Js/kryptik.px koń trojański

skrypi · 14 Czerwiec 2013 19:24

Witam

Na stronie internetowej pojawił mi się wirus. Skanowałem go nodem i wykazało, że jest to JS/Kryptik.px koń trojański. Jak to dziadostwo usunąć ???

Atis · 14 Czerwiec 2013 19:27

NOD chyba ma opcje usuwania wykrytych trojanów.

OTL - Raport obowiązkowy:

analiza-dezynfekcja-zestaw-nieingerencyjnych-narzedzi-t485632.html#p3059741

skrypi · 14 Czerwiec 2013 19:44

A można zrobić raport tylko z tych plików zarażonych trojanem ? żeby OLT nie skanował mi całego kompa.

Atis · 14 Czerwiec 2013 19:47

Skanowanie OTL trwa najwyżej kilka minut, więc pokaż wymagane logi OTL i Extras.

skrypi · 14 Czerwiec 2013 19:52

Logi:

Extras:

http://wklej.org/id/1066567/

OLT:

http://wklej.org/id/1066569/

skrypi · 14 Czerwiec 2013 20:16

Jeszcze raz podaje link:

http://wklej.org/id/1066567/

http://wklej.org/id/1066569/

Atis · 14 Czerwiec 2013 20:16

Odinstaluj AVG Security Toolbar, Ask Toolbar, facemoods Toolbar.

Pobierz AdwCleaner

Uruchom AdwCleaner i kliknij Usuń.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL SRV - [2013.05.21 19:56:56 | 001,015,984 | ---- | M] (AVG Secure Search) [Auto | Running] – C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\15.2.0\ToolbarUpdater.exe – (vToolbarUpdater15.2.0) DRV - File not found [Kernel | On_Demand | Stopped] – E:\DIAGNOSE\WSTGER32\2PART\uxddrv86.sys – (uxddrv) DRV - File not found [Kernel | On_Demand | Stopped] – system32\drivers\nvhda32v.sys – (NVHDA) DRV - File not found [Kernel | System | Stopped] – e:\DIAGNOSE\HWiNFO32\HWiNFO32.SYS – (HWiNFO32) DRV - File not found [File_System | Auto | Stopped] – system32\DRIVERS\eamonm.sys – (eamonm) DRV - File not found [Kernel | On_Demand | Stopped] – C:\Users\MEDION\AppData\Local\Temp\cpuz130\cpuz_x32.sys – (cpuz130) DRV - [2013.05.21 19:56:56 | 000,037,664 | ---- | M] (AVG Technologies) [Kernel | System | Running] – C:\Windows\System32\drivers\avgtpx86.sys – (avgtp) http://startsear.ch/?aff=1&src=sp&cf=40 … 626a2b1&q={searchTerms} [2011.12.01 20:15:22 | 000,000,000 | —D | M] (Facemoods) – C:\Users\MEDION\AppData\Roaming\mozilla\Firefox\Profiles\oyqlc72y.default\extensions\ffxtlbr@Facemoods.com [2011.07.11 20:04:02 | 000,000,633 | ---- | M] () – C:\Users\MEDION\AppData\Roaming\mozilla\firefox\profiles\oyqlc72y.default\searchplugins\startsear.xml [2012.09.28 22:10:03 | 000,003,915 | ---- | M] () – C:\Users\MEDION\AppData\Roaming\mozilla\firefox\profiles\oyqlc72y.default\searchplugins\sweetim.xml [2013.05.21 19:57:33 | 000,003,716 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml [2013.01.08 00:50:05 | 000,190,000 | ---- | M] () (No name found) – C:\Users\MEDION\AppData\Roaming\mozilla\firefox\profiles\oyqlc72y.default\extensions{EEE6C361-6118-11DC-9C72-001320C79847}.xpi O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O3 - HKU\S-1-5-21-4034463282-4182095760-1384221470-1000…\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3 - HKU\S-1-5-21-4034463282-4182095760-1384221470-1000…\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKU\S-1-5-21-4034463282-4182095760-1384221470-1000…\Run: [] File not found O4 - HKU\S-1-5-21-4034463282-4182095760-1384221470-1000…\Run: [AdobeBridge] File not found [2013.05.31 21:05:37 | 000,000,350 | ---- | C] () – C:\Windows\tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job :Commands [resethosts] [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

skrypi · 14 Czerwiec 2013 20:21

Napiszę o co mi chodzi. Z serwera ściągnąłem 5 plików i zrobiłem skan Nodem, który wykazał mi Js/kryptik.px koń trojański. Chodzi mi tylko o usunięcie tych 5 wirusów.

– Dodane 14.06.2013 (Pt) 22:57 –

Niżej dwa nowe logi:

http://wklej.org/id/1066624/

http://wklej.org/id/1066625/

– Dodane 14.06.2013 (Pt) 23:18 –

Pomoże mi ktoś ???

Atis · 14 Czerwiec 2013 21:31

Skoro NOD wykrywa to usuń za pomocą tego programu.

Wklej i kliknij Wykonaj skrypt:

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania:

Aby usunąć wszystkie punkty przywracania

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

skrypi · 14 Czerwiec 2013 21:45

W nodzie te pliki zarażone daje mi do kwarantanny. Napisane tam jest, że plik został wyleczony przez usunięcie. Nie ma nigdzie wylecz. Co dalej zrobić ???

Atis · 14 Czerwiec 2013 22:38

Przecież to nie są pliki systemowe, więc można je usunąć.

skrypi · 14 Czerwiec 2013 22:41

Ja nie chce ich usunąć tylko je wyleczyć a w nodzie dodaje mi je do kwarantanny i usuwa.

tomms · 15 Czerwiec 2013 04:37

Wirusy w dokumentach *.html najczęściej występują w formie javascriptu, otwórz te pliki w dowolnym edytorze tekstowym (np notepad++), poszukaj ‘podejrzanych’ sekcji i je usuń. Lub jeśli sam nie potrafisz to wystaw te pliki w necie (spakuj jakimś zipem) i ktoś ci to usunie.

To co przedmówcy piszą to usuwanie wirusa z własnego systemu a to ciebie nie dotyczy.

skrypi · 15 Czerwiec 2013 11:34

tomms , właśnie chodzi mi o usunięcie konkretnego pliku. Tutaj podaje jeden z przykładowych plików. http://wklej.to/LQnpc

Co tam może być podejrzanego ???

– Dodane 15.06.2013 (So) 14:57 –

Chyba rozwiązałem problem Czy ten fragment może być podejrzany ???

tomms · 15 Czerwiec 2013 13:03

W linii 496 masz złośliwy kod:

Skasuj całą tą linijkę. Takie skrypty najłatwiej wyszukiwać po tym że kod nie jest jawnie podany tylko najczęściej w formie tablicy bajtów i na końcu używany jest ‘eval’ do jego wykonania.

skrypi · 5 Lipiec 2013 18:20

Witam ponownie. Dalej mam ten sam problem z trojanem na stronie. Już wszystkie kody podejrzane usunąłem ale nie mogę znaleźć jednego kodu, który znajduje się w źródle strony.

Tutaj podaje, kod którego nie mogę nigdzie znaleźć http://wklej.org/id/1080958/

Dziwne też jest, że Opera nie widzi tego kodu w źródle strony a np. Chrome normalnie ten kod widzi. Wie, ktoś gdzie może być ukryty ten kod ???