-
Junior Member
- Вес репутации
- 62
Осторожно! Эксплоит на goodman.ru
Всем привет.
Хочу предупредить об эксплоите на сайте goodman.ru
каким-то образом вызывается вот этот скрипт
hXXp://bobo32.org/o0o/exp/qt.php
и идет попытка внедрения через ActiveX
На работе уже словил =( нортон хоть и ругался но пропустил момент внедрения и только смог вычистить кэш.
в итоге AVZ показывает перехват 2х методов в ntdll.dll LdrService или типа того и что-то связанное с реестром (сейчас не могу сказать точно - отключил компьютер от сети почти сразу, хотя и не успел).
Как результат - сегодня поменяли пароль на 6-тизнак ICQ и на почту на gmail.com ( все восстановил вроде бы ).
В системе появился внедренный atixdaxx.dll, HijackThis не чистит его (хотя я мог забыть закрыть IE когда чистил), AVZ тоже только констатирует перехват методов ntdll.dll с помощью APICodeHijack.JmpTo, как лечить - не понимаю или avz не лечит
Через sysinternals Process Explorer - не смог найти и убить библиотеку в памяти. В общем в понедельник-то я продолжу бой, но если посоветуете чем вылечить - буду очень благодарен.
PS извините если где в описании допустил ошибки, пишу в меру знаний и понимания. Не стреляйте в пианиста, он играет как умеет.
Последний раз редактировалось drongo; 23.06.2007 в 00:48.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Без активных ссылок пожалуйста, люди любят нажимать. Если сами не можете справиться, правила ждут
Последний раз редактировалось drongo; 23.06.2007 в 11:38.
-
-
Вирусные аналитики Лаборатории Касперского выловили хороший улов
Trojan-PSW.Win32.LdPinch.buj,
Backdoor.Win32.Agent.alm
уже детектировались
Trojan-Downloader.JS.Agent.jn
Trojan-Spy.Win32.Banker.crq,
Backdoor.Win32.Small.ls,
Trojan-Downloader.Win32.Small.ert
Добавлены в базы.
-
-
Сообщение от
Maxim
Вирусные аналитики Лаборатории Касперского выловили хороший улов
уже детектировались
Добавлены в базы.
свеженькие все какие зверята!
-
-
Junior Member
- Вес репутации
- 62
Спасибо за направление на правила =) (к своему стыду не прочитал их заранее). В общем путем следования "истинам" с этого форума - в SafeMode CureIt вылечил 2 трояна, при запуске AZV в режиме лечения\сбора информации нашелся еще один в System Restore (Goldun.ph, а что CureIt вылечил -я не запомнил). Вроде как все чисто теперь, можно успокоится (дома уже поставил Comodo + Active Virus Shield и обновил базы . Жене не очень комфортно, но зато безопасно).
PS что больше всего расстраивает пока так это то, что у гудмана все еще висит этот троян, а на сайте контакты не нашел - им самим надо сказать, чтобы фиксили, ресторан-то солидный, и люди могут быть "приятно удивлены", даже без посещения всяких кряк сайтов, а просто находясь в вполне "безопасной" зоне интернета.
-
-
-
Junior Member
- Вес репутации
- 62
Хорошо, сделаю логи, хотя уже почему то кажется что они чистые будут.
edited: сделал логи а загрузить не могу (из-за того что логи по 200кб в архиве каждый (распакованные - 3 Мб), в свое время ставил антибаннерный hosts файл - он полностью теперь в логах )
Последний раз редактировалось centur; 25.06.2007 в 13:41.
Причина: логи не вмещаются в лимит
-
зашел по сцыле файрфоксом предложидли что-то сохранить на диск файловый монитор KAV удалил то что я сохранил
вывод: не ходите по сцылам IE и будет вам счастIE
Последний раз редактировалось mayas; 29.06.2007 в 22:32.
-
Junior Member
- Вес репутации
- 62
каким-то образом вызывается вот этот скрипт
Кто нибудь может подсказать каким образом это происходит. Доступ к сайту только у меня, но появилась эта переадресация ума не приложу как убить
-
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
drongo
Спасибо. Тепрь еще бы образец кода. Лопатить и лопатить. Но направление указано - еще раз спасибо
-
nsl,Не забудьте выполнить правила, может что и найдём.
-