Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   После удаления trojan.zekos утилитой от drweba не грузится ноутбук. (http://forum.oszone.net/showthread.php?t=260305)

Марииия 10-05-2013 19:43 2147719
После удаления trojan.zekos утилитой от drweba не грузится ноутбук.
 
Проблема такая:
Перестало заходить во все соц сети.Проверила утилитой от веба(8 вирусов) ,вроде удалились.Дальше больше....ноут перестал загружаться ,доходит до "запуск windows" и далее чёрный экран с курсором. Безопасный режим так же не работает.Life СD пару раз загрузился с флешки,а теперь не грузится.Как бы теперь его включить ? В интернете нашла что надо "чистый" файл rpcss.dll поставить,но как ???? Он же не включается.
Когда включился сделала логи :

regist 10-05-2013 20:22 2147728
Цитата:
Восстановление системы: включено
попытайтесь откатить систему на точку до лечения доктором вебом.

Марииия 10-05-2013 20:40 2147741
Цитата:
Цитата regist
попытайтесь откатить систему на точку до лечения доктором вебом. »
Каким образом ? Не грузится он теперь вообще ни как. Live cd уже перепробовала кучу,при загрузке с флешки очень быстро пробегают строки и в итоге виснет.Безопасный режим не включается(чёрный экран и курсор) В обычном выдаёт "синий экран".Мне бы хоть фото оттуда достать......

Марииия 10-05-2013 21:12 2147753
через f8 стало возможно зайти в восстановление системы.Можно пользоваться командной строкой

regist 10-05-2013 21:40 2147771
Цитата:
Цитата Марииия
через f8 стало возможно зайти в восстановление системы. »
попробуйте откатить через него.

Марииия 10-05-2013 21:43 2147772
такой вопрос....как ?

regist 10-05-2013 22:09 2147789
Марииия, вы же сами пишите
Цитата:
Цитата Марииия
через f8 стало возможно зайти в восстановление системы »
заходите в него, выбираете точку восстановления системы до того как пролечились доктором и восстанавливайте. Затем сделайте новые логи.

Марииия 10-05-2013 22:53 2147820
Цитата:
Цитата regist
заходите в него, выбираете точку восстановления системы до того как пролечились доктором и восстанавливайте. Затем сделайте новые логи. »
А-аа поняла,но не получится,точек восстановления нету.

shestale 11-05-2013 08:15 2147901
Цитата:
Цитата Марииия
ноут перестал загружаться ,доходит до "запуск windows" и далее чёрный экран с курсором. »
А первый пункт в среде восстановления - "Восстановление запуска", пробовали?

Марииия 11-05-2013 08:19 2147902
Цитата shestale:
А первый пункт в среде восстановления - "Восстановление запуска", пробовали? »
Да пробовала,не удалось обнаружить ошибку пишет.
Кстати через командную строку есть допуск к реестру,может там что то можно поменять ?

shestale 11-05-2013 08:22 2147903
Давайте посмотрим лог uVS из среды восстановления, может что и проясниться тогда.

Марииия 11-05-2013 08:40 2147906
Вот лог. В текстовом формате не загружался на форум,впихнула в архив.

shestale 11-05-2013 09:01 2147911
Сохраните этот скрипт в текстовый файл на флешку.
Затем зайдите в среду восстановления и выполните скрипт в uVS.
Код:
;uVS v3.77.10 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
breg
delref HTTP://WWW.SMAXXI.BIZ
delall %SystemDrive%\PROGRA~2\MOZILLA\HSXIMHL.EXE
czoo
deltmp
restart
Попробуйте загрузиться в нормальном режиме.

Марииия 11-05-2013 09:20 2147916
Выполнила скрипт,не помогло.В нормальном режиме выдаёт как и прежде синий экран,а в безопасном чёрный экран и курсор.Кстати сам он после выполнения скрипта не перезагрузился.

shestale 11-05-2013 09:24 2147917
Цитата:
Цитата Марииия
В нормальном режиме выдаёт как и прежде синий экран »
Зайдите через среду восстановления в папку
Цитата:
Е:\Windows\Minidump\
скопируйте из нее файлы минидампов и прикрепите здесь.

Марииия 11-05-2013 09:36 2147922
Сделала

shestale 11-05-2013 10:14 2147927
Цитата:
Цитата Марииия
.Проверила утилитой от веба»
Попробуйте зайти через среду восстановления и деинсталировать эту утилиту, я так понимаю это Dr.Web CureIt! ?

Марииия 11-05-2013 10:23 2147930
да Dr.Web CureIt. А как деинсталировать если это просто утилита и она не устанавливалась,а сразу запускалась? Через среду восстановления захожу на рабочий стол (там утилита была) но её нету.

shestale 11-05-2013 10:26 2147931
Сделайте новый лог uVS попробуем удалить ее драйвер скриптом.

Марииия 11-05-2013 10:39 2147937
сделала

shestale 11-05-2013 11:03 2147939
Зайдите через среду восстановления и перейдите в папку с установленной у вас AVZ.
Запустить AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт(порядковые номера не копировать) - Нажать кнопку Запустить.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 DeleteFile('E:\PROGRA~2\MOZILLA\HSXIMHL.EXE');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Проверьте вход в систему, в нормальном или безопасном режиме.

Марииия 11-05-2013 11:19 2147941
Запустила avz ,выполнила скрипт ,ноут не перезагрузился. Все режимы как и прежде не работают.Кстати когда вставляла скрипт там были одни иероглифы.Хотя копировала нормально всё было.

Цитата:
Цитата shestale
(порядковые номера не копировать) »
Вот тут я не совсем поняла,в скрипте же вроде нету номеров

shestale 11-05-2013 11:35 2147952
Цитата:
Цитата Марииия
Вот тут я не совсем поняла,в скрипте же вроде нету номеров »
Нету, извиняюсь, это из шаблона для другого форума)
Цитата:
Цитата shestale
попробуем удалить ее драйвер скриптом. »
Выполните скрипт в uVS.
Код:
;uVS v3.77.10 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
breg
delref HTTP://WWW.SMAXXI.BIZ
delall %SystemDrive%\PROGRA~2\MOZILLA\HSXIMHL.EXE
delall %Sys32%\DRIVERS\3248227DRV.SYS
deltmp
restart
Сделайте новый лог uVS.

Марииия 11-05-2013 11:50 2147960
Скрипт выполнен ,логи сделаны

shestale 11-05-2013 12:06 2147965
Так фалы теперь удалились. Изменения есть? Если нет, тогда из среды восстановления выполните:
Запустите командную строку от имени администратора:
Цитата:
Нажмите меню "Пуск"=>Введите cmd => По найденному объекту кликните правой кнопкой мыши и выберите пункт Запустить с правами администратора"
в коммандной строке наберите:
Цитата:
sfc.exe /scannow
Нажмите enter. Может потребоваться диск с дистрибутивом.

Цитата:
Цитата Марииия
Проверила утилитой от веба(8 вирусов) ,вроде удалились. »
Лог случайно не сохранился?

Марииия 11-05-2013 12:30 2147978
В командной строке ввела sfc.exe /scannow Выдаёт вот что :
Beginning system scan. This process will take some time.
There is a system repair pending which requires reboot to complete.Restart windows and run sfc again

И дальше не чего не происходит.
Цитата:
Цитата shestale
Лог случайно не сохранился? »
нет к сожалению

shestale 11-05-2013 12:52 2147991
Цитата:
Цитата Марииия
Beginning system scan. This process will take some time.
There is a system repair pending which requires reboot to complete.Restart windows and run sfc again »
Не хочет выполняться из-за системной проблемы и требует перезагрузку. Оставьте пока эту проверку.

Есть еще такой способ:
Цитата:
Зайдите в среду восстановления. Из параметров восстановления выберите командную строку.
Впишите команду - notepad.exe. Запустится блокнот. В блокноте откройте меню файл - открыть.
Перейдите в проводнике в папку E:\Windows\System32\config
В поле имя файла ничего не пишите, тип файлов - все файлы.
Перейдите в проводнике в папку E:\Windows\System32\config.
Находящиеся там файлы system и software (без расширения) переименуйте в system.old и software.old.
Потом зайдите в E:\Windows\System32\config\RegBack и скопируйте оттуда одноименные файлы в папку E:\Windows\System32\config
После этого загрузитесь в нормальный режим, проверьте работу.

Марииия 11-05-2013 13:08 2148001
Цитата:
Цитата shestale
Зайдите в среду восстановления. Из параметров восстановления выберите командную строку.
Впишите команду - notepad.exe. Запустится блокнот. В блокноте откройте меню файл - открыть.
Перейдите в проводнике в папку E:\Windows\System32\config
В поле имя файла ничего не пишите, тип файлов - все файлы.
Перейдите в проводнике в папку E:\Windows\System32\config.
Находящиеся там файлы system и software (без расширения) переименуйте в system.old и software.old.
Потом зайдите в E:\Windows\System32\config\RegBack и скопируйте оттуда одноименные файлы в папку E:\Windows\System32\config
После этого загрузитесь в нормальный режим, проверьте работу. »
Теперь после этого во всех режимах запускается Восстановление запуска ,и автоматически не может устранить неполадки....

shestale 11-05-2013 13:12 2148007
А восстановление системы тоже не срабатывает?

Марииия 11-05-2013 13:13 2148009
Теперь нет

А нет ...вру,загрузилась через F8

shestale 11-05-2013 13:17 2148011
Цитата:
Цитата Марииия
Теперь нет »
Не понял, что значит теперь, оно и раньше у вас не срабатывало.
Можете вернуться к старым файлам, те которые скопировали - удалить, а у старых убрать расширение .old

Цитата:
Цитата Марииия
А нет ...вру,загрузилась через F8 »
Пробуйте тогда
Восстановление запуска или Восстановление системы.

Марииия 11-05-2013 13:26 2148016
Цитата:
Цитата shestale
Не понял, что значит теперь, оно и раньше у вас не срабатывало. »
Я имела ввиду через F8 я могла зайти в устранение неполадок и оттуда в командную строку.Потом 2 раза перезагрузила ноут (каждый раз восстановление запуска запускалось,на 3 раз загрузился.Мне показалось странным что у меня 3 файла стало software

Марииия 11-05-2013 13:29 2148017
Цитата shestale:
Пробуйте тогда
Восстановление запуска или Восстановление системы. »
Не помогает

Такой вопрос : возможно заменить файл rpcss.dll на читый ? И как это сделать если только командная строка работает ?Утилита от веба написала же что удалила трояна,может и весь этот файл тоже ?

shestale 11-05-2013 13:39 2148022
Похоже вы оказались в числе тех, кому уже эта утилита убила систему при подобном заражении, и теперь только переустановка.
Важные документы вы можете сохранить на флешку или другой, не системный раздел из среды восстановления.

Цитата:
Цитата Марииия
Утилита от веба написала же что удалила трояна,может и весь этот файл тоже ? »
Вот поэтому я вас и просил показать лог.
Посмотрите есть ли он у вас в системе по пути
Цитата:
%windir%\system32\rpcss.dll

Марииия 11-05-2013 13:45 2148031
Тот файл не реально восстановить ?

shestale 11-05-2013 13:48 2148033
Цитата:
Цитата Марииия
Тот файл не реально восстановить ? »
Вы ответьте есть он в системе или его утилита удалила?
Конечно восстановим.

Марииия 11-05-2013 13:58 2148040
Было написано что удалён.

shestale 11-05-2013 14:03 2148042
Цитата:
Цитата Марииия
Было написано что удалён. »
Что же вы молчали? Давайте восстановим его, для этого перейдите по этой ссылке, скачайте rpcss.dll для вашей системы, учитывая разрядность Win7, скопируйте его на флешку, зайдите в среду восстановления и скопируйте по этому пути:
Цитата:
%windir%\system32\rpcss.dll
Перегрузитесь и проверьте.

Марииия 11-05-2013 14:08 2148046
Цитата:
Цитата shestale
и скопируйте по этому пути: »
Это в командной строке вводить ?

shestale 11-05-2013 14:13 2148047
Цитата:
Цитата Марииия
Это в командной строке вводить ? »
Заходите в среду восстановления и через командную строку, блокнот - попадаете в проводник, как вы и делали до этого.
Как войти в среду восстановления Windows Vista/Seven

Марииия, мне сейчас нужно уйти, если после замены получиться войти, тогда после продолжим проверку системы.

Марииия 11-05-2013 14:20 2148053
Пишет недостаточно памяти для завершения операции.
prcss.dll
Тип:Расширение приложения
Размер:500 Кб
Дата изменения:11\21\2010 6:24 AM

Марииия 11-05-2013 15:01 2148064
Цитата:
Цитата shestale
Что же вы молчали? Давайте восстановим его, для этого перейдите по этой ссылке, скачайте rpcss.dll для вашей системы, учитывая разрядность Win7, скопируйте его на флешку, зайдите в среду восстановления и скопируйте по этому пути:
Цитата:
%windir%\system32\rpcss.dll
Перегрузитесь и проверьте. »
бЛИИН всё скачала,скопировала на флешку...а как сделать это ? :
зайдите в среду восстановления и скопируйте по этому пути:
Цитата:
%windir%\system32\rpcss.dll
Просто в папку system32 не хочет ставится ......

shestale 11-05-2013 15:10 2148068
Цитата:
Цитата Марииия
Просто в папку system32 не хочет ставится ...... »
Почему? Появляется какое нибудь сообщение? может там все таки старая rpcss.dll есть? Тогда ее нужно переименовать например в rpcss.bak, а потом копировать эту.

Марииия 11-05-2013 15:13 2148069
Цитата:
Цитата shestale
Почему? Появляется какое нибудь сообщение? может там все таки старая rpcss.dll есть? Тогда ее нужно переименовать например в rpcss.bak, а потом копировать эту. »
Старой там нету точно.....100 раз всё просмотрела, а при вставке "чистого" файла пишет : недостаточно памяти для завершения операции.
prcss.dll
Тип:Расширение приложения
Размер:500 Кб
Дата изменения:11\21\2010 6:24 AM

shestale 11-05-2013 15:24 2148072
Попробуйте заменить с любого LiveCD.

Марииия 11-05-2013 15:35 2148076
Не грузится не 1 LiveCD .У меня пропала папка windows вообще !!!

shestale 11-05-2013 15:53 2148080
Цитата:
Цитата Марииия
.У меня пропала папка windows вообще !!! »
Это вы смотрите с лайва или из среды восстановления? Может не в тот раздел зашли?

Марииия 11-05-2013 15:54 2148081
из среды восстановления ! Я просто попыталась включить в свойствах папки скрытые файлы ,и папка пропала куда то.

Еще вопрос,а нельзя ни как с помощью скрипотов или ещё чего не будь закинуть нужный файл на место ?

shestale 11-05-2013 15:56 2148084
Ну так вы наверное папку windows скрыли?

Марииия 11-05-2013 15:58 2148087
Эмм не знаю,а как вернуть ?

shestale 11-05-2013 16:03 2148092
Включить показ скрытых системных файлов.
Цитата:
В проводнике нажмите Alt - вверху появиться строка меню, выберите Сервис - Параметры папок, в открывшемся окне - Вид - Показывать скрытые файлы, папки и диски.
Пока еще что-то не натворили, скопируйте важную информацию на флешку или другой раздел.
Теперь действительно остается только переставить систему, т. к. возможно дело не только в этом файле, но определить это удаленно не представляется возможным.

Марииия 11-05-2013 16:12 2148100
тут как я поняла альт нажимать ?

shestale 11-05-2013 16:14 2148101
да.

Марииия 11-05-2013 16:14 2148102
shestale оставь пожалуйста свой номер телефона в личку. Можно будет подключить скайп и ты сам всё увидишь что происходит .Если есть желание конечно

regist 11-05-2013 16:17 2148105
Марииия, почему не удаётся загрузится с Live CD ? у вас там будет не только с восстановлением файла, доктор веб там наверняка ещё раздел реестра удалил. Попозже дам твик для восстановления.

shestale 11-05-2013 16:18 2148106
Цитата:
Цитата Марииия
Если есть желание конечно »
Как я вам уже писал не вы первая с подобной проблемой, после того как кюреит "полечила" систему с этим заражением, поэтому смотреть там не на что. Мой совет вам выше.
п.с.
Скайпом не пользуюсь).

Марииия 11-05-2013 16:19 2148108
Когда загружаюсь с флешки на которой liveCD минуты 2 бегут очень быстро строки и в конце ни чего не происходит,пробовала уже множество разных сборок .Вначале грузились,а сейчас ни 1 не хочет,у всех 1 результат.

regist 11-05-2013 16:25 2148111
Марииия, а записать на диск и загрузиться с диска тоже нет возможности ?

или может есть возможно подключить винчестер к другому компьютеру.

Марииия 11-05-2013 16:28 2148114
Цитата regist:
или может есть возможно подключить винчестер к другому компьютеру. »
а как подключить 1 хард ноута к другому ноуту ? Я не знаю лично

Марииия 11-05-2013 16:48 2148121
Ну и как мне быть ? Сносить винду ? Может возможно в том же скайпе ....я поставлю ноут напротив второго (с убитой системой) и вы будете как то руководить ? Не могу я винду снести.......Надо хоть как то восстановить....Пожалуйста

regist 11-05-2013 16:51 2148122
Винду сносить не надо. Записать образ Live CD и попробовать загрузиться с него можете ?

Марииия 11-05-2013 16:57 2148131
Цитата:
Цитата regist
Винду сносить не надо. Записать образ Live CD и попробовать загрузиться с него можете ? »
Выше уже писала
Цитата:
Цитата Марииия
Когда загружаюсь с флешки на которой liveCD минуты 2 бегут очень быстро строки и в конце ни чего не происходит,пробовала уже множество разных сборок .Вначале грузились,а сейчас ни 1 не хочет,у всех 1 результат. »
Утилита от веба удалила файл rpcss.dll , покопалась в систем 32 и сделала её скрытую,теперь не вижу её и не могу обратно вернуть что бы чистый файл туда впихнуть,хотя когда папку было видно ,тоже не давало вставить файл туда,хотя старого там 100% не было.

regist 11-05-2013 17:05 2148142
Марииия, вы пишите, что не можете загрузиться с флешки, а я написал
Цитата:
Цитата regist
записать на диск и загрузиться с диска тоже нет возможности ? »
может с диска загрузится ...

насчёт остального проблема полностью понятна. Доктор веб вместо лечения удалил у вас системный файл и заодно почистил за ним следы в реестре. Для восстановления надо вернуть этот файл и поправить реестр. Более подробные рекомендации постараюсь дать позже.

Марииия 11-05-2013 17:11 2148144
Цитата:
Цитата Марииия
Цитата shestale:
Что же вы молчали? Давайте восстановим его, для этого перейдите по этой ссылке, скачайте rpcss.dll для вашей системы, учитывая разрядность Win7, скопируйте его на флешку, зайдите в среду восстановления и скопируйте по этому пути:
Цитата:
%windir%\system32\rpcss.dll
Перегрузитесь и проверьте. »
бЛИИН всё скачала,скопировала на флешку...а как сделать это ? :
зайдите в среду восстановления и скопируйте по этому пути:
Цитата:
%windir%\system32\rpcss.dll
Просто в папку system32 не хочет ставится ...... »
Вот тут я просто ступила и начала искать старый файл в скрытых файлах.............теперь не могу вообще эту папку найти,нету её и всё !

Цитата:
Цитата regist
может с диска загрузится ... »
через часик где то только будет болванка .......Потом запишу

regist 11-05-2013 17:21 2148154
Давайте пока скриптом попытаемся его скопировать

выполнив скрипт uVS из среды восстановления

скачайте дистрибутив с uVS отсюда - http://rghost.ru/44955544 - распакуйте его и выполните следующий скрипт:

Код:
;uVS v3.77.12 script [http://dsrt.dyndns.org]
 ;Target OS: NTv6.1

 EXEC cmd /c ren %windir%\system32\rpcss.dll rpcss.dll.old
 EXEC cmd /c copy store\nt61\rpcss.dll %windir%\system32\rpcss.dll
 restart
проверьте, что с проблемой. Если не поможет, то позже дам твик для реестра.

Марииия 11-05-2013 17:27 2148158
какой скрипт именно ?

Если стандартный ,то не получается,так как не видит папку system

блин как мне папку систем вернуть ? Альт в проводнике не помогает !

regist 11-05-2013 17:39 2148166
Марииия, скрипт в посте перед вашим. Как зайти в среду восстановление и запустить оттуда uVS вы знаете. Думаю обойдёмся и без Live CD.

Марииия 12-05-2013 05:24 2148418
Скрипт выполнен,как только нажала выполнить программа сразу закрылась !Всё осталось без изменений!

regist 12-05-2013 12:16 2148537
Цитата:
Цитата Марииия
Скрипт выполнен,как только нажала выполнить программа сразу закрылась !Всё осталось без изменений! »
а компьютер после этого перезагрузился ?

кстати для лечения трояна вы скачали свежую версию cureIT с актуальными базами или использовали скачанную раньше ?

+ какая у вас система и какой разрядности (х32 или х64) ?

Марииия 12-05-2013 12:18 2148540
Нет не перезагрузился.
Версия была свежая.
32

Пробовала вот так восстановить папку system
attrib -H <имя папки> /S /D
не помогло .Может там пробелы где то ставить нужно ?

Марииия 12-05-2013 12:39 2148553
Появилось вот что , и там есть как раз папка system и system 32 хотя раньше они на E были.

regist 12-05-2013 12:48 2148558
Марииия, давайте для надёжности убедимся, что вы правильно выполнили скрипт.

Инструкция как выполнить скрипт здесь, как войти в среду восстановления написано здесь http://safezone.cc/forum/showpost.ph...18&postcount=1

атрибуты у папки менять не стоит. Это системная папка и она должна быть по умолчанию скрытой. Если хотите увидеть эту папку то советую просто воспользоваться альтернативным файлменеджером, например Total commander

Марииия 12-05-2013 12:58 2148559
Да, всё так делаю,но ни разу он сам не перезагружался после скриптов.А папку надо видеть что бы вкинуть системный файл ,который удалила утилита от dr weba.

Марииия 12-05-2013 13:17 2148568
Цитата:
Цитата shestale
Можете вернуться к старым файлам, те которые скопировали - удалить, а у старых убрать расширение .old »
Как это сделать если папку не видно ?

regist 12-05-2013 18:54 2148738
Марииия, что насчёт скрипта ? вы его выполняли так как написано по ссылкам в посте #72 ? Если скрипт выполнен правильно, то после него система должна была перезагрузиться, попробуйте ещё раз.

+ вас только одна система установлена была ?

regist 12-05-2013 21:16 2148842
Цитата:
Цитата Марииия
Появилось вот что , и там есть как раз папка system и system 32 »
это похоже ваша флешка с Live CD

Марииия 15-05-2013 13:07 2150413
Спасибо за помощь ! Всё равно пришлось переустановить винду.

Марииия 18-05-2013 13:30 2152018
А можно вопрос ? Я просто не знаю куда именно написать .... Теперь проблемы со вторым ноутбуком.Решила восстановить заводские настройки на нём (подтормаживал немного ),после этого он теперь ещё больше тормозить стал !Может много чего загружается при запуске (загрузка минуты 2).И какие службы отключить можно ?
В общем ....дайте ссылку где разместить новую тему . Заранее спасибо.

regist 18-05-2013 14:28 2152036
Цитата:
Цитата Марииия
В общем ....дайте ссылку где разместить новую тему »
выбирайте раздел соответсвующей вашей ОС http://forum.oszone.net/forum-3.html


Время: 13:04.

Время: 13:04.
© OSzone.net 2001-