Помогите удалить трояна. Win32.Patched.IB. - Форум технической поддержки ESET NOD32

Сообщений: 2

Баллов: 1

Регистрация: 06.05.2013

Размещено 06.05.2013 21:40:03

Добрый день,

помогите, пожалуйста.
NOD 32 выдает следующее предупреждение:

Обнаружена угроза
Объект:
Оперативная память = c:\windows\system32\rpcss.dll
Угроза:
Win32/Patched.IB троянская программа

Образ автозапуска uVS:
http://zalil.ru/upload/34488290

Подскажите как убрать эту гадость??

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 06.05.2013 21:45:55

Здравствуйте!

скачайте дистрибутив с uVS отсюда - http://rghost.ru/44955544 и выполните следующий скрипт:

- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.77.12 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 bl 751C3F58A618CF7DE40042D44AD06590 2295328 addsgn 1A18D29A5583C58CF42B254E3143FE58CCACF7F68971E02942C2B9100CD6993D8517C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 GuardMail zoo %Sys32%\RPCSS.DLL deltmp delnfr delall %SystemDrive%\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE delref HTTP://MAIL.RU/CNT/7993/ delref HTTP://WWW.MAIL.RU/CNT/5089 delref HTTP://WWW.MAIL.RU/CNT/7227 EXEC cmd /c ren %windir%\system32\dllcache\rpcss.dll rpcss.dll.old EXEC cmd /c ren %windir%\system32\rpcss.dll rpcss.dll.old EXEC cmd /c copy store\nt51\rpcss.dll %windir%\system32\rpcss.dll EXEC cmd /c copy store\nt51\rpcss.dll %windir%\system32\dllcache\rpcss.dll czoo restart

Код

;;uVS v3.77.12 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

bl 751C3F58A618CF7DE40042D44AD06590 2295328
addsgn 1A18D29A5583C58CF42B254E3143FE58CCACF7F68971E02942C2B9100CD6993D8517C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 GuardMail
zoo %Sys32%\RPCSS.DLL
deltmp
delnfr
delall %SystemDrive%\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE
delref HTTP://MAIL.RU/CNT/7993/
delref HTTP://WWW.MAIL.RU/CNT/5089
delref HTTP://WWW.MAIL.RU/CNT/7227
EXEC cmd /c ren %windir%\system32\dllcache\rpcss.dll rpcss.dll.old 
EXEC cmd /c ren %windir%\system32\rpcss.dll rpcss.dll.old 
EXEC cmd /c copy store\nt51\rpcss.dll %windir%\system32\rpcss.dll 
EXEC cmd /c copy store\nt51\rpcss.dll %windir%\system32\dllcache\rpcss.dll
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].

- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Сообщений: 2

Баллов: 1

Регистрация: 06.05.2013

Размещено 06.05.2013 22:19:44

Спасибо.
Все действия выполнила.
Сейчас один раз Nod поругался, но вроде файл удалился.

На почту архив оправила.

Лог Mbam:
http://gfile.ru/a10D4

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 06.05.2013 22:28:51

Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

[ Закрыто ] Помогите удалить трояна. Win32.Patched.IB.