25.04.2013, 11:35 | #1 (permalink) | |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
Win32/Patched.IB
Кроме того, добавленный в uVS критерий (ССЫЛКА ~ \PARAMETERS\SERVICEDLL) AND (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ) выделяет системные сервисные dll, не прошедшие проверку цифровой подписи в список подозрительных. Цитата:
Пользователям было предложено заменить модифицированные rpcss.dll на соответствующие чистые версии файлов, используя загрузочные диски. И сразу же появились сообщения о положительном решении проблемы. Далее предложены три варианта решения: 1. замена модифицированных файлов на чистые используя Live.CD Win8x86 /6.2.9200.16384/ Win7x64SP1 /6.1.7601.17514/ Win7x64 /6.1.7600.20870/ Win7x86SP1 /6.1.7601.17514/ Vistax86SP2 /6.0.6002.18005/ Win XPx86SP3 /5.1.2600.5755/ Win XPx86SP3 /5.1.2600.5512/ 2. установка патча системы от Microsoft, который приводит к обновлению системного файла rpcss.dll например: На компьютере под управлением Windows Server 2003 с пакетом обновления (SP2), Windows Vista, Windows Server 2008, Windows 7 или Windows Server 2008 R2, процесс Svchost.exe, на котором размещены службы вызова удаленной процедуры аварийно завершает работу. Данный патч позволяет в том числе обновить rpcss.dll до следующих версий: Для всех поддерживаемых 32 разрядных выпусков Windows 7 Имя файла Версия файла Размер файла Дата Время Платформа RPCSS.dll 6.1.7600.20870 376,320 01-Янв-2011 06: 43 x 86 RPCSS.dll 6.1.7601.21631 376 832 01-Янв-2011 06: 47 x 86 Для всех поддерживаемых 64-разрядных версий Windows 7 и Windows Server 2008 R2 Имя файла Версия файла Размер файла Дата Время Платформа RPCSS.dll 6.1.7600.20870 509,952 01-Янв-2011 07: 30 x 64 RPCSS.dll 6.1.7601.21631 512,000 01-Янв-2011 07: 39 x 64 3. Так же хелперами был создан скрипт uVS с использованием замены модифицированного файла на чистый из подготовленной библиотеки. Код:
;uVS v3.77.9 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %Sys32%\RPCSS.DLL EXEC cmd /c "rename %sys32%\rpcss.dll rpcss.dll.old" EXEC cmd /c "rename %sys32%\dllcache\rpcss.dll rpcss.dll.old" EXEC cmd /c "copy rpcss.dll %sys32%\rpcss.dll" EXEC cmd /c "copy rpcss.dll %sys32%\dllcache\rpcss.dll" czoo restart Таким образом замечаем, что это уже не первая проблема которая была решена благодаря функционалу uVS (например, ведение списков чистых проверенных системных файлов) и его способности создать расширенный образ автозапуска системы, который позволяет хелперу выполнить анализ системы за кратчайшее время. Функционал uVS позволил оперативно собрать в карантин модифицированные файлы для отправки в вирлабы компаний ESET, DrWeb, Kaspersky. Спустя несколько дней появился первый детект: вначале у ESET / Win32/Patched.IB /, затем у ЛК / Trojan.Win32.Patched.pj/, затем у DrWeb / Trojan.Starter.2229 / Однако, корректного лечения модифицированного rpcss.dll антивирусными утилитами из активной системы на сегодня нет. Поэтому мы рекомендуем использовать для решения данной проблемы перечисленные выше варианты. (c), chklst.ru |
|
25.04.2013, 11:35 | |
Helpmaster
Member
Регистрация: 08.03.2016
Сообщений: 0
|
Ранее на нашем форуме участники создавали аналогичные топики Не является приложением Win32 вирус Win32/Scano WIN32 servis |
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
|
|