В данном разделе выполняем скрипты лечения и рекомендации только от специалистов нашего форума: rp55rp55, safety, Vvvyg, Arkalik, ZloyDi, Гризлик
Win32/Patched.IB
Совсем недавно на форумах столкнулись с массовой проблемой блокирования доступа в социальные сети. Вместо соответствующих интернет-ресурсов в окне браузера демонстрировались веб-страницы с сообщением о том, что профиль пользователя в социальной сети заблокирован, и предложением ввести в соответствующее поле номер телефона и подтверждающий код, полученный в ответном СМС. Проверка hosts, настроек DNS сетевых подключений, поиск в системе известных троянов к решению проблемы не привели. Тем не менее, хелперы pchelpforum.ru обратили внимание на одну закономерность. Во всех проблемных темах в образе автозапуска uVS известный системный файл rpcss.dll не прошел проверку по цифровой подписи.
Кроме того, добавленный в uVS критерий (ССЫЛКА ~ \PARAMETERS\SERVICEDLL) AND (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ) выделяет системные сервисные dll, не прошедшие проверку цифровой подписи в список подозрительных.
Пользователям было предложено заменить модифицированные rpcss.dll на соответствующие чистые версии файлов, используя загрузочные диски.
И сразу же появились сообщения о положительном решении проблемы.
Далее предложены три варианта решения:
1. замена модифицированных файлов на чистые используя Live.CD
Win8x64/6.2.9200.16384/
Win8x86 /6.2.9200.16384/
---------------
Win7x64SP1 /6.1.7601.17514/
Win7x64 /6.1.7600.20870/
Win7x86SP1 /6.1.7601.17514/
Win7x86 /6.1.7600.16385/
----------------
Vistax64SP2 /6.0.6002.18005/
Vistax86SP2 /6.0.6002.18005/
----------------
W2k3x64/5.2.3790.4455/
Win X2k3x86/5.2.3790.3959/
---------------
Win XPx86SP3 /5.1.2600.5755/
Win XPx86SP3 /5.1.2600.5512/
---------------
W2K /5.00.2195.7059/
2. установка патча системы от Microsoft, который приводит к обновлению системного файла rpcss.dll
например:
На компьютере под управлением Windows Server 2003 с пакетом обновления (SP2), Windows Vista, Windows Server 2008, Windows 7 или Windows Server 2008 R2, процесс Svchost.exe, на котором размещены службы вызова удаленной процедуры аварийно завершает работу.
Данный патч позволяет в том числе обновить rpcss.dll до следующих версий:
Для всех поддерживаемых 32 разрядных выпусков Windows 7
Имя файла Версия файла Размер файла Дата Время Платформа
RPCSS.dll 6.1.7600.20870 376,320 01-Янв-2011 06: 43 x 86
RPCSS.dll 6.1.7601.21631 376 832 01-Янв-2011 06: 47 x 86
Для всех поддерживаемых 64-разрядных версий Windows 7 и Windows Server 2008 R2
Имя файла Версия файла Размер файла Дата Время Платформа
RPCSS.dll 6.1.7600.20870 509,952 01-Янв-2011 07: 30 x 64
RPCSS.dll 6.1.7601.21631 512,000 01-Янв-2011 07: 39 x 64
3. Так же хелперами был создан скрипт uVS с использованием замены модифицированного файла на чистый из подготовленной библиотеки.
Таким образом замечаем, что это уже не первая проблема которая была решена благодаря функционалу uVS (например, ведение списков чистых проверенных системных файлов) и его способности создать расширенный образ автозапуска системы, который позволяет хелперу выполнить анализ системы за кратчайшее время.
см. Как удалить бэкдор crexv и восстановить нормальную работу меню Пуск в XP/Vista/Seven
Функционал uVS позволил оперативно собрать в карантин модифицированные файлы для отправки в вирлабы компаний ESET, DrWeb, Kaspersky.
Спустя несколько дней появился первый детект: вначале у ESET / Win32/Patched.IB /, затем у ЛК / Trojan.Win32.Patched.pj/, затем у DrWeb / Trojan.Starter.2229 /
Однако, корректного лечения модифицированного rpcss.dll антивирусными утилитами из активной системы на сегодня нет. Поэтому мы рекомендуем использовать для решения данной проблемы перечисленные выше варианты.
(c), chklst.ru
Кроме того, добавленный в uVS критерий (ССЫЛКА ~ \PARAMETERS\SERVICEDLL) AND (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ) выделяет системные сервисные dll, не прошедшие проверку цифровой подписи в список подозрительных.
Полное имя C:\WINDOWS\SYSTEM32\RPCSS.DLL
Имя файла RPCSS.DLL
Тек. статус АКТИВНЫЙ ?ВИРУС? ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
www.virustotal.com 2013-04-05 [2013-04-01 15:49:41 UTC ( 1 week, 3 days ago )]
Kaspersky Trojan.Win32.Patched.pj
BitDefender Gen:Variant.Kazy.160775
ESET-NOD32 Win32/Patched.IB
Удовлетворяет критериям
FALSESERVICEDLL (ССЫЛКА ~ \PARAMETERS\SERVICEDLL)(1) AND (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1)
Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ИЗВЕСТНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
Размер 377344 байт
Создан 21.11.2010 в 05:29:12
Изменен 21.11.2010 в 05:29:12
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить
Оригинальное имя rpcss.dll
Версия файла 6.1.7601.17514 (win7sp1_rtm.101119-1850)
Описание Distributed COM Services
Copyright © Microsoft Corporation. All rights reserved.
Производитель Microsoft Corporation
Доп. информация на момент обновления списка
SHA1 5E79F045B06CB61B67DE3D839C2F5373998B31F7
MD5 170AEA2C0B1C89C6D3C2552965A5129E
Процессы на момент обновления списка
Процесс C:\WINDOWS\SYSTEM32\SVCHOST.EXE
Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\DcomLaunch\Parameters\ServiceDLL
ServiceDLL %SystemRoot%\system32\rpcss.dll
Ссылка HKLM\System\CurrentControlSet\Services\RpcSs\Parameters\ServiceDLL
ServiceDLL %SystemRoot%\system32\rpcss.dll
Рост количества проблемных тем привел к рождению качественной мысли о том, что возможно файл rpcss.dll модифицирован и является источником данной проблемы. Vvvyg: "Погодите, может ещё RPCSS.DLL - плод моей паранойи . Но я порядка десятка логов отсмотрел с подобной проблемой - симптом общий." Была подготовлена библиотека чистых файлов для систем Windows XP, Vista, Windows7, Windows 8 различной разрядности.Пользователям было предложено заменить модифицированные rpcss.dll на соответствующие чистые версии файлов, используя загрузочные диски.
И сразу же появились сообщения о положительном решении проблемы.
Далее предложены три варианта решения:
1. замена модифицированных файлов на чистые используя Live.CD
Win8x64/6.2.9200.16384/
Win8x86 /6.2.9200.16384/
---------------
Win7x64SP1 /6.1.7601.17514/
Win7x64 /6.1.7600.20870/
Win7x86SP1 /6.1.7601.17514/
Win7x86 /6.1.7600.16385/
----------------
Vistax64SP2 /6.0.6002.18005/
Vistax86SP2 /6.0.6002.18005/
----------------
W2k3x64/5.2.3790.4455/
Win X2k3x86/5.2.3790.3959/
---------------
Win XPx86SP3 /5.1.2600.5755/
Win XPx86SP3 /5.1.2600.5512/
---------------
W2K /5.00.2195.7059/
2. установка патча системы от Microsoft, который приводит к обновлению системного файла rpcss.dll
например:
На компьютере под управлением Windows Server 2003 с пакетом обновления (SP2), Windows Vista, Windows Server 2008, Windows 7 или Windows Server 2008 R2, процесс Svchost.exe, на котором размещены службы вызова удаленной процедуры аварийно завершает работу.
Данный патч позволяет в том числе обновить rpcss.dll до следующих версий:
Для всех поддерживаемых 32 разрядных выпусков Windows 7
Имя файла Версия файла Размер файла Дата Время Платформа
RPCSS.dll 6.1.7600.20870 376,320 01-Янв-2011 06: 43 x 86
RPCSS.dll 6.1.7601.21631 376 832 01-Янв-2011 06: 47 x 86
Для всех поддерживаемых 64-разрядных версий Windows 7 и Windows Server 2008 R2
Имя файла Версия файла Размер файла Дата Время Платформа
RPCSS.dll 6.1.7600.20870 509,952 01-Янв-2011 07: 30 x 64
RPCSS.dll 6.1.7601.21631 512,000 01-Янв-2011 07: 39 x 64
3. Так же хелперами был создан скрипт uVS с использованием замены модифицированного файла на чистый из подготовленной библиотеки.
;uVS v3.77.9 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %Sys32%\RPCSS.DLL
EXEC cmd /c "rename %sys32%\rpcss.dll rpcss.dll.old"
EXEC cmd /c "rename %sys32%\dllcache\rpcss.dll rpcss.dll.old"
EXEC cmd /c "copy rpcss.dll %sys32%\rpcss.dll"
EXEC cmd /c "copy rpcss.dll %sys32%\dllcache\rpcss.dll"
czoo
restart
здесь, соответствующий чистый файл rpcss.dll из библиотеки необходимо предварительно поместить в каталог c Universal Viris Sniffer / uVS /Таким образом замечаем, что это уже не первая проблема которая была решена благодаря функционалу uVS (например, ведение списков чистых проверенных системных файлов) и его способности создать расширенный образ автозапуска системы, который позволяет хелперу выполнить анализ системы за кратчайшее время.
см. Как удалить бэкдор crexv и восстановить нормальную работу меню Пуск в XP/Vista/Seven
Функционал uVS позволил оперативно собрать в карантин модифицированные файлы для отправки в вирлабы компаний ESET, DrWeb, Kaspersky.
Спустя несколько дней появился первый детект: вначале у ESET / Win32/Patched.IB /, затем у ЛК / Trojan.Win32.Patched.pj/, затем у DrWeb / Trojan.Starter.2229 /
Однако, корректного лечения модифицированного rpcss.dll антивирусными утилитами из активной системы на сегодня нет. Поэтому мы рекомендуем использовать для решения данной проблемы перечисленные выше варианты.
(c), chklst.ru
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.