KamilosD Napisano Październik 16, 2009 Zgłoś Share Napisano Październik 16, 2009 Wczoraj jak siedziałem na kompie i grałem w Crysisa Wars, to podczas łączena się z serwerem wyskoczył komunikat, że plik o nazwie PnkBstrB w C/Windows/System32 jest zawirusowany. Zalecana akcja była - Zignoruj. I tak zrobiłem, ale pojawił się komunikat, że praca na kompie, na którym jest wirus jest niebezpieczna i trzeba uruchomić kompa ponownie i że będzie się skanował w trybie rozruchu. Wysłałem dla pewności plik na http://www.virustotal.com/pl/ I skan wykazał, że jest czysty. No to komunikat Avast! potwiedziłem i komp skanował się w trybie rozruchu gdzieś do około 3 lub 4 w nocy. Rano nic nie było... Wszedłem jeszcze raz na strone VirusTotal i dałem do skanu plik ale nie PnkBstrB tylko PnkBstrA. Pokazało taki komunikat (poniżej). Jeszcze dla pewności zacząłem skanować kompa programem antywirusowym OneCare http://onecare.live.com/site/pl-pl/default.htm. Co zrobić? Antywirus Wersja Ostatnia aktualizacja Wynik a-squared 4.5.0.41 2009.10.15 - AhnLab-V3 5.0.0.2 2009.10.15 - AntiVir 7.9.1.35 2009.10.15 - Antiy-AVL 2.0.3.7 2009.10.15 - Authentium 5.1.2.4 2009.10.15 - Avast 4.8.1351.0 2009.10.14 - AVG 8.5.0.420 2009.10.15 - BitDefender 7.2 2009.10.15 - CAT-QuickHeal 10.00 2009.10.15 - ClamAV 0.94.1 2009.10.15 - Comodo 2609 2009.10.15 - DrWeb 5.0.0.12182 2009.10.15 - eSafe 7.0.17.0 2009.10.15 Win32.Banker eTrust-Vet 35.1.7069 2009.10.15 - F-Prot 4.5.1.85 2009.10.15 - F-Secure 8.0.14470.0 2009.10.15 - Fortinet 3.120.0.0 2009.10.15 - GData 19 2009.10.15 - Ikarus T3.1.1.72.0 2009.10.15 - Jiangmin 11.0.800 2009.10.15 - K7AntiVirus 7.10.871 2009.10.15 - Kaspersky 7.0.0.125 2009.10.15 - McAfee 5771 2009.10.14 - McAfee+Artemis 5771 2009.10.14 - McAfee-GW-Edition 6.8.5 2009.10.15 - Microsoft 1.5101 2009.10.15 - NOD32 4511 2009.10.15 - Norman 6.03.02 2009.10.15 - nProtect 2009.1.8.0 2009.10.15 - Panda 10.0.2.2 2009.10.15 - PCTools 4.4.2.0 2009.10.15 - Rising 21.51.34.00 2009.10.15 - Sophos 4.46.0 2009.10.15 - Sunbelt 3.2.1858.2 2009.10.15 - Symantec 1.4.4.12 2009.10.15 - TheHacker 6.5.0.2.042 2009.10.14 - TrendMicro 8.950.0.1094 2009.10.15 - VBA32 3.12.10.11 2009.10.15 - ViRobot 2009.10.15.1986 2009.10.15 - VirusBuster 4.6.5.0 2009.10.15 - Dodatkowe informacje File size: 66872 bytes MD5 : 831883b107684301f48ace752c963984 SHA1 : c3c4cb668c12cd267e6cf56e35ca3b29c768a71c SHA256: eaf383c4acc17dbb060bb8398225222175e028e1e332e2ce0548c97daed3620e PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x46E6 timedatestamp.....: 0x46B4E3C9 (Sat Aug 4 22:38:33 2007) machinetype.......: 0x14C (Intel I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x9B67 0xA000 6.66 018a3376d6bc944177c251eeb05bb2da .rdata 0xB000 0x25DC 0x3000 4.50 c359eef8ac921a1ef5f3475058da55f9 .data 0xE000 0x4BC8 0x1000 1.17 2e0e3834394a62add8287692ef84ee71 ( 7 imports ) > advapi32.dll: RegSetValueExA, CreateServiceA, CloseServiceHandle, DeleteService, ControlService, OpenServiceA, OpenSCManagerA, AdjustTokenPrivileges, LookupPrivilegeValueA, StartServiceCtrlDispatcherA, RegisterServiceCtrlHandlerA, RegCreateKeyExA, StartServiceA, RegOpenKeyExA, RegCloseKey, SetServiceStatus, OpenProcessToken > crypt32.dll: CertGetNameStringA, CryptDecodeObject, CertFreeCertificateContext, CryptMsgClose, CertCloseStore, CertVerifyTimeValidity, CertFindCertificateInStore, CryptQueryObject, CryptMsgGetParam > kernel32.dll: GetCurrentProcess, GetTickCount, GetCPInfo, Sleep, GetSystemDirectoryA, CopyFileA, WideCharToMultiByte, SystemTimeToFileTime, FileTimeToLocalFileTime, lstrcmpA, lstrcpyW, FileTimeToSystemTime, MultiByteToWideChar, GetLastError, FormatMessageA, lstrlenA, LocalAlloc, LocalFree, HeapSize, SetEndOfFile, GetLocaleInfoA, VirtualProtect, GetACP, GetStringTypeW, GetStringTypeA, LoadLibraryA, GetSystemInfo, LCMapStringA, LCMapStringW, CompareStringA, CompareStringW, SetEnvironmentVariableA, CreateDirectoryA, GetFileAttributesA, SetFileAttributesA, GetOEMCP, DeleteFileA, GetSystemTimeAsFileTime, ExitProcess, RtlUnwind, HeapFree, HeapAlloc, GetModuleHandleA, GetCommandLineA, GetVersionExA, WriteFile, FlushFileBuffers, CloseHandle, GetProcAddress, TerminateProcess, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, SetFilePointer, GetTimeZoneInformation, QueryPerformanceCounter, GetCurrentThreadId, GetCurrentProcessId, GetModuleFileNameA, InterlockedExchange, VirtualQuery, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, ReadFile, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetStdHandle, CreateFileA > shell32.dll: SHGetFolderPathA > user32.dll: wsprintfA > wintrust.dll: WinVerifyTrust > wsock32.dll: -, -, -, -, -, -, -, -, -, -, -, - ( 0 exports ) TrID : File type identification Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) ThreatExpert: http://www.threatexpert.com/report.aspx?md...48ace752c963984 ssdeep: 1536:mB1UhY9ELMz2SGpQ4tsh3TpdUe5Pl7IfY:m3Uyziq/3vPleY PEiD : - CWSandbox: http://research.sunbelt-software.com/partn...48ace752c963984 RDS : NSRL Reference Data Set - Usilnie próbuję dojść do tego, co ten temat ma wspólnego ze sprzętem i jakoś mi to nie wychodzi. W związku z tym temat przenoszę do programów. - Sevard Link do komentarza Udostępnij na innych stronach More sharing options...
raven4444 Napisano Październik 17, 2009 Zgłoś Share Napisano Październik 17, 2009 PnkBstrB i PnkBstrA to są składniki systemu antycheaterskiego PunkBuster więc się nie ma o co martwić, wystarczy spojrzeć że na virustotal tylko jeden antivir coś wyłapuje. Zalecam zmianę antywirusa kub dodanie do wyjątków tego pliku. Link do komentarza Udostępnij na innych stronach More sharing options...
KamilosD Napisano Październik 18, 2009 Autor Zgłoś Share Napisano Październik 18, 2009 Dzięki za odpowiedź. Temat zamnkąć można... Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Październik 18, 2009 Zgłoś Share Napisano Październik 18, 2009 Problem rozwiązany, więc temat zamykam.W razie potrzeby otwarcia tematu, proszę o kontakt przez PW. Link do komentarza Udostępnij na innych stronach More sharing options...