Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Подозрение на троян (http://forum.oszone.net/showthread.php?t=230593)

kostr24 17-03-2012 14:35 1881200
Подозрение на троян
 
Вложений: 2
Подозреваю, что у меня на компьютере завелся троян, но не могу его найти.
Дело в том, что на ФТП, к которому я имею доступ, появился вирус js.siggen.192 и заразил файлы js. Пароль был только у меня.
Помогите, пожалуйста!

Логи сделала.

iskander-k 17-03-2012 15:18 1881220
Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
• Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
• Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
• Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.




Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\gc4cw3qz.exe','');
 DeleteFile('C:\Program Files\gc4cw3qz.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы.

Обновите базы АВЗ и сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

kostr24 17-03-2012 15:22 1881221
Файл C:\Program Files\gc4cw3qz.exe - это CureIt, можно его не удалять?

alex_sev 17-03-2012 15:23 1881223
Можно, выполняйте дальше по списку

kostr24 18-03-2012 14:51 1881763
Вложений: 2
Выполнила, вот логи.

iskander-k 18-03-2012 17:05 1881822
Цитата:
Цитата kostr24
Файл C:\Program Files\gc4cw3qz.exe - это CureIt, можно его не удалять? »
обычно курейт туда не ставится. .. и он должен был найти и удалить js.siggen.192

ФТП где появился js.siggen.192 - это ваш сайт и находится на вашем компьютере или сторонний хостер к которому вы имеете доступ ?



Какая программа видит что у вас JS.Siggen.192 ?


Файлы
Код:
C:\WINDOWS\system32\javaws.exe
C:\WINDOWS\system32\javaw.exe
C:\WINDOWS\system32\java.exe
 C:\Program Files\jxpiinstall.exe
проверьте на https://www.virustotal.com/ru/ если будет выбор - выберите проверить заново.
Ссылки на проверку выложите в сообщение.

HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
 SetAVZGuardStatus(true);
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\MicroST', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\MicroST');
RebootWindows(true);
end.
Обновите JAVA на новую версию по
инструкции

kostr24 18-03-2012 17:48 1881855
CureIt я скачала туда сама. Теперь он удален, все равно устарел. Java вчера переустановила новую.
Файлы проверила - говорит, что они уже проверены. Строку пофиксила. Скрипт запустила.

Вирус был не у меня, а у стороннего хостера, но в моем разделе. На своем компе я ничего не нашла, но как-то же он туда попал! Хостер утверждает, что пароль украли у меня. Больше его ни у кого не было.

iskander-k 18-03-2012 23:12 1882068
Этот вирус в основном заражает сайты. И вирус сидит у хостера. Он должен почистить у себя.
Цитата:
Цитата kostr24
Java вчера переустановила новую. »
А где вы её взяли ? По логам у вас староватая версия. пройдите по ссылке и проверьте и установите новую версию.
Цитата:
Цитата kostr24
Файлы проверила - говорит, что они уже проверены. »
Я уточнил вам
Цитата:
Цитата iskander-k
если будет выбор - выберите проверить заново. »
Цитата:
Цитата kostr24
Хостер утверждает, что пароль украли у меня. »
поменяйте пароль.

у вас нет активного заражения , видны следы старого трояна carberp который ворует пароли. возможно тогда у вас и украли пароль.

kostr24 18-03-2012 23:23 1882082
Ну, спасибо.
Java я взяла по ссылке с virusinfo на обновление плагинов firefox, последнюю, что там была.

Последний раз я лечилась до того, как получила новый пароль, где-то за 2 месяца. Может быть, правда у хостера. Пароль поменяла. Спасибо за помощь.

iskander-k 18-03-2012 23:50 1882096
обязательно пройдите по ссылке и обновите Java . По логам у вас 6 версия , на сайте есть 7. Есть и средство проверки вашей версии.

Цитата:
Цитата kostr24
обновление плагинов firefox »
плагины это одно а полная версия это совершенно другое.


Время: 02:51.

Время: 02:51.
© OSzone.net 2001-