HTML/TrojanDownloader.IFrame

Доброго времени суток.
На одном вполне популярном сайте меняли дизайн и что-то еще и, видимо, оставили дыру. Заходя на него в очередной раз я увидел, что грузится не он, а какой-то левый сайт и что-то закачивает. После ребута системы сам отключился брандмауэр и я решил пройтись Нодом. Он нашел в темпах и якобы удалил [B]HTML/TrojanDownloader.IFrame[/B]. Все бы хорошо, но после этого [B]svchost.exe[/B] 2-мя dll-ками по TCP лезет на hosted-by.leaseveb.com. 1-я dll-ка [B]wininet.dll[/B], 2-я [B]imon.dll[/B]. После остановки Нодовской службы IMON и ребута, вместо imon.dll появляется другая. Вообщем, что-то нехорошо тут. Эксплорер переодически виснет, а GameGuard Lineage 2 ругается и не дает запустить игру. Прошелся CureIt, онлайн сканнером Каспера - ничего. Видимо, какой-то хвост.


[ATTACH]119454[/ATTACH]
[ATTACH]119455[/ATTACH]
[ATTACH]119456[/ATTACH]

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
DeleteFile('C:\WINDOWS\system32\twex.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи

Карантин выслал, заного сделать логи AVZ и HJThis по всем правилам?

да

done

ничего плохого в логах ....

Можно спать спокойно? Карантин удалить? Что это было?

[B]Спасибо Вам большое![/B]

[QUOTE=NeytroN;375257]Что это было?[/QUOTE]twex.exe - Trojan-Spy.Win32.Zbot.qgd Карантин можете удалить

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\twex.exe - [B]Trojan-Spy.Win32.Zbot.qgd[/B][/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]