вот прям почувствовал трояна + хвала фаерволу смотрю в автозагрузке появились: 1) gadcom.exe 2) rundll32.exe с командой запуска C:\Windows\system32\swesavls.dll",b 3) Greek IBM 319 Keyboard Layout с командой запуска rundll32.exe C:\Windows\system32\fccdawVP.dll,#1 (не помню чтобы раньше висел в автозагрузке.) кто такой gadcom.exe(бэкдор) я нагуглил, а вот что за swesavls.dll не нашел. в поиске винды по запросу gadcom.exe и swesavls.dll выводит на файл sessionstore (файл сценария JScript) в C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\66cmxgbk.default доктор веб курейт, кстати, его не нашел. вопрос - это я по ссылке прошел что бэкдор попал ко мне? появившиеся программы в автозапуске это его рук дело или еще кто живет? что за дллка swesavls.dll?
rundll32.exe библиотека.dll,функция,параметры - относись к этому как exe, один хрен исполняемый код просто когда надо спрятать от юзера, так менее заметно кинь оба(три) файла на virustotal
System Changes %WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000) %SystemDir% = \WINDOWS\SYSTEM (Windows 98/ME), \WINDOWS\SYSTEM32 (Windows XP/Vista), \WINNT\SYSTEM32 (Windows NT/2000) %ProgramFiles% = \Program Files Следующие файлы были добавлены в систему: # %USERPROFILE%\application data\gadcom\ # %USERPROFILE%\local settings\temporary internet files\fbk.sts Следующие элементы реестра были изменены: # hkey_local_machine\system\currentcontrolset\control\session manager\ * pendingfilerenameoperations = \??\c:\documents and settings \administrator\application data\gadcom\gadcom.exe98g * pendingfilerenameoperations = \??\c:\documents and settings \administrator\application data\gadcom\gadcom.exe98g\??\c:\documents and settings\administrator\application data\gadcom # hkey_users\s-1-5-21-1202660629-602609370-839522115-500\software\microsoft\windows\currentversion\run\ * gadcom = "c:\documents and settings\administrator\application data \gadcom\gadcom.exe" посмотри у себя. может инфо пригодится. удачи в борьбе с вирем) (с)
кидал я на вирустотал gadcom.exe http://www.virustotal.com/ru/analisis/5f961eb68f7c10f236c19f66c4aabb1d swesavls.dll http://www.virustotal.com/ru/analisis/5f1b7f81c02624300c3c4552fd590b7b
удалил gadcom.exe и с автозагрузки пропала swesavls.dll интересно как сочетается и http://www.virustotal.com/ru/analisis/5f1b7f81c02624300c3c4552fd590b7b точнее чем бы её вылечить?
skmokwyy.dll эт откуда еще такое? такой библиотеки в системе не должно быть, однако всё его описание нагло списано с kbdhe319.dll, сравни поищи ссылки на нее в реестре и снеси, мне кажется эт лучший вариант
посмотрел на вирустотале кто обнаружил, поставил каспера и снес. crystalbit skmokwyy.dll снесло вместе с трояном. комодо видать спас от угона красивой шохи и пары вкусностей. троян через ИЕ ломился в нет. и да, видать рано мне еще на одни руки расчитывать(
