Trojan clicker wykrada hasla do ftpa

Witajcie.

Otrzymałem tydzień informację od mojego hostingu, że na którymś z komputerów, który ma skonfigurowane połączenie FTP mamy trojana - typowego i popularnego Clickera. Trojan wykrada hasło i wysyła je “w świat”, skąd nadchodzą połączenia FTP, które następnie zmieniają po kolei większość plików typu *.php *.html.

Trojan zmienił wszystkie pliki html i php na naszym serweerze dodając tam swój kod zawarty w ramkach lub dodając swój kod javascript.

(przykładowe zmienione strony to: www.atet.pl, www.mtapoland.com)

Aby pozbyć się wirusa, zapuściłem oczywiście antywirusa, przejechałem komputer hijackthisem, usunąłem śmiecie i zmieniłem hasło dostępowe do ftpa. Niestety, trojan po tygodniu wrócił.

W związku z tym, że z nowego hasła korzystałem tylko ja, mam podejrzenie, że dalej w systemie mam Clickera. Prośba o pomoc.

Log z Hijackthis -> http://www.wklej.org/id/90934/

Pozdrawiam

Sławomir Zając

wygląda czysto, przeskanuj ComboFix -em

Do poczytania

http://www.searchengines.pl/Infekcja-hi … 24457.html

Przeskanowałem, aczkolwiek z małą niespodzianką. Oto log z combo-fixa: http://wklej.org/id/90954/

Niespodzianka wyglądała następująco: zapuściłem combofixa, wyszedłem na minutę z pokoju. Gdy wróciłem, system w trakcie restartu. Po załadowaniu systemu, pojawiło się okienko z napisem: “zamknięcie systemu nastąpi za 60 sekund” - i odliczanie. Na szczęście pamiętałem by w takiej sytuacji wpisać “shutdown -a” w konsoli :slight_smile: Po tej niespodziance combo-fix zadziałał bezproblemowo.

Pozdrawiam

Dodane 15.05.2009 (Pt) 13:24

Dziękuję. Interesująca lektura. Już napisałem do mojego hostingu w sprawie sFTP.

proponowałbym przeskanowanie “porządnym” antywirusem

więc albo instalacja triala kasperskiego na 30 dni albo skanowanie online kasperskim :slight_smile: http://www.kaspersky.com/virusscanner

z loga combofixa

niepokojące jest : c:\windows\Downloaded Program Files\MyWebEx

to jakiś soft do zdalnego dostępu

w te pliki bym zajrzał notatnikiem co tam jest:

c:\windows\system32\Config.ini

c:\windows\system32\tmp.reg

C:\test.txt

C:\asd.reg

trochę masz tych plików .reg, jeśli to twoje to ok, jeśli nie - niepokojące

to napewno pozostałości po jakimś syfie: — klucz jak i plik do skasowania

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{c7c05553-862e-11dd-9fbc-0030050a8673}]

\Shell\AutoRun\command - D:\rdsfk.com

\Shell\explore\Command - D:\rdsfk.com

\Shell\open\Command - D:\rdsfk.com

to też jest dziwne: — jakieś zablokowane szyfrowane klucze, wysoce podejrzane

--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------

[HKEY_USERS\S-1-5-21-1214440339-1123561945-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved{3B14D4DF-5FC5-A1B5-C713-9304844CE75E}*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

“oablcakmfkngnnlnanaimfllcofomj”=hex:6a,61,69,67,6f,68,62,61,67,6b,69,62,6a,6c,70,6d,66,6c,66,6e,00,00

“nadlikpbmajjehhlmahpeldnjhpf”=hex:69,61,6b,66,6f,65,61,67,64,6b,63,6a,63,62,65,65,67,64,00,00

Dzięki za porady!

Przejechałem antywirusem. Po sprawdzeniu dysku, takiego katalogu już nie ma.

Tych plików już nie ma

To “moje” pliki, bezpieczne.

Skasowane. Nawet nie mam dysku D: :slight_smile:

Hm, rzeczywiście dziwne. Nie mogę wejść w ten klucz, pojawia się ostrzeżenie: “Nie można otworzyć {3B14D4DF-5FC5-A1B5-C713-9304844CE75E}. Błąd przy otwieraniu pliku.”. Usunąć ten klucz?

Jeżeli skasowałeś , to daj log z ComboFix .