centur
23.06.2007, 00:40
Всем привет.
Хочу предупредить об эксплоите на сайте goodman.ru
каким-то образом вызывается вот этот скрипт
hXXp://bobo32.org/o0o/exp/qt.php
и идет попытка внедрения через ActiveX
На работе уже словил =( нортон хоть и ругался но пропустил момент внедрения и только смог вычистить кэш.
в итоге AVZ показывает перехват 2х методов в ntdll.dll LdrService или типа того и что-то связанное с реестром (сейчас не могу сказать точно - отключил компьютер от сети почти сразу, хотя и не успел).
Как результат - сегодня поменяли пароль на 6-тизнак ICQ и на почту на gmail.com ( все восстановил вроде бы :) ).
В системе появился внедренный atixdaxx.dll, HijackThis не чистит его (хотя я мог забыть закрыть IE когда чистил), AVZ тоже только констатирует перехват методов ntdll.dll с помощью APICodeHijack.JmpTo (http://www.google.ru/search?q=APICodeHijack.JmpTo&hl=ru&lr=), как лечить - не понимаю или avz не лечит
Через sysinternals Process Explorer - не смог найти и убить библиотеку в памяти. В общем в понедельник-то я продолжу бой, но если посоветуете чем вылечить - буду очень благодарен.
PS извините если где в описании допустил ошибки, пишу в меру знаний и понимания. Не стреляйте в пианиста, он играет как умеет.
Хочу предупредить об эксплоите на сайте goodman.ru
каким-то образом вызывается вот этот скрипт
hXXp://bobo32.org/o0o/exp/qt.php
и идет попытка внедрения через ActiveX
На работе уже словил =( нортон хоть и ругался но пропустил момент внедрения и только смог вычистить кэш.
в итоге AVZ показывает перехват 2х методов в ntdll.dll LdrService или типа того и что-то связанное с реестром (сейчас не могу сказать точно - отключил компьютер от сети почти сразу, хотя и не успел).
Как результат - сегодня поменяли пароль на 6-тизнак ICQ и на почту на gmail.com ( все восстановил вроде бы :) ).
В системе появился внедренный atixdaxx.dll, HijackThis не чистит его (хотя я мог забыть закрыть IE когда чистил), AVZ тоже только констатирует перехват методов ntdll.dll с помощью APICodeHijack.JmpTo (http://www.google.ru/search?q=APICodeHijack.JmpTo&hl=ru&lr=), как лечить - не понимаю или avz не лечит
Через sysinternals Process Explorer - не смог найти и убить библиотеку в памяти. В общем в понедельник-то я продолжу бой, но если посоветуете чем вылечить - буду очень благодарен.
PS извините если где в описании допустил ошибки, пишу в меру знаний и понимания. Не стреляйте в пианиста, он играет как умеет.