Trojan-Clicker.HTML.IFrame.sy


(Ggo) #1

Witam

Problem jest następujący; po włączeniu którejkolwiek przeglądarki (czasem nie od razu) i próbę wejscia na jakakolwiek pojawia sie komunikat Kacpra o zablokowaniu połączenia gdyż na stronie freefl.info/daj.js znajduje sie trojan wymieniony w tytule (Avira pokazywała inna nazwę ...Trojan Downloader.JS.Timul.cv), który wykrada hasła kont itd. Skan oboma antyvirami , najpierw Avirą później Kacprem daje zerowy rezultat (wyłączone przywracanie systemu, awaryjny).Pojawiły sie juz komunikaty gg i ze skrzynki wp.pl, że hasła są wykradane.Skanowałem również AVG Antispyware i Smitfraud.Fix z zerowym rezultatem. Mam problemy na wejsciem na niektóre strony min. dobre programy. Prosze o jakąś pomoc, bo juz sam nie wiem co z tym zrobić. Google przejrzałem:)

Log HT

http://www.wklej.org/id/ea3e4e77a1

Log CF

http://www.wklej.org/id/79ff75cd24

Pozdro...


(Kambor4) #2

Znasz to?


(Ggo) #3

a nie widać tego W moim logu z CF :slight_smile:


(Kambor4) #4

Ja nie widzę w logach nic szkodliwego.

Usuń ręcznie folder C:**** Qoobox,

Usuń instalkę ComboFix z dysku.

Wykonaj optymalizację autostartu

Przeczyść komputer Ccleanerem

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!.


(Ggo) #5

zrobione

w msconfig mam tylko dwie pozycje co widać w HT

czyszczę ATF, CC, operę mam nastawioną na wyczysc cache przy zamykaniu, to samo w FF

no to chyba wiadome, pisałemo tym

mam Kacpra 2009.skanowanie nic nie wykrywa,oprócz Smitfraud.Fixa :), Aviry też przedtem nic nie wykrywało więc nie wiem jaki to mam sens?

te odpowiedź piszę juz z laptopa gdyż ze stacjonarnego juz nie mogłem wysłać :slight_smile:


(Kambor4) #6

Możesz zrobić skanowanie na wszelki wypadek. :wink:


(Ggo) #7

oto log z kacpra on line:

http://www.wklej.org/id/330a17d151

dla spokoju usunąłem przedtem Smitfraut.Fixa żeby nie było false positive, log jak widać czysty a problem trwa dalej :?


(Kambor4) #8

Hmmm.To nie jest sprawa wirusowa.


(Leon$) #9

pobierz i uruchom ATF Cleaner http://cybertrash.pl/images/tata/ATF/ATF.html

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

sprawdź czy zaznaczone są Cookies do usunięcia w IE i FF >> uruchom Ccleanera

zrób to przy wyłączonych przeglądarkach

:slight_smile:


(Ggo) #10

robiłem to dzis kilkakrotnie.

Zauważyłem, że skoro wg.nazwy Aviry trojan ma coś wspólnego z javą wyłączyłem obsługę javy script w przeglądarkach i teraz nie ma już tego komunikatu Kacpra lecz przeglądanie jest troche utrudnione i nie do końca. Na stronę dobrych programów i tak w chodze tylko przez lapa. Pozdro...


(Leon$) #11

Może należało by przeinstalować javę

:slight_smile:


(Ggo) #12

Java przeinstalowana...bez rezultatu.

Tu znalazłem podobnego potworka :twisted:

http://www.viruslist.pl/encyclopedia.ht ... d=4728&o=2

działa tak jak ten u mnie, jest sposób na jego pozbycie się lecz nie do końca łapię o co chodzi. Chodzi przede wszystkim o ten fragment na dole

Funkcje szkodnika


Po uruchomieniu trojan otwiera:


    * otwiera stronę WWW zlokalizowaną pod adresem http://82.179.170.11/dia489/

    * plik WMF zlokalizowany pod adresem: http://latech.co.kr/n.wmf 


Usuwanie szkodnika z zainfekowanego systemu


W celu usunięcia szkodnika z zainfekowanego systemu należy wykonać następujące operacje:


   1. Usunąć stronę HTML trojana (jej lokalizacja zależy od sposobu, w jaki trojan zainfekował komputer)

Proszę kogoś mądrzejszego o jakąś podpowiedź :slight_smile:


(Kambor4) #13

Daj log z HijackThis.Temat przyklejony.


(Ggo) #14

J :slight_smile: estem teraz w pracy, edytuje posta i wrzucę wieczorem.

Wczorajszy log HT jest w moim pierwszym poście.


(Leon$) #15

myślę że można odszukać tą stronę

start >> wyszukaj >> *.html

jak wyświetli listę kliknąć zakładkę data modyfikacji i ustawić od najświeższych >> następnie otwierasz po kolei te html >> jak antywir zasygnalizuje to usuń taki plik

jeśli masz to od niedawna to nie będzie dużo szukania

w logu nic takiego nie znajdziemy

:slight_smile:


(Ggo) #16

znalazłem taki plik, antyvir zareagował, usunąłem go, lecz to nic nie dało. Powoli zaczynam myśleć o przeinstalce choć byłby to u mnie pierwszy raz że poległem z powodu jakiegoś syfu. :oops:

ś.p.badworm :slight_smile: