SLASH_id Опубликовано 18 июня, 2008 Опубликовано 18 июня, 2008 Вот решил просканить машину. Киса ничего не видит, но логи лично мне не нравятся. Хотелось бы услышать мнение професионалов. Если что-то есть, то обьясните что пожалуйста. Логи: virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.zip sysinfo.zip Спасибо.
Falcon Опубликовано 18 июня, 2008 Опубликовано 18 июня, 2008 (изменено) А OctoshapeClient.exe - это вы сами установили или нет? Это сетевая программа, очень похоже на сервер Peer-to-peer (P2P) сети. Если вы ставили это не сами, то лучше бы затереть от греха Сейчас убегаю, подробнее через часик Изменено 18 июня, 2008 пользователем Falcon
SLASH_id Опубликовано 18 июня, 2008 Автор Опубликовано 18 июня, 2008 OctoshapeClient.exe - это плагин для просмотра видео в онлайне. Ставил специально для сеструхи которой пришло в голову посмотреть повторы евровиденья. Чтобы посмотреть его прямо отсюдова http://www.eurovision.tv/esctv/index.html (оффсайт) требуется Octoshape.
Сергей Костенко Опубликовано 18 июня, 2008 Опубликовано 18 июня, 2008 (изменено) c:\windows\explorer.exe без ЭЦП c:\windows\system32\slsvc.exe это что за штука? C:\Windows\system32\drivers\Haspnt.sys 1C бухгалтерия? Что то он на всё кидаться. Даже на MSVCR80.dll. Ну и ладно. Для начала вот этот скриптик: begin QuarantineFile('C:\Windows\system32\napinsp.dll',''); QuarantineFile('C:\Windows\System32\wship6.dll',''); QuarantineFile('C:\Windows\System32\wshtcpip.dll',''); QuarantineFile('C:\Windows\system32\schannel.dll',''); QuarantineFile('C:\Windows\system32\credssp.dll',''); QuarantineFile('C:\Windows\system32\dhcpcsvc6.DLL',''); QuarantineFile('C:\Windows\system32\WINNSI.DLL',''); QuarantineFile('C:\Windows\system32\NLAapi.dll',''); QuarantineFile('C:\Windows\system32\OLEACC.dll',''); QuarantineFile('C:\Windows\system32\WLDAP32.dll',''); QuarantineFile('C:\Windows\system32\NTMARTA.DLL',''); QuarantineFile('C:\Windows\system32\BCRYPT.dll',''); QuarantineFile('C:\Windows\system32\ncrypt.dll',''); QuarantineFile('C:\Windows\system32\rsaenh.dll',''); QuarantineFile('C:\Windows\WinSxS\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.1434_none_d08b6002442c891 f\MSVCR80.dll',''); QuarantineFile('C:\Windows\System32\CSCAPI.dll',''); QuarantineFile('C:\Windows\System32\PROPSYS.dll',''); QuarantineFile('C:\Windows\system32\WindowsCodecs.dll',''); QuarantineFile('C:\Windows\system32\RICHED32.DLL',''); QuarantineFile('C:\PROGRA~1\Stardock\OBJECT~1\DESKSC~1\DesktopControlPanel.dll',''); QuarantineFile('C:\Windows\system32\LPK.DLL',''); QuarantineFile('C:\Windows\system32\NSI.dll',''); QuarantineFile('C:\Windows\system32\winspool.drv',''); QuarantineFile('C:\Windows\system32\iertutil.dll',''); QuarantineFile('C:\Program Files\DivX\DivX Converter\dpil100.dll',''); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip загрузите на http://security.belgorod-net.ru/utills/upload/ Этот скрипт загрузит файл FTP, трафик до нас с которого бесплатный. Изменено 18 июня, 2008 пользователем Falcon
Falcon Опубликовано 18 июня, 2008 Опубликовано 18 июня, 2008 (изменено) SLASH_id Ага, понятно тогда Если я не ошибаюсь: LPK.dll - это языковой модуль, Schannel.dll (Secure Channel) - служба безопасности, поддерживающая протоколы на основе открытых ключей SSL. slsvc.exe - лицензирование программного обеспечения в Vista. Haspnt.sys - подтверждает наличие специализированного ПО, которое защищено HASP-ключом. Лично я ничего криминального больше не заметил Изменено 18 июня, 2008 пользователем Falcon
Сергей Костенко Опубликовано 18 июня, 2008 Опубликовано 18 июня, 2008 Криминального то нет, а вот в базу безопасных пойдут, что бы мозги больше не парили. экспортер без цифровой подписи странно. Но размер большой, и находиться на месте. Разве что измененный? Интересно на карантин глянуть, почему он на них кидается. Может Олег эвристику задрал?
SLASH_id Опубликовано 18 июня, 2008 Автор Опубликовано 18 июня, 2008 (изменено) Сергей Костенко 1213797686_quarantine.zip загружен HASP действительно есть. Варезный Компас установлен. Еще какие-либо замечания к логам есть? Есть повод для беспокойства? Вот если нужен експлорер. Никаких патчей над ним не проводилось. explorer.rar Изменено 18 июня, 2008 пользователем SLASH_id
Сергей Костенко Опубликовано 18 июня, 2008 Опубликовано 18 июня, 2008 (изменено) Файлы чистые. Пардон, карантин неполный. Только 2 файла. Посмотрите папку Quarantine, там больше файлов. Если да, запакуете и отправите. Ещё можно вот это сделать. http://virusinfo.info/showthread.php?t=3519 Если не трудно закатайте его и сюда http://security.belgorod-net.ru/utills/upload/ хочу проверить как система работает с большими файлами извне. Изменено 18 июня, 2008 пользователем Falcon
SLASH_id Опубликовано 18 июня, 2008 Автор Опубликовано 18 июня, 2008 Новый полный карантин 1213798414_2008-06-18-.rar
Сергей Костенко Опубликовано 18 июня, 2008 Опубликовано 18 июня, 2008 (изменено) Всё, чистые, пойдут в базу безопасных. Спасибо за тесты. Непонятно почему *.ini файлы без текста. У вас тоже так? В Файл >> просмотр карантина есть описание? Изменено 18 июня, 2008 пользователем Falcon
SLASH_id Опубликовано 18 июня, 2008 Автор Опубликовано 18 июня, 2008 Никаких описаний. Только знаки вопроса. Думаю это АВЗ малость глюконул когда ini писал) Если врагов больше не видно - тему можно закрывать)
Falcon Опубликовано 18 июня, 2008 Опубликовано 18 июня, 2008 iУведомление:Falcon По просьбе автора тему закрываю .
Рекомендуемые сообщения