Показано с 1 по 10 из 10.

Hijacker IEZones

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380

    Hijacker IEZones

    Сегодня мной пойман очередной Hijacker, который модифицирует настройки Internet Explorer. В отличие от типового Hijacker, меняющего стартовую страничку, этот заносит в список надежных узлов greg-search.com и в список ограниченных - штук 50 разных порносайтов (делая тем самым доброе дело, что Hijacker-ам совершенно чуждо).
    Сам Hijacker имеет размер 11264 байта, сжат PeCompact, в поле производитель содержит "Melcosoft Corporation", имеет имя zone2.exe и располагается а папке Windows. Источник- сайт _http://t34rulit.com/_
    На настоящий момент этот Hijacker не опознается Ad-aware 6.0, из антивирусов ее знает только Панда - под именем "Trj/EZones.A". Завтра я выпущу обновление AVZ, он там будет диагностироваться его как Hijacker.IEZone.a
    Анализ по моей базе вирусов показал, что "Melcosoft Corporation" является автором TrojanDropper.Win32.Agent.ag (так записано в его копирайтах).

  2. Реклама
     

  3. #2
    timmy
    Guest

    Re:Hijacker IEZones

    По поводу t34rulit.com:
    Сегодня поймал где-то какую-то гадость, которая при каждом открытии/закрытии окна IE предлагала скачать с t34rulit.com файл main.exe. Ad-Aware и Spybot не помогли, только HijackThis ее нашел. В названии было что-то вроде greg_tut.
    ЗЫ: прошу прощения если это оффтоп

  4. #3
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    52

    Re:Hijacker IEZones

    Это не доброе дело, это борьба с конкурентами =))

  5. #4
    Geser
    Guest

    Re:Hijacker IEZones

    Цитата Сообщение от timmy
    По поводу t34rulit.com:
    Сегодня поймал где-то какую-то гадость, которая при каждом открытии/закрытии окна IE предлагала скачать с t34rulit.com файл main.exe. Ad-Aware и Spybot не помогли, только HijackThis ее нашел. В названии было что-то вроде greg_tut.
    ЗЫ: прошу прощения если это оффтоп
    В наказание тебе нужно прислать нам тот файлик Если не удалил

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    736

    Re:Hijacker IEZones

    Уж не тот ли это greg, который Greg Hoglund, автор NT Rootkit, сервер www.rootkit.com.

    И не его ли эти две штучки:
    KAV*** Trojan-Downloader.Win32.Small.rr
    greg-tut.com/G7/chm10.chm
    DrWeb Trojan.DownLoader.3072
    greg-tut.com/G7/chm9.chm

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    736

    Re:Hijacker IEZones

    Цитата Сообщение от Geser
    В наказание тебе нужно прислать нам тот файлик Если не удалил
    t34rulit.com/main.exe
    Dr.Web (R) daemon for Linux, version 4.32.2 (2004-11-01)
    restricted URL:
    /main.exe
    reason:
    infected with Trojan.Cassandra

    а файл inst.exe:
    This is the report of the scanning done over "inst.exe" file
    that VirusTotal processed on 01/16/2005 at 14:07:10.

    Antivirus***Version******Update***Result***
    AntiVir******6.29.0.7***01.14.2005***TR/Dldr.Tooncom.C.1***
    AVG******718******01.16.2005***Downloader.Tooncom. AH***
    BitDefender***7.0******01.16.2005***Trojan.Downloa der.Tooncom.P***
    ClamAV******devel-20041205***01.16.2005***Trojan.Downloader.Tooncom-4***
    DrWeb******4.32b******01.16.2005***-***
    eTrust-Iris***7.1.194.0***01.15.2005***-***
    eTrust-Vet***11.7.0.0***01.14.2005***-***
    F-Prot******3.16a******01.14.2005***security risk named W32/Tooncom.C@dl***
    Kaspersky***4.0.2.24***01.16.2005***TrojanDownload er.Win32.Tooncom.p***
    NOD32v2******1.973******01.16.2005***Win32/TrojanDownloader.Tooncom.P1***
    Norman******5.70.10******01.15.2005***-***
    Panda******8.02.00******01.16.2005***Adware/DNSErr***
    Sybari******7.5.1314***01.16.2005***TrojanDownload er.Win32.Tooncom.p***
    Symantec***8.0******01.16.2005***Downloader.Toonco m

  8. #7
    Guest

    А у меня вчера аж несколько объявилось! HELP ME PLIZZZZZZZZZZ!

    После обновления Виндовс с официального сайта майкрософт, при запуске
    Експлорера стартовые страницы стали
    http://69.50.164.196/ и
    http://letgohome.com/sp.htm?id=30957
    На страницы Виндовса они не тянут. Так же в избранном появились ссылки с
    названиями:
    Casino http://69.50.164.196/?said=v09&q=casino
    Diet Pills http://69.50.164.196/?said=v09&q=casino
    Internet Search-Engine http://69.50.164.196/?said=v09
    Viagra http://69.50.164.196/?said=v09
    Poker http://69.50.164.196/?said=v09
    Sports Betting http://69.50.164.196/?said=v09

    Удалил эти страницы из "стартовой". Удалил эти адреса из
    системного реестра и проверил компьютер на наличие вирусов.
    Dr.Web 4.32b распознал следующие вирусы
    Trojan. Backreg
    Trojan. DowanLoader
    Trojan. Cassandra
    Trojan.Regger
    Некоторые файлы я запаковал в архив. (могу прислать.)
    Сегодня при запуске Експлорера снова начали грузиться вышеуказанные страницы.

    Хотелось бы получить информацию о действии этих троянов с описанием где и
    какие файлы они создают и как от этой дряни избавиться.

    Кстати один из удаленных доктором вебом файлов имел имя zone02.exe(у Вас zone2) :'(


  9. #8
    Guest

    Дополнение

    Еще сейчас выяснил, что в разделе "ограниченные узлы" сидит штук 40 порнушных сайтов!!!

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288

    Re:Hijacker IEZones

    Внимательно прочитать и аккуратно выполнить:
    http://virusinfo.info/index.php?boar...ay;threadid=20

  11. #10
    Geser
    Guest

    Re:А у меня вчера аж несколько объявилось! HELP ME PLIZZZZZZZZZZ!

    [quote author=Андрей link=board=22;threadid=173;start=0#msg6429 date=1107863577]
    Некоторые файлы я запаковал в архив. (могу прислать.)

    [/quote]
    Можно прислать для коллекции. В остальном без логов сказать ничего невозможно. Пожалуйста логи в новой теме.

Похожие темы

  1. tazinga hijacker
    От onfriday в разделе Malware Removal Service
    Ответов: 0
    Последнее сообщение: 25.09.2010, 20:43
  2. IE hijacker
    От rmcintyre5 в разделе Malware Removal Service
    Ответов: 1
    Последнее сообщение: 20.08.2010, 11:44
  3. Google hijacker
    От mhkurland в разделе Malware Removal Service
    Ответов: 4
    Последнее сообщение: 10.05.2010, 11:01
  4. Комп сошел с ума и TR/Hijacker.Gen
    От b.sausage в разделе Помогите!
    Ответов: 13
    Последнее сообщение: 01.12.2009, 17:39
  5. search engine hijacker
    От newgirl в разделе Malware Removal Service
    Ответов: 1
    Последнее сообщение: 27.01.2009, 12:28

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01263 seconds with 21 queries