Trojan - JS:Twetti - zarażona strona na serwerze

Witam mam problem z tym draniem. Próbując połączyć się z własną stroną avast daje mi taki komunikat:

41845271821375809015.jpg

Dodam że wszystkie pliki na serwerze nadmieniłem i dodatkowo sprawdziłem kod index.php i nic podejrzanego nie zauważyłem. Komputer przeskanowałem Malwarebytes i tez nic nie wykryło. Macie jakiś pomysł? Jak się tego pozbyć. Podczas wejść z innego komputera jest ten sam problem.

Co o tym sądzicie?

Czy ktoś inny poza tobą ma dostęp do plików strony przez ftp lub jakimkolwiek innym sposobem ? Proponuję użyć programu Spybot Search& Destroy z najnowszymi bazami szkodników i przeskanować swój system dokładniej np. skanerem online Panda. Spróbuj też przenieść 100% plików z serwera na lokalny komputer i spróbuj przeskanować je również tą Pandą. Być może znajdziesz, który plik jest zainfekowany. Niekoniecznie problem leży w indexach, bo pewnie gdzieś jest doklejony jakiś kod.

Nie ma nikt dostepu oprócz mnie do serwera. Dorzucam jeszcze log z OTL:

http://wklej.org/id/720404/

I spróbuje zrobić czystkę na serwerze ale sądzę że jeśli plik jest zarażony w systemie to ponownie zagrożenie wejdzie na serwer ftp;/

u mnie nod wykrył na tej stronie trojana js/kryptik…wyczytałem na necie, że combofix daje temu rade.Ale niech potwierdzi to specjalista.Pozdro

Specjalistą może nie jestem ale trojan w JavaScripcie chyba nie może być groźny.

Groźny może i nie jest ale chodzi o to że strona się nie chce wczytać:/ bo antywirus wyłapuje zagrożenie…

To dodaj regułę zaufania.

W raporcie OTL nie widać aktywnej infekcji. Do korekty rozszerzenie exe itp Możliwe że masz zainfekowany pendrive?

Podłącz zainfekowane pndrives do tego komputera (bez obaw będziemy usuwać infekcje) Użyj USBFix z opcją Listing instrukcja [http://www.fixitpc.pl/topic/8-dezynfekc … 74#entry74](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 74#entry74) pokaż raport na forum

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

Użyj SecurityCheck [http://www.fixitpc.pl/topic/61-diagnost#entry9515](http://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/page p 9515#entry9515) Uaktualnij to co wskaże program

Log z UsbFix:

http://wklej.org/id/720640/

1 LOG Z OTL:

http://wklej.org/id/720642/

2 LOG Z OTL:

http://wklej.org/id/720643/

Checkup:

http://wklej.org/id/720645/

Spróbowałem zmienić rozszerzenie pliku z php na html i w pliku index.html nie wykrywa zagrożenia. Wszytko byłoby niby ok ale niektóre podstrony z konieczności muszą być w php… Nie wiem co z tym fantem zrobic;/

Dlaczego nie wykonałeś zaleconego skryptu do OTL a uruchamiasz Combofixa.

Odinstaluj w prawidłowy sposób Combofixa Start - Uruchom - wpisujesz lub skopiuj

“C:\Documents and Settings\Berlot\Pulpit\ComboFix.exe” /uninstall i Enter

Następnie wykonaj skrypt do OTL (jest w moim poście powyżej)

Następnie pokaż nowy raport z OTL

Cała instrukcje wykonałem w OTL ale pewnie Combo pozostał bo go uruchamiałem wczesniej…

1 Log:

http://wklej.org/id/720801/

2 log:

http://wklej.org/id/720803/

Ja Cię bardzo proszę abyś uważnie czytał instrukcję

Odinstaluj w prawidłowy sposób Combofixa Start - Uruchom - wpisujesz lub skopiuj

“C:\Documents and Settings\Berlot\Pulpit\ComboFix.exe” /uninstall i Enter

jak wklejasz skrypt do OTL to klikasz Wykonaj skrypt a nie Skanuj

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

Próbując usunąć ComboFixa dostaje taki komunikat:

68473902257212758128.jpg

A wklejając powyższy skrypt i wykonując go w OTL komputer się zawiesza… Staje zegar i nie działa klick myszy. Czekałem około godziny i musiałem zrestartować komputer…

Co do obrazka Pobierz ponownie Combofixa i zapisz na pulpit. Po tym rozpocznij deinstalacje narzędzia.

To spróbuj wykonać skrypt w trybie awaryjnym windows.

W trybie awaryjnym poszlo bez problemu oto logi:

http://wklej.org/id/721300/

http://wklej.org/id/721301/

ale problem nie zniknął nadal przy wejsciu na stronę wykrywa tego trojana. Co począć?

Dodane 01.04.2012 (N) 12:29

Ponawiam prośbę. Wykonałem wyżej zalecane kroki ale skan w OTL i wykonanie skryptu w niczym nie pomogło. W plikach z rozszerzeniem html na serwerze nie antywirus nie wykrywa zagrożenia, inaczej jest z plikami z rozszerzeniem php. Komunikat nadal się pojawia nie wiem jak sobie z tym poradzić?

Przyznam, że nie rozumie co się dzieje? Nic się nie usunęło.

Pobierz plik Fix.txt http://sendfile.pl/151492/Fix.txt zapisz go na dysku C:\

Wejdź w tryb awaryjny windows Uruchom OTL klikasz Wykonaj skrypt Zostanie poproszony o podanie ścieżki do pliku. Wciskasz Ok by załadować skrypt. Podajesz ścieżkę do pliku. Log z usuwania na forum

Następnie uruchom ponownie OTL klikasz Skanuj pokaż nowy raport OTL.txt na forum

Wykonałem te instrukcje i oto rezultat:

log po wykonaniu skryptu:

http://wklej.org/id/722150/

log ze skanowania:

http://wklej.org/id/722158/

Dodane 02.04.2012 (Pn) 15:56

Nadal nie widać efektu tych zabiegów. Co radzicie w takim wypadku?

Proszę odinstalować Spybota

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Jaka jest to wersja Avasta?

Zaktualizowałeś to oprogramowanie?

Wykonałem powyższy skrypt i pomogło. Odinstalowałem spybota i wszystko jest ok nie pokazuje zadnych bledow na komputerze. Dzieki wielkie za pomoc! Długa walka ale się opłacało. Jeszcze pokaze log:

http://wklej.org/id/724315/

Uruchom OTL klikasz Sprzątanie to powinno usunąć OTL’a wraz z jego kwarantanną

Zaktualizuj sobie oprogramowanie wyszczególnione w poście powyżej. To chyba wszystko.