Radziu Opublikowano 10 Lipca 2012 Zgłoś Udostępnij Opublikowano 10 Lipca 2012 witam. codzień dopada mnie exploit Weelsof żadający kodu UKASH. Prawdopodobnie jest on na moim forum, bo dzieje się to gdy włącze komputer i wejde na forum pierwszy raz (po usunięciu z PC i ponownym wejściu na forum jest okey, dopóki nie uruchomie ponownie komputera). Czy pomożecie mi tutaj znależć miejsce gdzie gnieździ się ten exploit na stronie? forum to PHP BB2 by Przemo. Odnośnik do komentarza
Landuss Opublikowano 10 Lipca 2012 Zgłoś Udostępnij Opublikowano 10 Lipca 2012 A jaką mamy mieć pewność, że ty usuwasz infekcje w całości i robisz to poprawnie? Wykonaj i załącz wymagane tutaj raporty z OTL + Gmer. Jeśli system jest 64 bitowy Gmera podaruj sobie. Odnośnik do komentarza
Radziu Opublikowano 11 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 11 Lipca 2012 możliwe, że tak. widzę już po logo OTLa, że śmieci dalej są. Poniżej logi OTL, Extras i GMER OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
Landuss Opublikowano 12 Lipca 2012 Zgłoś Udostępnij Opublikowano 12 Lipca 2012 Akurat się mylisz bo nie ma żadnych śmieci i jest czysto. 1. Usuń ten folder z dysku C:\Documents and Settings\Radziu\Dane aplikacji\hellomoto 2. Odinstaluj pdfforge Toolbar v4.3 3. Zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
Radziu Opublikowano 12 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Lipca 2012 (edytowane) no i niestety wciąż to samo, po wejściu na forum, zalogowaniu się wywala mi Ukasha :/ są jakieś narzędzia do sprawdzania plików html/php pod kątem tego exploita? Co ciekawe, mam drugi komputer i tam odwiedzam forum bez problemu... EDIT: Pogrzebałem i doszedłem do wniosku, że odpowiedzialny za to jest plik tracert.exe (w log OTL RUN: C:\Users\Radziu\AppData\Local\Microsoft\Windows\2254\TRACERT.exe, fizyczna lokalizacja: C:\Documents and Settings\Radziu\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2254\TRACERT.exe) po jego usunięciu oraz plików *.DAT w folderze 2254 problem chyba przestał istnieć (3-krotnie restartowałem komputer wchodząc na forum każdorazowo). Edytowane 12 Lipca 2012 przez Radziu Odnośnik do komentarza
Landuss Opublikowano 12 Lipca 2012 Zgłoś Udostępnij Opublikowano 12 Lipca 2012 Musiałeś się gdzieś zaprawić w czasie pomiędzy moją wypowiedzią, a ostatnimi logami które wkleiłeś. Logi był czyste i tam jeszcze infekcji nie miałeś. Wklej jeszcze raz nowo zrobione logi z OTL. Odnośnik do komentarza
Radziu Opublikowano 13 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Oto log zrobiony po ponownym zablokowaniu komputera (robiony w trybie awaryjnym) 2OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [TRACERT] C:\Documents and Settings\Radziu\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2254\TRACERT.exe () :Files C:\Documents and Settings\Radziu\Dane aplikacji\hellomoto C:\Documents and Settings\Radziu\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2254 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL Odnośnik do komentarza
Radziu Opublikowano 17 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2012 usuwam, jest OK, ale na nastepny dzien rano, gdy włączam komputer znowu to samo, musze codziennie usuwać ukasha :/ oto log po usunięciu 3OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Nie rozumiem. Log pokazuje,ze nic tutaj nie ma, infekcja usunięta. A jesteś pewny, że nei zaprawiasz się gdzieś sam wchodząc na jakąś strone czy klikając w link? Odnośnik do komentarza
Radziu Opublikowano 17 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2012 logi są czyste, ponieważ są wygenerowane po usunięciu infekcji (zgodnie z prośbą powyżej). Na nastepny dzień rano mam znowu Ukasha, w logach wtedy jest to samo co poście z dn. 13-07-2012 - 12:12. (czyli hellomoto, TRACERT.EXE) W linki nie klikam, nie wchodze na podejrzane strony, tylko portale informacyjne i fora internetowe z których korzystam od dawna. Te same strony odwiedzam na 3 komputerach, tylko na jednym mam problem z ukashem. Odnośnik do komentarza
Rekomendowane odpowiedzi