• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Подмена зловредом системного файла RPCSS.DLL: Trojan.Win32.Patched.pj

Sfera

Куратор обучения
Ассоциация VN/VIP
VIP
Сообщения
6,312
Симпатии
4,800
#1
Самостоятельное устранение новой уязвимости:

подмена зловредом системного файла RPCSS.DLL
Стандартная жалоба при обращении на форум "Не пускает в mail.ru, контакт и одноклассники, требует sms..."

Симптомы заражения: блокировка электронной почты, соцсетей и других сайтов,
требование отправить sms на короткий номер и переадресация.

Проверить наличие заражения можно следующими способами

1. лог AVZ, полученный после выполнения стандартного скрипта 7:


2. лог uVS: Как подготовить лог uVS?
Для просмотра лога: папка uVS - start.exe- Загрузить образ - выбрать в Обзоре файл лога на рабочем столе в формате "имя_компьютера_дата_сканирования"


Самостоятельное решение проблемы:

1. Скачайте файл для замены, соответствующий вашей системе:

Windows XP SP3 x86

Windows Vista SP2 x86

Windows 7 x86

Windows 7 x64

2. Загрузить систему в безопасном режиме, зайти в каталог %windir%\system32\ (%windir% соответствует в стандартном случае C:\Windows для XP/Vista и C:\WINNT для Windows 2000), переименовать подмененный rpcss.dll в rpcss.bak, скопировать в папку чистый rpcss.dll.

3. Если в безопасном режиме доступ к файлу блокируется, загрузиться с любого LiveCD или из среды восстановления в Windows Vista/7 и произвести замену.

4. Убедитесь в решении проблемы и удалите rpcss.bak.
_________________

Если проблема не была решена или в ваших логах AVZ и UVS нет упоминания этого файла, создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи
 
Последнее редактирование:

glax24

Разработчик
Сообщения
2,002
Симпатии
1,490
#2
2. Загрузить систему в безопасном режиме, зайти в каталог %windir%\system32\ (%systemroot% соответствует в стандартном случае C:\Windows для XP/Vista и C:\WINNT для Windows 2000, где %systemdrive% - имя системного диска), переименовать подмененный rpcss.dll в rpcss.bak, скопировать в папку чистый rpcss.dll.
Надо привести переменные в соответствие, путь %windir%, а пояснение идет про %systemroot% и непонятно откуда берется %systemdrive%
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,067
Симпатии
5,730
#3
на данный момент этот вирус можно также пролечить скачав CureIt или AVPtool
 

Sfera

Куратор обучения
Ассоциация VN/VIP
VIP
Сообщения
6,312
Симпатии
4,800
#4
glax24, fix
 

Кирилл

Команда форума
Администратор
Сообщения
13,352
Симпатии
5,887
#6
Если в безопасном режиме доступ к файлу блокируется, загрузиться с любого LiveCD или из среды восстановления в Windows Vista/7 и произвести замену.
надо разжевать о том что диски спутаются,как найти системную папку-а то наудаляют)))
 

Кирилл

Команда форума
Администратор
Сообщения
13,352
Симпатии
5,887
#8
Сашка, и что?
Структура лив си ди там не описана.
 

Кирилл

Команда форума
Администратор
Сообщения
13,352
Симпатии
5,887
#10
мне то не зачем-надо добавить или в ссыль заложить.
 
Сверху Снизу