santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Оперативная память = explorer.exe(2028) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа, Вернулся или не ушел(((

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.04.2013 05:43:13

добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

+
сделайте образ автозапуска из безопасного режима системы

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32.Patched.IB., Помогите удалить трояна.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.04.2013 21:37:37

1. скачайте отсюда чистый файл rpcss.dll и положите (скопируйте) в папку uVS, откуда запускаете uVS
http://rghost.ru/44940107

2.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.77.9 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %Sys32%\RPCSS.DLL EXEC cmd /c "rename %sys32%\rpcss.dll rpcss.dll.old" EXEC cmd /c "rename %sys32%\dllcache\rpcss.dll rpcss.dll.old" EXEC cmd /c "copy rpcss.dll %sys32%\rpcss.dll" EXEC cmd /c "copy rpcss.dll %sys32%\dllcache\rpcss.dll" czoo restart

Код

;uVS v3.77.9 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %Sys32%\RPCSS.DLL
EXEC cmd /c "rename %sys32%\rpcss.dll rpcss.dll.old"
EXEC cmd /c "rename %sys32%\dllcache\rpcss.dll rpcss.dll.old"
EXEC cmd /c "copy rpcss.dll %sys32%\rpcss.dll"
EXEC cmd /c "copy rpcss.dll %sys32%\dllcache\rpcss.dll" 
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

Изменено: santy - 09.04.2013 21:38:47

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.04.2013 20:19:21

Арвид, ты в своей сборке какой файл rpcss.dll используешь для замены Win7 x64? из своей коллекции, или тот , что был по ссылке на фОРУме PH? настораживает что уже три неудачные замены были именно на этой версии.

Изменено: santy - 09.04.2013 20:19:52

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.04.2013 18:50:40

кто его знает. установщика нет. возможно файл подменяется на перезагрузке. обратная же замена модифицированного на чистый вообще выполнена в uVS из активной системы.

[ Как создать образ автозапуска? ]

Перейти

модифицированный Win32/Spy.SpyEye.CA троянская программа, Оперативная память = taskhost.exe(4048) - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.04.2013 14:02:19

добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

+
добавьте образ автозапуска из безопасного режима системы

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32.Patched.IB., Помогите удалить трояна.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.04.2013 05:38:57

скрипты зачем выполняете не предназначенные для вас?
(удалять его не надо, это системный файл модифицированный трояном)

сделайте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

Изменено: santy - 09.04.2013 05:39:44

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.04.2013 20:01:46

а ДрВеб похоже замахнулся вылечить rpcss.dll

Цитата
----------- ----------------------------------------------------------------------------- Start curing ----------------------------------------------------------------------------- D:\WINDOWS\system32\rpcss.dll - infected, incurable, write error, delete error

http://forum.drweb.com/index.php?showtopic=313266&page=5#entry660702

[ Как создать образ автозапуска? ]

Перейти

Eset NOD32 Antivirus блокирует локальную сеть

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.04.2013 07:29:51

какую конкретно версию ESET NOD32 используете? если ESET NOD32 4 Business Edition, то лучше использовать последний релиз 4.2.76

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Браузер запрашивал sms-код на разблокировку страницы в "одноклассниках".

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.04.2013 17:16:35

rpcss.dl чист.
если доступ в инет через роутер, проверьте настройки DNS в роутере.
логи чистые.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] обнаружена уязвимость скрытого канала в icmp-пакете

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.04.2013 15:36:22

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.77.9 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE deltmp delnfr exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F86416023FF} exec "C:\PROGRAM FILES (X86)\PANDORA.TV\PANSERVICE\UNINS000.EXE" restart

Код

;uVS v3.77.9 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
deltmp
delnfr
exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F86416023FF}
exec "C:\PROGRAM FILES (X86)\PANDORA.TV\PANSERVICE\UNINS000.EXE"
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти