Skocz do zawartości

Infekcje TrojWare.Java.TrojanDownloader


Rekomendowane odpowiedzi

Witam i proszę o pomoc,

Przedwczoraj zauważyłam niepokojące symptomy, a mianowicie podczas gry w jedną z gier na przeglądarkę po kilkukrotnym kliknięciu na jakikolwiek odnośnik pojawiał się komunikat o wylogowaniu:

 

Nastąpiło wylogowanie z powodu wyczerpania okresu ważności sesji (e1-46.134.142.7(25178)/31.61.129.240).

 

Kliknij tutaj aby zalogować się ponownie

 

choć tak naprawdę nie następowało żadne wylogowanie, a już tym bardziej zmiana IP jak sugeruje ów alert. W zasadzie komputer nie wykazywał żadnych dodatkowych anomalii w funkcjonowaniu (poza tym, że dziś gg odmówiło współpracy i nie chciało mnie zalogować). Myślałam, że to mogą być jakieś przejściowe kłopoty u dostawcy internetu. Ale następnego dnia było tak samo, a nawet jeszcze gorzej, bo częstość komunikatów wzrosła - w zasadzie co drugie kliknięcie w odnośnik kończyło się uciążliwą przerwą w grze. Ponieważ w ostatnich dniach nie instalowałam żadnego oprogramowania, to nie podejrzewałam najmniejszej infekcji. W końcu zirytowana odpaliłam skan w Comodo. No i szok. Comodo znalazł 25 zagrożeń z czego 20 to trojany oznaczone jako Trojware.Java.TrojanDownloader. Poniżej zamieszczam zapis dziennika zdarzeń Comodo:

 

http://wklej.org/id/543753/

 

Naturalnie przeniosłam wykryte zagrożenia do kwarantanny i usunęłam trojany. Po tej operacji wszystko wróciło do normy, a ja odetchnęłam z ulgą. To było wczoraj. Niestety dziś to samo - czyli powrócił komunikat o wylogowaniu. Odpaliłam więc Comodo ponownie, ale nic nie znalazł. :confused:

W tej sytuacji poczułam się bezradnie i stąd zwracam się tutaj z prośbą o pomoc.

 

Log z OTL:

http://wklej.org/id/543739/

 

Extras:

http://wklej.org/id/543762/

 

Security Check:

 

Results of screen317's Security Check version 0.99.13

Windows 7 (UAC is disabled!)

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

WMI entry may not exist for antivirus; attempting automatic update.

```````````````````````````````

Anti-malware/Other Utilities Check:

Ad-Aware

Java 6 Update 24

Out of date Java installed!

Adobe Flash Player 10.3.181.14

Mozilla Firefox (3.6.17) Firefox Out of Date!

Mozilla Thunderbird (3.1.9)

````````````````````````````````

Process Check:

objlist.exe by Laurent

Ad-Aware AAWService.exe

Ad-Aware AAWTray.exe

Comodo Firewall cmdagent.exe

Comodo Firewall cfp.exe

``````````End of Log````````````

 

 

 

Aha, i jeszcze jedno. Ściągnęłam dziś Ad-Aware'a, ale skanował przez 5 godzin i nic nie znalazł, przy czym wydaje mi się podejrzane, że skan trwał tak długo...

Proszę więc o pomoc, bo zupełnie brak mi pomysłów jak sobie z tym poradzić.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Nie widzę tu śladów infekcji, a to co było usuwane przez COMODO to cache Java. W związku z tym proszę o log wygenerowany z Kaspersky TDSSKiller. Jeśli cokolwiek wykryje, nie podejmuj na wyniku akcji = przypisz Skip i tylko zaprezentuj raport tekstowy.

 

 

Aha, i jeszcze jedno. Ściągnęłam dziś Ad-Aware'a, ale skanował przez 5 godzin i nic nie znalazł, przy czym wydaje mi się podejrzane, że skan trwał tak długo...

 

Długi skan jeszcze o niczym nie świadczy. A tu Ad-aware zostało wstawione w układ z COMODO Internet Security. Ciężka artyleria. Ad-aware i tak odinstaluj, bo to akurat program którego do skanu bym tu nie wzięła, a jest to spory pakiet i jeszcze obciąża system. Zamiennie możesz za to przeskanować system przez Malwarebytes' Anti-Malware.

 

 

 

.

Odnośnik do komentarza

Ad-Aware wyrzucony. MBAM niczego nie znalazł, a i TDSSKiller twierdzi, że wszystko ok:

 

2011/06/10 12:10:36.0931 6624 TDSS rootkit removing tool 2.5.4.0 Jun 7 2011 17:31:48

2011/06/10 12:10:38.0517 6624 ================================================================================

2011/06/10 12:10:38.0517 6624 SystemInfo:

2011/06/10 12:10:38.0517 6624

2011/06/10 12:10:38.0517 6624 OS Version: 6.1.7600 ServicePack: 0.0

2011/06/10 12:10:38.0517 6624 Product type: Workstation

2011/06/10 12:10:38.0517 6624 ComputerName: USER-HP

2011/06/10 12:10:38.0517 6624 UserName: user

2011/06/10 12:10:38.0517 6624 Windows directory: C:\windows

2011/06/10 12:10:38.0517 6624 System windows directory: C:\windows

2011/06/10 12:10:38.0517 6624 Running under WOW64

2011/06/10 12:10:38.0517 6624 Processor architecture: Intel x64

2011/06/10 12:10:38.0517 6624 Number of processors: 4

2011/06/10 12:10:38.0517 6624 Page size: 0x1000

2011/06/10 12:10:38.0517 6624 Boot type: Normal boot

2011/06/10 12:10:38.0517 6624 ================================================================================

2011/06/10 12:10:38.0824 6624 Initialize success

2011/06/10 12:11:20.0769 5560 ================================================================================

2011/06/10 12:11:20.0769 5560 Scan started

2011/06/10 12:11:20.0769 5560 Mode: Manual;

2011/06/10 12:11:20.0769 5560 ================================================================================

2011/06/10 12:11:24.0769 5560 MBR (0x1B8) (b0e8c80547466c3ea29267a4540c3f02) \Device\Harddisk0\DR0

2011/06/10 12:11:24.0965 5560 ================================================================================

2011/06/10 12:11:24.0965 5560 Scan finished

2011/06/10 12:11:24.0965 5560 ================================================================================

2011/06/10 12:11:24.0981 6812 Detected object count: 0

2011/06/10 12:11:24.0982 6812 Actual detected object count: 0

 

:blink:

 

Przyznam, że doznaję właśnie uczuć mieszanych, bo powinnam się cieszyć, że nie mam żadnej infekcji, ale problem się nadal utrzymuje i nie mam pojęcia skąd on się u licha wziął... :confused:

Odnośnik do komentarza
Przyznam, że doznaję właśnie uczuć mieszanych, bo powinnam się cieszyć, że nie mam żadnej infekcji, ale problem się nadal utrzymuje i nie mam pojęcia skąd on się u licha wziął... :confused:

 

Ja tu podejrzewam rzecz odwrotną niż sugerowana pierwotnie = Comodo Internet Security blokujący jakiś mechanizm (np. cookies). Przetestuj czy to samo się dzieje, gdy całkowicie zdeaktywujesz Comodo, wszystkie osłony.

Odnośnik do komentarza

Wyłączyłam COMODO i MBAM, zaporę systemową mam tradycyjnie stale zdezaktywowaną. Nic się nie zmieniło. Odinstalowałam COMODO, przeczyściłam rejestr Wise Registry Cleaner (nie wiem czy słusznie czy nie) i zainstalowałam COMODO ponownie. Przed każdym krokiem sprawdzałam czy problem występuje nadal i niestety odpowiedź brzmi TAK. :(

Kiedy tak myślę nad tym, co się działo bezpośrednio przed pojawieniem się uciążliwości, to przychodzi mi na myśl, że instalowała się aktualizacja usługi GeekBuddy dołączonej do COMODO. Po aktualizacji dostałam komunikat, że okres trialowy dobiegł końca...

 

P.S.: Znam Panią jeszcze z SE i tam kilkakrotnie Pani i Landuss ratowaliście mi skórę, za co jestem ogromnie wdzięczna, jak i wciąż pozostaję pod wielkim wrażeniem Pani wiedzy (tak, wiem - nie ja pierwsza to Pani mówię). Teraz także dziękuję serdecznie za sprawdzenie logów.

Odnośnik do komentarza
Odinstalowałam COMODO, przeczyściłam rejestr Wise Registry Cleaner (nie wiem czy słusznie czy nie) i zainstalowałam COMODO ponownie. Przed każdym krokiem sprawdzałam czy problem występuje nadal i niestety odpowiedź brzmi TAK.

 

Czyli mam rozumieć, że po odinstalowaniu COMODO i przed jego ponowną instalacją także był problem?

 

Nie sądzę, że to problem infekcji. Komunikat sugeruje, że albo to kwestia sieci i dynamicznej zmiany jakiś parametrów w trakcie (nie wykluczone są manipulacje po stronie dostawcy) albo blokowania ciastek. Co to za gra? Na której przeglądarce działasz? W logu jest Internet Explorer, Firefox oraz Google Chrome. Sprawdź może czy tak samo się dzieje na innej przeglądarce niż ta w której zapuszczasz grę.

 

 

Kiedy tak myślę nad tym, co się działo bezpośrednio przed pojawieniem się uciążliwości, to przychodzi mi na myśl, że instalowała się aktualizacja usługi GeekBuddy dołączonej do COMODO. Po aktualizacji dostałam komunikat, że okres trialowy dobiegł końca...

 

A miałam na końcu języka, by GeekBuddy odinstalować (jako sugestię poboczną, nie związaną z problemem podstawowym). To jest akurat ta reklamowa część COMODO i nie jest darmowa. Jest instalowany trial, można sobie to wypróbować, a potem albo deinstalacja albo płacisz za wersję komercyjną. Miałam o tym wspominać, bo po co zaśmiecać system w zasadzie martwymi funkcjami.

 

 

 

.

Odnośnik do komentarza

Po odinstalowaniu COMODO i przed ponowną instalacją problem występował nadal (tym razem nie instalowałam GeekBuddy, bo mam takie samo podejście, że nie ma potrzeby zaśmiecania systemu czymś, co i tak nie będzie używane).

 

Logi nie kłamią mam IE, który jest bo jest, ale z niego nie korzystam (jakiś taki uraz z dawnych czasów, choć podobno to już inny IE, a nie wyrzucam, bo mam podejrzenia, że jest jakoś powiązany z systemem, wszak to jednak produkt Microsoftu), a działam na FF. Sprawdzałam na Chromie - to samo, teraz ściągnęłam Operę - to samo... Gra to Blood Wars, gram już w nią dwa lata (O, Jezusicku!) i nie było takich kwiatków do tej pory...

 

Też chciałam nieśmiało sugerować, że to może wina dostawcy, ale się nie odważyłam... Za 10 dni wyjeżdżam z Polski, więc tak czy inaczej będę musiała zmienić operatora, zatem może wszystko się uspokoi...

 

Pozdrawiam serdecznie i dziękuję za poświęcony mi czas.

Edytowane przez picasso
10.07.2011 - Upłynął miesiąc, brak nowych komentarzy, temat zamykam. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...