Перейти к содержанию

Посмотрите логи


Рекомендуемые сообщения

День добрый.

 

Прочитал обзор по угрозам безопасности свеженький... руткиты, буткиты, злые черви. А тут еще AVZ красные строчки выдает, и файлы в карантин отправляет)

 

Так что прошу посмотреть логи.

hijackthis.rar

sysinfo.rar

virusinfo_syscheck.rar

virusinfo_syscure.rar

Ссылка на сообщение
Поделиться на другие сайты
нод32 и Панда... Оригинально... :whistle:

 

Нод32 триальный на месяц

кхм... панда АктивСкан 2.0 - в онлайне раз в 1-2 недели прогоняю

 

Кстати файлы помещенные в карантин нужны?

Изменено пользователем KerTilz
Ссылка на сообщение
Поделиться на другие сайты
Сергей Костенко

Выполните в AVZ

 

begin
QuarantineFile('WgaLogon.dll','');
QuarantineFile('C:\WINDOWS\system32\igfxpers.exe','');
QuarantineFile('C:\WINDOWS\system32\hkcmd.exe','');
QuarantineFile('C:\WINDOWS\system32\avpo.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\amcqvqnz.SYS','');
QuarantineFile('C:\WINDOWS\System32\Drivers\a16mfyh3.SYS','');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\avpo.exe');
end.

 

Карантин на newvirus@kaspersky.com

Базы AVZ обновить.

Логи повторить.

Изменено пользователем Falcon
Ссылка на сообщение
Поделиться на другие сайты
Карантин на newvirus@kaspersky.com

Базы AVZ обновить.

Логи повторить.

 

 

Скрипт выполнил, карантин на почту отправил (так как размер файла более 7мб, 2 части архива, 2 письма).

Базы обновил (был уверен, что скачивая AVZ получаю up-to-date базы в комплекте)

Логи с новыми базами прикрепил.

virusinfo_syscheck.rar

virusinfo_syscure.rar

Изменено пользователем KerTilz
Ссылка на сообщение
Поделиться на другие сайты

Пришел ответ от вирлаба: 5af6020.msi_, dpil100.dll, hkcmd.exe_, igfxpers.exe_, MusicBrainz_FetchCD.dll, watchPnp.exe_, WgaLogon.dll, WgaLogon.dll1, XSP_SFX.exe_

 

Вредоносный код в файлах не обнаружен.

 

 

С обновленными базами карантин вырос еще на несколько файлов. У меня скоро разовъётся параноя. Сейчас сканю домашнюю машину, прошу вас глянуть логи. По собственным ощущениям - машина стала работать медленнее в последнее время. + при выключении 2 раза выдаётся сообщение - "дверка устройства незакрыта" "отмена, продолжить, игнорировать" Оно конечно нестрашно, но раздражает))

 

Может кто посоветует ресурсы, посвященные безопасности в локальной домашней/корпоративной сети.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

sysinfo.rar

Изменено пользователем KerTilz
Ссылка на сообщение
Поделиться на другие сайты

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('G:\ta2.cmd');
DeleteFile('G:\autorun.inf');
BC_ImportDeletedList;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Повторите лог HJT и syscheck

Ссылка на сообщение
Поделиться на другие сайты
Может кто посоветует ресурсы, посвященные безопасности в локальной домашней/корпоративной сети.

Прочитай книгу Николая Головко. Ссылку не помню.

Ссылка на сообщение
Поделиться на другие сайты
Сергей Костенко
Пришел ответ от вирлаба: 5af6020.msi_, dpil100.dll, hkcmd.exe_, igfxpers.exe_, MusicBrainz_FetchCD.dll, watchPnp.exe_, WgaLogon.dll, WgaLogon.dll1, XSP_SFX.exe_

 

Вредоносный код в файлах не обнаружен.

 

 

С обновленными базами карантин вырос еще на несколько файлов. У меня скоро разовъётся параноя. Сейчас сканю домашнюю машину, прошу вас глянуть логи. По собственным ощущениям - машина стала работать медленнее в последнее время. + при выключении 2 раза выдаётся сообщение - "дверка устройства незакрыта" "отмена, продолжить, игнорировать" Оно конечно нестрашно, но раздражает))

 

Может кто посоветует ресурсы, посвященные безопасности в локальной домашней/корпоративной сети.

А как же amvo.exe? Он попал в карантин?

Ссылка на сообщение
Поделиться на другие сайты
А как же amvo.exe? Он попал в карантин?

 

Попасть в карантин он был обязан, но? судя по ответу, не попал. Возможно отправил только 1-й карантин (доскриптовый). Завтра на работе проверю.

В домашнем карантине его нет, но и в скрипте только удаление. Amvo.exe - если не ошибаюсь что то типа Trojan.PSW.OnlineGames что то там) Месяца 2 назад детектился у меня на работе и дома. Лечил то ли Нодом, то ли Пандой АктивСканом. Антивирь написал что все чисто, больше детектов не было (проверки минимум раз в 2 недели + Нод включен постоянно). Судя по всему непомогло.

 

Прочитай книгу Николая Головко. Ссылку не помню.

Оки поищу, спасибо

 

Повторите лог HJT и syscheck

 

Логи прикрепил

sysinfo.rar

hijackthis.rar

Изменено пользователем Falcon
Ссылка на сообщение
Поделиться на другие сайты
Прочитай книгу Николая Головко. Ссылку не помню.

http://security-advisory.virusinfo.info/

Зеркало есть на нашем сервере: http://secadv.kasperskyclub.com/

Ссылка на сообщение
Поделиться на другие сайты

Я вообще-то просил выполнить стандартный скрипт №2 :ninja:

По логу HJT чисто.

Изменено пользователем Falcon
Ссылка на сообщение
Поделиться на другие сайты
А как же amvo.exe? Он попал в карантин?

При выполнении скрипта выдавалось сообщение (видел мельком) "... прямое чтение файла...". К сожалениею не обратил на него особого внимания.

QuarantineFile('C:\WINDOWS\system32\avpo.exe','');

QuarantineFile('C:\WINDOWS\system32\amvo.exe','');

QuarantineFile('C:\WINDOWS\System32\Drivers\amcqvqnz.SYS','');

QuarantineFile('C:\WINDOWS\System32\Drivers\a16mfyh3.SYS','');

В карантине их нет.

 

Я вообще-то просил выполнить стандартный скрипт №2 smile.gif

Примерно через 12 часов) Запятые - сила))

 

http://security-advisory.virusinfo.info/

Зеркало есть на нашем сервере: http://secadv.kasperskyclub.com/

Еще раз спасибо)

Изменено пользователем KerTilz
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...