Показано с 1 по 18 из 18.

giljabi.exe, gilautouc.exe, autoupdate.exe WINWORD.EXE, cafheaxow.exe=rootkit (заявка № 20663)

  1. #1
    Junior Member Репутация
    Регистрация
    18.03.2008
    Сообщений
    209
    Вес репутации
    60

    Thumbs up giljabi.exe, gilautouc.exe, autoupdate.exe WINWORD.EXE, cafheaxow.exe=rootkit

    прикрепляю логи
    основная заморочка: постоянно пересылает на различные рекламные сайты (barklaybank, tele2, orange mobil…) зашел в peестр СА firewall и прокрутил в google все активные процессы,... и результат: giljabi.exe, gilautouc.exe, autoupdate.exe оценивает как spyware,WINWORD.EXE говорит TROJAN, cafheaxow.exe говоpит trouve
    буржуйский антивирус PrevixCSI распознал cafheaxow.exe как rootkit, но на удаление просит платный ключ
    вот адреса подозрительных программ :
    C:/Documents and Settings/Denis/Local Settings/Application Data/cafheaxow.exe
    C:/Program Files/Microsoft Office/Office 12/WINWORD.EXE
    C:/Frogram Files/lg_swupdate/autoapdate.exe
    C:/Frogram Files/lg_swupdate/giljabi.exe
    C:/Frogram Files/lg_swupdate/ gilautouc.exe
    постоянно пользуюсь Avira, вчера после обновления обнаружил TR/Dldr.Swizzor.Gen, и удалил
    если поможете будет здорово, т.к. остальные: Webroot Spy Sweeper v.5.5.7.122, Ad-Aware 2007, McAffee, SpyBot152 говорят что всё чисто
    Последний раз редактировалось amistad-dm; 13.04.2008 в 23:47.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    удалите все антивирусы и антиспаи ... оставте только один антивирус ...
    выполните пункт 2 правил ...
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\update.sys','');
     QuarantineFile('C:\WINDOWS\explorer.exe','');
     QuarantineFile('c:\program files\ca\sharedcomponents\hipsengine\umxfwhlp.exe','');
     QuarantineFile('c:\program files\voipstunt.com\voipstunt\voipstunt.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
     QuarantineFile('C:\WINDOWS\System32\win32k.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     DelBHO('{9CB65201-89C4-402c-BA80-02D8C59F9B1D}');
     QuarantineFile('C:\Program Files\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL','');
     DeleteFile('C:\Program Files\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    Последний раз редактировалось drongo; 30.03.2008 в 11:53.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Добавил парочку.
    Не забудьте удалить windows defender и части дрвеба- которые не упомянули в вашем салате.

  5. #4
    Junior Member Репутация
    Регистрация
    18.03.2008
    Сообщений
    209
    Вес репутации
    60
    "салат" удалил, оставил токо АВИРУ, скрипты выполнил, карантин прикрепил
    есть замечания:
    1. после удаления SpyBot через УСТАНОВКУ/УДАЛЕНИЕ ПРОГРАММ, всё ок,
    но при удалении Windows Defender выскакивает окошко SpyBot: "...изменение затрагивающее важную запись реестра С:/Program Files/Windows Defender/MSASui.exe-hide" , т.е. уже удалённый SpyBot спрашивает "разрешить" или "запретить" эту запись в реестре, через УСТАНОВКУ/УДАЛЕНИЕ ПРОГРАММ я не вижу SpyBot, нo я его вижу через Program Files, пытаюсь удалить вручную и высскакивает окошко: "ОШИБКА ПРИ УДАЛЕНИИ ПАПКИ ИЛИ АРХИВА, невозможно удалить cafw.ехе, доступ запрещен, возможно диск полон или защищён от записи или архив используется в настоящий момент"
    2.Идентичная ситуация с CA firewall

    Добавлено через 1 час 35 минут

    выполнил пункт правил 2 заново, ничего не найдено,
    могу прикрепить сохранившийся лог Prevx CSI Log? esli nado!?
    Последний раз редактировалось amistad-dm; 30.03.2008 в 16:10. Причина: Добавлено

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Не надо его лога. Подождем ответа аналитиков по поводу Вашего карантина.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  7. #6
    Junior Member Репутация
    Регистрация
    18.03.2008
    Сообщений
    209
    Вес репутации
    60

    kak dolgo zhdat

    spasibo, komp uzhe ne peresilaet, i rabotaet gorazdo bisteree no xochu dovesti delo do konca

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    повторите логи начиная с пункта 10 правил ...

  9. #8
    Junior Member Репутация
    Регистрация
    18.03.2008
    Сообщений
    209
    Вес репутации
    60

    01.04.2008 logi

    понятно, прикрепил,
    Последний раз редактировалось amistad-dm; 13.04.2008 в 23:47.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пофиксите ...
    Код:
    R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL (file missing)
    O4 - HKLM\..\Run: [UserFaultCheck] C:\WINDOWS\system32\dumprep 0 -u
    какие-то проблемы остались ?

  11. #10
    Junior Member Репутация
    Регистрация
    18.03.2008
    Сообщений
    209
    Вес репутации
    60

    cafheaxow

    что делать с cafheaxow, я его вижу в скрытых папках по ранее указанному адресу, или он пролечен уже? есть ли другие?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Пришлите этот файлик в zip-архиве с паролем virus по этой ссылке: http://virusinfo.info/upload_virus.php?tid=20663
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  13. #12
    Junior Member Репутация
    Регистрация
    18.03.2008
    Сообщений
    209
    Вес репутации
    60
    пришлю, но их три файла, прислать все три в одном zip?

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Да, присылайте.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  15. #14
    Junior Member Репутация
    Регистрация
    18.03.2008
    Сообщений
    209
    Вес репутации
    60
    prinimajte ))) этот файлик в zip-архиве с паролем virus по этой ссылке: http://virusinfo.info/upload_virus.php?tid=20663

    Добавлено через 1 минуту

    prinimajte ))) файликi в zip-архиве с паролем virus
    Последний раз редактировалось amistad-dm; 02.04.2008 в 02:08. Причина: Добавлено

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    cafheaxow.dat, cafheaxow_nav.dat, cafheaxow_navps.dat
    Все три файла чистые.

    Какие-то проблемы остались?
    Последний раз редактировалось kps; 02.04.2008 в 13:06.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  17. #16
    Junior Member Репутация
    Регистрация
    18.03.2008
    Сообщений
    209
    Вес репутации
    60
    нет, благодарю, переадресаций нет, очень интересный сайт, уже посоветовал своей сестре, проблемы будут обращусь, всего вам доброго

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) amistad-dm, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 3
      Последнее сообщение: 18.03.2010, 12:00
    2. Ответов: 2
      Последнее сообщение: 18.03.2010, 12:00
    3. Ответов: 1
      Последнее сообщение: 17.03.2010, 00:00
    4. Ответов: 1
      Последнее сообщение: 06.03.2010, 15:00
    5. Winword.exe
      От Afw в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 10.04.2008, 12:34

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00918 seconds with 19 queries