Перейти к содержанию
Правила раздела

Профилактика

SLASH_id

От SLASH_id
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

SLASH_id Гигант мысли

SLASH_id

Опубликовано
Опубликовано

Вот решил просканить машину. Киса ничего не видит, но логи лично мне не нравятся.

Хотелось бы услышать мнение професионалов. Если что-то есть, то обьясните что пожалуйста.

Логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

sysinfo.zip

 

Спасибо.

Ссылка на комментарий
Поделиться на другие сайты
Falcon Ветеран

Falcon

Опубликовано
Опубликовано (изменено)

А OctoshapeClient.exe - это вы сами установили или нет? Это сетевая программа, очень похоже на сервер Peer-to-peer (P2P) сети. Если вы ставили это не сами, то лучше бы затереть от греха :ninja:

 

Сейчас убегаю, подробнее через часик :)

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты
SLASH_id Гигант мысли

SLASH_id

Опубликовано
  • Автор
Опубликовано

OctoshapeClient.exe - это плагин для просмотра видео в онлайне. Ставил специально для сеструхи которой пришло в голову посмотреть повторы евровиденья. Чтобы посмотреть его прямо отсюдова http://www.eurovision.tv/esctv/index.html (оффсайт) требуется Octoshape.

Ссылка на комментарий
Поделиться на другие сайты
Сергей Костенко Новичок

Сергей Костенко

Опубликовано
Опубликовано (изменено)

c:\windows\explorer.exe без ЭЦП

c:\windows\system32\slsvc.exe это что за штука?

C:\Windows\system32\drivers\Haspnt.sys 1C бухгалтерия?

 

Что то он на всё кидаться. Даже на MSVCR80.dll. Ну и ладно.

Для начала вот этот скриптик:

 

begin
QuarantineFile('C:\Windows\system32\napinsp.dll','');
QuarantineFile('C:\Windows\System32\wship6.dll','');
QuarantineFile('C:\Windows\System32\wshtcpip.dll','');
QuarantineFile('C:\Windows\system32\schannel.dll','');
QuarantineFile('C:\Windows\system32\credssp.dll','');
QuarantineFile('C:\Windows\system32\dhcpcsvc6.DLL','');
QuarantineFile('C:\Windows\system32\WINNSI.DLL','');
QuarantineFile('C:\Windows\system32\NLAapi.dll','');
QuarantineFile('C:\Windows\system32\OLEACC.dll','');
QuarantineFile('C:\Windows\system32\WLDAP32.dll','');
QuarantineFile('C:\Windows\system32\NTMARTA.DLL','');
QuarantineFile('C:\Windows\system32\BCRYPT.dll','');
QuarantineFile('C:\Windows\system32\ncrypt.dll','');
QuarantineFile('C:\Windows\system32\rsaenh.dll','');
QuarantineFile('C:\Windows\WinSxS\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.1434_none_d08b6002442c891
f\MSVCR80.dll','');
QuarantineFile('C:\Windows\System32\CSCAPI.dll','');
QuarantineFile('C:\Windows\System32\PROPSYS.dll','');
QuarantineFile('C:\Windows\system32\WindowsCodecs.dll','');
QuarantineFile('C:\Windows\system32\RICHED32.DLL','');
QuarantineFile('C:\PROGRA~1\Stardock\OBJECT~1\DESKSC~1\DesktopControlPanel.dll','');
QuarantineFile('C:\Windows\system32\LPK.DLL','');
QuarantineFile('C:\Windows\system32\NSI.dll','');
QuarantineFile('C:\Windows\system32\winspool.drv','');
QuarantineFile('C:\Windows\system32\iertutil.dll','');
QuarantineFile('C:\Program Files\DivX\DivX Converter\dpil100.dll','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip загрузите на http://security.belgorod-net.ru/utills/upload/

Этот скрипт загрузит файл FTP, трафик до нас с которого бесплатный.

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты
Falcon Ветеран

Falcon

Опубликовано
Опубликовано (изменено)

SLASH_id

Ага, понятно тогда :ninja:

 

Если я не ошибаюсь:

LPK.dll - это языковой модуль,

Schannel.dll (Secure Channel) - служба безопасности, поддерживающая протоколы на основе открытых ключей SSL.

slsvc.exe - лицензирование программного обеспечения в Vista.

Haspnt.sys - подтверждает наличие специализированного ПО, которое защищено HASP-ключом.

 

Лично я ничего криминального больше не заметил :)

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты
Сергей Костенко Новичок

Сергей Костенко

Опубликовано
Опубликовано

Криминального то нет, а вот в базу безопасных пойдут, что бы мозги больше не парили. экспортер без цифровой подписи странно. Но размер большой, и находиться на месте. Разве что измененный? Интересно на карантин глянуть, почему он на них кидается. Может Олег эвристику задрал?

Ссылка на комментарий
Поделиться на другие сайты
SLASH_id Гигант мысли

SLASH_id

Опубликовано
  • Автор
Опубликовано (изменено)

Сергей Костенко 1213797686_quarantine.zip загружен

 

HASP действительно есть. Варезный Компас установлен.

 

Еще какие-либо замечания к логам есть? Есть повод для беспокойства?

 

Вот если нужен експлорер. Никаких патчей над ним не проводилось.

explorer.rar

Изменено пользователем SLASH_id
Ссылка на комментарий
Поделиться на другие сайты
Сергей Костенко Новичок

Сергей Костенко

Опубликовано
Опубликовано (изменено)

Файлы чистые.

Пардон, карантин неполный. Только 2 файла. Посмотрите папку Quarantine, там больше файлов. Если да, запакуете и отправите.

Ещё можно вот это сделать. http://virusinfo.info/showthread.php?t=3519

Если не трудно закатайте его и сюда http://security.belgorod-net.ru/utills/upload/ хочу проверить как система работает с большими файлами извне.

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты
Сергей Костенко Новичок

Сергей Костенко

Опубликовано
Опубликовано (изменено)

Всё, чистые, пойдут в базу безопасных. Спасибо за тесты.

Непонятно почему *.ini файлы без текста. У вас тоже так? В Файл >> просмотр карантина есть описание?

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты
SLASH_id Гигант мысли

SLASH_id

Опубликовано
  • Автор
Опубликовано

Никаких описаний. Только знаки вопроса. Думаю это АВЗ малость глюконул когда ini писал)

 

Если врагов больше не видно - тему можно закрывать)

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем
×
×
  • Создать...