Показано с 1 по 5 из 5.

Модификация URL, Браузер перекидывает на http://yandexapps.com/... и http://gcoglestats.com/... (заявка № 112555)

  1. #1
    Junior Member Репутация
    Регистрация
    17.11.2011
    Сообщений
    2
    Вес репутации
    46

    Модификация URL, Браузер перекидывает на http://yandexapps.com/... и http://gcoglestats.com/...

    Добрый день. Браузер Firefox 8 при попытке зайти практически на любой сайт перекидывает на http://yandexapps.com/... и http://gcoglestats.com/... . Касперский 6.0.4.1424 блокирует перенаправленние, браузер отображает сайт корректно. Браузер Chrome не открывает не одной веб странички (также как и ИЕ9). Визуально в страке набора URL браузера Firefox 8 не видно, что URL модифицирован. Предупредил о модификации URL касперский 6.0.4.1424.
    Касперский 6.0.4.1424 блокирует перенаправленние>>>
    PHP код:
    [QUOTE]обнаруженовредоносная программа    URL-адресhttp://94.102.49.64/loPtfdn3dSasoicn/get.php?key=490&id=789B8DA20075E090000B0D0565890000&os=5.1.2600.3&av=16&vm=0&al=0&p=70&z=351
    обнаруженовредоносная программа    URL-адресhttp://gcoglestats.com/loPtfdn3dSasoicn/get.php?key=490&id=789B8DA20075E090000B0D0565890000&os=5.1.2600.3&av=16&vm=0&al=0&p=70&z=351
    обнаруженовредоносная программа    URL-адресhttp://gcoglestats.com/loPtfdn3dSasoicn/js.php?t=stat&ran=IXNj44lfTnkK9sJJVW9nJ44%2BmUCumkfydDixrlTZKeu9UxdM7q%2FzzJOrkU%2FXwtEo&r=&u=http%3A//vkontakte.ru/&v=351&0.6739362518206293
    обнаруженовредоносная программа    URL-адресhttp://gcoglestats.com/loPtfdn3dSasoicn/js.php?t=stat&ran=IXNj44lfTnkK9sJJVW9nJ44%2BmUCumkfydDixrlTZKeu9UxdM7q%2FzzJOrkU%2FXwtEo&r=http%3A//www.dd.vaz.ru/GDD/inform.html&u=http%3A//www.dd.vaz.ru/weather/&v=351&0.8406506896881467
    обнаруженовредоносная программа    URL-адресhttp://yandexapps.com/loPtfdn3dSasoicn/get.php?key=490&id=789B8DA20075E090000B0D0565890000&os=5.1.2600.3&av=16&vm=0&al=0&p=70&z=351
    обнаруженовредоносная программа    URL-адресhttp://yandexapps.com/loPtfdn3dSasoicn/post.php?id=789B8DA20075E090000B0D0565890000&form=do%3Dautosave%26securitytoken%3D1321531174%2D66eb1ca1619016a176018ca395354be2ed697416%26posthash%3Da585c80a19307dd92f173228f20114b4%26poststarttime%3D1321531174%26ajax%3D1%26%26pagetext%3D&url=http%3A%2F%2Fvirusinfo%2Einfo%2Fajax%2Ephp%3Fdo%3Dautosave
    обнаруженовредоносная программа    URL-адресhttp://yandexapps.com/loPtfdn3dSasoicn/post.php?id=789B8DA20075E090000B0D0565890000&form=goog%2Dmalware%2Dshavar%3Ba%3A39846%2D56962%3As%3A52597%2D66651%3Amac%Agoog%2Dphish%2Dshavar%3Ba%3A164478%2D178446%3As%3A80491%2D85642%3Amac%Agoog%2Dbadbinurl%2Dshavar%3Ba%3A137%2D3059%3As%3A61%2D2754%3Amac%Agoog%2Dbadbin%2Ddigestvar%3Ba%3A19%2D2421%3As%3A3%2D819%3Amac%A&url=http%3A%2F%2Fsafebrowsing%2Eclients%2Egoogle%2Ecom%2Fsafebrowsing%2Fdownloads%3Fclient%3Dgooglechrome%26appver%3D12%2E0%2E742%2E122%26pver%3D2%2E2%26wrkey%3DAKEgNisFpAbYPflY%2DxUe2axPgPtP9wA860%5FeTs9zH83iOC%2Dwo45pjFuZFbmgQNck1mNVEl2GrL8msHlz21I1rr5CC53PVILCdw%3D%3D
    обнаруженовредоносная программа    URL-адресhttp://yandexapps.com/loPtfdn3dSasoicn/post.php?id=789B8DA20075E090000B0D0565890000&form=goog%2Dmalware%2Dshavar%3Ba%3A39862%2D56995%3As%3A52611%2D66668%3Amac%Agoog%2Dphish%2Dshavar%3Ba%3A164638%2D178514%3As%3A80545%2D85682%3Amac%A&url=http%3A%2F%2Fsafebrowsing%2Eclients%2Egoogle%2Ecom%2Fsafebrowsing%2Fdownloads%3Fclient%3Dnavclient%2Dauto%2Dffox%26appver%3D8%2E0%26pver%3D2%2E2%26wrkey%3DAKEgNisYSVndBrl2u7qavWIk08EwPYUDrnZxIZ0KOw1%5FaYUSlYiy4qAhtFDnvltRHRo%5Fy4%5FsGuFb7sQRxSCXf6i9ktmM%2D2HeSw%3D%3D
    обнаруженовредоносная программа    URL-адресhttp://yandexapps.com/loPtfdn3dSasoicn/post.php?id=789B8DA20075E090000B0D0565890000&form=securitytoken%3D1321533819%2D324a234fd8f25328fd874d27d01bf05a7faa000f%26posthash%3Da585c80a19307dd92f173228f20114b4%26poststarttime%3D1321531174%26ajax%3D1%26do%3Dloadassets%26contenttypeid%3D1%26categoryid%3D0%26orderby%3Ddate%26sortorder%3Ddesc%26view%3Dthumbnail%26page%3D1%26init%3D1&url=http%3A%2F%2Fvirusinfo%2Einfo%2Fassetmanage%2Ephp
    обнаруженовредоносная программа    URL-адресhttp://yandexapps.com/loPtfdn3dSasoicn/post.php?id=789B8DA20075E090000B0D0565890000&form=securitytoken%3D1321533819%2D324a234fd8f25328fd874d27d01bf05a7faa000f%26posthash%3Da585c80a19307dd92f173228f20114b4%26poststarttime%3D1321531174%26ajax%3D1%26do%3Dloadnode%26parentid%3D0&url=http%3A%2F%2Fvirusinfo%2Einfo%2Fassetmanage%2Ephp
    обнаруженовредоносная программа    URL-адресhttp://yandexapps.com/loPtfdn3dSasoicn/post.php?id=789B8DA20075E090000B0D0565890000&form=securitytoken%3D1321533916%2D8abf59b8486205940c852a247d3b94918f767397%26posthash%3Da585c80a19307dd92f173228f20114b4%26poststarttime%3D1321531174%26ajax%3D1%26do%3Dloadassets%26contenttypeid%3D1%26categoryid%3D0%26orderby%3Ddate%26sortorder%3Ddesc%26view%3Dthumbnail%26page%3D1%26init%3D1&url=http%3A%2F%2Fvirusinfo%2Einfo%2Fassetmanage%2Ephp
    обнаруженовредоносная программа    URL-адресhttp://yandexapps.com/loPtfdn3dSasoicn/post.php?id=789B8DA20075E090000B0D0565890000&form=securitytoken%3D1321533916%2D8abf59b8486205940c852a247d3b94918f767397%26posthash%3Da585c80a19307dd92f173228f20114b4%26poststarttime%3D1321531174%26ajax%3D1%26do%3Dloadnode%26parentid%3D0&url=http%3A%2F%2Fvirusinfo%2Einfo%2Fassetmanage%2Ephp
    обнаруженовредоносная программа    URL-адресhttp://yandexapps.com/loPtfdn3dSasoicn/post.php?id=789B8DA20075E090000B0D0565890000&form=ver%3D6%2E0%26clid%3D1570781%26brandID%3Dyandex%26ui%3D6abbca48%2Df82c%2D4eb7%2Da5c0%2D0c2bc108f386%26r1%3Dnjnxjepvsudsevtipioppcsphtkrqtwdgbxfkcuqtyyaefarismaacjlwmwsxssbmbwhyfdixelsenqewmghcrwoxehewebwggtnf960d7ef185e009451dcc09904fbaa6c%26urlinfo%3D2%26url%3Dhttp%3A%2F%2Fvirusinfo%2Einfo&url=http%3A%2F%2Fbar%2Dnavig%2Eyandex%2Eru%2Fu
    обнаруженовредоносная программа    URL-адресhttp://yandexapps.com/loPtfdn3dSasoicn/post.php?id=789B8DA20075E090000B0D0565890000&form=ver%3D6%2E0%26clid%3D1570781%26brandID%3Dyandex%26ui%3D6abbca48%2Df82c%2D4eb7%2Da5c0%2D0c2bc108f386%26r1%3Dnjnxjepvsudsevtipioppcsphtkrqtwdgbxfkcuqtyyaefarismaacjlwmwsxssbmbwhyfdixelsenqewmghcrwoxehewebwggtnf960d7ef185e009451dcc09904fbaa6c%26urlinfo%3D2%26url%3Dhttp%3A%2F%2Fwww%2Ethreatexpert&url=http%3A%2F%2Fbar%2Dnavig%2Eyandex%2Eru%2Fu
    обнаруженовредоносная программа    URL-адресhttp://yandexapps.com/loPtfdn3dSasoicn/post.php?id=789B8DA20075E090000B0D0565890000&form=ver%3D6%2E0%26httpstatus%3D200%26clid%3D1570781%26brandID%3Dyandex%26ui%3D6abbca48%2Df82c%2D4eb7%2Da5c0%2D0c2bc108f386%26r1%3Dnjnxjepvsudsevtipioppcsphtkrqtwdgbxfkcuqtyyaefarismaacjlwmwsxssbmbwhyfdixelsenqewmghcrwoxehewebwggtnf960d7ef185e009451dcc09904fbaa6c%26urlinfo%3D2%26url%3Dhttp%3A%2F%2Fv&url=http%3A%2F%2Fbar%2Dnavig%2Eyandex%2Eru%2Fu
    обнаруженовредоносная программа    URL-адресhttp://yandexapps.com/loPtfdn3dSasoicn/post.php?id=789B8DA20075E090000B0D0565890000&form=version%3D1%2E2%26apikey%3DAQIAAHBWEoNf%2FVB4O81cL2HOFJvtdNtP%26nogeocode&url=http%3A%2F%2Fwi2geo%2Emobile%2Eyandex%2Enet%2Fgetlocation[/QUOTE] 



    Касперский при полном сканировании отловил:
    PHP код:
    Удалено троянская программа Trojan-Ransom.Win32.Cidox.gen    C:\WINDOWS\system32\4A.tmp
    Удалено троянская программа Trojan
    -Ransom.Win32.Cidox.gen    C:\System Volume Information\_restore{707B3399-72F2-46B7-88C0-D00EAAFE64AE}\RP819\A0167057.dll 
    Но Браузер Firefox 8 также перекидывает, а Браузер Chrome не открывает не одной веб странички
    Будьте добры, помогите пожалуйста.
    Вложения Вложения
    Последний раз редактировалось V_Bond; 17.11.2011 в 17:06.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Роман_В, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ptvcihk.dll','');
     DeleteFile('C:\WINDOWS\system32\ptvcihk.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  5. #4
    Junior Member Репутация
    Регистрация
    17.11.2011
    Сообщений
    2
    Вес репутации
    46
    Спасибо, работоспособность браузеров вроде восстановлена. В течение часа касперский молчит
    Карантин отослан согласно приложения 3
    PHP код:
    Файл сохранён как    111118_060242_virus_4ec5f502d1947.zip
    Размер файла    30627
    MD5    c93777029619f0ca415ac00d4c54fef7
    Файл закачан
    спасибо
    Логи прилагаю.
    P.S. запутался с логами в веб интерфейсе, попытался распутать. Если логи не той даты готов попробовать закинуть их ещё раз.

    P.P.S. После перезагрузке и запуска Firefox обнаружено, что всё таки где-то что-то осталось. касперский ругается только в самом начале.
    PHP код:
    обнаруженовредоносная программа    URL-адресhttp://gcoglestats.com/loPtfdn3dSasoicn/js.php?t=stat&ran=IXNj44lfTnkK9sJJVW9nJ44%2BmUCumkfydDixrlTZKeu9UxdM7q%2FzzJOrkU%2FXwtEo&r=http%3A//www.dd.vaz.ru/GDD/inform.html&u=http%3A//www.dd.vaz.ru/weather/&v=351&0.08270528667558874
    обнаруженовредоносная программа    URL-адресhttp://gcoglestats.com/loPtfdn3dSasoicn/js.php?t=stat&ran=IXNj44lfTnkK9sJJVW9nJ44%2BmUCumkfydDixrlTZKeu9UxdM7q%2FzzJOrkU%2FXwtEo&r=http%3A//www.dd.vaz.ru/GDD/inform.html&u=http%3A//www.dd.vaz.ru/weather/&v=351&0.4083401821839381 
    При открытии других страниц или тех же самых URL, новых сообщений от касперского не поступает. Очистка кеша браузера вроде решила проблему.
    Вложения Вложения
    Последний раз редактировалось Роман_В; 18.11.2011 в 12:41.

  6. #5
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\ptvcihk.dll - Trojan-Downloader.Win32.Agent.tmxw ( DrWEB: Trojan.Mayachok.550, BitDefender: Gen:Variant.Mayachok.4, AVAST4: Win32:Vundo-LL [Trj] )


  • Уважаемый(ая) Роман_В, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 30.11.2011, 16:40
    2. Ответов: 2
      Последнее сообщение: 29.11.2011, 14:00
    3. Ответов: 11
      Последнее сообщение: 27.11.2011, 16:54
    4. Ответов: 8
      Последнее сообщение: 24.11.2011, 09:35
    5. Браузер перекидывает на http://yandexapps.com/... и http://gcoglestats.com/...
      От Владимир Бухтояров в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 18.11.2011, 21:58

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01568 seconds with 18 queries