После "обезвреживания" rpcss.dll не работает восстановление системы, многие программы и другие проблемы...

[Аниска]

Здравствуйте!
Вчера Аваст поругался на файл rpcss.dll, тут же компьютер сам перезагрузился. Сразу запустила лечащую утилиту Dr.Web, нашелся Trojan.Zekos как раз в файле rpcss.dll. После предложенного "Обезвредить" и перезагрузки компьютера, на иконке Аваста появился красный крест и он не запускается, пропал звук ("Аудиоустройства отсутствуют"), не видит принтер и сканер, некоторые программы не открываются совсем (например, Nero), некоторые открываются, но появляется сообщение об ошибке (например, в Ворде "Не удается зарегистрировать данный документ...", текст можно печатать и удалять, копировать нет). На Рабочем столе окошки в свернутом виде не отображаюся, и тоже нельзя копировать файлы между окнами.
В папке "Сетевые подключения" пусто, при этом интернет работает! Но отключить его не получается, на свою иконку "Соединение по локальной сети" не реагирует, как и в Диспетчере задач на вкладке Сеть. Opera и Mozilla открываюся, Internet Ezplorer - нет.
Попытка откатить систему успехом не увенчалась - "Восстановлению системы не удается защитить компьютер. Перезагрузите компьютер и повторно запустите восстановление системы." В безопасном режиме тоже.

Очень надеюсь на Вашу помощь!
Спасибо.

P.S. К сожалению, при выполнении скрипта avz интернет остался подключен... Аваст первый раз удалось выгрузить через Диспетчер задач, после перезагрузки не получилось - "Отказано в доступе".

virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log

[Info_bot]

Уважаемый(ая) Аниска, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Откатите систему, через точку восстановления системы. После этого сделайте новые логи.

[Аниска]

К сожалению, я уже написала, что этого сделать не получается... Постоянно пояляется сообщение - "Восстановлению системы не удается защитить компьютер. Перезагрузите компьютер и повторно запустите восстановление системы."
Пыталась в безобасном режиме через командную строку - то же самое сообщение.

- - - Добавлено - - -

Извините, пожалуйста, за глупый вопрос - но раз у меня не работает Восстановление системы, проблемы больше никак не решить? Неужели остается только переустанавливать ОС?

[Аниска]

Извините еще раз, вы мне нечем помочь не сможете?..

[regist]

попробуйте установить это обновление http://www.microsoft.com/ru-ru/downl....aspx?id=15124

отпишитесь, что с проблемой ?

[Аниска]

Спасибо, что откликнулись!

Обновление не ставится. "Ошибка программы установки KB956572 - Диспетчеру установки не удалось проверить целостность файла Update.inf. Убедитесь, что службы криптографии запущены на данном компьютере."
Эх...

[regist]

скачайте этот архив http://rghost.ru/45267121
там два файла, сначала положите dll сюда

Код:

c:\windows\system32\rpcss.dll

затем запустите твик реестра и согласитесь с изменением реестра.
Отпишитесь, что с проблемой.

[Аниска]

Вы просто чудо!!!
Перед перезагрузкой поругался на AcroRd32.exe ("Память не может быть read..."), оооочень долго загружался (впрочем, так раньше всегда и было), но всё заработало, всё на месте! И Аваст, и принтер, и сканер, и звук, и Восстановление системы и т.д.!
Спасибо огромное, Вы меня просто спасли! Нужно сейчас еще что-нибудь сделать?

[regist]

Нужно сейчас еще что-нибудь сделать?

сделайте набор логов по правилам.

[Аниска]

Готово!

virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\ytwwlpg.exe','');
 QuarantineFile('C:\WINDOWS\system32\pr2ajy2b.exe','');
 DeleteFile('C:\WINDOWS\Tasks\cdxbgkm.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

после окончания лечения не забудьте сменить пароли.

[Аниска]

Здравствуйте!
Еще утром Аваст поругался на ytwwlpg.exe и поместил его в карантин. Запустили полную проверку Dr.Web CureIt! - нашлось несколько троянов...

Скрипты выполнила, карантин загрузила, логи прилагаю.

[regist]

смените пароли !

- Проведите процедуру, которая описана тут. Ссылку на результат проверки напишите в сообщении здесь.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

что с проблемами ?

[Аниска]

- Результат процедуры:
virusinfo_auto_TECT128.zip
MD5 карантина: C3AA59526C182C3F300A8E52E4A52F67
Размер файла: 13326649 байт
Ссылка на результаты анализа:
http://virusinfo.info/virusdetector/...0A8E52E4A52F67


- В avz_log.txt показано 3 уязвимости, с Adobe Reader и Adobe Flash Player понятно, а еще там такая штука:
[микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FDC7A535-4070-4B92-A0EA-D9994BCC0DC5}
Уязвимость в MSXML делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...9-335d5feee55b


- Извините, что глупость спрошиваю, но какие именно пароли имеются в виду? Все, какие можно при пользовании в интернете?

[regist]

Все, какие можно при пользовании в интернете?

да, но первую очередь от соц. сетей и банковские.

Советы и рекомендации после лечения компьютера

[Аниска]

Регистрация в соцсети есть всего в одной (давненько не заходили, пароль поменяли), банковских не имею.

Спасибо преогромнейшее! Обязательно поддержу ваш замечательный проект!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 5
• В ходе лечения вредоносные программы в карантинах не обнаружены