[ Закрыто ] win32/patched.ib , появился троян

Здравствуйте. Сегодня обновил базу данных сигнатур eset smart security 4, после чего он обнаружил данную угрозу и постоянно мне о ней напоминает. Сам троян удалить нельзя.   Помогите пожалуйста.
Вот образ.   JANA-PC_2014-08-12_20-20-23.7z (438.47 КБ) ](не знаю правильно ли я сделал)
Андрей Кубышкин
Образ выполнен верно...
Но, он выполнен устаревшей версией программы.
uVS v3.77.2: Windows 7 Ultimate x86 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS]
На данный момент актуальная версия программы 3.82
Скачайте: http://dsrt.dyndns.org/files/uvs_v382.zip
И выполните образ автозапуска в актуальной версией программы.
+
скачайте отсюда чистый файл для замены зараженного rpcss.dll
http://chklst.ru/forum/data/STORE/NT61/RPCSS.DLL
Спасибо за ответ. Вот новый образ  JANA-PC_2014-08-13_02-29-39.7z (506.18 КБ). Чистый файл скачал. Что нужно делать дальше?
1. скопируйте чистый файл rpcss.dll в каталог, откуда запускаете актуальную версию UVS.

2. только после выполнения п.1!

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код
;uVS v3.83 BETA 15 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\USERS\ЯНА\APPDATA\ROAMING\NEWNEXT.ME\NENGINE.DLL
addsgn 79132211B9E9317E0AA1AB59A52C1205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A57D0BF193CB50B67FBBABFC9ABACEB02CEA77B22FC706CA34 64 Trojan.Siggen6.685 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\TORRENTEXPRESS\TORRENTEXPRESS.EXE
addsgn 1AAF939A55835B8CF42B627DA804DEC9E946303A02B63B7C7202C6BC50D60568A91640963FD15D3D6577459C4616498F92DAE87255DA3D880977A42FC78B8657 8 a variant of Win32/ExpressDownloader.B

delall %SystemDrive%\USERS\ЯНА\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.URL
delall %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.URL
delall %SystemDrive%\USERS\1BEE~1\APPDATA\LOCAL\TEMP\CG\RUN.EXE
delall %SystemDrive%\USERS\1BEE~1\APPDATA\LOCAL\TEMP\CP32\RUN.EXE

zoo %Sys32%\RPCSS.DLL
EXEC cmd /c "rename %sys32%\rpcss.dll rpcss.dll.old"
EXEC cmd /c "rename %sys32%\dllcache\rpcss.dll rpcss.dll.old"
EXEC cmd /c "copy rpcss.dll %sys32%\rpcss.dll"
EXEC cmd /c "copy rpcss.dll %sys32%\dllcache\rpcss.dll" 
czoo
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL

delref HTTP://SINDEX.BIZ/?COMPANY=5

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&TEXT={SEARCHTERMS}

; OpenAL
exec C:\Program Files\OpenAL\OpenAL.exe" /U
deltmp
delnfr

;-------------------------------------------------------------
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]

+
удалите все ярлыки браузеров на рабочем столе и в быстром запуске, и заново создайте их
+

далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
Изменено: santy - 13.08.2014 06:12:15
Извиняюсь, маленькое уточнение: удалять ярлыки браузеров и заново создавать их нужно уже после перезагрузки компьютера? И отправить образ нужно уже после воссоздания ярлыков?
Андрей Кубышкин
1. скопируйте чистый файл rpcss.dll в каталог, откуда запускаете актуальную версию UVS.
2. только после выполнения п.1! - Выполните выше данный скрипт*
* После выполнения скрипта - будет автоматическая перезагрузка PC.
---
После этого...
3.Удалите ярлыки браузеров - создайте новые.
4. Архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
---
5. Сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
Изменено: RP55 RP55 - 13.08.2014 15:52:49
Окей, понял, спасибо!
Я все сделал: архив отправил, эта угроза только один раз появилась, но уже с окончанием OLD. ESET ее удалил. Проблем вроде не возникло. Вот файл с malware. Очень благодарен вам за помощь. Скажите, еще что-нибудь нужно делать?
В Malwarebytes - всё найденное удалите.

Для удаления Отметьте все найденные объекты в чек-боксах [V].
Примените команду: Remove Selected
( Удалить выбранное )
Или поместите найденное в карантин.
( В зависимости от версии программы )
--------
Далее: Выполните лог в АdwСleaner
http://forum.esetnod32.ru/forum9/topic7084/
Читают тему (гостей: 1)