Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Backdoor Win32/Caphaw.A , Скайп рассылка вируса

RSS
 
Peredoz
Peredoz
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 21.05.2013
Размещено 05.11.2013 17:26:47
Добрый день!
По скайпу пришел файлик Invoice _xxxxxx.pdf.exe
После чего перестали корректно работать хром и скайп. Со скайпа пропадают сообщения, а хром закрывается через пару секунд после запуска.
И Eset еще вот это нашел модифицированный Win32/Kryptik. и модифицированный Win32/AutoRun.Caphaw.A
Вот образ
Выручайте плиз
Изменено: Peredoz - 05.11.2013 17:28:12

Ответы

Пред. 1 2
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.11.2013 19:29:44
вот этот файл
Цитата
%SystemDrive%\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\CRA­SH REPORTS\REGINI.EXE
в нормальном режиме, скорее всего не будет виден... только в безопасном режиме...

в нормальном режиме его вот эти записи в логи выдают.

Цитата
(!) Обнаружен сплайсинг: NtQueryDirectoryFile
--------------------------------------------------------
Загружено реестров пользователей: 2
Построение списка процессов и модулей...
Обнаружен доп. поток в uVS: поток не принадлежит загруженным библиотекам
Обнаружен доп. поток в uVS: поток не принадлежит загруженным библиотекам
Обнаружен доп. поток в uVS: поток не принадлежит загруженным библиотекам
Обнаружен доп. поток в uVS: поток не принадлежит загруженным библиотекам
Обнаружен доп. поток в uVS: поток не принадлежит загруженным библиотекам

если проблема не решится скриптом из 9 сообщения,
то еще раз сделать образ из безопасного режима, добавить на форум.... и не выходить из сессии безопасного режима....
пока не напишем скрипт.

иначе может смутировать в новой перезагрузке....
Изменено: santy - 06.11.2013 19:47:49
[ Как создать образ автозапуска? ]
 
Peredoz
Peredoz
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 21.05.2013
Размещено 06.11.2013 19:43:27
Скрипт выполнил, но он опять смутировал. Сейчас загружусь с безопасного режима, повторно сделаю образ и буду ждать ваших указаний
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.11.2013 19:48:12
ок, жду новый образ из безопасного режима.
[ Как создать образ автозапуска? ]
 
Peredoz
Peredoz
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 21.05.2013
Размещено 06.11.2013 19:50:50
Вот повторный образ.
Возможно Вы бы могли подключиться ко мне и удаленно глянуть?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.11.2013 20:00:00
да, смутировал, даже под сигнатуру uVS не попал.

из безопасного режима выполните, и проверьте затем в нормальном режиме результат

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
addsgn A7679B720D50497261D451A41CB85705784903D31D8A5A787AE649CC15D68E6937678657C1705D396E807BBA46660CFA82FAEC0210DA4F09F507E12F3823C203 8 Win32/Caphaw

zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\B6GUFRYT\GIGPORNO.COM\RECOVER.EXE
bl A8F5FFEF826866C78E4B65D49ED7D203 372736
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
Изменено: santy - 06.11.2013 20:00:24
[ Как создать образ автозапуска? ]
 
Peredoz
Peredoz
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 21.05.2013
Размещено 06.11.2013 20:08:56
Вроде получилось! По крайней мере хром заработал!
 
Peredoz
Peredoz
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 21.05.2013
Размещено 06.11.2013 20:12:22
Спасибо Вам Santy!!! Вы настоящий профессионал!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.11.2013 20:16:39
хорошо,
можно теперь это сделать,

сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

потом полную проверку антивирусом,
+
проверку антивиром оперативной памяти (чтобы ничего там не находилось...)

а по скайпу, если будут проблемы, то скорее всего может быть профиль поврежден.
т.е. скайп надо удалить (деинсталлировать) вместе с профилем,
и заново установить.
Изменено: santy - 06.11.2013 20:17:26
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.11.2013 20:18:43
и отправьте пожалуйста файлики по адресам вирлаба.

и мне можно сюда для тестов
[email protected]
[ Как создать образ автозапуска? ]
 
Пред. 1 2
Читают тему