Подмена зловредом системного файла RPCSS.DLL: Trojan.Win32.Patched.pj

Тема в разделе "Борьба с типовыми зловредами", создана пользователем Sfera, 4 апр 2013.

  1. Sfera
    Оффлайн

    Sfera Куратор обучения Ассоциация VN/VIP VIP

    Сообщения:
    6.327
    Симпатии:
    5.128
    Самостоятельное устранение новой уязвимости:

    подмена зловредом системного файла RPCSS.DLL
    Стандартная жалоба при обращении на форум "Не пускает в mail.ru, контакт и одноклассники, требует sms..."

    Симптомы заражения: блокировка электронной почты, соцсетей и других сайтов,
    требование отправить sms на короткий номер и переадресация.

    Проверить наличие заражения можно следующими способами

    1. лог AVZ, полученный после выполнения стандартного скрипта 7:
    [​IMG]

    2. лог uVS: Как подготовить лог uVS?
    Для просмотра лога: папка uVS - start.exe- Загрузить образ - выбрать в Обзоре файл лога на рабочем столе в формате "имя_компьютера_дата_сканирования"
    [​IMG]

    Самостоятельное решение проблемы:

    1. Скачайте файл для замены, соответствующий вашей системе:

    Windows XP SP3 x86

    Windows Vista SP2 x86

    Windows 7 x86

    Windows 7 x64

    2. Загрузить систему в безопасном режиме, зайти в каталог %windir%\system32\ (%windir% соответствует в стандартном случае C:\Windows для XP/Vista и C:\WINNT для Windows 2000), переименовать подмененный rpcss.dll в rpcss.bak, скопировать в папку чистый rpcss.dll.

    3. Если в безопасном режиме доступ к файлу блокируется, загрузиться с любого LiveCD или из среды восстановления в Windows Vista/7 и произвести замену.

    4. Убедитесь в решении проблемы и удалите rpcss.bak.
    _________________

    Если проблема не была решена или в ваших логах AVZ и UVS нет упоминания этого файла, создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи
     
    Последнее редактирование: 12 май 2015
    fseto, Dragokas, Mushka и 11 другим нравится это.
  2. glax24
    Оффлайн

    glax24 Разработчик

    Сообщения:
    2.000
    Симпатии:
    1.450
    Надо привести переменные в соответствие, путь %windir%, а пояснение идет про %systemroot% и непонятно откуда берется %systemdrive%
     
    2 пользователям это понравилось.
  3. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    на данный момент этот вирус можно также пролечить скачав CureIt или AVPtool
     
  4. Sfera
    Оффлайн

    Sfera Куратор обучения Ассоциация VN/VIP VIP

    Сообщения:
    6.327
    Симпатии:
    5.128
    glax24, fix
     
  5. glax24
    Оффлайн

    glax24 Разработчик

    Сообщения:
    2.000
    Симпатии:
    1.450
    не совсем,
    это надо убрать;)
     
    1 человеку нравится это.
  6. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.216
    Симпатии:
    4.978
    надо разжевать о том что диски спутаются,как найти системную папку-а то наудаляют)))
     
  7. Сашка
    Оффлайн

    Сашка Активный пользователь

    Сообщения:
    4.670
    Симпатии:
    2.650
  8. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.216
    Симпатии:
    4.978
    Сашка, и что?
    Структура лив си ди там не описана.
     
  9. Сашка
    Оффлайн

    Сашка Активный пользователь

    Сообщения:
    4.670
    Симпатии:
    2.650
  10. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.216
    Симпатии:
    4.978
    мне то не зачем-надо добавить или в ссыль заложить.
     
  11. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268

Поделиться этой страницей