-
Junior Member
- Вес репутации
- 60
giljabi.exe, gilautouc.exe, autoupdate.exe WINWORD.EXE, cafheaxow.exe=rootkit
прикрепляю логи
основная заморочка: постоянно пересылает на различные рекламные сайты (barklaybank, tele2, orange mobil…) зашел в peестр СА firewall и прокрутил в google все активные процессы,... и результат: giljabi.exe, gilautouc.exe, autoupdate.exe оценивает как spyware,WINWORD.EXE говорит TROJAN, cafheaxow.exe говоpит trouve
буржуйский антивирус PrevixCSI распознал cafheaxow.exe как rootkit, но на удаление просит платный ключ
вот адреса подозрительных программ :
C:/Documents and Settings/Denis/Local Settings/Application Data/cafheaxow.exe
C:/Program Files/Microsoft Office/Office 12/WINWORD.EXE
C:/Frogram Files/lg_swupdate/autoapdate.exe
C:/Frogram Files/lg_swupdate/giljabi.exe
C:/Frogram Files/lg_swupdate/ gilautouc.exe
постоянно пользуюсь Avira, вчера после обновления обнаружил TR/Dldr.Swizzor.Gen, и удалил
если поможете будет здорово, т.к. остальные: Webroot Spy Sweeper v.5.5.7.122, Ad-Aware 2007, McAffee, SpyBot152 говорят что всё чисто
Последний раз редактировалось amistad-dm; 13.04.2008 в 23:47.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
удалите все антивирусы и антиспаи ... оставте только один антивирус ...
выполните пункт 2 правил ...
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\update.sys','');
QuarantineFile('C:\WINDOWS\explorer.exe','');
QuarantineFile('c:\program files\ca\sharedcomponents\hipsengine\umxfwhlp.exe','');
QuarantineFile('c:\program files\voipstunt.com\voipstunt\voipstunt.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
QuarantineFile('C:\WINDOWS\System32\win32k.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
DelBHO('{9CB65201-89C4-402c-BA80-02D8C59F9B1D}');
QuarantineFile('C:\Program Files\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL','');
DeleteFile('C:\Program Files\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
Последний раз редактировалось drongo; 30.03.2008 в 11:53.
-
-
Добавил парочку.
Не забудьте удалить windows defender и части дрвеба- которые не упомянули в вашем салате.
-
-
Junior Member
- Вес репутации
- 60
"салат" удалил, оставил токо АВИРУ, скрипты выполнил, карантин прикрепил
есть замечания:
1. после удаления SpyBot через УСТАНОВКУ/УДАЛЕНИЕ ПРОГРАММ, всё ок,
но при удалении Windows Defender выскакивает окошко SpyBot: "...изменение затрагивающее важную запись реестра С:/Program Files/Windows Defender/MSASui.exe-hide" , т.е. уже удалённый SpyBot спрашивает "разрешить" или "запретить" эту запись в реестре, через УСТАНОВКУ/УДАЛЕНИЕ ПРОГРАММ я не вижу SpyBot, нo я его вижу через Program Files, пытаюсь удалить вручную и высскакивает окошко: "ОШИБКА ПРИ УДАЛЕНИИ ПАПКИ ИЛИ АРХИВА, невозможно удалить cafw.ехе, доступ запрещен, возможно диск полон или защищён от записи или архив используется в настоящий момент"
2.Идентичная ситуация с CA firewall
Добавлено через 1 час 35 минут
выполнил пункт правил 2 заново, ничего не найдено,
могу прикрепить сохранившийся лог Prevx CSI Log? esli nado!?
Последний раз редактировалось amistad-dm; 30.03.2008 в 16:10.
Причина: Добавлено
-
Не надо его лога. Подождем ответа аналитиков по поводу Вашего карантина.
-
-
Junior Member
- Вес репутации
- 60
kak dolgo zhdat
spasibo, komp uzhe ne peresilaet, i rabotaet gorazdo bisteree no xochu dovesti delo do konca
-
повторите логи начиная с пункта 10 правил ...
-
-
Junior Member
- Вес репутации
- 60
01.04.2008 logi
понятно, прикрепил,
Последний раз редактировалось amistad-dm; 13.04.2008 в 23:47.
-
пофиксите ...
Код:
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL (file missing)
O4 - HKLM\..\Run: [UserFaultCheck] C:\WINDOWS\system32\dumprep 0 -u
какие-то проблемы остались ?
-
-
Junior Member
- Вес репутации
- 60
cafheaxow
что делать с cafheaxow, я его вижу в скрытых папках по ранее указанному адресу, или он пролечен уже? есть ли другие?
-
Пришлите этот файлик в zip-архиве с паролем virus по этой ссылке: http://virusinfo.info/upload_virus.php?tid=20663
-
-
Junior Member
- Вес репутации
- 60
пришлю, но их три файла, прислать все три в одном zip?
-
-
-
Junior Member
- Вес репутации
- 60
prinimajte ))) этот файлик в zip-архиве с паролем virus по этой ссылке: http://virusinfo.info/upload_virus.php?tid=20663
Добавлено через 1 минуту
prinimajte ))) файликi в zip-архиве с паролем virus
Последний раз редактировалось amistad-dm; 02.04.2008 в 02:08.
Причина: Добавлено
-
cafheaxow.dat, cafheaxow_nav.dat, cafheaxow_navps.dat
Все три файла чистые.
Какие-то проблемы остались?
Последний раз редактировалось kps; 02.04.2008 в 13:06.
-
-
Junior Member
- Вес репутации
- 60
нет, благодарю, переадресаций нет, очень интересный сайт, уже посоветовал своей сестре, проблемы будут обращусь, всего вам доброго
-
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-