Профилактика

[SLASH_id]

Вот решил просканить машину. Киса ничего не видит, но логи лично мне не нравятся.

Хотелось бы услышать мнение професионалов. Если что-то есть, то обьясните что пожалуйста.

Логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

sysinfo.zip

 

Спасибо.

[Falcon]

А OctoshapeClient.exe - это вы сами установили или нет? Это сетевая программа, очень похоже на сервер Peer-to-peer (P2P) сети. Если вы ставили это не сами, то лучше бы затереть от греха

 

Сейчас убегаю, подробнее через часик

Изменено 18 июня, 2008 пользователем Falcon

[SLASH_id]

OctoshapeClient.exe - это плагин для просмотра видео в онлайне. Ставил специально для сеструхи которой пришло в голову посмотреть повторы евровиденья. Чтобы посмотреть его прямо отсюдова http://www.eurovision.tv/esctv/index.html (оффсайт) требуется Octoshape.

[Сергей Костенко]

c:\windows\explorer.exe без ЭЦП

c:\windows\system32\slsvc.exe это что за штука?

C:\Windows\system32\drivers\Haspnt.sys 1C бухгалтерия?

 

Что то он на всё кидаться. Даже на MSVCR80.dll. Ну и ладно.

Для начала вот этот скриптик:

 

begin
QuarantineFile('C:\Windows\system32\napinsp.dll','');
QuarantineFile('C:\Windows\System32\wship6.dll','');
QuarantineFile('C:\Windows\System32\wshtcpip.dll','');
QuarantineFile('C:\Windows\system32\schannel.dll','');
QuarantineFile('C:\Windows\system32\credssp.dll','');
QuarantineFile('C:\Windows\system32\dhcpcsvc6.DLL','');
QuarantineFile('C:\Windows\system32\WINNSI.DLL','');
QuarantineFile('C:\Windows\system32\NLAapi.dll','');
QuarantineFile('C:\Windows\system32\OLEACC.dll','');
QuarantineFile('C:\Windows\system32\WLDAP32.dll','');
QuarantineFile('C:\Windows\system32\NTMARTA.DLL','');
QuarantineFile('C:\Windows\system32\BCRYPT.dll','');
QuarantineFile('C:\Windows\system32\ncrypt.dll','');
QuarantineFile('C:\Windows\system32\rsaenh.dll','');
QuarantineFile('C:\Windows\WinSxS\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.1434_none_d08b6002442c891
f\MSVCR80.dll','');
QuarantineFile('C:\Windows\System32\CSCAPI.dll','');
QuarantineFile('C:\Windows\System32\PROPSYS.dll','');
QuarantineFile('C:\Windows\system32\WindowsCodecs.dll','');
QuarantineFile('C:\Windows\system32\RICHED32.DLL','');
QuarantineFile('C:\PROGRA~1\Stardock\OBJECT~1\DESKSC~1\DesktopControlPanel.dll','');
QuarantineFile('C:\Windows\system32\LPK.DLL','');
QuarantineFile('C:\Windows\system32\NSI.dll','');
QuarantineFile('C:\Windows\system32\winspool.drv','');
QuarantineFile('C:\Windows\system32\iertutil.dll','');
QuarantineFile('C:\Program Files\DivX\DivX Converter\dpil100.dll','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip загрузите на http://security.belgorod-net.ru/utills/upload/

Этот скрипт загрузит файл FTP, трафик до нас с которого бесплатный.

Изменено 18 июня, 2008 пользователем Falcon

[Falcon]

SLASH_id

Ага, понятно тогда

 

Если я не ошибаюсь:

LPK.dll - это языковой модуль,

Schannel.dll (Secure Channel) - служба безопасности, поддерживающая протоколы на основе открытых ключей SSL.

slsvc.exe - лицензирование программного обеспечения в Vista.

Haspnt.sys - подтверждает наличие специализированного ПО, которое защищено HASP-ключом.

 

Лично я ничего криминального больше не заметил

Изменено 18 июня, 2008 пользователем Falcon

[Сергей Костенко]

Криминального то нет, а вот в базу безопасных пойдут, что бы мозги больше не парили. экспортер без цифровой подписи странно. Но размер большой, и находиться на месте. Разве что измененный? Интересно на карантин глянуть, почему он на них кидается. Может Олег эвристику задрал?

[SLASH_id]

Сергей Костенко 1213797686_quarantine.zip загружен

 

HASP действительно есть. Варезный Компас установлен.

 

Еще какие-либо замечания к логам есть? Есть повод для беспокойства?

 

Вот если нужен експлорер. Никаких патчей над ним не проводилось.

explorer.rar

Изменено 18 июня, 2008 пользователем SLASH_id

[Сергей Костенко]

Файлы чистые.

Пардон, карантин неполный. Только 2 файла. Посмотрите папку Quarantine, там больше файлов. Если да, запакуете и отправите.

Ещё можно вот это сделать. http://virusinfo.info/showthread.php?t=3519

Если не трудно закатайте его и сюда http://security.belgorod-net.ru/utills/upload/ хочу проверить как система работает с большими файлами извне.

Изменено 18 июня, 2008 пользователем Falcon

[SLASH_id]

Новый полный карантин 1213798414_2008-06-18-.rar

[Сергей Костенко]

Всё, чистые, пойдут в базу безопасных. Спасибо за тесты.

Непонятно почему *.ini файлы без текста. У вас тоже так? В Файл >> просмотр карантина есть описание?

Изменено 18 июня, 2008 пользователем Falcon

[SLASH_id]

Никаких описаний. Только знаки вопроса. Думаю это АВЗ малость глюконул когда ini писал)

 

Если врагов больше не видно - тему можно закрывать)

[Falcon]

i



Уведомление:

Falcon

По просьбе автора тему закрываю

.