Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Backdoor Win32/Caphaw.A , Скайп рассылка вируса

1 2 След.
RSS
 
Peredoz
Peredoz
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 21.05.2013
Размещено 05.11.2013 17:26:47
Добрый день!
По скайпу пришел файлик Invoice _xxxxxx.pdf.exe
После чего перестали корректно работать хром и скайп. Со скайпа пропадают сообщения, а хром закрывается через пару секунд после запуска.
И Eset еще вот это нашел модифицированный Win32/Kryptik. и модифицированный Win32/AutoRun.Caphaw.A
Вот образ
Выручайте плиз
Изменено: Peredoz - 05.11.2013 17:28:12
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 05.11.2013 17:51:23
Добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 05.11.2013 17:53:22
Также Создайте лог в uVS в безопасном режиме.
 
Peredoz
Peredoz
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 21.05.2013
Размещено 05.11.2013 18:56:12
Вот лог журнала

"лог в uVS в безопасном режиме" - в смысле запуститься в безопасном режиме и сделать образ загрузки?
Изменено: Peredoz - 05.11.2013 18:58:11
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 05.11.2013 19:13:25
да, по терминологии uVS - лог - это лог выполнения скрипта.
а файл, который рекомендован к созданию по ссылке называется образом автозапуска.
-----------
его по инерции продолжают называть логом.

так что нужен образ автозапуска из безопасного режима.

по логу журнала угроз:

Цитата
05.11.2013 12:07:06 Модуль сканирования файлов, исполняемых при запуске системы файл C:\Users\User\AppData\Roaming\Skype\g.roman18\chatsync\ee\sethc.exe модифицированный Win32/Kryptik.BOEO троянская программа очищен удалением - изолирован
05.11.2013 10:04:39 Защита в режиме реального времени файл C:\Users\User\AppData\Local\Temp\252E.tmp.exe модифицированный Win32/Kryptik.BODK троянская программа очищен удалением - изолирован Desktop\User Событие произошло в новом файле, созданном следующим приложением: C:\Program Files (x86)\ASUS\ASUS Smart Gesture\QuickGesture\x86\QuickGesture.exe.

05.11.2013 9:05:35 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = KMService.exe(4924) модифицированный Win32/AutoRun.Caphaw.A червь очищен удалением
05.11.2013 9:05:35 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = KMService.exe(4924) модифицированный Win32/AutoRun.Caphaw.A червь очищен удалением

файлики похоже очищены, но глянем еще на образ автозапуска системы из безопасного режима.
Изменено: santy - 05.11.2013 19:26:37
[ Как создать образ автозапуска? ]
 
Peredoz
Peredoz
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 21.05.2013
Размещено 05.11.2013 22:32:23
Файл действительно очищен, но программы продолжают не корректно работать. Из скайпа пропадают сообщения, т.е. история не сохраняется. А хром моментально закрывается после запуска, при этом не выдает никаких ошибок. Самое интересное, что переустановка не помогает. И удалить можно только в безопасном режиме. В обычном режиме при попытке удаления хрома, окно также закрывается и программа не удаляется.

Завтра сделаю образ автозапуска из безопасного режима
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 05.11.2013 22:57:10
Вирус портит профиль скайпа и браузера, по этому нужно удалить весь профиль скайпа и и сам скайп, затем заново его установить.
 
Peredoz
Peredoz
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 21.05.2013
Размещено 06.11.2013 18:51:27
вот образ автозагрузки в безопасном режиме
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 06.11.2013 19:26:25
вот он, в безопасен виден....
выполнить скрипт из безоопасного режима.

но может смутировать в новой перезагрузке.


выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
addsgn A7679B19B9728B37E3D4AEB164204CFBDA7596F6E3FA75786D64C5BC502964CC6357C33D3E3F9D232B7F91B3065649907DB7348017DADA2C4777CC833544228C 8 Win32/Caphaw.A

zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\CRASH REPORTS\REGINI.EXE
bl 05188C8462CE608363CD09727276733A 405504
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
Изменено: santy - 06.11.2013 19:27:14
[ Как создать образ автозапуска? ]
 
Peredoz
Peredoz
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 21.05.2013
Размещено 06.11.2013 19:26:36
Удалил скайп и хром, удалил профиль скайпа и хрома. Установил заново - тоже самое. Те же признаки. Какае-то зараза все-таки есть.

Сейчас выполню скрипт
Изменено: Peredoz - 06.11.2013 19:27:25
 
1 2 След.
Читают тему