1. оlbaneс

    оlbaneс Moderator

    Joined:
    5 Nov 2007
    Messages:
    1,378
    Likes Received:
    1,095
    Reputations:
    356
    вот прям почувствовал трояна + хвала фаерволу
    смотрю в автозагрузке появились:
    1) gadcom.exe
    2) rundll32.exe с командой запуска C:\Windows\system32\swesavls.dll",b
    3) Greek IBM 319 Keyboard Layout с командой запуска rundll32.exe C:\Windows\system32\fccdawVP.dll,#1 (не помню чтобы раньше висел в автозагрузке.)
    кто такой gadcom.exe(бэкдор) я нагуглил, а вот что за swesavls.dll не нашел.
    в поиске винды по запросу gadcom.exe и swesavls.dll
    выводит на файл sessionstore (файл сценария JScript) в C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\66cmxgbk.default

    доктор веб курейт, кстати, его не нашел.
    вопрос -
    это я по ссылке прошел что бэкдор попал ко мне?
    появившиеся программы в автозапуске это его рук дело или еще кто живет?
    что за дллка swesavls.dll?
     
    _________________________
  2. crystalbit

    crystalbit Elder - Старейшина

    Joined:
    6 Jun 2008
    Messages:
    212
    Likes Received:
    88
    Reputations:
    8
    rundll32.exe библиотека.dll,функция,параметры - относись к этому как exe, один хрен исполняемый код

    просто когда надо спрятать от юзера, так менее заметно

    кинь оба(три) файла на virustotal
     
    1 person likes this.
  3. NetSter

    NetSter Moderator

    Joined:
    30 Jul 2007
    Messages:
    810
    Likes Received:
    414
    Reputations:
    62
    System Changes

    %WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000)
    %SystemDir% = \WINDOWS\SYSTEM (Windows 98/ME), \WINDOWS\SYSTEM32 (Windows XP/Vista), \WINNT\SYSTEM32 (Windows NT/2000)
    %ProgramFiles% = \Program Files

    Следующие файлы были добавлены в систему:


    # %USERPROFILE%\application data\gadcom\
    # %USERPROFILE%\local settings\temporary internet files\fbk.sts

    Следующие элементы реестра были изменены:
    # hkey_local_machine\system\currentcontrolset\control\session manager\

    * pendingfilerenameoperations = \??\c:\documents and settings
    \administrator\application data\gadcom\gadcom.exe98g
    * pendingfilerenameoperations = \??\c:\documents and settings
    \administrator\application data\gadcom\gadcom.exe98g\??\c:\documents
    and settings\administrator\application data\gadcom

    # hkey_users\s-1-5-21-1202660629-602609370-839522115-500\software\microsoft\windows\currentversion\run\

    * gadcom = "c:\documents and settings\administrator\application data
    \gadcom\gadcom.exe"
    посмотри у себя. может инфо пригодится. удачи в борьбе с вирем)

    (с)
     
    _________________________
    1 person likes this.
  4. оlbaneс

    оlbaneс Moderator

    Joined:
    5 Nov 2007
    Messages:
    1,378
    Likes Received:
    1,095
    Reputations:
    356
    кидал я на вирустотал
    gadcom.exe http://www.virustotal.com/ru/analisis/5f961eb68f7c10f236c19f66c4aabb1d
    swesavls.dll http://www.virustotal.com/ru/analisis/5f1b7f81c02624300c3c4552fd590b7b
     
    _________________________
  5. оlbaneс

    оlbaneс Moderator

    Joined:
    5 Nov 2007
    Messages:
    1,378
    Likes Received:
    1,095
    Reputations:
    356
    удалил gadcom.exe и с автозагрузки пропала swesavls.dll

    интересно как сочетается
    [​IMG]
    и http://www.virustotal.com/ru/analisis/5f1b7f81c02624300c3c4552fd590b7b
    точнее чем бы её вылечить?
     
    _________________________
    #5 оlbaneс, 23 Nov 2008
    Last edited: 23 Nov 2008
  6. crystalbit

    crystalbit Elder - Старейшина

    Joined:
    6 Jun 2008
    Messages:
    212
    Likes Received:
    88
    Reputations:
    8
    skmokwyy.dll эт откуда еще такое?
    такой библиотеки в системе не должно быть,
    однако всё его описание нагло списано с kbdhe319.dll, сравни

    поищи ссылки на нее в реестре и снеси, мне кажется эт лучший вариант
     
  7. 0verbreaK

    0verbreaK Elder - Старейшина

    Joined:
    30 Apr 2008
    Messages:
    318
    Likes Received:
    42
    Reputations:
    -3
    Приатач вирус
     
  8. оlbaneс

    оlbaneс Moderator

    Joined:
    5 Nov 2007
    Messages:
    1,378
    Likes Received:
    1,095
    Reputations:
    356
    посмотрел на вирустотале кто обнаружил, поставил каспера и снес.
    crystalbit skmokwyy.dll снесло вместе с трояном.
    комодо видать спас от угона красивой шохи и пары вкусностей. троян через ИЕ ломился в нет.

    и да, видать рано мне еще на одни руки расчитывать(
     
    _________________________