Подмена некоторых сайтов на подставные (заявка №29578)

Printable View

12.09.2010, 17:59
CyberHelper

Подмена некоторых сайтов на подставные (заявка №29578)

Пользователь обратился [URL=http://virusinfo.info/911test]в сервис 911[/URL], указав на следующие проблемы в работе его компьютера:
При заходе на сайты одноклассники.ру, вконтакте.ру, мейл.ру браузер заходит на явно подставные сайты, где после ввода логина и пароля появляется страница, на которой предлагается отослать смс с определенным текстом (несколько цифр) на номер 6681.
Дата обращения: 12.09.2010 15:06:10
Номер заявки: [URL=http://virusinfo.info/911test/?action=case_show_directions&case_id=29578]29578[/URL]
12.09.2010, 18:00
CyberHelper

not-a-virus:RemoteAdmin.Win32.RAdmin.20

[B]12.09.2010 17:50:18[/B] на зараженном компьютере были обнаружены следующие вредоносные файлы:
[LIST=1][*] [B]C:\WINDOWS\system32\logonuifix.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 4627456 байт[*] дата файла: 23.02.2008 9:26:48[*] версия: "6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)"[*] копирайты: "© Корпорация Майкрософт. Все права защищены."[/LIST][*] [B]C:\WINDOWS\mkdrv.sys[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 30368 байт[*] дата файла: 12.09.2010 0:50:20[*] детект других антивирусов: DrWEB 5.0: Зловред Trojan.Hosts.1493[/LIST][*] [B]C:\WINDOWS\system32\admdll.dll[/B] - [URL=http://www.securelist.com/ru/find?words=not-a-virus:RemoteAdmin.Win32.RAdmin.20]not-a-virus:RemoteAdmin.Win32.RAdmin.20[/URL]
[LIST][*] размер: 90112 байт[*] дата файла: 05.12.2001 12:27:56[*] детект других антивирусов: DrWEB 5.0: Зловред Program.RemoteAdmin.21[/LIST][*] [B]C:\WINDOWS\Temp\password.url[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 127 байт[*] дата файла: 09.06.2009 18:15:10[/LIST][*] [B]C:\Documents and Settings\Neo\Главное меню\Программы\Автозагрузка\password.url[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 127 байт[*] дата файла: 12.09.2010 13:44:06[/LIST][*] [B]c:\documents and settings\neo\Главное меню\Программы\Автозагрузка\userinit.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 15872 байт[*] дата файла: 12.09.2010 3:16:40[/LIST][/LIST]
13.09.2010, 00:00
CyberHelper

[B]12.09.2010 22:40:26[/B] на зараженном компьютере были обнаружены следующие вредоносные файлы:
[LIST=1][*] [B]C:\WINDOWS\Temp\password.url[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 127 байт[*] дата файла: 09.06.2009 18:15:10[/LIST][*] [B]C:\WINDOWS\Temp\job.url[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 56 байт[*] дата файла: 02.06.2009 23:42:18[/LIST][*] [B]C:\WINDOWS\Temp\Mirtesen.ru.url[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 59 байт[*] дата файла: 07.02.2009 4:50:02[/LIST][*] [B]C:\WINDOWS\Temp\Bases-09.url[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 50 байт[*] дата файла: 27.05.2008 22:22:36[/LIST][*] [B]C:\Documents and Settings\Neo\Главное меню\Программы\Автозагрузка\password.url[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 127 байт[*] дата файла: 12.09.2010 21:25:34[/LIST][*] [B]C:\WINDOWS\Temp\password.url[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 127 байт[/LIST][*] [B]C:\WINDOWS\Temp\password.url[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 127 байт[/LIST][*] [B]C:\WINDOWS\Temp\job.url[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 56 байт[/LIST][*] [B]C:\WINDOWS\Temp\job.url[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 56 байт[/LIST][*] [B]C:\WINDOWS\Temp\Mirtesen.ru.url[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 59 байт[/LIST][*] [B]C:\WINDOWS\Temp\Mirtesen.ru.url[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 59 байт[/LIST][*] [B]C:\WINDOWS\Temp\Bases-09.url[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 50 байт[/LIST][*] [B]C:\WINDOWS\Temp\Bases-09.url[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 50 байт[/LIST][*] [B]C:\Documents and Settings\Neo\Главное меню\Программы\Автозагрузка\password.url[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 127 байт[/LIST][*] [B]C:\Documents and Settings\Neo\Главное меню\Программы\Автозагрузка\password.url[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 127 байт[/LIST][/LIST]
13.09.2010, 00:00
CyberHelper

Итог лечения

12.09.2010 23:40:48 лечение успешно завершено