Weelsof/UKASH na stronie forum

[Radziu]

witam. codzień dopada mnie exploit Weelsof żadający kodu UKASH. Prawdopodobnie jest on na moim forum, bo dzieje się to gdy włącze komputer i wejde na forum pierwszy raz (po usunięciu z PC i ponownym wejściu na forum jest okey, dopóki nie uruchomie ponownie komputera).

Czy pomożecie mi tutaj znależć miejsce gdzie gnieździ się ten exploit na stronie? forum to PHP BB2 by Przemo.

[Landuss]

A jaką mamy mieć pewność, że ty usuwasz infekcje w całości i robisz to poprawnie? Wykonaj i załącz wymagane tutaj raporty z OTL + Gmer. Jeśli system jest 64 bitowy Gmera podaruj sobie.

[Radziu]

możliwe, że tak. widzę już po logo OTLa, że śmieci dalej są.

Poniżej logi OTL, Extras i GMER

OTL.Txt

Extras.Txt

gmer.txt

[Landuss]

Akurat się mylisz bo nie ma żadnych śmieci i jest czysto.

 

1. Usuń ten folder z dysku C:\Documents and Settings\Radziu\Dane aplikacji\hellomoto

 

2. Odinstaluj pdfforge Toolbar v4.3

 

3. Zmień hasła logowania do serwisów w sieci.

[Radziu]

no i niestety wciąż to samo, po wejściu na forum, zalogowaniu się wywala mi Ukasha :/ są jakieś narzędzia do sprawdzania plików html/php pod kątem tego exploita?

Co ciekawe, mam drugi komputer i tam odwiedzam forum bez problemu...

 

EDIT:

Pogrzebałem i doszedłem do wniosku, że odpowiedzialny za to jest plik tracert.exe

(w log OTL RUN: C:\Users\Radziu\AppData\Local\Microsoft\Windows\2254\TRACERT.exe, fizyczna lokalizacja: C:\Documents and Settings\Radziu\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2254\TRACERT.exe)

po jego usunięciu oraz plików *.DAT w folderze 2254 problem chyba przestał istnieć (3-krotnie restartowałem komputer wchodząc na forum każdorazowo).

Edytowane 12 Lipca 2012 przez Radziu

[Landuss]

Musiałeś się gdzieś zaprawić w czasie pomiędzy moją wypowiedzią, a ostatnimi logami które wkleiłeś. Logi był czyste i tam jeszcze infekcji nie miałeś.

 

Wklej jeszcze raz nowo zrobione logi z OTL.

[Radziu]

Oto log zrobiony po ponownym zablokowaniu komputera (robiony w trybie awaryjnym)

2OTL.Txt

[Landuss]

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O4 - HKLM..\Run: [TRACERT] C:\Documents and Settings\Radziu\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2254\TRACERT.exe ()
 
:Files
C:\Documents and Settings\Radziu\Dane aplikacji\hellomoto
C:\Documents and Settings\Radziu\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2254
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

[Radziu]

usuwam, jest OK, ale na nastepny dzien rano, gdy włączam komputer znowu to samo, musze codziennie usuwać ukasha :/

oto log po usunięciu

3OTL.Txt

[Landuss]

Nie rozumiem. Log pokazuje,ze nic tutaj nie ma, infekcja usunięta. A jesteś pewny, że nei zaprawiasz się gdzieś sam wchodząc na jakąś strone czy klikając w link?

[Radziu]

logi są czyste, ponieważ są wygenerowane po usunięciu infekcji (zgodnie z prośbą powyżej). Na nastepny dzień rano mam znowu Ukasha, w logach wtedy jest to samo co poście z dn. 13-07-2012 - 12:12. (czyli hellomoto, TRACERT.EXE)

W linki nie klikam, nie wchodze na podejrzane strony, tylko portale informacyjne i fora internetowe z których korzystam od dawna. Te same strony odwiedzam na 3 komputerach, tylko na jednym mam problem z ukashem.