-
Junior Member
- Вес репутации
- 54
Подозрение на вирус seekservice115.exe
С недавнего времени появился подозрительный процесс seekservice115.exe. А также почему-то перестал работать интернет на втором компе через этот (как шлюз). Может это не связано, но решил проверится.
В системе стоит AVP, полная проверка результатов не дала.
Через FileMon выяснил, что seekservice115.exe обращается к каким-то файлам (могу выслать список) + трогает файл hosts.
И ещё: очень странная проблема, в IM RnQ (клиент аськи) ни с того ни с сего поменялись шрифты, читать их очень сложно. Причем никаких настроек шрифтов в программе нет. RnQ работает вобще без установки.
Система - WinXP SP3
Последний раз редактировалось FixeR_m; 07.08.2009 в 20:33.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\1.exe','');
DeleteService('C3AD4748');
QuarantineFile('C:\WINDOWS\system32\BA6513F8.EXE','');
DeleteFile('C:\WINDOWS\system32\BA6513F8.EXE');
DeleteFile('C:\WINDOWS\1.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
такой http://www.gmer.net/ лог сделайте ...
-
-
Junior Member
- Вес репутации
- 54
Выполнил скрипт AVZ.
Сделал полное сканирование Gmer-ом.
В процессе сканирования вылезло предупреждение:
"Gmer has found system modification caused by rootkit activity".
Загрузил карантин. 666 КБ
Файл сохранён как 090807_215546_virus_4a7c6aa259304.zip
Размер файла 682738
MD5 0678191d5870c8039041e73a7a115137
Прикрепил лог Gmer.
-
сохраните содержимое как 1.bat в папке со gmer запустите
Код:
gmer.exe -del service gjxiigk
gmer.exe -del service miyjba
gmer.exe -del file "C:\WINDOWS\system32\gnbpbgl.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gjxiigk"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\miyjba"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gjxiigk"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\miyjba"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\gjxiigk"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\miyjba"
gmer -reboot
повторите логи
-
-
Junior Member
- Вес репутации
- 54
Сделал.
Меня всё же беспокоит seekservice115.exe. Не подскажете, что это?
В инете вобще ни слова про такой файл.
-
seekservice115.exe пришлите согласно приложения 2 правил
-
-
Junior Member
- Вес репутации
- 54
Строго следуя правилам не получилось.
Ошибка карантина файла, попытка прямого чтения (seekservice115.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\seekservice115.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\seekservice115.exe)
Карантин с использованием прямого чтения - ошибка
Это и понятно, т.к. файл seekservice115.exe лежит в папке c:\documents and settings\all users\application data\seekservice\
Поэтому запаковал просто этот файл в архив ZIP с паролем virus.
Файл сохранён как 090808_001054_virus_4a7c8a4e104c5.zip
Размер файла 23342
MD5 462445c5f453bafa3b2e8f7382d3d637
-
seekservice115.exe безопасный. Похоже, это компонент продукта SeekService Desktop Search.
-
-
Junior Member
- Вес репутации
- 54
Да, проверил на вирустотале, ничего нет. Просто удалил эту программу.
Спасибо за помощь, думаю тему можно закрыть
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения вредоносные программы в карантинах не обнаружены
-