Подозрительный рисунок

Подозрительный рисунок технического содержания. Виден при выходе из Win или при принудительном закрытии Explorer через Диспетчер. Никаких видимых поводов для беспокойства, кроме этого рисунка, нет. AVP и DrWeb ничего не находят. Ashampoo AntiSpyWare 1.50 упорно показывает наличие Troyan.Win32.Agent.gq в C: \ WINDOWS \ system32 \ winlogon.exe. Наверно, можно было бы восстановить систему, но хотелось бы разобраться.

c:\program files\common files\autodata limited shared\service\adcdlicsvc.exe - это что?

Программа, установленная 10.01.07. Рисунок появился после 22.01.07 после копирования материалов одного сайта.

Выполните скрипт и пришлите файлы из карантина по правилам

begin
QuarantineFile('c:\windows\system32\snmp.exe','');
QuarantineFile('c:\windows\system32\tcpsvcs.exe','');
QuarantineFile('C:\Program Files\lg_fwupdate\fwupdate.exe','');
QuarantineFile('c:\windows\System32\Drivers\vaxscsi.sys','');
QuarantineFile('c:\windows\System32\Drivers\sptd.sys','');
QuarantineFile('c:\windows\System32\Drivers\Pcouffin.sys','');
QuarantineFile('c:\windows\System32\DRIVERS\Pcatip.sys','');
QuarantineFile('FileDisk.sys','');
end.

Имеется ввиду, что после выполнения скрипта опять выполнить проверки согласно правил и выслать файлы (AVZ - virusinfo_syscure.zip), (AVZ - virusinfo_syscheck.zip) и (HJT - hijackthis.log) или те, которые попадут в карантин после выполнения скрипта? Уточните, какие файлы надо прислать. Ведь по п.2 приложения 2 я должен внести их в список.
После выполнения скрипта получен такой протокол:
Выполнен карантин файла c:\windows\system32\snmp.exe
Выполнен карантин файла c:\windows\system32\tcpsvcs.exe
Выполнен карантин файла C:\Program Files\lg_fwupdate\fwupdate.exe
Насколько я понимаю, после выполнения скрипта в карантин должны попасть 8 файлов, а не 3?
Просмотр карантина показал, что там находится только файл C:\Program Files\lg_fwupdate\fwupdate.exe

В скрипте была проблема.
Правильный ватиант такой:

[CODE]begin
QuarantineFile('c:\windows\system32\snmp.exe','');
QuarantineFile('c:\windows\system32\tcpsvcs.exe','');
QuarantineFile('C:\Program Files\lg_fwupdate\fwupdate.exe','');
QuarantineFile('c:\windows\System32\Drivers\vaxscsi.sys','');
QuarantineFile('c:\windows\System32\Drivers\sptd.sys','');
QuarantineFile('c:\windows\System32\Drivers\Pcouffin.sys','');
QuarantineFile('c:\windows\System32\DRIVERS\Pcatip.sys','');
QuarantineFile('FileDisk.sys','');
end.[/CODE]

После выполнения скрипта прислать содержимое карантина

Отправил

ПОхоже в присланом нет ничего вредоносного. Файлы переправлены на анализ. Пока поищите вручную вот эти два. Они не попали в карантин
[CODE]c:\windows\system32\snmp.exe
c:\windows\system32\tcpsvcs.exe[/CODE]

[QUOTE=kservice;95979]Подозрительный рисунок технического содержания. Виден при выходе из Win или при принудительном закрытии Explorer через Диспетчер.[/QUOTE]
В свойствах экрана в закладке [I]Рабочий стол[/I] поставьте для [I]Фонового рисунка[/I] значение [B](нет)[/B], после чего перегрузите компьютер. Если "подозрительный рисунок" после этого не исчезнет, сообщите сюда.

[quote=Geser;96015]ПОхоже в присланом нет ничего вредоносного. Файлы переправлены на анализ. Пока поищите вручную вот эти два. Они не попали в карантин
[code]c:\windows\system32\snmp.exe
c:\windows\system32\tcpsvcs.exe[/code][/quote]
С помощью AVZ сделать не удалось, сделал вручную и отправил.

[quote=aintrust;96016]В свойствах экрана в закладке [I]Рабочий стол[/I] поставьте для [I]Фонового рисунка[/I] значение [B](нет)[/B], после чего перегрузите компьютер. Если "подозрительный рисунок" после этого не исчезнет, сообщите сюда.[/quote]
Рисунок исчез. Вопрос в следующем:
1. Как рисунок самопроизвольно стал фоновым
2. Почему Ashampoo AntiSpyWare 1.50 упорно показывает наличие Troyan.Win32.Agent.gq в C: \ WINDOWS \ system32 \ winlogon.exe.

[QUOTE]2. Почему Ashampoo AntiSpyWare 1.50 упорно показывает наличие Troyan.Win32.Agent.gq в C: \ WINDOWS \ system32 \ winlogon.exe.[/QUOTE]

Пришлите нам этот файл(winlogon.exe), в архиве с паролем virus(через [URL="http://virusinfo.info/upload_virus.php?tid=7976"]эту форму[/URL]).

Отправил

Ответ Лаборатории Касперского:

[QUOTE]Здравствуйте,

winlogon.exe

Вредоносный код в файле не обнаружен.

--
С уважением, Ярослав Кириллов
Вирусный аналитик Лаборатории Касперского.[/QUOTE]

Но всё же, конец файла выглядит очень странно...

PS. Спасибо вирусным аналитикам ЛК, за оперативный анализ файлов.

Громадное спасибо всем. Чувствуется, что здесь работают профессионалы. Но все-таки ответа на мои предыдущие вопросы пока нет? Можно ли в дальнейшем доверять Ashampoo? Восстанавливать ли файлы, ранее помещенные в карантин?

[QUOTE=kservice;96090]Рисунок исчез. Вопрос в следующем:
1. Как рисунок самопроизвольно стал фоновым
2. Почему Ashampoo AntiSpyWare 1.50 упорно показывает наличие Troyan.Win32.Agent.gq в C: \ WINDOWS \ system32 \ winlogon.exe.[/QUOTE]
1. Не могу вам сказать... =) Попробуйте снова зайти на тот сайт и посмотреть, повторится ли такая ситуация еще раз. Или дайте ссылочку здесь, я гляну сам.
2. Может быть FP (false positive)? Точнее сказать не могу, я ей не пользуюсь, да и вообще мало доверяю всяким "antispyware" программам.

[B]kservice[/B], у вас ОС крякнутая?
Если да, тогда это обясняет изменения в файле winlogon.exe .

Да.

[quote=aintrust;96130]1. Не могу вам сказать... =) Попробуйте снова зайти на тот сайт и посмотреть, повторится ли такая ситуация еще раз. Или дайте ссылочку здесь, я гляну сам.[/quote]
Вот ссылка [URL]http://virusinfo.info/newreply.php?do=postreply&t=7976[/URL].
Подозрительный рисунок - это рисунок печатной платы справа от надписа Nissan Consult Interface. Именно этот рисунок начал появляться после копирования страницы. Специально я не мог сделать его фоновым, тем более что и его название не соответствовало моему стилю.
Сегодня я опять зашел по этому адресу, открывал и копировал разные страницы, но рисунок не появился. Может быть причина этого в том, что перед обращением к Вам за помощью, я очистил компьютер от вирусов разными антивирусами и может быть удалил то, что и являлось носителем этого рисунка?

[QUOTE=Muffler;96100]Но всё же, конец файла выглядит очень странно...
[/QUOTE]
А что именно вас смущает в конце этого файла ([I]winlogon.exe[/I])? И почему вы думаете, что файл каким-то образом изменен? По-моему так совершенно оригинальный файл от одного из вариантов Windows XP SP1, я бы даже сказал "аутентичный"... =)

[QUOTE=kservice;96134]Вот ссылка [URL]http://virusinfo.info/newreply.php?do=postreply&t=7976[/URL][/QUOTE]
Видимо, ошибочка вышла? Это ссылка на эту же тему...