EdCarter Opublikowano 12 Listopada 2012 Zgłoś Udostępnij Opublikowano 12 Listopada 2012 Witam, Problem pojawia się na różnych komputerach, nie występuje natomiast na urządzeniach mobilnych, czy w tym wypadku konieczne też są logi ?? Prowadzę profil na fb "www.facebook.com/pages/Tanie-latanie/371373386220197" i od jakiś dwóch dni wszystkie linki do strony ( tanielatanie.ws ), zamieszczone w artykułach i opisach prowadzą do strony ( ibontu.25u.com ; qrue.qpoe.com ) Czy to jest jakiś wirus, jeżeli tak to czy moglibyście mnie jakoś nakierować na rozwiązanie tego problemu ? Dodam że oczywiście od pojawienia się w/w sytuacji wysłałem już kilka zapytań do fb, niestety bez żadnego odzewu. Za jakiekolwiek zainteresowanie z góry dziękuje i pozdrawiam Odnośnik do komentarza
picasso Opublikowano 13 Listopada 2012 Zgłoś Udostępnij Opublikowano 13 Listopada 2012 To nie wygląda na powiązane z Facebook lecz infekcję docelowej strony internetowej tanielatanie.ws. Skan Sucuri SiteCheck wykonany bezpośrednio dla tej strony (KLIK) podaje takie oto ostrzeżenie dla pod-URL strony: Security warning in the URL: "http://tanielatanie.ws/samoloty/" Suspicious domain detected. Details: "http://sucuri.net/malware/malware-entry-mwblacklisted35" Location: "http://qrue.qpoe.com/" Przykładowe uruchomienie jednego z linków tanielatanie.ws ładuje infekcję! Zainfekowało mi od razu system wirtualny (trojan ZeroAccess). I każdy kto stronę otwierał i go przekierowało mógł zostać zainfekowany. Wnioski: w kodzie strony gdzieś zostało dostawione przekierowanie na domeny ładujące malware i stronę musisz samodzielnie wyczyścić (dostęp do FTP). Strona stoi na WordPress, być może luki w oprogramowaniu doprowadziły do tego. . Odnośnik do komentarza
EdCarter Opublikowano 13 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 13 Listopada 2012 Dzięki za odpowiedź, w takim wypadku mam jeszcze jedno pytanie, mianowicie jak odnaleźć i zlikwidować tą infekcję ?? posiadam dostęp do FTP Odnośnik do komentarza
picasso Opublikowano 13 Listopada 2012 Zgłoś Udostępnij Opublikowano 13 Listopada 2012 Nie znam WordPress, więc nie mogę się wypowiadać pod kątem technicznym, do tego jest potrzebna określona wiedza webmasterska i skryptowa. Wstępnie ogólnikowe wytyczne: - sprawdź na serwerze które pliki były modyfikowane ostatnio. Te podejrzane i do analizy. - plugin Anti-Malware dla WordPress skanujący pod kątem infekcji / złośliwych skryptów: KLIK. - czy masz backup strony? Można byłoby cofnąć wstecz, by wyeliminować modyfikacje. . Odnośnik do komentarza
EdCarter Opublikowano 14 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 14 Listopada 2012 Dziękuje bardzo za odpowiedzi, pokombinuje, poskanuje i napiszę jaki przyniosło to efekt. Podrawiam Odnośnik do komentarza
EdCarter Opublikowano 29 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 29 Listopada 2012 Witam, jestem administratorem strony ( tanielatanie.ws, postawiona na wordpress) i profilu do tej strony na fb, problem zaczął pojawiać się właśnie tam, wszystkie linki z profilu fb do strony przekierowywały na różne strony .ru Następnie przekierowywane były wszystkie linki ( do mojej strony ) z wyników w google i po każdym wejściu na stronę. Problem zgłosiłem do administratorów serwera ( już jest wszystko ok ), komputer przeskanowałem avastem i eset online ( wykryły kilka zagrożeń, które zostały usunięte ) oraz pozmieniałem hasła do ftp i bazy danych. Czy moglibyście rzucić okiem w jakiej formie jest mój system po tych przejściach Z góry dziękuje za pomoc Results of screen317's Security Check version 0.99.56 Windows Vista Service Pack 1 x64 (UAC is enabled) Out of date service pack!! Internet Explorer 7 Out of date! ``````````````Antivirus/Firewall Check:`````````````` avast! Antivirus Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` JavaFX 2.1.1 Java 6 Update 31 Java 7 Update 9 Adobe Flash Player 11.5.502.110 Adobe Reader 9 Adobe Reader out of Date! Mozilla Firefox 13.0.1 Firefox out of Date! Mozilla Thunderbird 12.0.1 Thunderbird out of Date! Google Chrome 21.0.1180.83 Google Chrome 21.0.1180.89 Google Chrome 22.0.1229.79 Google Chrome 22.0.1229.94 Google Chrome 23.0.1271.64 Google Chrome 23.0.1271.91 Google Chrome Plugins... ````````Process Check: objlist.exe by Laurent```````` Windows Defender MSASCui.exe Windows Defender MSASCui.exe AVAST Software Avast AvastSvc.exe AVAST Software Avast AvastUI.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: % ````````````````````End of Log`````````````````````` Extras.txt OLT.txt Odnośnik do komentarza
picasso Opublikowano 30 Listopada 2012 Zgłoś Udostępnij Opublikowano 30 Listopada 2012 EdCarter, dlaczego zakładasz podwójny zestaw postów z tymi samymi logami? Łączę to wszystko razem w jeden temat, odcinam nadwyżkę logów. Problem zgłosiłem do administratorów serwera ( już jest wszystko ok ) Co właściwie zostało zrobione na poziomie strony, co z niej usunięto? komputer przeskanowałem avastem i eset online ( wykryły kilka zagrożeń, które zostały usunięte ) W czym? Podaj konkretne ścieżki dostępu, bo nie można tych danych w ogóle ocenić. Czy moglibyście rzucić okiem w jakiej formie jest mój system po tych przejściach Czynnej infekcji nie widać, są tylko mini odpadki oraz adware. Doczyść to: 1. Przez Panel sterowania odinstaluj adware vShare.tv plugin 1.3, Winamp Toolbar. W Google Chrome w Rozszerzeniach powtórz deinstalację vshare plugin. 2. Wyczyść Firefox z adware i starych naleciałości aktualizacyjnych: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Shawn Carter\AppData\Roaming\*.exe C:\Users\Shawn Carter\AppData\Roaming\chrtmp C:\Program Files (x86)\is.dat C:\scu.dat :OTL O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3:64bit: - HKU\S-1-5-21-1364300604-786911588-4143486605-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O4 - HKU\S-1-5-21-1364300604-786911588-4143486605-1000..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe File not found O9 - Extra Button: GetStyles - {14CD42DD-ABCD-3586-DCAB-40E3693E3737} - C:\Program Files (x86)\Get Styles\ct.htm File not found O9 - Extra 'Tools' menuitem : GetStyles - {14CD42DD-ABCD-3586-DCAB-40E3693E3737} - C:\Program Files (x86)\Get Styles\ct.htm File not found O18 - Protocol\Filter\text/html {574940E0-1B7A-4881-8FA3-1E809714B156} - C:\Users\Shawn Carter\AppData\LocalLow\Microńoft\redir.dll File not found DRV:64bit: - [2009-10-22 12:54:24 | 000,040,464 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\SysNative\DRIVERS\73565642.sys -- (73565642) DRV:64bit: - [2009-09-25 16:59:46 | 000,157,712 | ---- | M] () [Kernel | System | Running] -- C:\Windows\SysNative\DRIVERS\73565641.sys -- (73565641) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. I na wszelki wypadek sprawdź czy coś notuje Kaspersky TDSSKiller (z wyjątkiem SPTD = on zawsze będzie w wynikach jako zablokowany). . Odnośnik do komentarza
EdCarter Opublikowano 1 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 1 Grudnia 2012 Dokładnie nie wiem co zostało zrobione na poziomie strony, wiem że zaatakowane były wszystkie skrypty js. Ścieżek dostępu niestety też nie mam, ponieważ po skanowaniu online poprzez eset skasowałem wszystkie zagrożone pliki. Wykonałem wszystko jak napisałaś, dołączam raporty AdwCleanerS1.txt OLT.txt Odnośnik do komentarza
picasso Opublikowano 1 Grudnia 2012 Zgłoś Udostępnij Opublikowano 1 Grudnia 2012 (edytowane) Rozumiem, że TDSSKiller nic nie wykrył? Log z OTL zrobiony niepoprawnie, opcję Rejestr ustawiłeś na Wszystko, a ma być Użyj filtrowania. Co do raportu: 1. Nie ma znaków wykonania tego: 2. Wyczyść Firefox z adware i starych naleciałości aktualizacyjnych: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Do zrobienia. 2. Korekta na domyślne wyszukiwarki Internet Explorer po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Zrób nowy log z OTL poświadczający zmiany, ale go ogranicz: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj. . Edytowane 1 Lutego 2013 przez picasso 1.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi