Осторожно! Эксплоит на goodman.ru

[centur]

Всем привет.
Хочу предупредить об эксплоите на сайте goodman.ru
каким-то образом вызывается вот этот скрипт
hXXp://bobo32.org/o0o/exp/qt.php
и идет попытка внедрения через ActiveX
На работе уже словил =( нортон хоть и ругался но пропустил момент внедрения и только смог вычистить кэш.
в итоге AVZ показывает перехват 2х методов в ntdll.dll LdrService или типа того и что-то связанное с реестром (сейчас не могу сказать точно - отключил компьютер от сети почти сразу, хотя и не успел).
Как результат - сегодня поменяли пароль на 6-тизнак ICQ и на почту на gmail.com ( все восстановил вроде бы ).
В системе появился внедренный atixdaxx.dll, HijackThis не чистит его (хотя я мог забыть закрыть IE когда чистил), AVZ тоже только констатирует перехват методов ntdll.dll с помощью APICodeHijack.JmpTo, как лечить - не понимаю или avz не лечит
Через sysinternals Process Explorer - не смог найти и убить библиотеку в памяти. В общем в понедельник-то я продолжу бой, но если посоветуете чем вылечить - буду очень благодарен.

PS извините если где в описании допустил ошибки, пишу в меру знаний и понимания. Не стреляйте в пианиста, он играет как умеет.

[drongo]

Без активных ссылок пожалуйста, люди любят нажимать. Если сами не можете справиться, правила ждут

[Макcим]

Вирусные аналитики Лаборатории Касперского выловили хороший улов

Trojan-PSW.Win32.LdPinch.buj,
Backdoor.Win32.Agent.alm

уже детектировались

Trojan-Downloader.JS.Agent.jn
Trojan-Spy.Win32.Banker.crq,
Backdoor.Win32.Small.ls,
Trojan-Downloader.Win32.Small.ert

Добавлены в базы.

[ВодкуГлыть]

Вирусные аналитики Лаборатории Касперского выловили хороший улов
уже детектировались
Добавлены в базы.

свеженькие все какие зверята!

[centur]

Спасибо за направление на правила =) (к своему стыду не прочитал их заранее). В общем путем следования "истинам" с этого форума - в SafeMode CureIt вылечил 2 трояна, при запуске AZV в режиме лечения\сбора информации нашелся еще один в System Restore (Goldun.ph, а что CureIt вылечил -я не запомнил). Вроде как все чисто теперь, можно успокоится (дома уже поставил Comodo + Active Virus Shield и обновил базы . Жене не очень комфортно, но зато безопасно).

PS что больше всего расстраивает пока так это то, что у гудмана все еще висит этот троян, а на сайте контакты не нашел - им самим надо сказать, чтобы фиксили, ресторан-то солидный, и люди могут быть "приятно удивлены", даже без посещения всяких кряк сайтов, а просто находясь в вполне "безопасной" зоне интернета.

[drongo]

centur, Вы правила не до конца выполнили, логов с темой нет Вполне возможно что-то ещё и осталось из зоопаркаНасчёт сообщить, вы же в Москве живёте, позвоните

[centur]

Хорошо, сделаю логи, хотя уже почему то кажется что они чистые будут.


edited: сделал логи а загрузить не могу (из-за того что логи по 200кб в архиве каждый (распакованные - 3 Мб), в свое время ставил антибаннерный hosts файл - он полностью теперь в логах )

[mayas]

зашел по сцыле файрфоксом предложидли что-то сохранить на диск файловый монитор KAV удалил то что я сохранил
вывод: не ходите по сцылам IE и будет вам счастIE

[nsl]

каким-то образом вызывается вот этот скрипт
Кто нибудь может подсказать каким образом это происходит. Доступ к сайту только у меня, но появилась эта переадресация ума не приложу как убить

[drongo]

nsl, http://virusinfo.info/showthread.php?t=9116

[nsl]

nsl, http://virusinfo.info/showthread.php?t=9116

Спасибо. Тепрь еще бы образец кода. Лопатить и лопатить. Но направление указано - еще раз спасибо

[drongo]

nsl,Не забудьте выполнить правила, может что и найдём.