Модификация URL, Браузер перекидывает на http://yandexapps.com/... и http://gcoglestats.com/...
Добрый день. Браузер Firefox 8 при попытке зайти практически на любой сайт перекидывает на http://yandexapps.com/... и http://gcoglestats.com/... . Касперский 6.0.4.1424 блокирует перенаправленние, браузер отображает сайт корректно. Браузер Chrome не открывает не одной веб странички (также как и ИЕ9). Визуально в страке набора URL браузера Firefox 8 не видно, что URL модифицирован. Предупредил о модификации URL касперский 6.0.4.1424.
Касперский 6.0.4.1424 блокирует перенаправленние>>>
PHP код:
[QUOTE]обнаружено: вредоносная программа URL-адрес: http://94.102.49.64/loPtfdn3dSasoicn/get.php?key=490&id=789B8DA20075E090000B0D0565890000&os=5.1.2600.3&av=16&vm=0&al=0&p=70&z=351 обнаружено: вредоносная программа URL-адрес: http://gcoglestats.com/loPtfdn3dSasoicn/get.php?key=490&id=789B8DA20075E090000B0D0565890000&os=5.1.2600.3&av=16&vm=0&al=0&p=70&z=351 обнаружено: вредоносная программа URL-адрес: http://gcoglestats.com/loPtfdn3dSasoicn/js.php?t=stat&ran=IXNj44lfTnkK9sJJVW9nJ44%2BmUCumkfydDixrlTZKeu9UxdM7q%2FzzJOrkU%2FXwtEo&r=&u=http%3A//vkontakte.ru/&v=351&0.6739362518206293 обнаружено: вредоносная программа URL-адрес: http://gcoglestats.com/loPtfdn3dSasoicn/js.php?t=stat&ran=IXNj44lfTnkK9sJJVW9nJ44%2BmUCumkfydDixrlTZKeu9UxdM7q%2FzzJOrkU%2FXwtEo&r=http%3A//www.dd.vaz.ru/GDD/inform.html&u=http%3A//www.dd.vaz.ru/weather/&v=351&0.8406506896881467 обнаружено: вредоносная программа URL-адрес: http://yandexapps.com/loPtfdn3dSasoicn/get.php?key=490&id=789B8DA20075E090000B0D0565890000&os=5.1.2600.3&av=16&vm=0&al=0&p=70&z=351 обнаружено: вредоносная программа URL-адрес: http://yandexapps.com/loPtfdn3dSasoicn/post.php?id=789B8DA20075E090000B0D0565890000&form=do%3Dautosave%26securitytoken%3D1321531174%2D66eb1ca1619016a176018ca395354be2ed697416%26posthash%3Da585c80a19307dd92f173228f20114b4%26poststarttime%3D1321531174%26ajax%3D1%26%26pagetext%3D&url=http%3A%2F%2Fvirusinfo%2Einfo%2Fajax%2Ephp%3Fdo%3Dautosave обнаружено: вредоносная программа URL-адрес: http://yandexapps.com/loPtfdn3dSasoicn/post.php?id=789B8DA20075E090000B0D0565890000&form=goog%2Dmalware%2Dshavar%3Ba%3A39846%2D56962%3As%3A52597%2D66651%3Amac%Agoog%2Dphish%2Dshavar%3Ba%3A164478%2D178446%3As%3A80491%2D85642%3Amac%Agoog%2Dbadbinurl%2Dshavar%3Ba%3A137%2D3059%3As%3A61%2D2754%3Amac%Agoog%2Dbadbin%2Ddigestvar%3Ba%3A19%2D2421%3As%3A3%2D819%3Amac%A&url=http%3A%2F%2Fsafebrowsing%2Eclients%2Egoogle%2Ecom%2Fsafebrowsing%2Fdownloads%3Fclient%3Dgooglechrome%26appver%3D12%2E0%2E742%2E122%26pver%3D2%2E2%26wrkey%3DAKEgNisFpAbYPflY%2DxUe2axPgPtP9wA860%5FeTs9zH83iOC%2Dwo45pjFuZFbmgQNck1mNVEl2GrL8msHlz21I1rr5CC53PVILCdw%3D%3D обнаружено: вредоносная программа URL-адрес: http://yandexapps.com/loPtfdn3dSasoicn/post.php?id=789B8DA20075E090000B0D0565890000&form=goog%2Dmalware%2Dshavar%3Ba%3A39862%2D56995%3As%3A52611%2D66668%3Amac%Agoog%2Dphish%2Dshavar%3Ba%3A164638%2D178514%3As%3A80545%2D85682%3Amac%A&url=http%3A%2F%2Fsafebrowsing%2Eclients%2Egoogle%2Ecom%2Fsafebrowsing%2Fdownloads%3Fclient%3Dnavclient%2Dauto%2Dffox%26appver%3D8%2E0%26pver%3D2%2E2%26wrkey%3DAKEgNisYSVndBrl2u7qavWIk08EwPYUDrnZxIZ0KOw1%5FaYUSlYiy4qAhtFDnvltRHRo%5Fy4%5FsGuFb7sQRxSCXf6i9ktmM%2D2HeSw%3D%3D обнаружено: вредоносная программа URL-адрес: http://yandexapps.com/loPtfdn3dSasoicn/post.php?id=789B8DA20075E090000B0D0565890000&form=securitytoken%3D1321533819%2D324a234fd8f25328fd874d27d01bf05a7faa000f%26posthash%3Da585c80a19307dd92f173228f20114b4%26poststarttime%3D1321531174%26ajax%3D1%26do%3Dloadassets%26contenttypeid%3D1%26categoryid%3D0%26orderby%3Ddate%26sortorder%3Ddesc%26view%3Dthumbnail%26page%3D1%26init%3D1&url=http%3A%2F%2Fvirusinfo%2Einfo%2Fassetmanage%2Ephp обнаружено: вредоносная программа URL-адрес: http://yandexapps.com/loPtfdn3dSasoicn/post.php?id=789B8DA20075E090000B0D0565890000&form=securitytoken%3D1321533819%2D324a234fd8f25328fd874d27d01bf05a7faa000f%26posthash%3Da585c80a19307dd92f173228f20114b4%26poststarttime%3D1321531174%26ajax%3D1%26do%3Dloadnode%26parentid%3D0&url=http%3A%2F%2Fvirusinfo%2Einfo%2Fassetmanage%2Ephp обнаружено: вредоносная программа URL-адрес: http://yandexapps.com/loPtfdn3dSasoicn/post.php?id=789B8DA20075E090000B0D0565890000&form=securitytoken%3D1321533916%2D8abf59b8486205940c852a247d3b94918f767397%26posthash%3Da585c80a19307dd92f173228f20114b4%26poststarttime%3D1321531174%26ajax%3D1%26do%3Dloadassets%26contenttypeid%3D1%26categoryid%3D0%26orderby%3Ddate%26sortorder%3Ddesc%26view%3Dthumbnail%26page%3D1%26init%3D1&url=http%3A%2F%2Fvirusinfo%2Einfo%2Fassetmanage%2Ephp обнаружено: вредоносная программа URL-адрес: http://yandexapps.com/loPtfdn3dSasoicn/post.php?id=789B8DA20075E090000B0D0565890000&form=securitytoken%3D1321533916%2D8abf59b8486205940c852a247d3b94918f767397%26posthash%3Da585c80a19307dd92f173228f20114b4%26poststarttime%3D1321531174%26ajax%3D1%26do%3Dloadnode%26parentid%3D0&url=http%3A%2F%2Fvirusinfo%2Einfo%2Fassetmanage%2Ephp обнаружено: вредоносная программа URL-адрес: http://yandexapps.com/loPtfdn3dSasoicn/post.php?id=789B8DA20075E090000B0D0565890000&form=ver%3D6%2E0%26clid%3D1570781%26brandID%3Dyandex%26ui%3D6abbca48%2Df82c%2D4eb7%2Da5c0%2D0c2bc108f386%26r1%3Dnjnxjepvsudsevtipioppcsphtkrqtwdgbxfkcuqtyyaefarismaacjlwmwsxssbmbwhyfdixelsenqewmghcrwoxehewebwggtnf960d7ef185e009451dcc09904fbaa6c%26urlinfo%3D2%26url%3Dhttp%3A%2F%2Fvirusinfo%2Einfo&url=http%3A%2F%2Fbar%2Dnavig%2Eyandex%2Eru%2Fu обнаружено: вредоносная программа URL-адрес: http://yandexapps.com/loPtfdn3dSasoicn/post.php?id=789B8DA20075E090000B0D0565890000&form=ver%3D6%2E0%26clid%3D1570781%26brandID%3Dyandex%26ui%3D6abbca48%2Df82c%2D4eb7%2Da5c0%2D0c2bc108f386%26r1%3Dnjnxjepvsudsevtipioppcsphtkrqtwdgbxfkcuqtyyaefarismaacjlwmwsxssbmbwhyfdixelsenqewmghcrwoxehewebwggtnf960d7ef185e009451dcc09904fbaa6c%26urlinfo%3D2%26url%3Dhttp%3A%2F%2Fwww%2Ethreatexpert&url=http%3A%2F%2Fbar%2Dnavig%2Eyandex%2Eru%2Fu обнаружено: вредоносная программа URL-адрес: http://yandexapps.com/loPtfdn3dSasoicn/post.php?id=789B8DA20075E090000B0D0565890000&form=ver%3D6%2E0%26httpstatus%3D200%26clid%3D1570781%26brandID%3Dyandex%26ui%3D6abbca48%2Df82c%2D4eb7%2Da5c0%2D0c2bc108f386%26r1%3Dnjnxjepvsudsevtipioppcsphtkrqtwdgbxfkcuqtyyaefarismaacjlwmwsxssbmbwhyfdixelsenqewmghcrwoxehewebwggtnf960d7ef185e009451dcc09904fbaa6c%26urlinfo%3D2%26url%3Dhttp%3A%2F%2Fv&url=http%3A%2F%2Fbar%2Dnavig%2Eyandex%2Eru%2Fu обнаружено: вредоносная программа URL-адрес: http://yandexapps.com/loPtfdn3dSasoicn/post.php?id=789B8DA20075E090000B0D0565890000&form=version%3D1%2E2%26apikey%3DAQIAAHBWEoNf%2FVB4O81cL2HOFJvtdNtP%26nogeocode&url=http%3A%2F%2Fwi2geo%2Emobile%2Eyandex%2Enet%2Fgetlocation[/QUOTE]
Касперский при полном сканировании отловил:
PHP код:
Удалено троянская программа Trojan-Ransom.Win32.Cidox.gen C:\WINDOWS\system32\4A.tmp Удалено троянская программа Trojan-Ransom.Win32.Cidox.gen C:\System Volume Information\_restore{707B3399-72F2-46B7-88C0-D00EAAFE64AE}\RP819\A0167057.dll
Но Браузер Firefox 8 также перекидывает, а Браузер Chrome не открывает не одной веб странички
Будьте добры, помогите пожалуйста.
Последний раз редактировалось V_Bond; 17.11.2011 в 17:06.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Роман_В, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Спасибо, работоспособность браузеров вроде восстановлена. В течение часа касперский молчит
Карантин отослан согласно приложения 3
PHP код:
Файл сохранён как 111118_060242_virus_4ec5f502d1947.zip Размер файла 30627 MD5 c93777029619f0ca415ac00d4c54fef7 Файл закачан, спасибо!
Логи прилагаю.
P.S. запутался с логами в веб интерфейсе, попытался распутать. Если логи не той даты готов попробовать закинуть их ещё раз.
P.P.S. После перезагрузке и запуска Firefox обнаружено, что всё таки где-то что-то осталось. касперский ругается только в самом начале.
PHP код:
обнаружено: вредоносная программа URL-адрес: http://gcoglestats.com/loPtfdn3dSasoicn/js.php?t=stat&ran=IXNj44lfTnkK9sJJVW9nJ44%2BmUCumkfydDixrlTZKeu9UxdM7q%2FzzJOrkU%2FXwtEo&r=http%3A//www.dd.vaz.ru/GDD/inform.html&u=http%3A//www.dd.vaz.ru/weather/&v=351&0.08270528667558874 обнаружено: вредоносная программа URL-адрес: http://gcoglestats.com/loPtfdn3dSasoicn/js.php?t=stat&ran=IXNj44lfTnkK9sJJVW9nJ44%2BmUCumkfydDixrlTZKeu9UxdM7q%2FzzJOrkU%2FXwtEo&r=http%3A//www.dd.vaz.ru/GDD/inform.html&u=http%3A//www.dd.vaz.ru/weather/&v=351&0.4083401821839381
При открытии других страниц или тех же самых URL, новых сообщений от касперского не поступает. Очистка кеша браузера вроде решила проблему.
Последний раз редактировалось Роман_В; 18.11.2011 в 12:41.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: