Wirus na stronie www

chef · 23 Październik 2011 06:34

Witajcie,

od paru dni mam problem z jakimś wirusem na stronie. W kod strony wstawiony jest jakiś skrypt. Przeskanowałam komputer antyvirem - było parę wirusów ale wszystko zostało usunięte. Myślałam, że po problemie a dziś znów to samo. Co robić i jak się tego pozbyć? #-o

Pozdrawiam

drobok · 23 Październik 2011 06:59

Daj adres strony, btw masz pewność, że nie ma już nic ??

chef · 23 Październik 2011 07:22

Pewności nie mam. Myślę, że może coś w rejestrze kompa się zapodziało ale nie wiem jak to zidentyfikować. Generalnie, sprawa wygląda tak, że ten wirus najpierw pojawił się na stronie mojej znajomej a potem “przeszedł” na moje. :shock: Ja ze swoich usunęłam więc na tą chwilę go nie ma. Natomiast widzę, że u znajomej znów się pojawił -> link.

drobok · 23 Październik 2011 07:29

Usuń to i powinno być ok.

Oraz daj log z olt’a, wg instrukcji z tego działu.

chef · 23 Październik 2011 08:12

http://wklej.to/X1qgT

http://wklej.to/vVRA0

Acorus · 23 Październik 2011 08:30

Odinstaluj BitTorrentBar Toolbar.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL SRV - File not found [Auto | Stopped] – -- (.bntr) IE - HKLM…\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - C:\Program Files\BitTorrentBar\tbBitT.dll (Conduit Ltd.) IE - HKU\S-1-5-21-3503897813-249867581-1530004264-1000…\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - C:\Program Files\BitTorrentBar\tbBitT.dll (Conduit Ltd.) [2011-05-09 09:01:08 | 000,000,000 | —D | M] (Conduit Engine) – C:\Users\Klaudia\AppData\Roaming\mozilla\Firefox\Profiles\au9npkvc.Klaudia\extensions\engine@conduit.com O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O2 - BHO: (BitTorrentBar Toolbar) - {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - C:\Program Files\BitTorrentBar\tbBitT.dll (Conduit Ltd.) O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKLM…\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (BitTorrentBar Toolbar) - {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - C:\Program Files\BitTorrentBar\tbBitT.dll (Conduit Ltd.) O3 - HKU\S-1-5-21-3503897813-249867581-1530004264-1000…\Toolbar\WebBrowser: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O3 - HKU\S-1-5-21-3503897813-249867581-1530004264-1000…\Toolbar\WebBrowser: (BitTorrentBar Toolbar) - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - C:\Program Files\BitTorrentBar\tbBitT.dll (Conduit Ltd.) O4 - HKLM…\Run: [DVDAgent] ; “C:\Program Files\Hewlett-Packard\Media\DVD\DVDAgent.exe” File not found O4 - HKLM…\Run: [HP Health Check Scheduler] ; c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe File not found O4 - HKLM…\Run: [hpsysdrv] ; c:\program files\hewlett-packard\HP odometer\hpsysdrv.exe File not found O4 - HKLM…\Run: [iAAnotif] ; C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe File not found O4 - HKLM…\Run: [KBD] ; C:\Program Files\Hewlett-Packard\KBD\KbdStub.EXE File not found O4 - HKLM…\Run: [smartMenu] ; %ProgramFiles%\Hewlett-Packard\HP MediaSmart\SmartMenu.exe File not found O4 - HKLM…\Run: [startCCC] ; “c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe” MSRun File not found O4 - HKLM…\Run: [sunJavaUpdateSched] ; “C:\Program Files\Java\jre6\bin\jusched.exe” File not found O4 - HKLM…\Run: [TSMAgent] ; “c:\Program Files\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe” File not found O4 - HKLM…\Run: [TVAgent] ; “C:\Program Files\Hewlett-Packard\Media\TV\TVAgent.exe” File not found O4 - HKLM…\Run: [updateLBPShortCut] ; “c:\Program Files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe” “c:\Program Files\CyberLink\LabelPrint” UpdateWithCreateOnce “Software\CyberLink\LabelPrint\2.5” File not found O4 - HKLM…\Run: [updateP2GoShortCut] ; “c:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe” “c:\Program Files\CyberLink\Power2Go” UpdateWithCreateOnce “SOFTWARE\CyberLink\Power2Go\6.0” File not found O4 - HKLM…\Run: [updatePDIRShortCut] ; “c:\Program Files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe” “c:\Program Files\CyberLink\PowerDirector” UpdateWithCreateOnce “SOFTWARE\CyberLink\PowerDirector\7.0” File not found O4 - HKLM…\Run: [updatePSTShortCut] ; “c:\Program Files\CyberLink\CyberLink DVD Suite Deluxe\MUITransfer\MUIStartMenu.exe” “c:\Program Files\CyberLink\CyberLink DVD Suite Deluxe” UpdateWithCreateOnce “Software\CyberLink\PowerStarter” File not found O4 - HKLM…\Run: [Windows Defender] ; %ProgramFiles%\Windows Defender\MSASCui.exe -hide File not found O4 - HKU\S-1-5-21-3503897813-249867581-1530004264-1000…\Run: [9XWWXUWVZC6I1VUIMLMP] C:\win32s\9DCCDACDEA1.exe (CodeGear) O4 - HKU\S-1-5-21-3503897813-249867581-1530004264-1000…\Run: [ALLUpdate] ; “C:\Program Files\ALLPlayer\ALLUpdate.exe” “sleep” File not found O4 - HKU\S-1-5-21-3503897813-249867581-1530004264-1000…\Run: [ehTray.exe] ; C:\Windows\ehome\ehTray.exe File not found O4 - HKU\S-1-5-21-3503897813-249867581-1530004264-1000…\Run: [sidebar] ; C:\Program Files\Windows Sidebar\sidebar.exe /autoRun File not found [2011-09-30 15:08:17 | 000,000,456 | ---- | M] () – C:\Windows\Tasks\PCDRScheduledMaintenance.job @Alternate Data Stream - 478 bytes -> C:\Users\Klaudia\Documents\chef.eml:OECustomProperty :Commands [emptytemp]

Kliknij Wykonaj skrypt .Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

chef · 23 Październik 2011 10:41

Niestety po restarcie OTL się zawiesza. Czy ustawienia mają być takie jak przy skanowaniu?

http://wklej.to/VVgdJ

http://wklej.to/FfItt

http://wklej.to/HRUUl

Acorus · 23 Październik 2011 12:24

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.Wyłącz i włącz przywracanie systemu.

http://www.searchengines.pl/Czyszczenie … 41981.html

Przeskanuj progr.Malwarebytes Anti-Malware

http://www.dobreprogramy.pl/Malwarebyte … 13117.html

Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY WIRUSÓW

Zainstaluj aktualizacje do programow wskazanych przez: http://screen317.spywareinfoforum.org/SecurityCheck.exe jako out of date.

chef · 23 Październik 2011 16:37

Niestety nic to nie dało.

Acorus · 23 Październik 2011 17:01

http://www.deficca.pl/ Ta strona jest zarażona.Antywirusy blokują.

chef · 23 Październik 2011 17:43

Wiem, nie jest to moja strona tylko znajomej. Ja na swojej miałam to samo ale co usunę to znów się to pojawia. W ogóle to nie wiem czemu ale OTL wiesza mi się podczas pracy. Może wstawię loga po tych instrukcjach, które podałeś?

drobok · 23 Październik 2011 18:37

Jeśli masz jakąś kopię zapasową to wywal wszystko z serwera. Jeśli nie to daj cały kod wszystkiego co masz na stronie.

chef · 24 Październik 2011 20:33

Niestety znów się to pojawiło.

http://wklej.to/188Rh

http://wklej.to/TYXmv

– Dodane 25.10.2011 (Wt) 13:19 –

Teraz jeszcze polskie nazwy katalogów w menu start zmieniły nazwę na angielską. Czy to też wina wirusów?

– Dodane 26.10.2011 (Śr) 11:08 –

Zasugerowano mi że wirusy włażą przez total commandera. Zmieniłam wszystkie hasła, po czym wykasowałam połączenia w panelu. Poprawa była tylko na jeden dzień. Dziś znów to samo. Jestem załamana. Nie wiem co z tym zrobić. Kończą mi się pomysły.