ЭПС: подозрение на Файл с подозрительным именем

Printable View

03.03.2010, 00:08
Makler

ЭПС: подозрение на Файл с подозрительным именем

логи прилагаю, проверка Drweb проблем не выявила, но AVZ ругается.
03.03.2010, 00:17
CyberHelper

1. Пожалуйста, выполните скрипт AVZ:
[CODE]
begin
SearchRootkit(true, true);
QuarantineFile('I:\INSTALL\GMSIPCI.SYS', 'CHQ=N');
QuarantineFile('rkhdrv40.sys', 'CHQ=N');
QuarantineFile('stremu.sys', 'CHQ=N');
QuarantineFile('C:\WINDOWS\ALCMTR.EXE', 'CHQ=S');
QuarantineFile('c:\windows\explorer.exe', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\cisvc.exe', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\clipsrv.exe', 'CHQ=S');
QuarantineFile('c:\windows\system32\ctfmon.exe', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\dllhost.exe', 'CHQ=S');
QuarantineFile('C:\WINDOWS\System32\dmadmin.exe', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\imapi.exe', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\locator.exe', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\mnmsrvc.exe', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\msdtc.exe', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\netdde.exe', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\regsvr32.exe', 'CHQ=S');
QuarantineFile('c:\windows\system32\rundll32.exe', 'CHQ=N');
QuarantineFile('C:\WINDOWS\System32\SCardSvr.exe', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\sessmgr.exe', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\smlogsvc.exe', 'CHQ=S');
QuarantineFile('c:\windows\system32\spoolsv.exe', 'CHQ=S');
QuarantineFile('C:\WINDOWS\System32\ups.exe', 'CHQ=S');
QuarantineFile('C:\WINDOWS\System32\userinit.exe', 'CHQ=S');
QuarantineFile('C:\WINDOWS\System32\vssvc.exe', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\wbem\wmiapsrv.exe', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\Drivers\DgiVecp.sys', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\Drivers\eRocket.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\Drivers\sptd.sys', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\Drivers\SSPORT.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\System32\Drivers\stremu.SYS', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\Drivers\Video3D32.sys', 'CHQ=S');
QuarantineFile('C:\System Volume Information\_restore{891D4111-2FE1-464C-BDE6-BAFC3BD54BCF}\RP1\A0000007.sys', 'CHQ=N');
QuarantineFile('C:\Program Files\MSI\Live Update 3\msi.files\FreeDOS\COMMAND.COM', 'CHQ=N');
QuarantineFile('C:\Program Files\MSI\Live Update 3\msi.files\USBBOOT\COMMAND.COM', 'CHQ=N');
QuarantineFile('C:\Program Files\\Outlook Express\setup50.exe', 'CHQ=S');
QuarantineFile('C:\Program Files\ImTOO\iPod Computer Transfer\QTMLClient.dll', 'CHQ=G');
QuarantineFile('C:\Program Files\WinSCP\DragExt.dll', 'CHQ=G');
BC_QrFile('I:\INSTALL\GMSIPCI.SYS');
BC_QrFile('C:\WINDOWS\system32\Drivers\DgiVecp.sys');
BC_QrFile('C:\WINDOWS\system32\Drivers\sptd.sys');
BC_QrFile('C:\WINDOWS\system32\Drivers\SSPORT.sys');
BC_QrFile('C:\WINDOWS\System32\Drivers\stremu.SYS');
BC_QrFile('C:\WINDOWS\system32\Drivers\Video3D32.sys');
BC_QrFile('C:\System Volume Information\_restore{891D4111-2FE1-464C-BDE6-BAFC3BD54BCF}\RP1\A0000007.sys');
BC_QrFile('C:\Program Files\MSI\Live Update 3\msi.files\FreeDOS\COMMAND.COM');
BC_QrFile('C:\Program Files\MSI\Live Update 3\msi.files\USBBOOT\COMMAND.COM');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
В ходе выполнения скрипта компьютер перезагрузится.
2. Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
3. В протоколе обнаружено много неопознанных файлов, рекомендуется выполнить [URL]http://virusinfo.info/index.php?page=uploadclean[/URL]
03.03.2010, 01:03
Makler

Скрипт выполнил, карантин выслал, подозрительные файлы отправил.

логи прилагаю, но AVZ по прежнему ругается.
03.03.2010, 16:00
Makler

Специалисты? какие результаты, что с компьютером
03.03.2010, 16:26
Зайцев Олег

[QUOTE=Makler;597000]Специалисты? какие результаты, что с компьютером[/QUOTE]
Результаты изучаются ... а на компьютере стоит обычная лицензионная Windows, илипоставлена какая-то непонятная самосборка ? Ине применялись ли на ПК какие-то сторонние утилиты обновления, модификаторы ресурсов для изменения внешнего вида системы и т.п. ? Просто в обычном Windows эти файлы должны проходить контроль по базе MS, а эти не проходят ...
03.03.2010, 18:30
Makler

На компьютере Windows XP professional, с последними обновлениями от MS. Может стоит выполнить sfc /scannow
03.03.2010, 18:58
Зайцев Олег

[QUOTE=Makler;597073]На компьютере Windows XP professional, с последними обновлениями от MS. Может стоит выполнить sfc /scannow[/QUOTE]
Может быть - указанные файлы должны гарантировано проходить контроль по базе MS ... собственно на это и срабатывает эвристика, считая, что они подменены или пропатчены
04.03.2010, 22:54
Makler

Заменил файлы непроходящие проверку, файлами с дистрибутива

AVZ ругаться перестал, логи прилагаю, думаю там все чисто. Изменений в работе системы не замечено.

Спасибо, что пытались помочь, надеюсь случай интересный. 8)
04.03.2010, 23:33
thyrex

Плохого не увидел
05.03.2010, 23:33
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]