Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] win32/patched.ib , появился троян

1 2 След.
RSS
 
Андрей Кубышкин
Андрей Кубышкин
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 12.08.2014
Размещено 12.08.2014 21:28:44
Здравствуйте. Сегодня обновил базу данных сигнатур eset smart security 4, после чего он обнаружил данную угрозу и постоянно мне о ней напоминает. Сам троян удалить нельзя.   Помогите пожалуйста.
Вот образ.   JANA-PC_2014-08-12_20-20-23.7z (438.47 КБ) ](не знаю правильно ли я сделал)
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 12.08.2014 23:15:40
Андрей Кубышкин
Образ выполнен верно...
Но, он выполнен устаревшей версией программы.
uVS v3.77.2: Windows 7 Ultimate x86 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS]
На данный момент актуальная версия программы 3.82
Скачайте: http://dsrt.dyndns.org/files/uvs_v382.zip
И выполните образ автозапуска в актуальной версией программы.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 13.08.2014 02:51:22
+
скачайте отсюда чистый файл для замены зараженного rpcss.dll
http://chklst.ru/forum/data/STORE/NT61/RPCSS.DLL
[ Как создать образ автозапуска? ]
 
Андрей Кубышкин
Андрей Кубышкин
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 12.08.2014
Размещено 13.08.2014 03:39:51
Спасибо за ответ. Вот новый образ  JANA-PC_2014-08-13_02-29-39.7z (506.18 КБ). Чистый файл скачал. Что нужно делать дальше?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 13.08.2014 05:41:43
1. скопируйте чистый файл rpcss.dll в каталог, откуда запускаете актуальную версию UVS.

2. только после выполнения п.1!

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код
;uVS v3.83 BETA 15 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\USERS\ЯНА\APPDATA\ROAMING\NEWNEXT.ME\NENGINE.DLL
addsgn 79132211B9E9317E0AA1AB59A52C1205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A57D0BF193CB50B67FBBABFC9ABACEB02CEA77B22FC706CA34 64 Trojan.Siggen6.685 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\TORRENTEXPRESS\TORRENTEXPRESS.EXE
addsgn 1AAF939A55835B8CF42B627DA804DEC9E946303A02B63B7C7202C6BC50D60568A91640963FD15D3D6577459C4616498F92DAE87255DA3D880977A42FC78B8657 8 a variant of Win32/ExpressDownloader.B

delall %SystemDrive%\USERS\ЯНА\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.URL
delall %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.URL
delall %SystemDrive%\USERS\1BEE~1\APPDATA\LOCAL\TEMP\CG\RUN.EXE
delall %SystemDrive%\USERS\1BEE~1\APPDATA\LOCAL\TEMP\CP32\RUN.EXE

zoo %Sys32%\RPCSS.DLL
EXEC cmd /c "rename %sys32%\rpcss.dll rpcss.dll.old"
EXEC cmd /c "rename %sys32%\dllcache\rpcss.dll rpcss.dll.old"
EXEC cmd /c "copy rpcss.dll %sys32%\rpcss.dll"
EXEC cmd /c "copy rpcss.dll %sys32%\dllcache\rpcss.dll" 
czoo
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL

delref HTTP://SINDEX.BIZ/?COMPANY=5

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&TEXT={SEARCHTERMS}

; OpenAL
exec C:\Program Files\OpenAL\OpenAL.exe" /U
deltmp
delnfr

;-------------------------------------------------------------
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]

+
удалите все ярлыки браузеров на рабочем столе и в быстром запуске, и заново создайте их
+

далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
Изменено: santy - 13.08.2014 06:12:15
[ Как создать образ автозапуска? ]
 
Андрей Кубышкин
Андрей Кубышкин
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 12.08.2014
Размещено 13.08.2014 15:18:55
Извиняюсь, маленькое уточнение: удалять ярлыки браузеров и заново создавать их нужно уже после перезагрузки компьютера? И отправить образ нужно уже после воссоздания ярлыков?
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 13.08.2014 15:50:45
Андрей Кубышкин
1. скопируйте чистый файл rpcss.dll в каталог, откуда запускаете актуальную версию UVS.
2. только после выполнения п.1! - Выполните выше данный скрипт*
* После выполнения скрипта - будет автоматическая перезагрузка PC.
---
После этого...
3.Удалите ярлыки браузеров - создайте новые.
4. Архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
---
5. Сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
Изменено: RP55 RP55 - 13.08.2014 15:52:49
 
Андрей Кубышкин
Андрей Кубышкин
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 12.08.2014
Размещено 13.08.2014 15:52:02
Окей, понял, спасибо!
 
Андрей Кубышкин
Андрей Кубышкин
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 12.08.2014
Размещено 13.08.2014 16:39:15
Я все сделал: архив отправил, эта угроза только один раз появилась, но уже с окончанием OLD. ESET ее удалил. Проблем вроде не возникло. Вот файл с malware. Очень благодарен вам за помощь. Скажите, еще что-нибудь нужно делать?
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 13.08.2014 16:55:22
В Malwarebytes - всё найденное удалите.

Для удаления Отметьте все найденные объекты в чек-боксах [V].
Примените команду: Remove Selected
( Удалить выбранное )
Или поместите найденное в карантин.
( В зависимости от версии программы )
--------
Далее: Выполните лог в АdwСleaner
http://forum.esetnod32.ru/forum9/topic7084/
 
1 2 След.
Читают тему