Форум esetnod32.ru [тема: c:\windows\system32\rpcss.dll угроза.] http://forum.esetnod32.ru Новое в теме c:\windows\system32\rpcss.dll угроза. форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 29 Apr 2026 02:40:26 +0300 c:\windows\system32\rpcss.dll угроза. c:\windows\system32\rpcss.dll угроза. в форуме Обнаружение вредоносного кода и ложные срабатывания.
удаляем найденное и перезагружаемся
если проблем больше нет - Выполните рекомендации
25.05.2013 22:14:52, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic9504/message68040/ http://forum.esetnod32.ru/messages/forum6/topic9504/message68040/ Sat, 25 May 2013 22:14:52 +0400 Обнаружение вредоносного кода и ложные срабатывания c:\windows\system32\rpcss.dll угроза. c:\windows\system32\rpcss.dll угроза. в форуме Обнаружение вредоносного кода и ложные срабатывания.
Проблема с rpcss.dll вроде бы решена,спасибо большое! Выкладываю лог Mbam.[FILE ID=92123]
MBAM-log-2013-05-25 (18-39-58).txt
25.05.2013 18:45:36, Никита Белов.]]> http://forum.esetnod32.ru/messages/forum6/topic9504/message68039/ http://forum.esetnod32.ru/messages/forum6/topic9504/message68039/ Sat, 25 May 2013 18:45:36 +0400 Обнаружение вредоносного кода и ложные срабатывания c:\windows\system32\rpcss.dll угроза. c:\windows\system32\rpcss.dll угроза. в форуме Обнаружение вредоносного кода и ложные срабатывания.
Здравствуйте!

скачайте дистрибутив с uVS отсюда - http://rghost.ru/44955544 и выполните следующий скрипт:

- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
====code==== 
;;uVS v3.77.16 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %Sys32%\RPCSS.DLL
bl 9CC5C24E0BCB282202C633F16402E3E1 795960
addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP
zoo %Sys32%\NOTEPAD.EXE
addsgn 925277AA136AC1CC0B34574E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.Gen.2 [Symantec]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\KOT\РАБОЧИЙ СТОЛ\SC.EXE
bl 62E10660CAAEBCE10DF515647737406D 1056260
addsgn A7679B1BB96246720B82C4B19BDD9E15648A75730104E08742465942AF29714C23170412C6549D492B47012BB8E9B6FA7DDFE88D402AA06D2DD4D44786064A77 8 MaybeVIrus
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\KOT\РАБОЧИЙ СТОЛ\SVCHOST.EXE
bl 60F10A6646042F96B68F44833D28C6B5 946176
addsgn A7679BF0AA0254DA4CD4C6CD888C1261848AFCF689AA7BF1A0C3C5BC50559D6C704194DE5BBD1E2CD780EE9EB90301E93ADFB1F1584EF4662D8827225F426873 8 a variant of Win32/BitCoinMiner.A
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\KOT\РАБОЧИЙ СТОЛ\LAST3\SVHOST.EXE
bl DC9AEFFBDD2B74A6CCFAE99BB9A9EB87 946176
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\KOT\LOCAL SETTINGS\TEMP\SVCHOST.EXE
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83217007FF}
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216029FF}
chklst
delvir
delref %SystemDrive%/DOCUMENTS AND SETTINGS/KOT/LOCAL SETTINGS/APPLICATION DATA/AKAMAI/NETSESSION_WIN.EXE
delref HTTP://BROWSERHELP2.RU
delref HTTP://RU.ASK.COM/?L=DIS&O=102876&GCT=HP
delref HTTP://WEBALTA.RU/SEARCH
delref HTTP://WWW.PORTAL-WAREZ.INFO
delref HTTP://WWW.RUSSUR.COM/?T=100
regt 14
czoo
deltmp
delnfr
EXEC cmd /c ren %windir%\system32\dllcache\rpcss.dll rpcss.dll.old 
EXEC cmd /c ren %windir%\system32\rpcss.dll rpcss.dll.old 
EXEC cmd /c copy store\nt51\rpcss.dll %windir%\system32\rpcss.dll 
EXEC cmd /c copy store\nt51\rpcss.dll %windir%\system32\dllcache\rpcss.dll
restart
=============
- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например ZOO_2013-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес sendvirus2011@gmail.com.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.
25.05.2013 02:26:05, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic9504/message68016/ http://forum.esetnod32.ru/messages/forum6/topic9504/message68016/ Sat, 25 May 2013 02:26:05 +0400 Обнаружение вредоносного кода и ложные срабатывания c:\windows\system32\rpcss.dll угроза. c:\windows\system32\rpcss.dll угроза. в форуме Обнаружение вредоносного кода и ложные срабатывания.
Здравствуйте!
Возникла такая проблема:Объект: c:\windows\system32\rpcss.dll
Угроза: Win32/Patched.IB троянская программа.
Удаление и очистка невозможны. Прошу помощи.
Прикрепляю Uvs образ.[FILE ID=92112]
XATA-08D583B917_2013-05-24_23-49-18.7z
25.05.2013 00:20:10, Никита Белов.]]> http://forum.esetnod32.ru/messages/forum6/topic9504/message68011/ http://forum.esetnod32.ru/messages/forum6/topic9504/message68011/ Sat, 25 May 2013 00:20:10 +0400 Обнаружение вредоносного кода и ложные срабатывания