Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Помогите вылечить мой компьютер , Тревога. Обнаружена угроза.

1
RSS
 
Илья Мухачев
Илья Мухачев
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 15.04.2013
Размещено 15.04.2013 13:59:40
В общем у меня такая проблема возникла. Ни с того ни с сего антивирус "Eset Smart Security 5" обнаружил угрозу. Описание угрозы :
Объект: Оперативная память = c:\windows\system32\rpcss.dll
Угроза: Win32/Patched.IB троянская программа
Удалить антивирус её не может. Искал решение этой проблемы в "интернетах". Но там ничего толкового кроме как "поменяй винду" написать не могут. Поэтому прошу помочь мне с этой проблемой. Я создал образ автозапуска в uVS и скрин антивируса, так на всякий пожарный  :)  Вот ссылки : http://rghost.ru/45303649 и http://rghost.ru/45303877. Я не сильно "шарю" в компьютере, вообщем не особо знаю про все эти вирусы и прочее, так что если можно распишите по подробней как вылечить компьютер. Спасибо.
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 15.04.2013 14:17:13
Здравствуйте!

скачайте дистрибутив с uVS отсюда - http://rghost.ru/44955544 и выполните следующий скрипт:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
Код
;;uVS v3.77.9 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %Sys32%\RPCSS.DLL
bl 9CC5C24E0BCB282202C633F16402E3E1 795960
addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP
bl 68AF1C01341DA23A1D01FC487FEA8B6B 1582976
addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor
exec MSIEXEC.EXE /I{86D4B82A-ABED-442A-BE86-96357B70F4FE}
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216023FF}
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83217009FF}
chklst
delvir
deltmp
delnfr
delall K:\AUTORUN.INF
delref HTTP://WEBALTA.RU/SEARCH
delref HTTP://WWW.MAIL.RU/CNT/7829
EXEC cmd /c ren %windir%\system32\dllcache\rpcss.dll rpcss.dll.old
EXEC cmd /c ren %windir%\system32\rpcss.dll rpcss.dll.old
EXEC cmd /c copy store\nt61\rpcss.dll %windir%\system32\rpcss.dll
EXEC cmd /c copy store\nt61\rpcss.dll %windir%\system32\dllcache\rpcss.dll
restart
czoo

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.04.2013 14:18:35
пробуйте отсюда скачать патч для вашей системы и установить его
http://support.microsoft.com/kb/2401588
[ Как создать образ автозапуска? ]
 
Илья Мухачев
Илья Мухачев
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 15.04.2013
Размещено 15.04.2013 15:13:31
Вот лог Mbam http://rghost.ru/private/45305521/e0e1bd70aed4b40434715e78e57dd0a9  
Ответьте еще на один вопрос. Мой Компьютер вылечен ? Или ещё что-то надо сделать?
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 15.04.2013 15:14:33
все найденное удалите
вы скрипт выполнили? обновление установили? сайты нормально открываются?
Правильно заданный вопрос - это уже половина ответа
 
Илья Мухачев
Илья Мухачев
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 15.04.2013
Размещено 15.04.2013 15:33:08
Удалил. Скрипт выполнил. Обновление тоже установил. Забыл написать, что в Вк не мог зайти писало что, пришлите код подтверждения, в инете написали что это вирус, и я сразу же на этот форум зашел :) А сейчас могу зайти. Правда при установки програмки Malwarebytes Anti-Malware не заходило на некоторые сайты, на rghost не мог зайти, ну я его деинсталлировал. Он ведь больше не понадобится.
Вообщем спасибо Арвид за помощь, больше ничего не вылезает. И santy тоже спасибо :)
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 15.04.2013 15:38:44
Напоследок Выполните рекомендации и больше не болейте.
Правильно заданный вопрос - это уже половина ответа
 
1
Читают тему