Показано с 1 по 13 из 13.

Подозрительный файл CIMSVR.EXE (заявка № 13514)

  1. #1
    Junior Member Репутация
    Регистрация
    10.10.2007
    Сообщений
    134
    Вес репутации
    34

    Exclamation Подозрительный файл CIMSVR.EXE

    Доброго времени суток, Уважаемые!
    Прблемка в следующем:
    Есть ноут TOSHIBA с предустановленной виндой, а так же всяческим не очень нужным ПО, в частности Нортон Интернет Секьюрити. Хозяйка по неопытности (точнее по чьему-то совету) воткнула туда ещё и NOD32, конечно же не озаботившись об удалении Нортона.
    В общим Нотрон всё время кричал о наличии каких то зловредов, она (хозяйка) к этому привыкла и привычно закрывала предупреждения Нортона (тем более на англ. языке) пока я момо не прошёл
    Нортон пришлось снести (просто NOD32 как-то больше по душе) и сделать всё по инструкции.
    CureIT обноружил подозрительный файл CIMSVR.EXE. Можно ли уточнить что это и с чем его едят?
    Заранее благодарю. Логи прилогаются.
    Лог CureIT как всегда самый большой http://www.rapidshare.ru/442739
    Последний раз редактировалось nip; 14.10.2008 в 10:22.

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт...
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('c:\windows\system32\wilpmove.exe','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    добавте в карантин ... CIMSVR.EXE ...
    пришлите карантин согласно приложения 3 правил ...
    (в качестве замечания ....
    замена лицензионного Нортон Интернет Секьюрити на нод ... выглядит по крайней мере не рассудительно ... )

  4. #3
    Junior Member Репутация
    Регистрация
    10.10.2007
    Сообщений
    134
    Вес репутации
    34
    "Скрипт выполнен без ошибок" - такое было сообщение.

    Забыл уточнить, что CureIT поместил файл CIMSVR.EXE в свой карантин. Может по этому в карантин AVZ не добавляется. Пишет:
    "Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\CIMSVR.EXE)
    Карантин с исползованием прямого чтения - ошибка"
    Как мне дальше действовать???

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт....
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\system32\CIMSVR.EXE','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  6. #5
    Junior Member Репутация
    Регистрация
    10.10.2007
    Сообщений
    134
    Вес репутации
    34
    Снова "Скрипт выполнен без ошибок"
    Архив запрошенного файла выслал согласно приложения 3 правил.
    Жду указаний.
    Спасибо за содействие!

    ЗЫ: Я так понял лог CureIT можно удалять, вместе с карантином (в котором файл CIMSVR.EXE) за ненадобностью???
    Последний раз редактировалось nip; 25.10.2007 в 00:40.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    не один из запрошенных файлов в карантин не попал ... возможно скрипты выполнялись с включенным антивирусом ... ?

  8. #7
    Junior Member Репутация
    Регистрация
    10.10.2007
    Сообщений
    134
    Вес репутации
    34
    Млин, точно, прошу прощения.
    Дело в том, что я вещаю не с проблемного компа и переношу логи и архивы на флешке.
    Что делать??? Повторить оба скрипта??? Где отключить антивирус ? на проблемном буке или здесь откуда вещаю???

    Добавлено через 33 минуты

    Цитата Сообщение от V_Bond Посмотреть сообщение
    выполните скрипт...
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('c:\windows\system32\wilpmove.exe','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    добавте в карантин ... CIMSVR.EXE ...
    пришлите карантин согласно приложения 3 правил ...
    (в качестве замечания ....
    замена лицензионного Нортон Интернет Секьюрити на нод ... выглядит по крайней мере не рассудительно ... )
    занова выполнил сей скрипт, уже при отключенном антивируснике, пренёс на флешке на этот комп, NOD32 тоже отключил
    отправил архив карантина

    Добавлено через 44 минуты

    Цитата Сообщение от V_Bond Посмотреть сообщение
    выполните скрипт....
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\system32\CIMSVR.EXE','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    И этот скрипт выполнил ещё раз с отключенными антивирусниками.
    Отправил архив АВЗ

    Добавлено через 7 часов 18 минут

    Доброе утро!!!
    Можно ли закончить решение моей проблемы?

    Добавлено через 1 час 44 минуты

    Уважаемые специалисты!
    Может кто-нибудь попробует закончить начатую дискуссию?
    Спасибо!
    Последний раз редактировалось nip; 25.10.2007 в 11:00. Причина: Добавлено

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Подозрение 'C:\WINDOWS\system32\CIMSVR.EXE' - скорее ложное срабатывание DrWeb. Но можно его запаковать в архив с паролем virus и прислать по ссылке
    http://virusinfo.info/upload_virus.php?tid=13514
    Находится он должен в папке:
    C:\Documents and Settings\имя_пользователя\DoctorWeb\Quarantine

    А вообще, на компьютере чисто.

  10. #9
    Junior Member Репутация
    Регистрация
    10.10.2007
    Сообщений
    134
    Вес репутации
    34
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Подозрение 'C:\WINDOWS\system32\CIMSVR.EXE' - скорее ложное срабатывание DrWeb. Но можно его запаковать в архив с паролем virus и прислать по ссылке
    http://virusinfo.info/upload_virus.php?tid=13514
    Находится он должен в папке:
    C:\Documents and Settings\имя_пользователя\DoctorWeb\Quarantine

    А вообще, на компьютере чисто.
    Всё верно, там он и находится.
    Отправил по правилам.

    До кучи проверил ещё и A-Squared. Обнаружено 4 подорительных обьекта. Закрыл пока в карантин. Если нужно я лог выложу здесь или доставлю куда скажете.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    DrWeb: Это ложное срабатывание. Исправлено.
    nip, верните файл на место, в папку
    C:\WINDOWS\system32

  12. #11
    Junior Member Репутация
    Регистрация
    10.10.2007
    Сообщений
    134
    Вес репутации
    34
    Ок.
    Вернул куда следовает
    Если не секрет, что это за файла CIMSVR.EXE и за что отвечает???
    Выложу лог карантина A-Squared
    Зарание извиняюсь, но может кто чего подскажет.
    архив a2scan_071025-112516.zip с паролем "virus"
    Последний раз редактировалось nip; 14.10.2008 в 10:22.

  13. #12
    Junior Member Репутация
    Регистрация
    10.10.2007
    Сообщений
    134
    Вес репутации
    34
    В общим через Google читается, что это файл CIMSVR.EXE от Логитеч (лоджитек)
    A-Squared тоже подозревает этого производителя (в логах видно)
    Но раз спецы говорят что это не опасно, то будем надеятся что вреда от действий этих файлов действительно не будет

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Касперский сказал, что ничего вредного не обнаружено в этом файле.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) nip, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Подозрительный файл
      От zubr57 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 24.07.2010, 12:56
    2. Подозрительный файл
      От Bare в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 19.01.2010, 06:04
    3. подозрительный файл
      От kostik-x в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 05.11.2009, 21:46
    4. Подозрительный файл
      От Visitor в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 01:51
    5. Подозрительный файл
      От Username в разделе Вредоносные программы
      Ответов: 23
      Последнее сообщение: 02.11.2008, 01:09

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00576 seconds with 21 queries