Форум esetnod32.ru [тема: Backdoor Win32/Caphaw.A] http://forum.esetnod32.ru Новое в теме Backdoor Win32/Caphaw.A форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Mon, 20 Apr 2026 09:29:41 +0300 Backdoor Win32/Caphaw.A Backdoor Win32/Caphaw.A Скайп рассылка вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.
и отправьте пожалуйста файлики по адресам вирлаба.

и мне можно сюда для тестов
safety@chklst.ru
06.11.2013 20:18:43, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic10233/message73234/ http://forum.esetnod32.ru/messages/forum6/topic10233/message73234/ Wed, 06 Nov 2013 20:18:43 +0400 Обнаружение вредоносного кода и ложные срабатывания Backdoor Win32/Caphaw.A Backdoor Win32/Caphaw.A Скайп рассылка вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.
хорошо,
можно теперь это сделать,

сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

потом полную проверку антивирусом,
+
проверку антивиром оперативной памяти (чтобы ничего там не находилось...)

а по скайпу, если будут проблемы, то скорее всего может быть профиль поврежден.
т.е. скайп надо удалить (деинсталлировать) вместе с профилем,
и заново установить.
06.11.2013 20:16:39, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic10233/message73232/ http://forum.esetnod32.ru/messages/forum6/topic10233/message73232/ Wed, 06 Nov 2013 20:16:39 +0400 Обнаружение вредоносного кода и ложные срабатывания Backdoor Win32/Caphaw.A Backdoor Win32/Caphaw.A Скайп рассылка вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.
Спасибо Вам Santy!!! Вы настоящий профессионал!
06.11.2013 20:12:22, Peredoz.]]> http://forum.esetnod32.ru/messages/forum6/topic10233/message73229/ http://forum.esetnod32.ru/messages/forum6/topic10233/message73229/ Wed, 06 Nov 2013 20:12:22 +0400 Обнаружение вредоносного кода и ложные срабатывания Backdoor Win32/Caphaw.A Backdoor Win32/Caphaw.A Скайп рассылка вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.
Вроде получилось! По крайней мере хром заработал!
06.11.2013 20:08:56, Peredoz.]]> http://forum.esetnod32.ru/messages/forum6/topic10233/message73228/ http://forum.esetnod32.ru/messages/forum6/topic10233/message73228/ Wed, 06 Nov 2013 20:08:56 +0400 Обнаружение вредоносного кода и ложные срабатывания Backdoor Win32/Caphaw.A Backdoor Win32/Caphaw.A Скайп рассылка вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.
да, смутировал, даже под сигнатуру uVS не попал.

из безопасного режима выполните, и проверьте затем в нормальном режиме результат

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
====code==== 
;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
addsgn A7679B720D50497261D451A41CB85705784903D31D8A5A787AE649CC15D68E6937678657C1705D396E807BBA46660CFA82FAEC0210DA4F09F507E12F3823C203 8 Win32/Caphaw

zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\B6GUFRYT\GIGPORNO.COM\RECOVER.EXE
bl A8F5FFEF826866C78E4B65D49ED7D203 372736
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
=============
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com, support@esetnod32.ru
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
06.11.2013 20:00:00, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic10233/message73226/ http://forum.esetnod32.ru/messages/forum6/topic10233/message73226/ Wed, 06 Nov 2013 20:00:00 +0400 Обнаружение вредоносного кода и ложные срабатывания Backdoor Win32/Caphaw.A Backdoor Win32/Caphaw.A Скайп рассылка вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.
Вот повторный образ.
Возможно Вы бы могли подключиться ко мне и удаленно глянуть?
DESKTOP_2013-11-06_17-46-11.rar
06.11.2013 19:50:50, Peredoz.]]> http://forum.esetnod32.ru/messages/forum6/topic10233/message73225/ http://forum.esetnod32.ru/messages/forum6/topic10233/message73225/ Wed, 06 Nov 2013 19:50:50 +0400 Обнаружение вредоносного кода и ложные срабатывания Backdoor Win32/Caphaw.A Backdoor Win32/Caphaw.A Скайп рассылка вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.
ок, жду новый образ из безопасного режима.
06.11.2013 19:48:12, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic10233/message73224/ http://forum.esetnod32.ru/messages/forum6/topic10233/message73224/ Wed, 06 Nov 2013 19:48:12 +0400 Обнаружение вредоносного кода и ложные срабатывания Backdoor Win32/Caphaw.A Backdoor Win32/Caphaw.A Скайп рассылка вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.
Скрипт выполнил, но он опять смутировал. Сейчас загружусь с безопасного режима, повторно сделаю образ и буду ждать ваших указаний
06.11.2013 19:43:27, Peredoz.]]> http://forum.esetnod32.ru/messages/forum6/topic10233/message73223/ http://forum.esetnod32.ru/messages/forum6/topic10233/message73223/ Wed, 06 Nov 2013 19:43:27 +0400 Обнаружение вредоносного кода и ложные срабатывания Backdoor Win32/Caphaw.A Backdoor Win32/Caphaw.A Скайп рассылка вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.
вот этот файл

====quote====
%SystemDrive%\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\CRA­SH REPORTS\REGINI.EXE
=============
в нормальном режиме, скорее всего не будет виден... только в безопасном режиме...

в нормальном режиме его вот эти записи в логи выдают.


====quote====
(!) Обнаружен сплайсинг: NtQueryDirectoryFile
--------------------------------------------------------
Загружено реестров пользователей: 2
Построение списка процессов и модулей...
Обнаружен доп. поток в uVS: поток не принадлежит загруженным библиотекам
Обнаружен доп. поток в uVS: поток не принадлежит загруженным библиотекам
Обнаружен доп. поток в uVS: поток не принадлежит загруженным библиотекам
Обнаружен доп. поток в uVS: поток не принадлежит загруженным библиотекам
Обнаружен доп. поток в uVS: поток не принадлежит загруженным библиотекам
=============

если проблема не решится скриптом из 9 сообщения,
то еще раз сделать образ из безопасного режима, добавить на форум.... и не выходить из сессии безопасного режима....
пока не напишем скрипт.

иначе может смутировать в новой перезагрузке....
06.11.2013 19:29:44, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic10233/message73219/ http://forum.esetnod32.ru/messages/forum6/topic10233/message73219/ Wed, 06 Nov 2013 19:29:44 +0400 Обнаружение вредоносного кода и ложные срабатывания Backdoor Win32/Caphaw.A Backdoor Win32/Caphaw.A Скайп рассылка вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.
Удалил скайп и хром, удалил профиль скайпа и хрома. Установил заново - тоже самое. Те же признаки. Какае-то зараза все-таки есть.

Сейчас выполню скрипт
06.11.2013 19:26:36, Peredoz.]]> http://forum.esetnod32.ru/messages/forum6/topic10233/message73217/ http://forum.esetnod32.ru/messages/forum6/topic10233/message73217/ Wed, 06 Nov 2013 19:26:36 +0400 Обнаружение вредоносного кода и ложные срабатывания Backdoor Win32/Caphaw.A Backdoor Win32/Caphaw.A Скайп рассылка вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.
вот он, в безопасен виден....
выполнить скрипт из безоопасного режима.

но может смутировать в новой перезагрузке.


выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
====code==== 
;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
addsgn A7679B19B9728B37E3D4AEB164204CFBDA7596F6E3FA75786D64C5BC502964CC6357C33D3E3F9D232B7F91B3065649907DB7348017DADA2C4777CC833544228C 8 Win32/Caphaw.A

zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\CRASH REPORTS\REGINI.EXE
bl 05188C8462CE608363CD09727276733A 405504
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
=============
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com, support@esetnod32.ru
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
06.11.2013 19:26:25, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic10233/message73216/ http://forum.esetnod32.ru/messages/forum6/topic10233/message73216/ Wed, 06 Nov 2013 19:26:25 +0400 Обнаружение вредоносного кода и ложные срабатывания Backdoor Win32/Caphaw.A Backdoor Win32/Caphaw.A Скайп рассылка вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.
вот образ автозагрузки в безопасном режиме
DESKTOP_2013-11-06_16-41-54.rar
06.11.2013 18:51:27, Peredoz.]]> http://forum.esetnod32.ru/messages/forum6/topic10233/message73213/ http://forum.esetnod32.ru/messages/forum6/topic10233/message73213/ Wed, 06 Nov 2013 18:51:27 +0400 Обнаружение вредоносного кода и ложные срабатывания Backdoor Win32/Caphaw.A Backdoor Win32/Caphaw.A Скайп рассылка вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.
Вирус портит профиль скайпа и браузера, по этому нужно удалить весь профиль скайпа и и сам скайп, затем заново его установить.
05.11.2013 22:57:10, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic10233/message73179/ http://forum.esetnod32.ru/messages/forum6/topic10233/message73179/ Tue, 05 Nov 2013 22:57:10 +0400 Обнаружение вредоносного кода и ложные срабатывания Backdoor Win32/Caphaw.A Backdoor Win32/Caphaw.A Скайп рассылка вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.
Файл действительно очищен, но программы продолжают не корректно работать. Из скайпа пропадают сообщения, т.е. история не сохраняется. А хром моментально закрывается после запуска, при этом не выдает никаких ошибок. Самое интересное, что переустановка не помогает. И удалить можно только в безопасном режиме. В обычном режиме при попытке удаления хрома, окно также закрывается и программа не удаляется.

Завтра сделаю образ автозапуска из безопасного режима
05.11.2013 22:32:23, Peredoz.]]> http://forum.esetnod32.ru/messages/forum6/topic10233/message73178/ http://forum.esetnod32.ru/messages/forum6/topic10233/message73178/ Tue, 05 Nov 2013 22:32:23 +0400 Обнаружение вредоносного кода и ложные срабатывания Backdoor Win32/Caphaw.A Backdoor Win32/Caphaw.A Скайп рассылка вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.
да, по терминологии uVS - лог - это лог выполнения скрипта.
а файл, который рекомендован к созданию по ссылке называется образом автозапуска.
-----------
его по инерции продолжают называть логом.

так что нужен образ автозапуска из безопасного режима.

по логу журнала угроз:


====quote====
05.11.2013 12:07:06 Модуль сканирования файлов, исполняемых при запуске системы файл C:\Users\User\AppData\Roaming\Skype\g.roman18\chatsync\ee\sethc.exe модифицированный Win32/Kryptik.BOEO троянская программа очищен удалением - изолирован
05.11.2013 10:04:39 Защита в режиме реального времени файл C:\Users\User\AppData\Local\Temp\252E.tmp.exe модифицированный Win32/Kryptik.BODK троянская программа очищен удалением - изолирован Desktop\User Событие произошло в новом файле, созданном следующим приложением: C:\Program Files (x86)\ASUS\ASUS Smart Gesture\QuickGesture\x86\QuickGesture.exe.

05.11.2013 9:05:35 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = KMService.exe(4924) модифицированный Win32/AutoRun.Caphaw.A червь очищен удалением
05.11.2013 9:05:35 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = KMService.exe(4924) модифицированный Win32/AutoRun.Caphaw.A червь очищен удалением


=============

файлики похоже очищены, но глянем еще на образ автозапуска системы из безопасного режима.
05.11.2013 19:13:25, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic10233/message73173/ http://forum.esetnod32.ru/messages/forum6/topic10233/message73173/ Tue, 05 Nov 2013 19:13:25 +0400 Обнаружение вредоносного кода и ложные срабатывания Backdoor Win32/Caphaw.A Backdoor Win32/Caphaw.A Скайп рассылка вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.
Вот лог журнала

"лог в uVS в безопасном режиме" - в смысле запуститься в безопасном режиме и сделать образ загрузки?
log.txt
05.11.2013 18:56:12, Peredoz.]]> http://forum.esetnod32.ru/messages/forum6/topic10233/message73172/ http://forum.esetnod32.ru/messages/forum6/topic10233/message73172/ Tue, 05 Nov 2013 18:56:12 +0400 Обнаружение вредоносного кода и ложные срабатывания Backdoor Win32/Caphaw.A Backdoor Win32/Caphaw.A Скайп рассылка вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.
Также Создайте лог в uVS в безопасном режиме.
05.11.2013 17:53:22, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic10233/message73171/ http://forum.esetnod32.ru/messages/forum6/topic10233/message73171/ Tue, 05 Nov 2013 17:53:22 +0400 Обнаружение вредоносного кода и ложные срабатывания Backdoor Win32/Caphaw.A Backdoor Win32/Caphaw.A Скайп рассылка вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.
Добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
05.11.2013 17:51:23, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic10233/message73169/ http://forum.esetnod32.ru/messages/forum6/topic10233/message73169/ Tue, 05 Nov 2013 17:51:23 +0400 Обнаружение вредоносного кода и ложные срабатывания Backdoor Win32/Caphaw.A Backdoor Win32/Caphaw.A Скайп рассылка вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.
Добрый день!
По скайпу пришел файлик Invoice _xxxxxx.pdf.exe
После чего перестали корректно работать хром и скайп. Со скайпа пропадают сообщения, а хром закрывается через пару секунд после запуска.
И Eset еще вот это нашел модифицированный Win32/Kryptik. и модифицированный Win32/AutoRun.Caphaw.A
Вот образ
Выручайте плиз
DESKTOP_2013-11-05_15-19-25.rar
05.11.2013 17:26:47, Peredoz.]]> http://forum.esetnod32.ru/messages/forum6/topic10233/message73168/ http://forum.esetnod32.ru/messages/forum6/topic10233/message73168/ Tue, 05 Nov 2013 17:26:47 +0400 Обнаружение вредоносного кода и ложные срабатывания