Skocz do zawartości

Weelsof/UKASH na stronie forum


Rekomendowane odpowiedzi

witam. codzień dopada mnie exploit Weelsof żadający kodu UKASH. Prawdopodobnie jest on na moim forum, bo dzieje się to gdy włącze komputer i wejde na forum pierwszy raz (po usunięciu z PC i ponownym wejściu na forum jest okey, dopóki nie uruchomie ponownie komputera).

Czy pomożecie mi tutaj znależć miejsce gdzie gnieździ się ten exploit na stronie? forum to PHP BB2 by Przemo.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

no i niestety wciąż to samo, po wejściu na forum, zalogowaniu się wywala mi Ukasha :/ są jakieś narzędzia do sprawdzania plików html/php pod kątem tego exploita?

Co ciekawe, mam drugi komputer i tam odwiedzam forum bez problemu...

 

EDIT:

Pogrzebałem i doszedłem do wniosku, że odpowiedzialny za to jest plik tracert.exe

(w log OTL RUN: C:\Users\Radziu\AppData\Local\Microsoft\Windows\2254\TRACERT.exe, fizyczna lokalizacja: C:\Documents and Settings\Radziu\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2254\TRACERT.exe)

po jego usunięciu oraz plików *.DAT w folderze 2254 problem chyba przestał istnieć (3-krotnie restartowałem komputer wchodząc na forum każdorazowo).

Edytowane przez Radziu
Odnośnik do komentarza

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O4 - HKLM..\Run: [TRACERT] C:\Documents and Settings\Radziu\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2254\TRACERT.exe ()
 
:Files
C:\Documents and Settings\Radziu\Dane aplikacji\hellomoto
C:\Documents and Settings\Radziu\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2254
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Odnośnik do komentarza

logi są czyste, ponieważ są wygenerowane po usunięciu infekcji (zgodnie z prośbą powyżej). Na nastepny dzień rano mam znowu Ukasha, w logach wtedy jest to samo co poście z dn. 13-07-2012 - 12:12. (czyli hellomoto, TRACERT.EXE)

W linki nie klikam, nie wchodze na podejrzane strony, tylko portale informacyjne i fora internetowe z których korzystam od dawna. Te same strony odwiedzam na 3 komputerach, tylko na jednym mam problem z ukashem.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...