Elektroda.pl
Elektroda.pl
X
CControls
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

JS/TrojanDownloader.Agent.PTR koń trojański-Sprawdź stan przesylki DHL

alekga 07 Kwi 2017 11:38 612 9
  • #1 07 Kwi 2017 11:38
    alekga
    Poziom 5  

    Sprawdź stan przesylki DHL
    po kliknięciu na linka (niestety) są wysyłane maile w dużych ilościach-zgłosił operator internetu
    NOD nic nie raportuje tylko w dniu kliknięcia przesyłki jest wpis w plikach dziennika NOD taki:
    2017-04-04 14:12:33
    Filtr protokołu HTTP plik http://kookiis.com/download7428/ odmiana zagrożenia Win32/Injector.DNKR koń trojański połączenie zostało zakończone Lxxxx\xxxxxx Wykryto zagrożenie podczas uzyskiwania dostępu do stron internetowych przez aplikację: C:\WINDOWS\system32\wscript.exe (36632DA9B915460F45FFDF040C459BC4AB9CB05A). E0776A9AB181CA5AD7A6EE06BE5F988B522D32DC 2017-04-04 14:12:32
    2017-04-05 07:25:22 Ochrona systemu plików w czasie rzeczywistym plik C:\documents and settings\jxxxxxx\moje dokumenty\pobrane\dhl__numer__zlecenia___4558034676_____kwi___04___2017.js JS/TrojanDownloader.Agent.PTR koń trojański wyleczony przez usunięcie ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\WINDOWS\system32\SearchProtocolHost.exe (66ED3412E29BA492DBC6E4A7C017217666B38BBC).

    załączam logi FRST

    0 9
  • CControls
  • #2 07 Kwi 2017 12:23
    Domino_2
    Pomocny dla użytkowników

    Załącz jeszcze raz plik Addition.txt bo jest praktycznie pusty.

    1
  • CControls
  • #4 07 Kwi 2017 14:24
    Kolobos
    Spec od komputerów

    Z jakiego czytnika poczty korzystasz? Tylko nie pisz, ze outlook...

    Na przyszlosc nie uruchamiaj zainfekowanych zalacznikow oraz nie wchodz na zainfekowane strony. Nie wiem jak mozna sie na takie rzeczy nabierac, w mailu bylo widac, ze link nie prowadzi do strony dhl.

    W logach nie widac nic ciekawego.

    Odinstaluj AVG Security Toolbar

    Zainstaluj http://ninite.com/java/

    Fixlist.txt dla FRST:
    HKLM\...\Run: [vProt] => C:\Program Files\AVG Secure Search\vprot.exe [997320 2012-11-09] ()
    HKLM\...\Run: [ROC_ROC_NT] => C:\Program Files\AVG Secure Search\ROC_ROC_NT.exe [856160 2012-09-12] ()
    HKU\S-1-5-21-700887064-2602079411-2751849605-1007\...\Run: [MSMSGS] => C:\Program Files\Messenger\msmsgs.exe [1695232 2008-04-15] (Microsoft Corporation)
    HKU\S-1-5-21-700887064-2602079411-2751849605-1007\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://isearch.avg.com/?cid={62D68ACA-1FC9-47B2-BFFB-1438F6AB2E4A}&mid=b8afad0e32a147d0b9997f855016a364-4bafe351373b6555c8afa463c8d22780267e7509&lang=pl&ds=xn011&pr=sa&d=2012-09-12 08:27:32&v=13.2.0.5&sap=hp
    BHO: AVG Security Toolbar -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> C:\Program Files\AVG Secure Search\12.2.5.34\AVG Secure Search_toolbar.dll [2012-09-12] ()
    Toolbar: HKLM - AVG Security Toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG Secure Search\12.2.5.34\AVG Secure Search_toolbar.dll [2012-09-12] ()
    Toolbar: HKU\S-1-5-21-700887064-2602079411-2751849605-1007 -> Brak nazwy - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - Brak pliku
    Handler: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files\Common Files\AVG Secure Search\ViProtocolInstaller\12.2.6\ViProtocol.dll [2012-09-12] ()
    FF DefaultSearchEngine: C:\Documents and Settings\Janusz_Ludwiczuk\Dane aplikacji\Mozilla\Firefox\Profiles\uzt7ev80.default -> Ask Web Search
    FF SelectedSearchEngine: C:\Documents and Settings\Janusz_Ludwiczuk\Dane aplikacji\Mozilla\Firefox\Profiles\uzt7ev80.default -> Ask Web Search
    FF Keyword.URL: C:\Documents and Settings\Janusz_Ludwiczuk\Dane aplikacji\Mozilla\Firefox\Profiles\uzt7ev80.default -> hxxp://int.search.tb.ask.com/search/GGmain.jh...CDE&n=781bb3c1&ind=2015081409&p2=^Y6^xdm007^YYA^pl&si=CInx2qCJqMcCFUvItAod8TcCZw&searchfor=
    FF SearchPlugin: C:\Documents and Settings\Janusz_Ludwiczuk\Dane aplikacji\Mozilla\Firefox\Profiles\uzt7ev80.default\searchplugins\ask-web-search.xml [2015-08-14]
    FF HKLM\...\Firefox\Extensions: [avg@toolbar] - C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search\12.2.5.34
    FF Extension: (AVG Security Toolbar) - C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search\12.2.5.34 [2012-09-12] [Brak podpisu cyfrowego]
    CHR HKLM\...\Chrome\Extension: [ndibdjnfmopecpmkdieinmbadjfpblof] - C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search\ChromeExt\13.2.0.5\avg.crx <nie znaleziono>
    R2 vToolbarUpdater13.2.0; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe [711112 2012-11-09] ()
    S1 avgtp; C:\WINDOWS\system32\drivers\avgtpx86.sys [26984 2012-11-09] () [Brak podpisu cyfrowego]
    U1 WS2IFSL; Brak ImagePath

    0
  • #5 07 Kwi 2017 14:33
    alekga
    Poziom 5  

    mam Outlook w pakiecie Ms Office.
    a jaki program pocztowy jest dobry?

    Muszę mieć starszą wersję javy.
    nie wiem do czego służy ninite java?

    Zrobię jak radzisz z FRST

    0
  • Pomocny post
    #6 07 Kwi 2017 14:35
    Kolobos
    Spec od komputerów

    > a jaki program pocztowy jest dobry?

    Kazdy, byle nie dziurawy i przestarzaly OE. Zainstaluj np. Thunderbird.
    Do tego zacznij uwazac co robisz i usuwaj maile infekujace system zamiast je otwierac i wchodzic na podane strony!

    > nie wiem do czego służy ninite java?

    Aktualizuje jave.

    1
  • #7 10 Kwi 2017 12:33
    alekga
    Poziom 5  

    usunięto folder FRST na dysku C
    na razie OK
    dziękuję

    0
  • #8 10 Kwi 2017 12:49
    nuszek
    Poziom 25  

    alekga napisał:
    Sprawdź stan przesylki DHL

    Też taki dostałem, mimo, ze mam pocztę płatną /czyli bez reklam/, wywaliłem do kosza i opróżniłem, a szkoda, trochę się pośpieszyłem.
    Potrzebuję link z jakiego adresu to przyszło by zablokować ten adres.
    Na uwagę zasługuje fakt: brak polskich liter "przesylki".
    Emaile mają różne tematy, np. "Preawizacja DHL", "Sprawdź stan przesyłki DHL" czy "Monitorowanie dostawy przesyłki DHL". W treści maile mają opisy różnych linków, pod którymi kryją się jednak hiperłącza do złośliwych stron internetowych. To z nich ściągane są pliki JavaScript, które mają pobrać złośliwe oprogramowanie na komputer ofiary.

    0
  • #9 10 Kwi 2017 14:36
    alekga
    Poziom 5  

    u mnie przyszło stąd

    logistics(malpa)artifibras.com.mx

    0
  • #10 10 Kwi 2017 14:37
    Kolobos
    Spec od komputerów

    Blokowanie nie ma sensu, adresy moga byc losowe i zmieniac sie dowolnie. Zanim zablokujesz, bedzie juz cala masa innych.

    0