Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

Подозрительный рисунок (заявка № 7976)

  1. #1
    Junior Member Репутация
    Регистрация
    15.02.2007
    Адрес
    Севастополь
    Сообщений
    57
    Вес репутации
    40

    Thumbs up Подозрительный рисунок

    Подозрительный рисунок технического содержания. Виден при выходе из Win или при принудительном закрытии Explorer через Диспетчер. Никаких видимых поводов для беспокойства, кроме этого рисунка, нет. AVP и DrWeb ничего не находят. Ashampoo AntiSpyWare 1.50 упорно показывает наличие Troyan.Win32.Agent.gq в C: \ WINDOWS \ system32 \ winlogon.exe. Наверно, можно было бы восстановить систему, но хотелось бы разобраться.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Geser
    Guest
    c:\program files\common files\autodata limited shared\service\adcdlicsvc.exe - это что?

  4. #3
    Junior Member Репутация
    Регистрация
    15.02.2007
    Адрес
    Севастополь
    Сообщений
    57
    Вес репутации
    40
    Программа, установленная 10.01.07. Рисунок появился после 22.01.07 после копирования материалов одного сайта.

  5. #4
    Geser
    Guest
    Выполните скрипт и пришлите файлы из карантина по правилам

    begin
    QuarantineFile('c:\windows\system32\snmp.exe','');
    QuarantineFile('c:\windows\system32\tcpsvcs.exe',' ');
    QuarantineFile('C:\Program Files\lg_fwupdate\fwupdate.exe','');
    QuarantineFile('c:\windows\System32\Drivers\vaxscs i.sys','');
    QuarantineFile('c:\windows\System32\Drivers\sptd.s ys','');
    QuarantineFile('c:\windows\System32\Drivers\Pcouff in.sys','');
    QuarantineFile('c:\windows\System32\DRIVERS\Pcatip .sys','');
    QuarantineFile('FileDisk.sys','');
    end.

  6. #5
    Junior Member Репутация
    Регистрация
    15.02.2007
    Адрес
    Севастополь
    Сообщений
    57
    Вес репутации
    40
    Имеется ввиду, что после выполнения скрипта опять выполнить проверки согласно правил и выслать файлы (AVZ - virusinfo_syscure.zip), (AVZ - virusinfo_syscheck.zip) и (HJT - hijackthis.log) или те, которые попадут в карантин после выполнения скрипта? Уточните, какие файлы надо прислать. Ведь по п.2 приложения 2 я должен внести их в список.
    После выполнения скрипта получен такой протокол:
    Выполнен карантин файла c:\windows\system32\snmp.exe
    Выполнен карантин файла c:\windows\system32\tcpsvcs.exe
    Выполнен карантин файла C:\Program Files\lg_fwupdate\fwupdate.exe
    Насколько я понимаю, после выполнения скрипта в карантин должны попасть 8 файлов, а не 3?
    Просмотр карантина показал, что там находится только файл C:\Program Files\lg_fwupdate\fwupdate.exe
    Последний раз редактировалось kservice; 16.02.2007 в 00:33.

  7. #6
    Geser
    Guest
    В скрипте была проблема.
    Правильный ватиант такой:

    Код:
    begin
     QuarantineFile('c:\windows\system32\snmp.exe','');
     QuarantineFile('c:\windows\system32\tcpsvcs.exe','');
     QuarantineFile('C:\Program Files\lg_fwupdate\fwupdate.exe','');
     QuarantineFile('c:\windows\System32\Drivers\vaxscsi.sys','');
     QuarantineFile('c:\windows\System32\Drivers\sptd.sys','');
     QuarantineFile('c:\windows\System32\Drivers\Pcouffin.sys','');
     QuarantineFile('c:\windows\System32\DRIVERS\Pcatip.sys','');
     QuarantineFile('FileDisk.sys','');
    end.
    После выполнения скрипта прислать содержимое карантина

  8. #7
    Junior Member Репутация
    Регистрация
    15.02.2007
    Адрес
    Севастополь
    Сообщений
    57
    Вес репутации
    40
    Отправил

  9. #8
    Geser
    Guest
    ПОхоже в присланом нет ничего вредоносного. Файлы переправлены на анализ. Пока поищите вручную вот эти два. Они не попали в карантин
    Код:
    c:\windows\system32\snmp.exe
    c:\windows\system32\tcpsvcs.exe

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    295
    Цитата Сообщение от kservice Посмотреть сообщение
    Подозрительный рисунок технического содержания. Виден при выходе из Win или при принудительном закрытии Explorer через Диспетчер.
    В свойствах экрана в закладке Рабочий стол поставьте для Фонового рисунка значение (нет), после чего перегрузите компьютер. Если "подозрительный рисунок" после этого не исчезнет, сообщите сюда.

  11. #10
    Junior Member Репутация
    Регистрация
    15.02.2007
    Адрес
    Севастополь
    Сообщений
    57
    Вес репутации
    40
    Цитата Сообщение от Geser Посмотреть сообщение
    ПОхоже в присланом нет ничего вредоносного. Файлы переправлены на анализ. Пока поищите вручную вот эти два. Они не попали в карантин
    Код:
    c:\windows\system32\snmp.exe
    c:\windows\system32\tcpsvcs.exe
    С помощью AVZ сделать не удалось, сделал вручную и отправил.

  12. #11
    Junior Member Репутация
    Регистрация
    15.02.2007
    Адрес
    Севастополь
    Сообщений
    57
    Вес репутации
    40
    Цитата Сообщение от aintrust Посмотреть сообщение
    В свойствах экрана в закладке Рабочий стол поставьте для Фонового рисунка значение (нет), после чего перегрузите компьютер. Если "подозрительный рисунок" после этого не исчезнет, сообщите сюда.
    Рисунок исчез. Вопрос в следующем:
    1. Как рисунок самопроизвольно стал фоновым
    2. Почему Ashampoo AntiSpyWare 1.50 упорно показывает наличие Troyan.Win32.Agent.gq в C: \ WINDOWS \ system32 \ winlogon.exe.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    827
    2. Почему Ashampoo AntiSpyWare 1.50 упорно показывает наличие Troyan.Win32.Agent.gq в C: \ WINDOWS \ system32 \ winlogon.exe.
    Пришлите нам этот файл(winlogon.exe), в архиве с паролем virus(через эту форму).

  14. #13
    Junior Member Репутация
    Регистрация
    15.02.2007
    Адрес
    Севастополь
    Сообщений
    57
    Вес репутации
    40
    Отправил

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    827
    Ответ Лаборатории Касперского:

    Здравствуйте,

    winlogon.exe

    Вредоносный код в файле не обнаружен.

    --
    С уважением, Ярослав Кириллов
    Вирусный аналитик Лаборатории Касперского.
    Но всё же, конец файла выглядит очень странно...

    PS. Спасибо вирусным аналитикам ЛК, за оперативный анализ файлов.

  16. #15
    Junior Member Репутация
    Регистрация
    15.02.2007
    Адрес
    Севастополь
    Сообщений
    57
    Вес репутации
    40
    Громадное спасибо всем. Чувствуется, что здесь работают профессионалы. Но все-таки ответа на мои предыдущие вопросы пока нет? Можно ли в дальнейшем доверять Ashampoo? Восстанавливать ли файлы, ранее помещенные в карантин?

  17. #16
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    295
    Цитата Сообщение от kservice Посмотреть сообщение
    Рисунок исчез. Вопрос в следующем:
    1. Как рисунок самопроизвольно стал фоновым
    2. Почему Ashampoo AntiSpyWare 1.50 упорно показывает наличие Troyan.Win32.Agent.gq в C: \ WINDOWS \ system32 \ winlogon.exe.
    1. Не могу вам сказать... =) Попробуйте снова зайти на тот сайт и посмотреть, повторится ли такая ситуация еще раз. Или дайте ссылочку здесь, я гляну сам.
    2. Может быть FP (false positive)? Точнее сказать не могу, я ей не пользуюсь, да и вообще мало доверяю всяким "antispyware" программам.

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    827
    kservice, у вас ОС крякнутая?
    Если да, тогда это обясняет изменения в файле winlogon.exe .

  19. #18
    Junior Member Репутация
    Регистрация
    15.02.2007
    Адрес
    Севастополь
    Сообщений
    57
    Вес репутации
    40
    Да.

  20. #19
    Junior Member Репутация
    Регистрация
    15.02.2007
    Адрес
    Севастополь
    Сообщений
    57
    Вес репутации
    40
    Цитата Сообщение от aintrust Посмотреть сообщение
    1. Не могу вам сказать... =) Попробуйте снова зайти на тот сайт и посмотреть, повторится ли такая ситуация еще раз. Или дайте ссылочку здесь, я гляну сам.
    Вот ссылка http://virusinfo.info/newreply.php?do=postreply&t=7976.
    Подозрительный рисунок - это рисунок печатной платы справа от надписа Nissan Consult Interface. Именно этот рисунок начал появляться после копирования страницы. Специально я не мог сделать его фоновым, тем более что и его название не соответствовало моему стилю.
    Сегодня я опять зашел по этому адресу, открывал и копировал разные страницы, но рисунок не появился. Может быть причина этого в том, что перед обращением к Вам за помощью, я очистил компьютер от вирусов разными антивирусами и может быть удалил то, что и являлось носителем этого рисунка?

  21. #20
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    295
    Цитата Сообщение от Muffler Посмотреть сообщение
    Но всё же, конец файла выглядит очень странно...
    А что именно вас смущает в конце этого файла (winlogon.exe)? И почему вы думаете, что файл каким-то образом изменен? По-моему так совершенно оригинальный файл от одного из вариантов Windows XP SP1, я бы даже сказал "аутентичный"... =)

    Цитата Сообщение от kservice Посмотреть сообщение
    Видимо, ошибочка вышла? Это ссылка на эту же тему...

  • Уважаемый(ая) kservice, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 1
      Последнее сообщение: 20.10.2011, 18:24
    2. Пропал фоновый рисунок.
      От IvanR в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 25.05.2010, 19:48
    3. После приветствия отображется только фоновый рисунок (заявка №2182)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 11.02.2010, 03:00
    4. Ответов: 4
      Последнее сообщение: 31.01.2009, 16:14
    5. Ответов: 2
      Последнее сообщение: 25.09.2008, 12:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00342 seconds with 17 queries