Проверка

**zonderz** · 03.02.2012, 16:23

День добрый!!!

Компьютер оставался без присмотра на долгое время, просьба посмотреть логи, дабы убедиться в том, что всё нормально.

Порой стало выскакивать что-то, на что каспер ругается:
03.02.2012 16:15:03 Процесс D:\Temp\GUM24.tmp\GoogleUpdate.exe, обнаружено: потенциально опасное ПО 'Trojan.generic' (модификация).
запрещаю, делаю откат... (скажете, что разрешать, добавлю в доверенную зону, пусть качает что надо фоном)

Заранее благодарен!!!
Z.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 03.02.2012, 16:25

Уважаемый(ая) zonderz, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**zonderz** · 04.02.2012, 11:33

ап!

Добавлено через 4 часа 59 минут

Up!

Добавлено через 1 час 26 минут

Up! (ушёл спать)

Добавлено через 10 часов 50 минут

АП!

**regist** · 04.02.2012, 13:36

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('XDva389');
 StopService('XDva387');
 QuarantineFile('D:\Temp\GUM24.tmp\GoogleUpdate.exe','');
 QuarantineFile('C:\WINDOWS\system32\XDva389.sys','');
 QuarantineFile('C:\WINDOWS\system32\XDva387.sys','');
 DeleteFile('C:\WINDOWS\system32\XDva387.sys');
 DeleteFile('C:\WINDOWS\system32\XDva389.sys');
 DeleteService('XDva389');
 DeleteService('XDva387');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
+ Заархивируйте файл на который ругается касперский в zip архив и пришли в карантин согласно правилам.
+ Этот же архив отправьте на анализ через эту форму с пометкой ложное срабатывание на файл.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

**zonderz** · 04.02.2012, 22:51

Здравствуйте!
Пока ждал ответа снёс Гугл Хром с компа, поэтому не знаю делать-ли скрипты или уже нет (на всякий случай сделал). После того как снёс Хром, поработав на ИЕ8 несколько часов не выдержал и поставил снова Хром). Каспер вновь стал ругаться на GoogleUpdate.exe. Решил на всякий случай сделать новые логи.

Высылаю карантин после того как снёс хром...
Выкладываю новые логи после того как поставил заново хром...

как-то сумбурно всё получилось(((

**zonderz** · 04.02.2012, 22:52

Файл сохранён как: 120204_185208_quarantine_4f2d7e583235c.zip
Размер файла: 1741
MD5 d5c350ce07e9ea06be048fde5c702145

**regist** · 05.02.2012, 11:34

Сообщение от regist

+ Заархивируйте файл на который ругается касперский в zip архив и пришли в карантин согласно правилам.
+ Этот же архив отправьте на анализ через эту форму с пометкой ложное срабатывание на файл.

это тоже сделайте.

**zonderz** · 05.02.2012, 14:12

Данный файл сразу забыл в архив загнать, а папка с файлами из корзины пропадает как только запретить, либо разрешить выполнить процесс.
Кстати очень похоже выглядит папка из C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Update\1.3.21.99\ и в этой папке на вид те же файлы которые оказываются в создаваемой в корзине папке.
Да, ещё... В Каспере во вкладке карантин: Возможно заражен: потенциально опасное ПО Trojan.generic (отправлен на исследование) D:\Temp\GUM24.tmp\GoogleUpdate.exe 133,0 КБ 03.02.2012 16:15:03
В C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Quarantine\ есть файл 5eae1cc17deffaae.klq (загоню его в архив и отправлю Вам).

Добавлено через 1 минуту

Файл сохранён как: 120205_084902_virus1_4f2e427edc404.zip
Размер файла: 69057
MD5 4199f89da7552979791a59e6d57b2ee9

Добавлено через 1 час 22 минуты

Up!

**regist** · 05.02.2012, 18:56

Сообщение от zonderz

Kaspersky Lab\AVP7\Quarantine\

какой версии касперский у вас установлен?

ЗЫ. файл 5eae1cc17deffaae.klq в карантине чистый.

**zonderz** · 05.02.2012, 22:17

написано же 7.

**regist** · 05.02.2012, 22:47

7-я версия касперского давно не поддерживается и несколько лет как оффициально перестали выходить к ней базы. Настоятельно рекомендую перейти на более актуальную версию.
Файл при возможности постарайтесь отослать в карантин, но думаю что это ложный детект.

**zonderz** · 06.02.2012, 00:16

С сайта каспера вручную постоянно качаю базы... (для 7)
но про актуальность понятно...

Файл как крикнет обязательно выложу, но думаю действительно ложное срабатывание.

Благодарю за помощь!!!

**CyberHelper** · 07.02.2012, 00:16

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 7
В ходе лечения вредоносные программы в карантинах не обнаружены

Проверка (заявка № 116012)

Опции темы