[Arquivado] virus em iframe, ñ sei nen a pau

[rafinhaphp 0]

AI galera, beleza?, eu postei em HTML mas me mandaraum vim pra ca, seguinte:

 

eu peguei um virus em todos os sites q eu administro, esse virus fica entrando pelo FTP e colocando um codigo nas minhas paginas... eu ja mudei a senha de ftp mas nun adianta... eu passei o ant-viruz no meu PC e nun pego nada, eu uso o NOD.. alguem pode me ajudar? to ficando doido ja!

[Mário Monteiro 179]

Regra'>http://forum.imasters.com.br/index.php?showtopic=165906"]Regra Nº 02 - Utilizando O Hijackthis.

 

Post um log

[rafinhaphp 0]

ta ai galera:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 01:35:53, on 27/7/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16850)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Bonjour\mDNSResponder.exe

C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\Documents and Settings\All Users\Dados de aplicativos\EPSON\EPW!3 SSRP\E_S40RP7.EXE

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

c:\Arquivos de programas\Arquivos comuns\Protexis\License Service\PsiService_2.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\ups.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\egui.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4T1.EXE

C:\Arquivos de programas\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\VisualTaskTips\VisualTaskTips.exe

C:\Arquivos de programas\RocketDock\RocketDock.exe

C:\Arquivos de programas\LClock\lclock.exe

C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Windows Live\Messenger\usnsvc.exe

C:\Documents and Settings\Alexandre\Meus documentos\Meus arquivos recebidos\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Arquivos de programas\DAEMON Tools Toolbar\DTToolbar.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [egui] "C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [EPSON Stylus C45 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4T1.EXE /P23 "EPSON Stylus C45 Series" /O6 "USB001" /M "Stylus C45"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Arquivos de programas\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [VisualTaskTips] "C:\Arquivos de programas\VisualTaskTips\VisualTaskTips.exe" noTrayIcon

O4 - HKCU\..\Run: [EPSON Stylus Photo R290 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICKL.EXE /FU "C:\WINDOWS\TEMP\E_S1B8.tmp" /EF "HKCU"

O4 - HKCU\..\Run: [RocketDock] "C:\Arquivos de programas\RocketDock\RocketDock.exe"

O4 - HKCU\..\Run: [LClock] C:\Arquivos de programas\LClock\lclock.exe

O4 - HKCU\..\Run: [nodenable] C:\Arquivos de programas\eset\nodenable.exe

O4 - HKCU\..\Run: [\\PR-7E274EEEE693\EPSON Stylus Photo R290 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICKL.EXE /FU "C:\DOCUME~1\ALEXAN~1\CONFIG~1\Temp\E_S135.tmp" /EF "HKCU"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre6\bin\jp2iexp.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre6\bin\jp2iexp.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.1.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab

O20 - Winlogon Notify: !SASWinLogon - C:\Arquivos de programas\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: icmui32 - icmui32.dll (file missing)

O23 - Service: Bonjour Service - Apple Inc. - C:\Arquivos de programas\Bonjour\mDNSResponder.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Documents and Settings\All Users\Dados de aplicativos\EPSON\EPW!3 SSRP\E_S40RP7.EXE

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Microsoft Color Matching System User Interface DLL (icmui32) - Unknown owner - rundll32.exe (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe

O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Arquivos de programas\Arquivos comuns\Protexis\License Service\PsiService_2.exe

 

--

End of file - 9642 bytes

[Silas Martins 0]

Faça o download do '>http://gmer.net/gmer.zip"]Gmer e salve no seu desktop (Área de Trabalho).

• Extraia/tire do zip arquivo para uma pasta própria.
• Feito isso, desligue o PC da Internet e feche todos os programas.
  Existe uma pequenissíma hipótese desta aplicação desligar o seu PC. Por isso, salve qualquer trabalho que tenha aberto.
• Clique duas vezes em Gmer.exe.
• Se lhe for perguntado, permita que o driver gmer.sys seja rodado.
• Se receber o aviso acerca de atividade de rootkit e para fazer um scan...clique em NO.
• Clique em "Settings", e marque as 5 (cinco) primeiras:
  *System Protection and Tracing
  *Processes
  *Save created processes to the log
  *Drivers
  *Save loaded drivers to the log
• Será questionado para reiniciar o PC. Reinicie.

Rode novamente o Gmer e clique em Rootkit.

• No lado direito (debaixo de file, desmarque todos os drives excepto o seu disco (usualmente o C).
• Certifique-se que todas as outras caixas, no lado direito do ecran estao marcadas, EXCETO para "Show All".
• Clique em "Scan" e aguarde que o scan seja efectuado.
  Nota: Antes do scan, certifique-se que todos os outros programas estão fechados. Também não use o computador durante o scan.
• Quando terminar, clique no botão Copiar e depois clique com o botão direito no seu Desktop, escolha "Novo" e depois -> Documento de Texto. Quando o arquivo tiver sido criado, abra e novamente botão direito e Cole ou Ctrl+V. Salve o arquivo como gmer.txt e poste o conteúdo na sua próxima resposta.
• Nota: Se tiver problemas, tente rodar o GMER em '>http://i14.photobucket.com/albums/a332/josemelo/mdseg_XP.jpg"]Modo Seguro

Importante! Por favor não marque a caixa "Show all" durante o scan.

 

Aguardo retorno

[transmutare 0]

AI galera, beleza?, eu postei em HTML mas me mandaraum vim pra ca, seguinte:

 

eu peguei um virus em todos os sites q eu administro, esse virus fica entrando pelo FTP e colocando um codigo nas minhas paginas... eu ja mudei a senha de ftp mas nun adianta... eu passei o ant-viruz no meu PC e nun pego nada, eu uso o NOD.. alguem pode me ajudar? to ficando doido ja!

 

 

 

Oi Rafinha:

Sou web designer e consegui constatar coisas interessantes sobre o assunto que tu falaste, tive o meu note de trabalho formatado duas vezes em uma semana e na verdade, o que parece que está infectado são os códigos html dos sites e não o teu ftp ou coisa que o valha.

Na verdade, o que pode estar acontecendo é o seguinte: eu trabalho com quatro servidores diferentes, com sites publicados neles e em todos eu encontrei o código malicioso no <iframe> nas páginas index da raiz e mesmo em sub-pastas, até mesmo a index.html que por default os domínios tem antes que a gente coloque lá o site em si.

Isso valendo para sites publicados agora e alguns que já tenho até publicados há mais de ano (e que o código eu só tinha em bkp em dvds)

Não sou técnica, mas o técnico responsável pelas minhas máquinas está desinfectando a que parece que não foi afetada porque no meu note de trabalho eu devo ter baixado o vírus que o código ativa, porque teve que ser formatado duas vezes, ele instala tão violento que só formatando mesmo.

Todos os arquivos que tenham index ou index alguma coisa no nome são infectados com esse codigo malicioso em <iframe> logo após a tag <body>.

No aspecto visual, quando se acessa o site ele parece estar sendo forçado para baixo, já que aparece quase na metade da tela do browser.

Estou entrando em contato com os administradores dos servidores e expondo o que já consegui observar, por isso não se acha nada quando o vírus mesmo não é baixado no pc, mas quando ele é baixado, se ativa por este código que pode estar no pc mesmo nos temporários e aí o estrago é grande, ele infecta muito rapidamente uma série se arquivos exe e quando o antivírus é ativado ele reinicia o pc.

Ele instala como se fosse um antivírus que fica escaneando o pc e mostrando warnings e pedindo para ser ativado na condição de comprar o serviço. Caso isso não seja feito, ele troca o plano de fundo do desktop por uma tela azul riscadinha com um warning em vermelho e reinicia a máquina. Para trabalhar aí só em modo de segurança.

Vou verificar com o técnico tudo o que ele está fazendo e posto aqui.

Mas a nível de html, estou limpando à mão os códigos e republicando. Algumas horas depois das primeiras trocas por códigos limpos eu fui verificar em alguns sites e continuam limpos. Vamos ver...

Espero ter esclarecido mais alguma coisa, não precisa ficar doido... temos é que aprender a nos prevenir... ruim é que parece que assim a coisa toda se multiplica muuuito rápido

Imagina só quantos sites a mais tem em cada servidor desses que eu tenho sites e encontrei isso?e não tenho acesso de ftp? só falando mesmo com a administração dos servidores para se fazer algo a mais.

Abraços

[Silas Martins 0]

Olá transmutare,

É proibida a análise de pessoas que não estão devidamente autorizadas.

Como relata as regras abaixo:

Regra'>http://forum.imasters.com.br/index.php?showtopic=298977"]Regra Nº 04 - Análise de Logs.

Regra'>http://forum.imasters.com.br/index.php?showtopic=154916"]Regra Nº 01 - Evite invadir tópicos existentes.

 

rafinhaphp fico no aguardo do resultado do GMER

 

Aguardo retorno

[Mário Monteiro 179]

Tópico Arquivado

 

Como o autor não respondeu por mais de 30 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.