winSys2.exe

Printable View

02.02.2008, 11:52
Толик

winSys2.exe

Со вчерашнего дня Comodo Firewall стал выдавать алерты вроде:
[ATTACH]31633[/ATTACH]
Раньше такого не наблюдал. На [URL="http://forum.aerodata.ru/showthread.php?p=6398"]сайте [/URL]прочел что это вредоносный процесс, вирус вроде как. Да и лезет этот процесс во все приложения, вот как на скрине выше, какого этому winsys понадобился интернет, да и ещё через антивирус...
02.02.2008, 12:12
zerocorporated

1.В avz [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sw20.exe','');
QuarantineFile('C:\WINDOWS\system32\sw24.exe','');
QuarantineFile('C:\DOCUME~1\Tolik\LOCALS~1\Temp\mc21.tmp','');
QuarantineFile('c:\windows\system32\winsys2.exe','');
DeleteFile('c:\windows\system32\winsys2.exe');
DeleteFile('C:\DOCUME~1\Tolik\LOCALS~1\Temp\mc21.tmp');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.

2.Выслать карантин по [URL="http://virusinfo.info/upload_virus.php?tid=17403"]этой ссылке[/URL]
02.02.2008, 12:34
Толик

При выполнении скрипта антивирус вдруг завопил:
02.02.2008 12:27:03 Tolik 448 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\WINDOWS\system32\Drivers\vdqyotkx.sys" file. Нажал Ничего не делать (Malware не будет активировано)

Хотя до этого, с утра, при проверке компьютера - молчал...
Карантин заргрузил с паролем:virus

Файл сохранён как 080202_033400_2008-02-02_47a4390898097.zip
Размер файла 553852
MD5 7841d6888e8b08ea8ceeca1016a354be
02.02.2008, 12:53
akok

Антивирус необходимо отключать когда выполняете скрипт.....
02.02.2008, 14:01
Alex_Goodwin

Повторите логи.
02.02.2008, 14:20
Толик

Повторил логи.
02.02.2008, 14:26
Толик

Да, кстати, на втором компьютере (локальная сеть) есть файл winsys.exe в папке system32 ... он вроде вредоносный?
02.02.2008, 14:39
akok

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\MGB_SC~1.SCR','');
QuarantineFile('C:\WINDOWS\System32\Drivers\a2eb02j7.SYS','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=17403[/url]

Ничего явно зловредного у Вас не видно...
02.02.2008, 14:53
Толик

Файл сохранён как 080202_055031_2008-02-02_47a459070835f.zip
Размер файла 2274457
MD5 7f9c15918adf7a2c9fd7e638d923dc06

А что за файлы вообще такие winsys.exe и winsys2.exe, если на сайте, к-й указал в первом посте, написано что они вредоносны, можно ли их спокойно удалить (как написано в рекомендациях)?
02.02.2008, 16:10
Rene-gad

[QUOTE=Толик;181737]
А что за файлы вообще такие winsys.exe и winsys2.exe, если на сайте, к-й указал в первом посте, написано что они вредоносны, можно ли их спокойно удалить (как написано в рекомендациях)?[/QUOTE]
Файлы эти очень зловредные. Точнее сказть не можем, т.к. только имя файла не позволяет определить имя зловреда однозначно. Обождем ответа из Вирлаба.
Если Вам удастся их просто так удалить, то считайте, что Вам повезло.
03.02.2008, 16:10
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]