Подозрения...

Printable View

27.05.2007, 03:51
ed13

Вложений: 3

Подозрения...

Отмечается в последние дни какая-то подозрительная деятельность на ноутбуке: проактивка касперского сообщает о попытке загрузки измененного модуля эксплорера, периодически svchost рвется законнектиться с какими-то левыми адресами... Поледнее время приходилось часто писать на чужие флешки, пару раз касперский ловил с них различных зверей, но боюсь, что могло что-то пробраться...
27.05.2007, 04:44
Bratez

На первый взляд все чисто, разве что вот эти не мешало бы проверить:
C:\Program Files\Gunze\Gunze Touch Panel Utility\TPSound.exe
C:\WINDOWS\SYSTEM32\fusstub.dll
C:\WINDOWS\SYSTEM32\VESWinlogon.dll
пришлите их по правилам (приложение 2).
27.05.2007, 05:22
ed13

Файл сохранён как 070527_052125_virus_4658dd15f291a.zip
Размер файла 205024
MD5 0717be12dd33cbe45c73f5068f2f8b20
27.05.2007, 05:29
ed13

Все эти файлы вроде бы старые, были установлены исходно и вроде не модифицировались с 2006 года...
27.05.2007, 07:43
Bratez

Действительно, присланные файлы чистые.
Imho, больше ничего подозрительного.
27.05.2007, 11:08
Макcим

Надо ещё кое-что проверить.

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\vaiomov.scr','');
RebootWindows(false);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\Program Files\Gunze\Gunze Touch Panel Utility\TPSound.exe[/CODE]
Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите".
27.05.2007, 11:49
ed13

Файл сохранён как 070527_114903_virus_465937ef8c0a2.zip
Размер файла 14831
MD5 7e049ed923a709f64281f2dbc06c08a7
27.05.2007, 11:51
ed13

Это скриншот, который грузится, если долго не входить в профиль... TPSound.exe при этом начинает играть музыку, это такая соньковская примочка... Все это стоит самой покупки ноута... Может не стоит фиксить?
27.05.2007, 11:59
Макcим

Тогда не фиксите.
27.05.2007, 12:08
ed13

HijackThis вроде бы умеет откатывать сделанные изменения?
27.05.2007, 12:51
Макcим

[QUOTE]HijackThis вроде бы умеет откатывать сделанные изменения?[/QUOTE]Умеет. Хотя я не вижу ни чего плохого в фиксе этой строчки.
22.02.2009, 01:51
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]