В ифрейме скачивается pdf и что-то запустилось

**logos** · 27.07.2008, 23:00

На зараженном сайте 8352.su в конце index.htm приписан код ифрейма, который ведет на другие ифреймы, в том числе с закодированным на скрипте адресом. Что в итоге: при заходе на этот сайт Оперой 9 и Firefox 1.5 у меня начал закачиваться автоматически файл pdf.pdf, закачку я прекратил, но открылось дос-окно, в котором что-то выполнилось и окно закрылось. Увидеть что выполнилось я не успел. При потворном заходе уже это окно не открывалось.
Что я подхватил ?
будет ли лечение в обновлениях avz ?
И еще, заметил сервис wmiprvse.exe, который то появляется, то исчезает. Он безопасный ?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 27.07.2008, 23:01

http://virusinfo.info/showthread.php?t=1235

**logos** · 27.07.2008, 23:03

Avz ничего не ловит.

**Гриша** · 27.07.2008, 23:17

Нам нужны логи...

**logos** · 27.07.2008, 23:27

Ок. Сейчас сделаю. Так ведь и на зараженном сайте можно посмотреть, что он всовывает ?

**Гриша** · 27.07.2008, 23:36

Сайты это не наша забота...

**logos** · 28.07.2008, 00:04

Сделал логи. ДР. Веб в краткой проверке ничего не нашел. Помимо того, что что-то запустилось в дос окне, меня беспокоит wmiprvse.exe, который то пояаляется, то исчезает из процессов.

**logos** · 28.07.2008, 05:24

Так что я подхватил ? Посмотите мои логи.

**V_Bond** · 28.07.2008, 09:53

пофиксите ...

Код:

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no 
file)

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{86C510E9-97EF-4749-914F-0280247BE3A6}');
 QuarantineFile('F:\WINDOWS\VirtualDNS.dll','');
 DeleteFile('F:\WINDOWS\VirtualDNS.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....
повторите логи ...

**logos** · 28.07.2008, 13:38

Сообщение от V_Bond

пофиксите ...

Код:

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no 
file)

А как это пофиксить ?

Скрипт сейчас выполню.

**pig** · 28.07.2008, 13:42

Что значит "пофиксить с помощью HijackThis"?

**logos** · 28.07.2008, 13:52

Делаю Delete an NT Service 08B0E5C0-4FCB-11CF-AAA5-00401C608501
Он такой сервис не находит.
В списке процессов такой или похожей строчки тоже нет.
Как фиксить ?

**V_Bond** · 28.07.2008, 14:02

какой сервис , кто говорил про сервис .... ?
нужно просто поставить галку напротив нужной строки и нажать Fix Checked ...

**logos** · 28.07.2008, 14:14

с помощью HijackThis" пофиксил. При выполнении скрипта выдает ошибку и в карантин ничего не помещается. А файла VirtualDNS.dll нет на диске.

1.5 Проверка обработчиков IRP
Проверка завершена
Ошибка карантина файла, попытка прямого чтения (F:\WINDOWS\VirtualDNS.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (F:\WINDOWS\VirtualDNS.dll)
Карантин с использованием прямого чтения - ошибка
Удаление файла:F:\WINDOWS\VirtualDNS.dll
>>>Для удаления файла F:\WINDOWS\VirtualDNS.dll необходима перезагрузка

Я вспомнил, что около года назад удалил этот файл, т.к. Антивирус его назвал трояном. Неужели он опять появился или это старые следы ?

PS Так что за вирус загружается на 8352.su ?

**logos** · 28.07.2008, 15:07

Сделал новые логи. И через regedit удалил все упоминания о virtualdns.dll
Файл VirtualDNS.dll так в карантине и не появился. поэтому приложить нечего.
Все у меня в порядке ?
Появляющийся и исчезающий процесс wmiprvse.exe безопасен ? что это ?

**V_Bond** · 28.07.2008, 15:27

выполните скрипт ....

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Schedule');
 QuarantineFile('F:\WINDOWS\F:\WINDOWS\System32\svchost.exe','');
 DeleteFile('F:\WINDOWS\F:\WINDOWS\System32\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи

**logos** · 28.07.2008, 15:32

F:\WINDOWS\F:\WINDOWS\System32\svchost.exe

может правильно F:\WINDOWS\System32\svchost.exe ?

**V_Bond** · 28.07.2008, 15:41

делайте как написано и без смолечения ... а то систему свалите ....

**logos** · 28.07.2008, 15:57

Опять ошибку выдает. В карантин ничего не попало - высылать нечего. Делать логи снова ?

1.5 Проверка обработчиков IRP
Проверка завершена
Удаление службы/драйвера: Schedule
Ошибка карантина файла, попытка прямого чтения (F:\WINDOWS\F:\WINDOWS\System32\svchost.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (F:\WINDOWS\F:\WINDOWS\System32\svchost.exe)
Карантин с использованием прямого чтения - ошибка
Удаление файла:F:\WINDOWS\F:\WINDOWS\System32\svchost.exe
>>>Для удаления файла F:\WINDOWS\F:\WINDOWS\System32\svchost.exe необходима перезагрузка

Добавлено через 8 минут

Что мне делать ?

**Rene-gad** · 28.07.2008, 16:03

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Schedule');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Schedule');
BC_Activate;
RebootWindows(true);
end.

Повторите логи.

В ифрейме скачивается pdf и что-то запустилось (заявка № 27154)

Опции темы

В ифрейме скачивается pdf и что-то запустилось

Похожие темы

Не скачивается, не запускается AVZ

Заканчивается оперативка

Постоянно что-то скачивается...

Что-то закачивается!

некорректно скачивается AVZ

Ваши права в разделе