Господа, заходя на форум получаю вирус

[Alex Muratov]

ну вот и мои 5 копеек
AVP был у меня сконфигурирован на молчаливое подавление всякой гадости, когда изменил чтобы показывал сообщение, проявилось то же самое что и у других - какой-то exploit.

[Alex Muratov]

в общем FireFox рулит
при его использовании все тихо и спокойно, видимо новая уязвимость IE, и это после установки буквально вчерашних патчей от MS. дела...

[fomin]

касперский свиньёй визжит постоянно!!!
пишет вирус: Exploit.HTML.Mht

[Гость]

Загоняю я этот сайт в рестрикты, как починят свисните, плиз. А то уже надоело, однако...

[Lietotajs]

Нашел информфцию

[ivy]

У меня выскакивает Exploit-MhtRedir.gen (Trojan). Макафи.
Не может быть, что "подхватили на другом сайте". Ни на каком другом сайте не выскакивает.

У кого "все чисто" - смените антивирус.

Лечицца бум?

[Armageddon]

читайте с кпк - всё будет хорошо

[CRC]

Я в третий раз повторяю свою просьбу. У кого "визжит" антивирус - отпишите название вируса, на который ваш антивирус жалуется. Мне это очень поможет пофиксить проблему.

Заранее спасибо!

[Гость]

Заходим на форум, достаточно быстро загружается файлик loader.exe с http://www.hotoffers.info/.
В качестве стартовой страницы ставится http://www.hotoffers.info/ad0058/.
Если файлик загрузился, в корне с: появляется wp.exe и wp.bmp.
Бмпшка ставится в качестве фона рабочего стола, там на синем фоне грозная надпись про инфицированность и спайвэа, в трее повисает красный крест с предложением скачать что-нить из серии антиспайвэа, антивиря и еще чего-то. На десктопе появляется с десяток ярлыков со ссылками на тот же хотофферс. В свойствах экрана остается две закладки, фон рабочего стола в лоб не сменить да и внешними приблудами тож, как и темы.
Проверено на двух машинах под правами локального админа.
Ad-Adware и Spy Cleaner Gold ничего толком сделать не могут

[MakS]

Блин, не залогинился, поэтому выше под гостем.
Если у юзера нет прав на запись в корень с:, то запускается какой-то win16 экзешник, который ничего не может сделать. Потом стартует rundll32, создающий иконку в трее и выкидывающий сообщения. Плюс появляются 22 ярлыка на десктопе.
Можно еще поковыряться, найти точное название трояна, но повышение уровня конфиденциальности в ИЕ для хенди.ру и закрытие хотофферса решает проблему полностью.

[Глеб Калашников]

Касперский сообщает про вирус Exploit.HTML.Mht

[gmati]

странно, у меня никаких картинок, никаких ЕХЕшников, никакого воя
что я делаю не так?
ХР+все обновления+МакАфее

[Гость]

Не знаю, странно, сижу с каспером версии 4,5 и все нормально, никаких проблем.

[Alex Muratov]

я уже написал выше, что если:
1. антивирус настроен на молчаливое блокирование
или
2. броузер FireFox (или может что-то еще отличное от IE)

то никакого воя не будет.

[AE]

Ткнули носом в эту тему. Полчаса пытаюсь повторить хоть что-нибудь из вышеописанного. Все выглядит так, что мне этого не добиться (непросервиспаченных и недопатченных машин у нас в конторе нет, увы).

Скачал исходники всего сайта, сделал контекстный поиск по "<script", просмотрел - не нашел ничего подозрительного.
Скажу честно: я в растерянности. Не знаю, что еще смотреть. Основная мысль: зараза лезет через какую-то картинку на непропатченных машинах.

Впрочем, наверное домой ноут возьму и залью его с нуля. Надеюсь поможет. Ждите, больше сказать нечего

Если кто сможет помочь локализовать проблему - спасибо ему большое.

Все, пошел искать ноут.

P.S.: Да, я уже и забыл как долго и нудно работает "десктопный" интерфейс... Мужики, как же оно тормозит! По объему вроде бы не много (170к страница), но вот 68 объектов (картинки, скрипты) - это просто какой-то кошмар. Одних счетчиков 7 штук...