Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

autochk.exe win32/CompuTraceB

RSS
Добрый день!

При работе в google chrome регулярно вылезает окно


после нажатия "очистить" вылезает


и, собственно говоря, ничего не происходит

что с этим делать?
Изменено: shurman - 25.03.2014 13:59:21

Ответы

Только что при сканировании вылезло


upd
приложил отчет
Изменено: shurman - 27.03.2014 17:41:34
Проверим файл

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.


Код
     

;uVS v3.82.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %Sys32%\AUTOCHK.EXE
czoo



-------------
Архив из папки uVS; (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: ZOO_2012-00-20_18-49-40.rar/7z)
... отправить в почту [email protected] ;
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

Также загрузите разместите на файлообменнике ( http://rghost.ru или http://upwap.ru/ ), указав на форуме в своей теме ссылку на этот архив.
OSPP.VBS так может и зря был удален.
http://technet.microsoft.com/ru-ru/library/ee624350(v=office.15).aspx

файл на самом деле полезный, но вот с симптомами он подмены или замены

Цитата
Полное имя C:\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE15\OSPP.VBS
Имя файла OSPP.VBS
Тек. статус ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
Размер 79360 байт
Создан 02.03.2014 в 17:48:02
Изменен 02.03.2014 в 17:48:02
Цифр. подпись НАРУШЕНА, файл модифицирован или заражен

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Цифровая подпись Недействительна (файл поврежден/заражен)

Доп. информация на момент обновления списка
SHA1 98D178D56102AA857C68750A16E1BFDE22BE848D
MD5 BF41086C3C6A7BE1E8D3AF0323A05C42

второй файл на самом деле отсутствует, но тоже был подозрительно прописан в автозапуске

Цитата
Полное имя C:\PROGRAMDATA\SETWALLPAPER.CMD
Имя файла SETWALLPAPER.CMD
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
CURRENTVERSION.RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле Не удается найти указанный файл.
Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Setwallpa­per
Setwallpaper c:\programdata\SetWallpaper.cmd
Изменено: santy - 27.03.2014 18:22:30
Добрый день!

Процесс архивации шел с появлением таких же окон с предупреждением об опасности в Autochk
В итоге ранние по времени архивы - при открытом браузере, более поздние - при закрытом

на всякий случай приложил свежий файл с образом автозапуска (правда при открытом браузере)

http://rghost.ru/53500460
http://rghost.ru/53500515
Цитата
RP55 RP55 пишет:

... отправить в почту [email protected] ;

адрес битый, письмо "вернулось"
Это не ложное срабатывание, нужно просто заменить файл который ловится антивирусом на чистый.

Цитата
zloyDi пишет:
Это не ложное срабатывание, нужно просто заменить файл который ловится антивирусом на чистый.

каким образом? где взять чистый файл?
В безопасном режиме,
вот файл http://rghost.ru/53506914

Читают тему