Посмотрите логи

[KerTilz]

День добрый.

 

Прочитал обзор по угрозам безопасности свеженький... руткиты, буткиты, злые черви. А тут еще AVZ красные строчки выдает, и файлы в карантин отправляет)

 

Так что прошу посмотреть логи.

hijackthis.rar

sysinfo.rar

virusinfo_syscheck.rar

virusinfo_syscure.rar

[Олег777]

нод32 и Панда... Оригинально...

[KerTilz]

нод32 и Панда... Оригинально...

 

Нод32 триальный на месяц

кхм... панда АктивСкан 2.0 - в онлайне раз в 1-2 недели прогоняю

 

Кстати файлы помещенные в карантин нужны?

Изменено 17 июня, 2008 пользователем KerTilz

[MedvedevUnited]

Сюда карантин выкладывать не нужно. Если потребуется, Вас попросят отослать его в Антивирусную лабораторию.

[Сергей Костенко]

Выполните в AVZ

 

begin
QuarantineFile('WgaLogon.dll','');
QuarantineFile('C:\WINDOWS\system32\igfxpers.exe','');
QuarantineFile('C:\WINDOWS\system32\hkcmd.exe','');
QuarantineFile('C:\WINDOWS\system32\avpo.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\amcqvqnz.SYS','');
QuarantineFile('C:\WINDOWS\System32\Drivers\a16mfyh3.SYS','');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\avpo.exe');
end.

 

Карантин на newvirus@kaspersky.com

Базы AVZ обновить.

Логи повторить.

Изменено 17 июня, 2008 пользователем Falcon

[KerTilz]

Карантин на newvirus@kaspersky.com

Базы AVZ обновить.

Логи повторить.

 

 

Скрипт выполнил, карантин на почту отправил (так как размер файла более 7мб, 2 части архива, 2 письма).

Базы обновил (был уверен, что скачивая AVZ получаю up-to-date базы в комплекте)

Логи с новыми базами прикрепил.

virusinfo_syscheck.rar

virusinfo_syscure.rar

Изменено 17 июня, 2008 пользователем KerTilz

[Сергей Костенко]

Еще ответ вирлаба повторите, как придет.

Изменено 17 июня, 2008 пользователем Falcon

[KerTilz]

Пришел ответ от вирлаба: 5af6020.msi_, dpil100.dll, hkcmd.exe_, igfxpers.exe_, MusicBrainz_FetchCD.dll, watchPnp.exe_, WgaLogon.dll, WgaLogon.dll1, XSP_SFX.exe_

 

Вредоносный код в файлах не обнаружен.

 

 

С обновленными базами карантин вырос еще на несколько файлов. У меня скоро разовъётся параноя. Сейчас сканю домашнюю машину, прошу вас глянуть логи. По собственным ощущениям - машина стала работать медленнее в последнее время. + при выключении 2 раза выдаётся сообщение - "дверка устройства незакрыта" "отмена, продолжить, игнорировать" Оно конечно нестрашно, но раздражает))

 

Может кто посоветует ресурсы, посвященные безопасности в локальной домашней/корпоративной сети.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

sysinfo.rar

Изменено 17 июня, 2008 пользователем KerTilz

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('G:\ta2.cmd');
DeleteFile('G:\autorun.inf');
BC_ImportDeletedList;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Повторите лог HJT и syscheck

[Kasper Svin Fan :)]

Может кто посоветует ресурсы, посвященные безопасности в локальной домашней/корпоративной сети.

Прочитай книгу Николая Головко. Ссылку не помню.

[Сергей Костенко]

Пришел ответ от вирлаба: 5af6020.msi_, dpil100.dll, hkcmd.exe_, igfxpers.exe_, MusicBrainz_FetchCD.dll, watchPnp.exe_, WgaLogon.dll, WgaLogon.dll1, XSP_SFX.exe_

 

Вредоносный код в файлах не обнаружен.

 

 

С обновленными базами карантин вырос еще на несколько файлов. У меня скоро разовъётся параноя. Сейчас сканю домашнюю машину, прошу вас глянуть логи. По собственным ощущениям - машина стала работать медленнее в последнее время. + при выключении 2 раза выдаётся сообщение - "дверка устройства незакрыта" "отмена, продолжить, игнорировать" Оно конечно нестрашно, но раздражает))

 

Может кто посоветует ресурсы, посвященные безопасности в локальной домашней/корпоративной сети.

А как же amvo.exe? Он попал в карантин?

[KerTilz]

А как же amvo.exe? Он попал в карантин?

 

Попасть в карантин он был обязан, но? судя по ответу, не попал. Возможно отправил только 1-й карантин (доскриптовый). Завтра на работе проверю.

В домашнем карантине его нет, но и в скрипте только удаление. Amvo.exe - если не ошибаюсь что то типа Trojan.PSW.OnlineGames что то там) Месяца 2 назад детектился у меня на работе и дома. Лечил то ли Нодом, то ли Пандой АктивСканом. Антивирь написал что все чисто, больше детектов не было (проверки минимум раз в 2 недели + Нод включен постоянно). Судя по всему непомогло.

 

Прочитай книгу Николая Головко. Ссылку не помню.

Оки поищу, спасибо

 

Повторите лог HJT и syscheck

 

Логи прикрепил

sysinfo.rar

hijackthis.rar

Изменено 17 июня, 2008 пользователем Falcon

[MiStr]

Прочитай книгу Николая Головко. Ссылку не помню.

http://security-advisory.virusinfo.info/

Зеркало есть на нашем сервере: http://secadv.kasperskyclub.com/

[akoK]

Я вообще-то просил выполнить стандартный скрипт №2

По логу HJT чисто.

Изменено 17 июня, 2008 пользователем Falcon

[KerTilz]

А как же amvo.exe? Он попал в карантин?

При выполнении скрипта выдавалось сообщение (видел мельком) "... прямое чтение файла...". К сожалениею не обратил на него особого внимания.

QuarantineFile('C:\WINDOWS\system32\avpo.exe','');

QuarantineFile('C:\WINDOWS\system32\amvo.exe','');

QuarantineFile('C:\WINDOWS\System32\Drivers\amcqvqnz.SYS','');

QuarantineFile('C:\WINDOWS\System32\Drivers\a16mfyh3.SYS','');

В карантине их нет.

 

Я вообще-то просил выполнить стандартный скрипт №2 smile.gif

Примерно через 12 часов) Запятые - сила))

 

http://security-advisory.virusinfo.info/

Зеркало есть на нашем сервере: http://secadv.kasperskyclub.com/

Еще раз спасибо)

Изменено 18 июня, 2008 пользователем KerTilz