выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.77.9 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\НАТАША\APPDATA\ROAMING\JDLMLV.EXE
addsgn A7679BF0AA029C224BD4C6B947881261848AFCF689AA7BF1A0C3C5BC5055­9D14704194DE5BBD625C03D0C49F75C4C32EF4CAD81B15DA3BE4AC965B2F­C706AB7E 12 Dorkbot.0604
zoo %SystemDrive%\USERS\НАТАША\APPDATA\LOCAL\YANDEX\UPDATER\PRAE­TORIAN.EXE
addsgn 1AD78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 praetorian
adddir %SystemDrive%\USERS\НАТАША\APPDATA\ROAMING
delall %SystemDrive%\USERS\НАТАША\APPDATA\ROAMING\JDLMLV.EXE
chklst
delvir
deltmp
delnfr
czoo
regt 5
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[QUOTE]zloyDi пишет:
[QUOTE]RP55 RP55 пишет:
Что по лечению ?[/QUOTE]

Вирлаб просит найти переименованные файлы
user  rpcss_3_.dll - c:\windows\system32\ikom.euc
user  rpcss.dll - c:\windows\system32\cuoa.cgw
user  rpcss_2_.dll - c:\windows\system32\kogh.kuo

Если кто богат, прошу скинуть на почту.[/QUOTE]

один нашелся из этого списка (прислали в почту), выслал в почту. имена все разные для каждого случая заражения.

[QUOTE]RP55 RP55 пишет:
Santy
uVS - добавляет исполняемые файлы - вне зависимости какое на данный момент у них расширение.
В любом случае нужно пробовать - будут пластические файлы добавлены в список по команде adddir или нет.[/QUOTE]

кстати и попробуй, это ведь несложно и недолго смоделировать.
скопировать файлик rpcss.dll например в такое имя ezho.nua

вот результат проверки
https://www.virustotal.com/ru/file/7b9f5434753fcdb11e352a41006a2c198b0c24c8caf2b5f8­d77234ab83b72077/analysis/1365002251/

решение здесь простое, если работать на рабочем столе проблемной системы.

скриптом перезаписываем оригинальный файл, сортируем список в system32 по размеру, и находим рядом с файлом rpcss.dll после замены переименованный файл

размеры должны быть одинаковы.
----------
одну такую пару я кстати уже нашел. (зашел по Teamviewer)
сейчас отправлю в вирлаб.

надо иметь ввиду что adddir добавляет только исполняемые файлы, а в этом случае оригинал претерпел значительную "пластическую операцию"
если переименовывается в такие расширения.

[QUOTE]c:\windows\system32\ikom.euc
c:\windows\system32\cuoa.cgw
c:\windows\system32\kogh.kuo[/QUOTE]

это надо запросить у тех, кто выслал файлы в почту, благо электронные адреса их есть

запросил файлы в почте

детект проблемы на сейчас.
https://www.virustotal.com/ru/file/34537e9a06b2ef2a6a3b2459a823fb50d4e54c3259fd0925­b3686c2f9f9b343d/analysis/1364994386/

пока и на этом спасибо вирлабу eset - задетектили проблему.
а по лечению предлагаю завести папку с модифицированными файлами rpcss.dll
и периодически ее сканировать.

как только выпадет опция - вылечить - значит проблема решена с лечением.
(по мне, так в данном случае лучше заменить модифицированный файл чистым системным, поскольку и троянец проделал тоже самое. переименовал оригинальный ФАЙЛ, и на освободившееся место вписал свой модифицированный.)

+ детект файликов rpcss.dll
(как говорится, не пропадет ваш скорбный труд....  :) )

[QUOTE]+
E:\distr_temp\users_uvs\rpcss.dll\Новая папка\Новая папка\rpcss.dll - Win32/Patched.IB троянская программа
+
E:\distr_temp\users_uvs\rpcss.dll\XP SP3\rpcss.dll - Win32/Patched.IB троянская программа
E:\distr_temp\users_uvs\rpcss.dll\XP SP3\rpcss1.rar = RAR = rpcss.dll - Win32/Patched.IB троянская программа
E:\distr_temp\users_uvs\rpcss.dll\XP SP3\rpcss1\rpcss.dll - Win32/Patched.IB троянская программа
+
E:\distr_temp\users_uvs\rpcss.dll\rpcss3\rpcss.dll - Win32/Patched.IB троянская программа
+
E:\distr_temp\users_uvs\rpcss.dll\rpcss2\rpcss.dll - Win32/Patched.IB троянская программа
+
E:\distr_temp\users_uvs\rpcss.dll\windows7x64\1\rp css.dll - Win64/Patched.E троянская программа[/QUOTE]
-------------
Win32/Patched.IB [Threat Name]
Date Added Apr 02 2013
http://www.virusradar.com/en/Win32_Patched.IB/detail

проверьте по сообщению 4 будет или нет работать такое правило. порт выбирается 3389 (RDP) приложение svchost.exe, соединение - входящее.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]

;uVS v3.77.9 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemRoot%\CM\CMTASK.EXE
delall %SystemRoot%\CM\CMTASK.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\TABS.LNK
delall %SystemDrive%\PROGRAM FILES (X86)\TICNO\TABS\TICNO TABS.EXE
delall %SystemDrive%\USERS\HP\APPDATA\ROAMING\MICROSOFT\DKAWAZ.EXE
delall %SystemDrive%\USERS\HP\APPDATA\ROAMING\MICROSOFT\QKAWAM.EXE
deltmp
delnfr
regt 5
regt 12
exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F83217013FF}
exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F86417013FF}
exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216023FF}
exec MSIEXEC.EXE /quiet /I{32A3A4F4-B792-11D6-A78A-00B0D0160230}
exec "C:\PROGRAM FILES (X86)\PANDORA.TV\PANSERVICE\UNINS000.EXE"
czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/