Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Нет доступа к вконтакте и одноклассникам. , Нет доступа к вконтакте и одноклассникам.

1
RSS
 
Денис
Денис
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 21.04.2013
Размещено 21.04.2013 16:02:37
На компьютере был обнаружен вирус требующий отправки смс. Частично был удален Eset. Потом все было очищено CureIt, 2 раза.
Вирус пропал. Комп стал работать нормально.
Но не открываются сайты vk.com и odnoklassniki.ru. Причем если Одноклассники набирать по ip, то они открываются. для контакта такое не работает.

Было замечено что присутствует скрип настройки: https://yasupprt.com/nUEvox2/mcandex.pac
Ставилось значение "Без прокси." не помогло.
После очистки  AdwCleaner  , скрипт автоматически не ставился. Но сайты все равно не открываются(((

Какие действия выполнялись:
1) Чистка cureit: Быстрая и полная -2 раза.
2) Проверка файла hosts(Он чист, никаких лишних строк нет) , никаких подмен нет. Восстанавливал hosts навсякий через AVZ.
3) Выполнялась команда ipconfig /flushdns и route -f
4) Проверял программами AdwCleaner и Malwarebytes Anti-Malware , очищал найденные уязвимости.
5) Отключал брадмаузер.
6) Пробовал разными браузерами Mozilla, Chrome, Internet Explorer.
Mozilly полностью удалял и устанавливал с нуля.
7) Выполнял чистку реестра и удаление временных файлов с помощью Auslogic Boot Speed.
 8)  Удалял временные файлы с помощью CCleaner.

Прикладываю логи:
uVS. AVZ(для virusinfo) .Hijackthis,AdwCleaner, Malwarebytes Anti-Malware

Помогите, пожалуйста, бьюсь с 9 утра(((AdwCleaner[R4].txt (1.11 КБ)mbam-log-2013-04-21 (15-37-28).txt (2.1 КБ)hijackthis.log (10.34 КБ)uVS_SAMSUNG-ПК_2013-04-21_15-31-39.7z (491.29 КБ)AVZLOG_Virusinfo.7z (45.75 КБ)
Изменено: Денис - 21.04.2013 16:09:11
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.04.2013 16:30:33
проблема в модифицированном rpcss.dll
Цитата
Полное имя                  C:\WINDOWS\SYSTEM32\RPCSS.DLL
Имя файла                   RPCSS.DLL
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
                           
www.virustotal.com          Хэш НЕ найден на сервере.
                           
Удовлетворяет критериям    
FALSESERVICEDLL             (ССЫЛКА ~ \PARAMETERS\SERVICEDLL)(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1)
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ИЗВЕСТНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
Размер                      377344 байт
Создан                      19.06.2011 в 18:03:36
Изменен                     20.11.2010 в 15:21:03
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            rpcss.dll
Версия файла                6.1.7601.17514 (win7sp1_rtm.101119-1850)
Описание                    Distributed COM Services
Copyright                   © Microsoft Corporation. All rights reserved.
Производитель               Microsoft Corporation
                           
Доп. информация             на момент обновления списка
SHA1                        0AD4D1B2B6BC39339BA7BE68E4C724A78D0EB14C
MD5                         FE9B121F5269C2620DD61F38737FE44B
                           
Процессы                    на момент обновления списка
Процесс                     C:\WINDOWS\SYSTEM32\SVCHOST.EXE
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\DcomLaunch\Parameters­\ServiceDLL
ServiceDLL                  %SystemRoot%\system32\rpcss.dll
                           
Ссылка                      HKLM\System\CurrentControlSet\Services\RpcSs\Parameters\Serv­iceDLL
ServiceDLL                  %SystemRoot%\system32\rpcss.dll
                           
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.04.2013 16:32:03
поверьте этот файлик на http://virustotal.com
так что надо антивирус вас не обманул, это называется, решать проблему больной головы, удалением этой головы.
Изменено: santy - 21.04.2013 16:33:55
[ Как создать образ автозапуска? ]
 
Денис
Денис
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 21.04.2013
Размещено 21.04.2013 16:49:30
Спасибо за информацию,
Вот : 7 из 45
https://www.virustotal.com/ru/file/59ac5476a901898ad621c9c829e4af349e1556259db8f038­3287ca84dc0b742f/analysis/1366548320/

Значит находить оригинальный и менять.
Или просто удалить?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.04.2013 16:57:53
заменить на чистый файл.
http://chklst.ru/forum/discussion/103/win32patched-ib#Item_1
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.04.2013 16:59:16
чистый файл можно отсюда взять
http://rghost.ru/44940107
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.04.2013 17:01:12
если самостоятельно не сможете разобраться, напишем скрипт решения проблемы.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.04.2013 17:21:55
1. копируем чистый файл по ссылке выше в каталог откуда вы запускаете uVS

2.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.77.10 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %Sys32%\RPCSS.DLL
EXEC cmd /c "rename %sys32%\rpcss.dll rpcss.dll.old"
EXEC cmd /c "rename %sys32%\dllcache\rpcss.dll rpcss.dll.old"
EXEC cmd /c "copy rpcss.dll %sys32%\rpcss.dll"
EXEC cmd /c "copy rpcss.dll %sys32%\dllcache\rpcss.dll" 
deltmp
delnfr
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
 
Денис
Денис
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 21.04.2013
Размещено 21.04.2013 17:22:18
Все получилось. Спасибо Santy.
Очень помог!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.04.2013 17:23:30
Цитата
Денис пишет:
Все получилось. Спасибо Santy.
Очень помог!
ок, с чем и поздравляем.
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
[ Как создать образ автозапуска? ]
 
1
Читают тему