Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Pojawiające sie otrzeżenie o trojanach

PreliminaryMonty16k

Przez PreliminaryMonty16k
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

PreliminaryMonty16k

PreliminaryMonty16k

Opublikowano
Opublikowano

Witam wszystkich.

Opiszę krótko o co chodzi.

Laptop Vaio jest znajomego.

Podczas przeglądania wp.pl pokazał mu się komunikat, iż ma kilka trojanów i wirusów w systemie (komunikat na stronie). Kliknął coś (sam nie wie co - przypuszczam tylko, iż ściągnął fałszywą aplikację, ale jej nie zainstalował). Od tamtego czasu okazjonalnie podczas przeglądania internetu komunikat o trojanach i wirusach pojawia się. U mnie nie wystąpił ani raz.

Zrobiłem logi z OTL i GMER może coś znajdziecie.

OTL:

OTL.Txt

Extras.Txt

GMER:

Gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Logi robione na ustawieniach z innego form, proszę nie czynić założeń, że wszędzie jest tak samo. W raportach nie widać żadnych znaków infekcji.

 

1. Do deinstalacji paski sponsoringowe: Conduit Engine + MyAshampoo Toolbar. Przy okazji można się pozbyć Logitech Desktop Messenger (brak związku ze sprzętem, to system "newsów" producenta).

 

2. Skasuj z dysku folder śmiecia:

 

[2011/04/14 11:52:20 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Lukasz\Application Data\PriceGong

3. Nowe log z OTL do oceny.

 

 

Od tamtego czasu okazjonalnie podczas przeglądania internetu komunikat o trojanach i wirusach pojawia się.

 

Co to zgłasza (antywirus?), jak to wygląda, precyzyjnie podaj formułę komunikatów.

 

 

.

Odnośnik do komentarza
PreliminaryMonty16k

PreliminaryMonty16k

Opublikowano
  • Autor
Opublikowano

Odinstalowane to co podałaś.

 

Opowieść... ;)

Kumpel powiedział mi w pracy, że (według niego) Panda Cloud (free) wykryła kilka trojanów i wirusów w systemie i poleciła mu ściągnąć program do ich zlikwidowania. Ponieważ dla mnie to było zbyt dziwne powiedziałem mu, żeby absolutnie tego nie ściągał i instalował. Po 2 dniach telefon. Znowu informacja, że są trojany i wirusy. Połączyłem się z nim przez TeamViewer i zobaczyłem w przeglądarce IE8 srceen przedstawiający widok dysku C: wraz z niby folderami mojego kumpla i przy każdym było opisane ile to ten folder zawiera trojanów i wirusów. Był również przycisk pobierz aplikację (po angielsku). Podobno poprzednim razem właśnie to kliknął. Ponieważ kumpel nie miał nic np. w Documents & Settings jasne było, że to podpucha. Panda nic nie sygnalizowała (!). Zamknąłem IE i skasowałem wszystko z Temporary Files IE, a także usunąłem wszystkie cookies i historię przeglądania. Za dwa dni jednak kumpel znowu dzwoni, że ma to samo i zawsze dzieje się to gdy przegląda wp.pl Teraz wyjechał na święta, a laptopa podrzucił mnie, żeby coś z tym zrobić (i nie tylko z tym, ale już założyłem osobny temat o innym problemie). Tyle tylko, że u mnie jak do tej pory nie pojawia się to ostrzeżenie (!)

Więcej nie umiem powiedzieć czy lepiej opisać...

 

Nowe logi:

OTL.Txt

Extras.Txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Hmmm, opis rzeczywiście wskazuje na prawdopodobieństwo zagnieżdżenia się czegoś w systemie. Prezentowane logi tego nie pokazują, ale to nie wyklucza nic, gdyż OTL nie skanuje wszystkich możliwych kombinacji. Na teraz odpuszczam kosmetykę po deinstalacjach pasków, więcej danych podaj:

 

1. Rozszerzony skan. Wygeneruj log z OTS, przy czym na innych warunkach niż podane w opisie. Tzn. w Basic Scans wszystko ustaw na "None" (tę część znam już z OTL), w Additional Scans zaptaszkuj wszystko, w polu Custom Scans wklej:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet /S
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server /S

klik w Run Scan.

 

2. Na wszelki wypadek i dodatkowa po GMER weryfikacja pod kątem bootkitów, czyli raport z Kaspersky TDSSKiller (jeśli cokolwiek zostanie znalezione, dobierz Skip).

 

3. Przeskanuj ten system przez Malwarebytes' Anti-Malware i przedstaw raport.

 

 

.

Odnośnik do komentarza
PreliminaryMonty16k

PreliminaryMonty16k

Opublikowano
  • Autor
Opublikowano

Malwarebytes pokazał 3 wpisy z rejestru dotyczące Security Center. Nie usuwałem (czy powinienem?)

 

mbam-log-2011-04-15 (11-46-18).txt

 

Kaspersky TDSSKiller - nie pokazał nic.

 

TDSSKiller.2.4.21.0_15.04.2011_09.32.26_log.txt

 

Log z OTS:

 

OTS.Txt

 

 

MAM TO! Pokazało się! Dokładnie tak jak mówił. Łaziłem po www.wp.pl

Najpierw zamknęło mi przeglądarkę i pojawiło sie ostrzeżenie jak na screenie:

 

ostrzeżenie

 

Później przeglądarka uruchomiła się ponownie. A to są 3 screeny z tego (screeny na zewnętrznym hostingu):

 

Tu jest właśnie SAVE i przypuszczam, że za pierwszym razem kliknął właśnie to.

screen 1

 

screen 2

 

screen 3

 

 

I plik .txt z linkiem jaki pojawił się w przeglądarce (dodałem gwiazdki w http, żeby sobie ktoś nie pobrał ;) ):

link.txt

 

Po zamknięciu przeglądarki i ponownym uruchomieniu otworzyła się normalnie strona startowa (domyślnie ma www.wp.pl)

 

Wynika z tego, że to coś nazywa się AntySpy2011 - wreszcie zobaczyłem z czym mam do czynienia....

 

Mam nadzieję, że teraz przedstawiłem już wszystko bardzo jasno :D

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

W logu nie widzę żadnych śladów infekcji. I prawdopodobnie tu rzeczywiście nie ma infekcji w systemie:

 

 

Pokazało się! Dokładnie tak jak mówił. Łaziłem po www.wp.pl

 

Mówisz, że przeglądałeś tę stronę. Czy klikałeś może jakieś określone linki / obrazki?

 

Moje wnioski są następujące: skoro to się ujawnia tylko podczas przeglądania wp.pl, coś jest nie w porządku z którymś elementem wp.pl, który prowokuje podstawianie reklam infekcyjnych (to co przedstawiasz to powinien być dopiero etap wstępny, zastraszenie, by pobrać "program" i go uruchomić, a w logach nie widać by druga część się wykonała). Twój opis pasuje do tego: KLIK. Czyli zarażone wyniki wyszukiwania. Takie coś może być gdzieś na wp.pl zaczajone. Dlatego pytam o Twoją sekwencję nawigacyjną po stronie.

 

 

 

.

Odnośnik do komentarza
PreliminaryMonty16k

PreliminaryMonty16k

Opublikowano
  • Autor
Opublikowano

Mówisz, że przeglądałeś tę stronę. Czy klikałeś może jakieś określone linki / obrazki?

 

Tak. Ponieważ on wtedy (za pierwszym razem) chodził po odnośnikach do seriali, ja też skoncentrowałem się na tym. Link przenosi na stronę www.aleseriale.pl

Od poprzedniego razu (kiedy to opisałem) dalej "łażę" po wp i tych odnośnikach, ale nie chce to się pojawić znowu...

 

Skoro nie ma nic w systemie to bardzo proszę o zamknięcie tematu.

A Tobie, droga picasso, dziękuję za poświęcony czas i pomoc.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Zajmijmy się jeszcze wykończeniem śladów po sponsorach.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O3 - HKU\S-1-5-21-3919272319-1717697803-2988428820-1005\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKU\S-1-5-21-3919272319-1717697803-2988428820-1005\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKU\S-1-5-21-3919272319-1717697803-2988428820-1005\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
[2011/04/03 13:08:43 | 000,000,000 | ---D | C] -- C:\Program Files\MyAshampoo
[2011/04/03 12:06:59 | 000,000,000 | ---D | C] -- C:\Program Files\Conduit
[2011/04/03 12:06:24 | 000,000,000 | ---D | C] -- C:\Program Files\ConduitEngine
[2011/04/03 12:06:19 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Lukasz\Local Settings\Application Data\Conduit
[2011/03/24 11:08:06 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Lukasz\Application Data\Yahoo!
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany.

 

2. Przedstaw tylko log z usuwania.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

OK. Na koniec funkcja Sprzątanie w OTL + wyczyść foldery Przywracania systemu (KLIK).

 

Kolegę należy za to ostrzec, by nie reagował na te fałszywe skany komputera. Niestety nie znam sposobu na zablokowanie tego przy widzianym tu arsenale.

- Domen na sztywno nie da się zablokować, bo jak widać oni szybko zmieniają je i te pop-upy startują z różnych coraz to nowszych URL.

- Zapewne te pop-upy jeżdżą w technice JavaScript, ale w opcjach Internet Explorer tylko można to całkowicie wyłączyć (co odbije się na funkcjonalności wielu stron), brakuje czegoś takiego jak "NoScript" do IE. Być może pomógłby tu antywirus z funkcją "osłony skryptowej", aczkolwiek to spekulacje, bo na forum Kasperskiego (który to właśnie posiada) widziałam temat podobny do Twojego kolegi, Kaspersky zezwolił na reklamę, gość uruchomił i trojany sobie wpakował......

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...