Троян или сигнатура вирусов?

amid525 · January 23, 2012, 9:13pm

У меня вместо СТМ сейчас Rollback Rx(shield)
Из защитного(то что работает) Emisoft-Antimalware, Comodo, Win Patrol. Ну и несколько установленных утилит-сканеров антишпионов разных. (Это наверное не важно.)

ntoskrnl · January 23, 2012, 9:26pm

Shieldf.sys от него, видимо? Не знаю такую прогу, допускаю, что такая реакция всех трёх рассмотренных антируткитов на неё как раз возможна. Снять её временно, для проверки, наверное, проблематично?

amid525 · January 23, 2012, 9:35pm

Она, судя по подписи.

Тоже вы навели на мысль, что я сканирую виртуальную систему(текущий снимок). 88)
Попробую завтра(.т.е уже сегодня утром) откатиться на базовый снимок и просканировать.
По моему, как раз вчера, когда я некоторое время сидел на нем(базовом) - и сканировал без проблем Gmer(ом).
Если все так и есть, утром выложу новый лог. Спокойной ночи.

amid525 · January 24, 2012, 8:04am

Как и предпологал, на базовом снимке. просканировал Gmer нормально.
Какие мысли?

[attachment deleted by admin]

amid525 · January 24, 2012, 4:39pm

ntoskrnl, А-ууу.

ntoskrnl · January 24, 2012, 5:29pm

Ничего особенного в гмеровском логе нет. Только бутсекто. Опять же, вполне может быть, что это “работа” этого Rollback Rx, сказать точнее данных не хватает. Вообще говоря, мы с Вами занимаемся тем, что изначально лишено смысла, проверяем антируткитами систему, про которую точно знаем, что один “руткит” (Rollback Rx) в ней точно есть.

P.S. Не поднимайте топик чаще, чем раз в сутки.

amid525 · February 2, 2012, 9:31am

Кто вкурсе, о чем предупреждает выделенная строка Comodo autorun analyizer(ом)

[attachment deleted by admin]

ntoskrnl · February 2, 2012, 12:40pm

amid525, если не трудно, прикрепите этот msconfig к сообщению, поскольку вердикт красный, то стандартным образом, в архив и под пароль.

amid525 · February 3, 2012, 12:05pm

Странно, что в нем не нашел Сомодо, на вирус тотале ничего не определяется. 88)

[attachment deleted by admin]

ntoskrnl · February 3, 2012, 12:26pm

А почему у Вас в этом “экзешнике” не exe-файл, а reg-файл? 88)

amid525 · February 3, 2012, 1:59pm

С реестра взял, куда ссылался AutoRuns

п.с
при первой сверке, мой msconfig весил 190кб. Я заменил оригинальным с другого компа весом 192кб 88)
Но при повторном сканировании, все равно AutuRuns его так-же детектит.

[attachment deleted by admin]

ntoskrnl · February 3, 2012, 2:23pm

amid525, ну это же из какой-то очередной сборки файл. Вот он его как подозрительный и детектит.

amid525 · February 3, 2012, 2:58pm

Хм ??? Вроде оригинальная винда должна стоять.
Можете выслать оригинал?

Xeno · February 3, 2012, 3:39pm

уже не оригинальная

чтобы выслать оригинал, нужно знать параметры ОС (тип, разрядность, сервиспак, язык)
нет никакой гарантии, что оригинальный файл будет работать на патченой оси.

amid525 · February 3, 2012, 3:55pm

XP, sp3, 32bit, рус.

2. нет никакой гарантии, что оригинальный файл будет работать на патченой оси.

Если не получится, я смогу откатиться.

Xeno · February 3, 2012, 4:08pm

см. в аттаче

[attachment deleted by admin]

amid525 · February 3, 2012, 5:58pm

Нормально заменился, и autoRun Comodo не ругается больше.
п.с
За что отвечает этот файлик?

Xeno · February 3, 2012, 6:24pm

(упал под стол… ;D )

ru.wikipedia.org

MSConfig

MSConfig (Настройка системы) — утилита для управления автозапускаемыми программами и загрузкой Windows. Начиная с Windows 98, Microsoft поставляет утилиту «MSConfig.exe», предоставляющую интерфейс для управления файлами, запускающимися при загрузке Windows. Она находится в каталоге установки Windows. Её можно запустить из диалогового окна «Выполнить» или через командную строку. В ней нет возможности добавлять новый элемент с именем приложения или документа для автозапуска, но можно отключать, не...