня нет папки "dllcache" :(
Походу и файла rpcss.dll тоже нет...
но в карантин вы его прислали )))
Я сделал скрипт в авз, появился корантин, его прислал. А по просьбе переместить этот файл, по данному адресу отсутствует папка dllcache. Неужели уже не исправить ничего?:(
1) сделайте на всякий случай точку восстановления системы.
2) попробуйте положить этот файл [url]http://rghost.ru/45238247[/url] (это ваш же файл из карантина).
так у меня же не работает восстановление системы пишет следующее " Восстановление системы не удается защитить компьютер. Перезагрузите компьютер и повторно запустите восстановление системы" Перезагружаю, тоже самое.
Я уж незнаю, может попробывать этот файл без точки восстановления положить, ну а если уж не поможет, то переустанавливать систему? Просто не хочется всё терять.
ок, пропустите шаг с восстановление системы, положите этот файл и запустите твик реестра.
Огромнейшее спасибо Вам, добрейшие люди!!! все заработало, Спасибо Вам, От души! Поддерживаю проект!
Осталось только установить хороший антивирус, только старый почему-то не удаляется. Я Вам должен еще что нибудь прислать?
для контроля сделайте набор логов по правилам.
+ Выполните скрипт в AVZ при наличии доступа в интернет:
[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
Еще раз огромное спасибо!
virusinfo_cure.zip - не появился
ad-aware (рекламные программы) ещё немного почистим, а так всё чисто.
[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Search"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner[R1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
Вот)
[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Delete"[/B] и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner[S1].txt[/COLOR][/B].[/LIST][B]Внимание: [COLOR="Red"]Для успешного удаления может потребоваться [U]перезагрузка компьютера[/U]!!![/COLOR][/B]
Готово)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]