ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Безопасность > Защита ОС: вирусы, антивирусы, файрволы.
Перезагрузить страницу gadcom.exe
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

gadcom.exe
  #1  
Старый 23.11.2008, 16:25
оlbaneс
Moderator - Level 7
Регистрация: 05.11.2007
Сообщений: 894
Провел на форуме:
5609275

Репутация: 1474


По умолчанию gadcom.exe
вот прям почувствовал трояна + хвала фаерволу
смотрю в автозагрузке появились:
1) gadcom.exe
2) rundll32.exe с командой запуска C:\Windows\system32\swesavls.dll",b
3) Greek IBM 319 Keyboard Layout с командой запуска rundll32.exe C:\Windows\system32\fccdawVP.dll,#1 (не помню чтобы раньше висел в автозагрузке.)
кто такой gadcom.exe(бэкдор) я нагуглил, а вот что за swesavls.dll не нашел.
в поиске винды по запросу gadcom.exe и swesavls.dll
выводит на файл sessionstore (файл сценария JScript) в C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Pro files\66cmxgbk.default

доктор веб курейт, кстати, его не нашел.
вопрос -
это я по ссылке прошел что бэкдор попал ко мне?
появившиеся программы в автозапуске это его рук дело или еще кто живет?
что за дллка swesavls.dll?
 
Ответить с цитированием

  #2  
Старый 23.11.2008, 16:36
crystalbit
Участник форума
Регистрация: 06.06.2008
Сообщений: 171
Провел на форуме:
1085601

Репутация: 110
Отправить сообщение для crystalbit с помощью ICQ
По умолчанию
rundll32.exe библиотека.dll,функция,парам етры - относись к этому как exe, один хрен исполняемый код

просто когда надо спрятать от юзера, так менее заметно

кинь оба(три) файла на virustotal
 
Ответить с цитированием

  #3  
Старый 23.11.2008, 16:59
NetSter
студент
Регистрация: 30.07.2007
Сообщений: 800
Провел на форуме:
4275992

Репутация: 1188


По умолчанию
System Changes

%WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000)
%SystemDir% = \WINDOWS\SYSTEM (Windows 98/ME), \WINDOWS\SYSTEM32 (Windows XP/Vista), \WINNT\SYSTEM32 (Windows NT/2000)
%ProgramFiles% = \Program Files

Следующие файлы были добавлены в систему:

# %USERPROFILE%\application data\gadcom\
# %USERPROFILE%\local settings\temporary internet files\fbk.sts

Следующие элементы реестра были изменены:
# hkey_local_machine\system\currentcontrolset\contro l\session manager\

* pendingfilerenameoperations = \??\c:\documents and settings
\administrator\application data\gadcom\gadcom.exe98g
* pendingfilerenameoperations = \??\c:\documents and settings
\administrator\application data\gadcom\gadcom.exe98g\??\c:\documents
and settings\administrator\application data\gadcom

# hkey_users\s-1-5-21-1202660629-602609370-839522115-500\software\microsoft\windows\currentversion\run\

* gadcom = "c:\documents and settings\administrator\application data
\gadcom\gadcom.exe"
посмотри у себя. может инфо пригодится. удачи в борьбе с вирем)

(с)
 
Ответить с цитированием

  #4  
Старый 23.11.2008, 17:02
оlbaneс
Moderator - Level 7
Регистрация: 05.11.2007
Сообщений: 894
Провел на форуме:
5609275

Репутация: 1474


По умолчанию
кидал я на вирустотал
gadcom.exe http://www.virustotal.com/ru/analisis/5f961eb68f7c10f236c19f66c4aabb1d
swesavls.dll http://www.virustotal.com/ru/analisis/5f1b7f81c02624300c3c4552fd590b7b
 
Ответить с цитированием

  #5  
Старый 23.11.2008, 19:05
оlbaneс
Moderator - Level 7
Регистрация: 05.11.2007
Сообщений: 894
Провел на форуме:
5609275

Репутация: 1474


По умолчанию
удалил gadcom.exe и с автозагрузки пропала swesavls.dll

интересно как сочетается

и http://www.virustotal.com/ru/analisis/5f1b7f81c02624300c3c4552fd590b7b
точнее чем бы её вылечить?
Последний раз редактировалось оlbaneс; 23.11.2008 в 19:17..
 
Ответить с цитированием

  #6  
Старый 23.11.2008, 21:06
crystalbit
Участник форума
Регистрация: 06.06.2008
Сообщений: 171
Провел на форуме:
1085601

Репутация: 110
Отправить сообщение для crystalbit с помощью ICQ
По умолчанию
skmokwyy.dll эт откуда еще такое?
такой библиотеки в системе не должно быть,
однако всё его описание нагло списано с kbdhe319.dll, сравни

поищи ссылки на нее в реестре и снеси, мне кажется эт лучший вариант
 
Ответить с цитированием

  #7  
Старый 24.11.2008, 03:42
0verbreaK
Постоянный
Регистрация: 30.04.2008
Сообщений: 323
Провел на форуме:
379101

Репутация: 136
По умолчанию
Приатач вирус
 
Ответить с цитированием

  #8  
Старый 24.11.2008, 15:06
оlbaneс
Moderator - Level 7
Регистрация: 05.11.2007
Сообщений: 894
Провел на форуме:
5609275

Репутация: 1474


По умолчанию
Цитата:
Сообщение от 0verbreaK  
Приатач вирус
посмотрел на вирустотале кто обнаружил, поставил каспера и снес.
crystalbit skmokwyy.dll снесло вместе с трояном.
комодо видать спас от угона красивой шохи и пары вкусностей. троян через ИЕ ломился в нет.

и да, видать рано мне еще на одни руки расчитывать(
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ