У нас на работе один чувак поймал какую-то хрень. Когда выходит на Citibank, eBay, PayPal, Bank of America and so on и пытаеЦЦа залогиниЦЦа, у него спрашивают разнюю инфо типа кредитки, даты рождения, в общем сразу видно, что что-то левое. Фигня в том, что сверху показывает оригинальный сайт, и если кликнуть на ссылке в адресной строке и нажать Энтер, то пишет, что пароль неверный. Т.е. такое чувство, что перехват происходит между загрузками страниц. Происходит это только при использовании Internet Explorer. Кто-нить встречался с такой фигней?

http://images.dpchallenge.com/images_portfolio/25000-29999/27373/800/Copyrighted_Image_Reuse_Prohibited_682302.jpg

круто. :34:

Еще на компе в папке Temp были обнаружены такие файлы - rg4sfay & ydf8dk. Я поискал в Инете - пишут, что они появляюЦЦа с вирусом Vundo (Virtumondo), но Нортоновский FixVundo ничего не нашел

Касперский + SpyBot вам в помощь :shlap:

Ещё бы хорошо список системных процессов сюда выложить .

У нас на работе один чувак поймал какую-то хрень. Когда выходит на Citibank, eBay, PayPal, Bank of America and so on и пытаеЦЦа залогиниЦЦа, у него спрашивают разнюю инфо типа кредитки, даты рождения, в общем сразу видно, что что-то левое. Фигня в том, что сверху показывает оригинальный сайт, и если кликнуть на ссылке в адресной строке и нажать Энтер, то пишет, что пароль неверный. Т.е. такое чувство, что перехват происходит между загрузками страниц. Происходит это только при использовании Internet Explorer. Кто-нить встречался с такой фигней?

http://images.dpchallenge.com/images_portfolio/25000-29999/27373/800/Copyrighted_Image_Reuse_Prohibited_682302.jpg
Это было очень давно, ещё когда вход в интэрнет черес АОЛ стоил что-то где-то около 4$ в чяс. Делал и не такое...

Как же это работает? Всё очень просто.

Ставиш любой продукт на [EBAY]и добовляеш [CSS] в описания этого продукта что бы изменить внешни вид странитси (как в [myspace] можно зделать чтоб странитса твоя вигледила как хочиш) делаеш чтоб эта странитса на каторой продаёца твоя вешь выгледила как логин и висылала информацыю куда-то на левы сервер а потом возврашялась обратно с левого сервера на ЕБАЫ.

работает это примерно так

1) EBAY.COM/продук-катори-ты-продаёш-с-CSS-формои-для-кредитки.html
2) твоисервер.com/страница-каторя-соберает-переданую-инфо-с-EBAY-после-чего-посилает-обратно-на-EBAY.html
3) EBAY.COM/real-login-page.html или EBAY.COM/твои-воторои-продукт-WITH-ERROR-MSG.html

Касперский + SpyBot вам в помощь :shlap:

Ещё бы хорошо список системных процессов сюда выложить .Spybot didn't help (it actually got poisoned by that virus or whatever)
Hijack This by Trendmicro didn't find anything
F-Secure Blacklight didn't find anything
Malwarebytes' Anti-Malware didn't find anything
Norton is installed on all the computers in the office - didn't find anything


List of processes by Hijack This is attached

Это было очень давно, ещё когда вход в интэрнет черес АОЛ стоил что-то где-то около 4$ в чяс. Делал и не такое...

Как же это работает? Всё очень просто.

Ставиш любой продукт на [EBAY]и добовляеш [CSS] в описания этого продукта что бы изменить внешни вид странитси (как в [myspace] можно зделать чтоб странитса твоя вигледила как хочиш) делаеш чтоб эта странитса на каторой продаёца твоя вешь выгледила как логин и висылала информацыю куда-то на левы сервер а потом возврашялась обратно с левого сервера на ЕБАЫ.

работает это примерно так

1) EBAY.COM/продук-катори-ты-продаёш-с-CSS-формои-для-кредитки.html
2) твоисервер.com/страница-каторя-соберает-переданую-инфо-с-EBAY-после-чего-посилает-обратно-на-EBAY.html
3) EBAY.COM/real-login-page.html или EBAY.COM/твои-воторои-продукт-WITH-ERROR-MSG.htmlIt's not just on eBay website. And in address bar it shows eBay's (Citibank's, etc.) address. And if you hit Enter on the link in address bar, it goes to the address. So it's like when you try to login, it inserts something, but shows an address of a legitimate page where you were supposed to get after you tried to login

сносить....

It's not just on eBay website. And in address bar it shows eBay's (Citibank's, etc.) address. And if you hit Enter on the link in address bar, it goes to the address. So it's like when you try to login, it inserts something, but shows an address of a legitimate page where you were supposed to get after you tried to login

Есть ешо два варинат если надо ещё могу придумать ;).

1) с помошу [Java Script] вовремя загрузки странитси извеминть то что написано в аддресс бар ну не пересилать на другои аддресс.

2) Во время загрузки странитси симетировать нажатие кнопки [F11] а саму странису нарисовать в рамке [IE]

сносить....Снесем =) Но интересно же, что йето за гадость =)

Есть ешо два варинат если надо ещё могу придумать ;).

1) с помошу [Java Script] вовремя загрузки странитси извеминть то что написано в аддресс бар ну не пересилать на другои аддресс.

2) Во время загрузки странитси симетировать нажатие кнопки [F11] а саму странису нарисовать в рамке [IE]
1) And what virus would do that?

2)No, it's not the case (tested)

Посмотреть список плагинов ИЕ. Не затесался ли там кто интересный.

Посмотреть список плагинов ИЕ. Не затесался ли там кто интересный.I turned off all of them. Still the same thing. And it does that even in Safe Mode with Networking.

Also, the proxy on the server shows that the computer tries to connect to different websites like xyrbvfsdf.com and similar

I turned off all of them. Still the same thing. And it does that even in Safe Mode with Networking.

Это специфически ИЕ8 заражение. Скорее всего на бинарном уровне, через плагины, через режистри, вызывается какая–то ДЛЛ или екзекютабл. Возможно даже есть сервис, который это дело поддерживает. Советую инспектировать список системных сервисов (через Административ Тулз), смотреть на дескрипшн и искать странный текст.
Искать на Гугле, найти инструкцию по уничтожению, раздавить гадину.

I turned off all of them.

oh, yea? Check again, these suckers can be resilient

oh, yea? Check again, these suckers can be resilientChecked and rechecked

Это специфически ИЕ8 заражение. Скорее всего на бинарном уровне, через плагины, через режистри, вызывается какая–то ДЛЛ или екзекютабл. Возможно даже есть сервис, который это дело поддерживает. Советую инспектировать список системных сервисов (через Административ Тулз), смотреть на дескрипшн и искать странный текст.
Искать на Гугле, найти инструкцию по уничтожению, раздавить гадину.That computer had IE6. We put IE7 - didn't fix it

And we don't know what to look for. The closest thing I found was Vundo - it does disable Spybot and it does create those two files I mentioned. But Norton's scanner didn't find anything

That computer had IE6. We put IE7 - didn't fix it

And we don't know what to look for. The closest thing I found was Vundo - it does disable Spybot and it does create those two files I mentioned. But Norton's scanner didn't find anything
Er, I meant IE7, sorry.
I had dealt with similar infection once, scanners didn't detect it, and I could only clean it by hand, following instructions I found on Google. Took 2 days. The virus installed a search plugin for IE6, faked a legitimate service, and recreated itself every time I cleaned IE plugins.

Good luck!

Er, I meant IE7, sorry.
I had dealt with similar infection once, scanners didn't detect it, and I could only clean it by hand, following instructions I found on Google. Took 2 days. The virus installed a search plugin for IE6, faked a legitimate service, and recreated itself every time I cleaned IE plugins.

Good luck!What virus was that?

так погугли и найди противоядие, наверняка есть.


Интересно куда надо сходить, что-бы этот сифилис подцепить...?

What virus was that?

I can't recall, but made in Russia, by two a-holes, whose names were available at the time. It was more than 2 years ago though.

так погугли и найди противоядие, наверняка есть.


Интересно куда надо сходить, что-бы этот сифилис подцепить...?Смешно, до того, как написать сюда на форум, я облазил Интернет как только мог в поисках хоть какой-то инфо об этой заразе. И только после всего этого я пришел сюда

Иногда кажеЦЦа, что ты две последние буквы в своем нике случайно поменял местами

I can't recall, but made in Russia, by two a-holes, whose names were available at the time. It was more than 2 years ago though.Thanks =) That helped a lot =)

месяц назад у меня такая куйня была- не мог зарегиться на Yahoo!- просили сообшить о реигстраций родителям, чтоб те зарегили свои кредит карты на всякий пожарный- типа новая полиси. и там какое то левое объяснение было. в интеренетe про новое полиси Yahoo! поискал- ничего не нашел. никогда с Yahoo! такого раньше не было. как раз в тот момент проходил запланирован. ремонт Yahoo!Answers и весь Yahoo! барахлил. видимо решили напасть в ето время. переждал денек и на след, день все было нормально. а йнтерфейс точ такой же. я на Моузилла.

Смешно, до того, как написать сюда на форум, я облазил Интернет как только мог в поисках хоть какой-то инфо об этой заразе. И только после всего этого я пришел сюда

Иногда кажеЦЦа, что ты две последние буквы в своем нике случайно поменял местами

значит недостаточно полазил, слабак, если бы захотел то вылечил без сноса.

значит недостаточно полазил, слабак, если бы захотел то вылечил без сноса.Смешно, убедительная просьба для моих топиков в этом разделе - либо по делу, либо потеряйся

If you're not a part of a solution, you're a part of a problem

Vundo Virus Attack

http://forums.techguy.org/malware-removal-hijackthis-logs/802475-vundo-virus-attack-2.html

а люди упорно продолжают пользоваться IE...


:rolleyes:

Смешно, убедительная просьба для моих топиков в этом разделе - либо по делу, либо потеряйся

If you're not a part of a solution, you're a part of a problem

с таким тоном я тебя ставлю в игнор, идиот, мля.

Vundo Virus Attack

http://forums.techguy.org/malware-removal-hijackthis-logs/802475-vundo-virus-attack-2.htmlBeen there, done that

с таким тоном я тебя ставлю в игнор, идиот, мля.Thank you

to the OP:

try these sites- they work with specific troubles you might have and it`s free `course.

http://bleepingcomputer.com/forums/


and this one might sound like you, no?

http://www.bleepingcomputer.com/forums/topic212076.html

give em a try.

самое лучшее (по моему опыту) найди removal tool, должен быть free (опять же по опыту). Я такую же гадость чистил не так давно. 2 дня мучался как и ты, но задачу решил.

Er, I meant IE7, sorry.
I had dealt with similar infection once, scanners didn't detect it, and I could only clean it by hand, following instructions I found on Google. Took 2 days. The virus installed a search plugin for IE6, faked a legitimate service, and recreated itself every time I cleaned IE plugins.

Good luck!Ты помнишь, по каким ключевым словам ты задавал поиск?

самое лучшее (по моему опыту) найди removal tool, должен быть free (опять же по опыту). Я такую же гадость чистил не так давно. 2 дня мучался как и ты, но задачу решил.Самое лучшее (по моему опыту) сначала выяснить, что за зараза, а потом выяснять, как и чем ее удалять

самое лучшее (по моему опыту) найди removal tool, должен быть free (опять же по опыту). Я такую же гадость чистил не так давно. 2 дня мучался как и ты, но задачу решил.

они не всегда поддаются...мой послдений лаптоп ваообше сдох, потому как ни один бесплатный софт не смог уничтожить заразу как раньше. также Касперский тож никак не мог установиться на комп.

Ты помнишь, по каким ключевым словам ты задавал поиск?

IE slow startup search . Но, кажется, HijackThis его тогда называл своим именем.

У меня возникает такое чувство, что или это что-то новое/модифицированное, или что-то сидит на сервере. Но если оно на сервере, почему нет проблем у других?

1) And what virus would do that?

2)No, it's not the case (tested)

я не вирус меня Олежик зовут :leader:. Если серьёзно незнаю любой программер может такую фиговину сотворить.

я не вирус меня Олежик зовут :leader:. Если серьёзно незнаю любой программер может такую фиговину сотворить.Олежик, ну ты все же немного умнее, чем смешно. Понимаешь, меня не интересуют "любые программеры"; меня интересует, что за гадость в данный момент сидит на одном из наших компов

Я ещё раз перечитал тему, кароче что этот вирус делает мне кажица он изменяет хост фаиле на вашем компе и на самом деле когда пользаватель идёт на bankofamerica.com этот хост филе его пересилает в другое место.

C:\WINDOWS\system32\drivers\etc\hosts



# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

Олежик, ну ты все же немного умнее, чем смешно. Понимаешь, меня не интересуют "любые программеры"; меня интересует, что за гадость в данный момент сидит на одном из наших компов

К сожелению с названием вируса не могу помочь...

Я ещё раз перечитал тему, кароче что этот вирус делает мне кажица он изменяет хост фаиле на вашем компе и на самом деле когда пользаватель идёт на bankofamerica.com этот хост филе его пересилает в другое место.

C:\WINDOWS\system32\drivers\etc\hostsWe checked hosts file. Either it's something else or the virus changes it back and forth

We checked hosts file. Either it's something else or the virus changes it back and forth
Тогда вирус делает другои филе катори работает как host...

and this one might sound like you, no?

http://www.bleepingcomputer.com/forums/topic212076.html

give em a try.Scanned with SUPERAntiSpyware - no results...

Scanned with SUPERAntiSpyware - no results...

how about you tell em folks on that site what`s up and see what happens?

how about you tell em folks on that site what`s up and see what happens?That will be my next step =)

Я ещё раз перечитал тему, кароче что этот вирус делает мне кажица он изменяет хост фаиле на вашем компе и на самом деле когда пользаватель идёт на bankofamerica.com этот хост филе его пересилает в другое место.
Тут же бы зазвенела сигнализация , что сертификат от https://whatever не соответствует.

Тут же бы зазвенела сигнализация , что сертификат от хттпс://щхатевер не соответствует.

у нас на работе так за сэтано что ничего не звенит даже когда ми [https] тэстируем

а люди упорно продолжают пользоваться IE...


:rolleyes:
Наших больше заносит на Mozilla Firefox. Мне в последнее время (по скорости) очень нравится Sea Monkey (хотя там глюков довольно много)

Мозилла, Опера, Чмопера...
Читающий тему да увидит: ИЕ=ПОС