autochk.exe win32/CompuTraceB

RSS

Сообщений: 13

Баллов: 6

Регистрация: 07.04.2012

Размещено 25.03.2014 13:35:54

Добрый день!

При работе в google chrome регулярно вылезает окно

после нажатия "очистить" вылезает

и, собственно говоря, ничего не происходит

что с этим делать?

Изменено: shurman - 25.03.2014 13:59:21

Ответы

Пред. 1 2

Сообщений: 13

Баллов: 6

Регистрация: 07.04.2012

Размещено 27.03.2014 17:30:04

Только что при сканировании вылезло

upd
приложил отчет

Прикрепленные файлы

report.txt (1.13 КБ)

Изменено: shurman - 27.03.2014 17:41:34

Сообщений: 6233

Баллов: 4986

Регистрация: 25.05.2010

Размещено 27.03.2014 17:43:05

Проверим файл

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.

Код
;uVS v3.82.1 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %Sys32%\AUTOCHK.EXE czoo

-------------
Архив из папки uVS; (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: ZOO_2012-00-20_18-49-40.rar/7z)
... отправить в почту [email protected] ;
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

Также загрузите разместите на файлообменнике ( http://rghost.ru или http://upwap.ru/ ), указав на форуме в своей теме ссылку на этот архив.

Сообщений: 17974

Баллов: 28757

Регистрация: 16.03.2010

Размещено 27.03.2014 18:22:06

OSPP.VBS так может и зря был удален.
http://technet.microsoft.com/ru-ru/library/ee624350(v=office.15).aspx

файл на самом деле полезный, но вот с симптомами он подмены или замены

Цитата
Полное имя C:\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE15\OSPP.VBS Имя файла OSPP.VBS Тек. статус ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную] Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную] Размер 79360 байт Создан 02.03.2014 в 17:48:02 Изменен 02.03.2014 в 17:48:02 Цифр. подпись НАРУШЕНА, файл модифицирован или заражен Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Цифровая подпись Недействительна (файл поврежден/заражен) Доп. информация на момент обновления списка SHA1 98D178D56102AA857C68750A16E1BFDE22BE848D MD5 BF41086C3C6A7BE1E8D3AF0323A05C42

Цитата

Полное имя C:\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE15\OSPP.VBS
Имя файла OSPP.VBS
Тек. статус ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
Размер 79360 байт
Создан 02.03.2014 в 17:48:02
Изменен 02.03.2014 в 17:48:02
Цифр. подпись НАРУШЕНА, файл модифицирован или заражен

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Цифровая подпись Недействительна (файл поврежден/заражен)

Доп. информация на момент обновления списка
SHA1 98D178D56102AA857C68750A16E1BFDE22BE848D
MD5 BF41086C3C6A7BE1E8D3AF0323A05C42

второй файл на самом деле отсутствует, но тоже был подозрительно прописан в автозапуске

Цитата
Полное имя C:\PROGRAMDATA\SETWALLPAPER.CMD Имя файла SETWALLPAPER.CMD Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске Удовлетворяет критериям CURRENTVERSION.RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске Инф. о файле Не удается найти указанный файл. Цифр. подпись проверка не производилась Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла Типичен для вирусов и троянов Ссылки на объект Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Setwallpaper Setwallpaper c:\programdata\SetWallpaper.cmd

Цитата

Полное имя C:\PROGRAMDATA\SETWALLPAPER.CMD
Имя файла SETWALLPAPER.CMD
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
CURRENTVERSION.RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле Не удается найти указанный файл.
Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Setwallpaper
Setwallpaper c:\programdata\SetWallpaper.cmd

Изменено: santy - 27.03.2014 18:22:30

[ Как создать образ автозапуска? ]

Сообщений: 13

Баллов: 6

Регистрация: 07.04.2012

Размещено 28.03.2014 09:51:58

Добрый день!

Процесс архивации шел с появлением таких же окон с предупреждением об опасности в Autochk
В итоге ранние по времени архивы - при открытом браузере, более поздние - при закрытом

на всякий случай приложил свежий файл с образом автозапуска (правда при открытом браузере)

http://rghost.ru/53500460
http://rghost.ru/53500515

Сообщений: 13

Баллов: 6

Регистрация: 07.04.2012

Размещено 28.03.2014 10:04:43

Цитата
RP55 RP55 пишет: ... отправить в почту [email protected] ;

адрес битый, письмо "вернулось"

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 28.03.2014 11:57:25

Это не ложное срабатывание, нужно просто заменить файл который ловится антивирусом на чистый.

Сообщений: 13

Баллов: 6

Регистрация: 07.04.2012

Размещено 28.03.2014 12:33:27

Цитата
zloyDi пишет: Это не ложное срабатывание, нужно просто заменить файл который ловится антивирусом на чистый.

каким образом? где взять чистый файл?

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 28.03.2014 12:46:23

В безопасном режиме,
вот файл http://rghost.ru/53506914

Пред. 1 2