Заблокировали вход на сайт одноклассники - Форум технической поддержки ESET NOD32

Сообщений: 111

Баллов: 88

Регистрация: 13.09.2010

Размещено 06.11.2013 20:12:26

Здраствуйте!
При попытке входа на анкету в Одноклассники, появляется такое сообщение:

"Ваша страница была заблокирована по подозрению на взлом!

Наша система безопасности выявила массовую рассылку спам-сообщений с Вашего аккаунта, и мы были вынуждены временно заблокировать его. Для восстановления доступа к аккаунту Вам необходимо пройти валидацию через мобильный телефон."

и предлагают ввести номер телефона.
Стоит антивирус Eset nod32, сигнатуры баз актуальные. Проверили с помощью Malwarebytes' Anti-Malware нашел 7 вирусов, удалил, перезагрузился, но так и не могу попасть на анкету.
Кто знает как избавиться от этого? С другого компьютера захожу нормально на свою анкету!

Прикрепленные файлы

ПК_2013-11-07_20-07-46.rar (498.62 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 07.11.2013 05:54:49

надо иметь ввиду, что модуль здесь 32ч битный

Цитата
Полное имя C:\WINDOWS\SYSTEM32\RPCSS.DLL Имя файла RPCSS.DLL Тек. статус АКТИВНЫЙ ?ВИРУС? ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST] www.virustotal.com Хэш НЕ найден на сервере. Удовлетворяет критериям FALSESERVICEDLL (ССЫЛКА ~ \PARAMETERS\SERVICEDLL)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) Сохраненная информация на момент создания образа Статус АКТИВНЫЙ ИЗВЕСТНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST] File_Id 4CE7B9A35F000 Linker 9.0 Размер 377344 байт Создан 21.11.2010 в 00:29:12 Изменен 21.11.2010 в 00:29:12 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Оригинальное имя rpcss.dll Версия файла 6.1.7601.17514 (win7sp1_rtm.101119-1850) Описание Distributed COM Services Copyright © Microsoft Corporation. All rights reserved. Производитель Microsoft Corporation Доп. информация на момент обновления списка SHA1 48DE470892DE6EDEB95D6C139C18C795B2B594BF MD5 443C8E11C2956E0330292DED90568856 Процессы на момент обновления списка Процесс C:\WINDOWS\SYSTEM32\SVCHOST.EXE Ссылки на объект Ссылка HKLM\System\CurrentControlSet\Services\DcomLaunch\Parameters\ServiceDLL ServiceDLL %SystemRoot%\system32\rpcss.dll Ссылка HKLM\System\CurrentControlSet\Services\RpcSs\Parameters\ServiceDLL ServiceDLL %SystemRoot%\system32\rpcss.dll

Цитата

Полное имя C:\WINDOWS\SYSTEM32\RPCSS.DLL
Имя файла RPCSS.DLL
Тек. статус АКТИВНЫЙ ?ВИРУС? ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]

www.virustotal.com Хэш НЕ найден на сервере.

Удовлетворяет критериям
FALSESERVICEDLL (ССЫЛКА ~ \PARAMETERS\SERVICEDLL)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ИЗВЕСТНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
File_Id 4CE7B9A35F000
Linker 9.0
Размер 377344 байт
Создан 21.11.2010 в 00:29:12
Изменен 21.11.2010 в 00:29:12
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя rpcss.dll
Версия файла 6.1.7601.17514 (win7sp1_rtm.101119-1850)
Описание Distributed COM Services
Copyright © Microsoft Corporation. All rights reserved.
Производитель Microsoft Corporation

Доп. информация на момент обновления списка
SHA1 48DE470892DE6EDEB95D6C139C18C795B2B594BF
MD5 443C8E11C2956E0330292DED90568856

Процессы на момент обновления списка
Процесс C:\WINDOWS\SYSTEM32\SVCHOST.EXE

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\DcomLaunch\Parameters\ServiceDLL
ServiceDLL %SystemRoot%\system32\rpcss.dll

Ссылка HKLM\System\CurrentControlSet\Services\RpcSs\Parameters\ServiceDLL
ServiceDLL %SystemRoot%\system32\rpcss.dll

правильная ссылка на модуль
http://chklst.ru/forum/data/STORE/NT61/RPCSS.DLL

Изменено: santy - 07.11.2013 05:56:30

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 07.11.2013 06:03:46

1. скачать файл по ссылке из сообщения 2 и добавить в папку, откуда запускаете uVS

2. только после этого.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.81.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %Sys32%\RPCSS.DLL EXEC cmd /c "rename %sys32%\rpcss.dll rpcss.dll.old" EXEC cmd /c "rename %sys32%\dllcache\rpcss.dll rpcss.dll.old" EXEC cmd /c "copy rpcss.dll %sys32%\rpcss.dll" EXEC cmd /c "copy rpcss.dll %sys32%\dllcache\rpcss.dll" czoo ;------------------------autoscript--------------------------- deltmp delnfr ;------------------------------------------------------------- czoo restart

Код


;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE

zoo %Sys32%\RPCSS.DLL
EXEC cmd /c "rename %sys32%\rpcss.dll rpcss.dll.old"
EXEC cmd /c "rename %sys32%\dllcache\rpcss.dll rpcss.dll.old"
EXEC cmd /c "copy rpcss.dll %sys32%\rpcss.dll"
EXEC cmd /c "copy rpcss.dll %sys32%\dllcache\rpcss.dll" 
czoo
;------------------------autoscript---------------------------

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

[ Закрыто ] Заблокировали вход на сайт одноклассники