После обезвреживания вирусов утилитой Dr.Web, пропал пуск и панель задач

**Samargal** · 11.04.2013, 00:24

Небыло доступа на соц.сети, Hosts был чист. Проверил утилитой Dr.Web CureIt! обнаруженные вирусы обезвредил. Все заработало, НО исчез пуск, панель задач, звук пропал и в Папке "Сетевые подключения" отсутсвуют все файлы. Как быть?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 11.04.2013, 00:25

Уважаемый(ая) Samargal, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 11.04.2013, 08:42

Упакуйте в архив лог Dr.Web CureIt!, он должен быть здесь:

Код:

C:\Documents and Settings\Администратор.KRAFTWAY-84DA97\Doctor Web\CureIt.log

и прикрепите его к своему следующему сообщению.
Сделайте лог MiniToolBox при подключённом сетевом соединении.
Обновите базы и переделайте логи AVZ.

**Samargal** · 11.04.2013, 15:41

Пожалуйста...

**Vvvyg** · 11.04.2013, 16:13

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{ae212641-c42a-426d-b0a5-83d6af093118}');
 DelBHO('{7558B7E5-7B26-4201-BEDB-00D5FF534523}');
 DelBHO('{02E2473F-766B-4ce2-8FD0-C4E8071EF1C4}');
 DelBHO('{98889811-442D-49dd-99D7-DC866BE87DBC}');
 DelBHO('{09900DE8-1DCA-443F-9243-26FF581438AF}');
 DeleteService('kahuvzyv');
 DeleteService('gvezcvot');
 DeleteFile('C:\Documents and Settings\Администратор.KRAFTWAY-84DA97\Application Data\taskhost.exe');
 DeleteFile('C:\Documents and Settings\Администратор.KRAFTWAY-84DA97\Local Settings\Application Data\KLiteCodecPack_is1\KLiteCodecPack_is1.com');
 DeleteFile('C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe');
 DeleteFile('C:\DOCUME~1\BF91~1.KRA\APPLIC~1\DealPly\UPDATE~1\UPDATE~1.EXE');
 DeleteFile('C:\WINDOWS.0\Tasks\At1.job');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(3);
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте полный образ автозапуска uVS.

**Samargal** · 11.04.2013, 16:43

Вот...

**Vvvyg** · 11.04.2013, 19:31

Да, похоже залечил систему Dr.Web CureIt!

c:\windows.0\system32\rpcss.dll - infected with Trojan.Zekos
...
c:\windows.0\system32\rpcss.dll - cured, reboot required

Я уж не знаю, как он сам файл пролечил, но реестр от него почистил славно. Это уже не первый случай, и дело было ещё хуже, система совсем не грузилась.
Сейчас почистим немного систему и соберём карантин, чтобы стало ясно, что там с файлом rpcss.dll.
Выполните скрипт в uVS

Код:

;uVS v3.77.9 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delref HTTP://SEARCH.BABYLON.COM/HOME?AF=55555
delref %SystemDrive%\PROGRAM FILES\WEB-MONETA.COM\PRXTBWEB0.DLL
delref %SystemDrive%\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.DLL
delref %SystemDrive%\PROGRAM FILES\BABYLONTOOLBAR\BABYLONTOOLBAR\1.4.19.5\BABYLONTOOLBARTLBR.DLL
delref HTTP://SEARCH.BABYLON.COM/?AFFID=119849&BABSRC=HP_SS&MNTRID=34661C6F6550A211
delref %SystemDrive%\PROGRAM FILES\BABYLONTOOLBAR\BABYLONTOOLBAR\1.4.19.5\BABYLONTOOLBARSRV.EXE
delref %SystemDrive%\PROGRAM FILES\BABYLONTOOLBAR\BABYLONTOOLBAR\1.4.19.5\BH\BABYLONTOOLBAR.DLL
delref %SystemDrive%\PROGRAM FILES\CONDUIT\COMMUNITY ALERTS\ALERT0.DLL
exec MSIEXEC.EXE /quiet /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
uidel "C:\PROGRAM FILES\BABYLONTOOLBAR\BABYLONTOOLBAR\1.4.19.5\UNINSTALL.EXE"
uidel "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216035FF}
uidel C:\PROGRAM FILES\MAIL.RU\AGENT\MAGENTSETUP.EXE -UNINSTALLLM
uidel C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.EXE UNINSTALL
uidel C:\PROGRAM FILES\AHEAD\NERO\UNINSTALL\UNNERO.EXE /UNINSTALL
exec C:\PROGRAM FILES\PANDO NETWORKS\MEDIA BOOSTER\UNINST.EXE
zoo %Sys32%\RPCSS.DLL
zoo %Sys32%\dllcache\rpcss.dll
restart

На вопросы об удалении программ соглашайтесь.
Компьютер перезагрузится.
Упакуйте содержимое папки ZOO с помощью WinRar в архив формата .zip с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

**Samargal** · 11.04.2013, 20:01

Все сделал, карантин отправил)) я не очень силен в этом деле и нехотелось бы Вас отвлекать по пустякам, но как я понимаю др.Веб залечил вирусы и вместе с ними пару хороших файлов?)

**Vvvyg** · 11.04.2013, 21:02

Не совсем. И чтобы понять, что именно он сделал, нужны все файлы из папки ZOO, их там должно быть минимум два. Ещё раз упакуйте в архив всё содержимое папки, можно прикрепить его к следующему своему сообщению.

**Samargal** · 11.04.2013, 21:06

Но у меня там только один файл. А можно выполнить скрипт в uVS еще раз?

**Vvvyg** · 11.04.2013, 21:41

Не надо.
Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
QuarantineFile('C:\Windows.0\system32\rpcss.dll','');
QuarantineFile('C:\Windows.0\system32\dllcache\rpcss.dll','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, прикрепите его к следующему сообщению.

**regist** · 11.04.2013, 22:20

Samargal, уберите карантин из темы.

Код:

C:\Windows.0\system32\rpcss.dll
C:\Windows.0\system32\dllcache\rpcss.dll

Пришлите в карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

**Samargal** · 11.04.2013, 22:30

Отвечает "Ошибка загрузки. Данный файл уже был загружен"

**Samargal** · 12.04.2013, 12:31

Что делать дальше, подскажите пожалуйста

**Vvvyg** · 12.04.2013, 13:34

Пока скопируйте файл rpcss.dll из папки C:\Windows.0\system32\dllcache в C:\Windows.0\system32. Если скажет, что такой файл существует - перезаписывайте. Я подготовлю сейчас для Вас твик реестра, попробуем восстановить. Подождите некоторое время.

- - - Добавлено - - -

Распакуйте твик реестра из вложения и кликните дважды мышкой. На предупреждение о внесении изменений в реестр соглашайтесь. Затем перегружайте систему и надейтесь на лучшее.

**Samargal** · 12.04.2013, 18:04

Прошу прощения, но у меня нет папки "dllcache"

Походу и файла rpcss.dll тоже нет...

**regist** · 12.04.2013, 19:40

но в карантин вы его прислали )))

**Samargal** · 12.04.2013, 20:00

Я сделал скрипт в авз, появился корантин, его прислал. А по просьбе переместить этот файл, по данному адресу отсутствует папка dllcache. Неужели уже не исправить ничего?

**regist** · 12.04.2013, 20:10

1) сделайте на всякий случай точку восстановления системы.
2) попробуйте положить этот файл http://rghost.ru/45238247 (это ваш же файл из карантина).

**Samargal** · 12.04.2013, 20:14

так у меня же не работает восстановление системы пишет следующее " Восстановление системы не удается защитить компьютер. Перезагрузите компьютер и повторно запустите восстановление системы" Перезагружаю, тоже самое.
Я уж незнаю, может попробывать этот файл без точки восстановления положить, ну а если уж не поможет, то переустанавливать систему? Просто не хочется всё терять.

После обезвреживания вирусов утилитой Dr.Web, пропал пуск и панель задач (заявка № 136970)

Опции темы

После обезвреживания вирусов утилитой Dr.Web, пропал пуск и панель задач

Похожие темы

Пуск, панель задач

Не работает пуск и панель задач после удаления crexvx.ocx [Backdoor.Win32.Javik.a ]

Не работает панель пуск и панель задач

Пропала панель задач, меню пуск и заблокирован диспетчер задач

не удается восстановить кнопку пуск, панель задач и рабочий стол после заражения вирусами

Метки для этой темы

Ваши права в разделе