[Arquivado] Vírus ao acessar fórum do imasters

[jothaz 1]

Pessoal,

 

Posso esta falando besteira mas apartir de hoje 20-03-2010 por volta das 18:30 toda vez que acesso o fórum do imasters meu anti-vírus Antivir detecta um malware:

 

Virus or unwanted program 'TR/Dropper.Gen [trojan]'

detected in file 'C:\Documents and Settings\Jothaz\Configurações locais\Temp\jar_cache2342086721460509952.tmp.

Action performed: Delete file

 

O engraçado é que realmente na pasta C:\Documents and Settings\Jothaz\Configurações locais\Temp aparece o jar em questão e o tempx852.exe.

 

Naveguei por outros sites não apareceu problema parerecido.

 

 

Tela antes de acessar o site:

 

< tela01 >

 

Ao acessar o site:

 

< tela02 >

 

Tela a pasta temp:

 

< tela03 >

 

Alguém sberia me explicar o que se passa?

 

Seria um falso positivo?

 

O problema acontece tanto com o Firefox quanto com Iexplorer.

 

E o que é este arquivo: Perflib_Perfdata_a18.dat

[klonder 14]

:o :o :o :o

 

É possível que outras pessoas estejam passando pela mesma situação. Não tenho o Java instalado e toda vez que entro aqui no fórum aparece a mensagem: Um plug-in adicional é necessário para exibir alguns elementos nesta página (navegador: Chrome).

 

Não vou instalar o Java, mas fiquei realmente curioso para saber o que está acontecendo!

 

Não conversei com os chefes ainda a respeito do assunto.

 

Vou acompanhar esse tópico.

[Power Max 54]

O usuário no tópico abaixo também está com a mesma queixa:

http://forum.imasters.com.br/index.php?/topic/387907-janela-suspeita/

 

Mas já comuniquei o fato aos Administradores, em breve a questão certamente será resolvida.

[Mário Monteiro 179]

O problema já foi reportado por hora apenas posso solicitar que não aceitem a instalação deste plug-in flash player quando surgir

[jothaz 1]

O problema do trojan Dropper continua..

[Mário Monteiro 179]

Ainda não tivemos retorno

[Elektra 102]

Eu tinha feito atualização do Java há poucos dias.

 

Uso Kaspersky Internet Security 2009, tudo tranquilo. Nenhuma ameaça detectada.

 

Ontem, quando surgiu a mensagem "Suspeita" na tela, apenas cancelei e segui navegando normalmente.

 

 

 

Hoje entrei no Imasters sem problemas.

 

 

 

Abraços

[jothaz 1]

Pode ser falso positivo do meu anti-virus Antivir 9.0.0..419!

 

Só abir o post pq na dúvida é melhor conferir.

 

O engraçado é que realmente na pasta: C:\Documents and Settings\Jothaz\Configurações locais\Temp têm: tempx852.exe sempre que visito o fórum.

 

Fico no aguardo.

[Elektra 102]

Entrei no site do fórum hoje a tarde, na boa.

 

Antes de acessar, agora à noite, fui verificar os relatórios do meu antivírus, tudo na paz.

 

Mas, ao entrar no Imasters novamente exibiu a "mensagem enganosa".

 

Meu antivírus muitas vezes acusava trojan na página do Yahoo, não era nada, eu conferi com outros usuários, mas nunca houve esse tipo de tela "diferente" para instalação. Foram algumas vezes, depois nunca mais ocorreu.

 

Eu uso Vista Ultimate, tentei localizar a pasta que você mencionou para conferir, mas a estrutura de arquivos é diferente.

 

Vasculhei todas as pastas temp que encontrei e nada (Arquivos de Programas e Windows).

 

Estou novamente com o ícone do Java na minha barra de notificações.

 

 

A administração do site já foi alertada, em outra ocaisão, sobre falhas na segurança.

 

O que está ocorrendo, na minha opinião não é loucura do antivírus é uma ameaça real no site.

 

Vamos torcer para que resolvam logo isso.

[DigRam 144]

Boa Noite! jothaz

 

O problema já foi reportado por hora apenas posso solicitar que não aceitem a instalação deste plug-in flash player quando surgir

<!> E,pelo visto,sua execução instala o juchecka.exe e chave no registro.

<!> D:\WINDOWS\juchecka.exe

<!> HKEY_CURRENT_USER\Software\Microsoft\Search Assistant <-- Abra-a e delete qualquer referência à juchecka.exe

<!> Não sei qual a relação com este plugin,já que o ficheiro malicioso parece estar associado,em sua nomenclatura,ao Java.

<!> Propositadamente,rodei o Plugin em minha máquina e observei várias instâncias do juchecka.exe pelo Gerenciador de tarefas.

<!> Ps: Ao eliminar o arquivo e sua respectiva entrada,não tive mais problemas.

< >

 

<!> Temos aqui a verificação do ficheiro,em VirSCAN.org.

°°°°°°°°°°°°°°°°°°°°°°°°°

°°°°°°°°°°°°°°°°°°°°°°°°°

<!> Verifique(m),em seu(s) computador(es),o ocorrido até que chegue explicações oficiais.

 

Abraços!

[Mário Monteiro 179]

Acabo de ter um retorno positivo

 

Aparentemente o problema foi resolvido

 

Mas se alguém notar o problema favor salvar um print para solucionar

[wings 22]

Acabo de ter um retorno positivo

 

Aparentemente o problema foi resolvido

 

Mas se alguém notar o problema favor salvar um print para solucionar

 

Olá Mário Monteiro

 

O problema ainda persiste...

 

< wings-png >

[Mário Monteiro 179]

Eu vi o problemas agora novamente e já informei denovo

[Elektra 102]

Um detalhe que me chamou a atenção.

 

Ao acessar a página do Imasters --> www.imasters.com.br, tudo tranquilo. Nem ao menos exibe o ícone do Java.

 

A mensagem é só ao acessar a página do fórum.

 

Segue os prints:

 

às 22:53 h --> Imasters'>http://www.imagenerd.com/uploads/domingo_ie8_home-gy5Yw.jpg"]Imasters - Página Inicial

 

às 22:54 h --> Página'>http://www.imagenerd.com/uploads/domingo_ie8_forum-bmR5C.jpg"]Página do Fórum

[jothaz 1]

Comigo ainda Decta o Trojan na

pasta: C:\Documents and Settings\Jothaz\Configurações locais\Temp

arquivos: tempx852.exe, jar_cache2194221639556670104.tmp e java_install_reg.log

 

< tela04 >

 

Mensagem do antivirus:

 

< tela05 >

[Brando lee 17]

Com lisença!!, sei que não tenho permissão para postar aqui, mais só para tira uma duvida.

 

Estou achando que pode ser um falso positivo do Avira!

 

Faça os procedimentos abaixo, para analizar o arquivo no site Virscan.org

 

***************************************

 

1) Faça o seguinte, copia esse caminho que esta em Citação:

C:\Documents and Settings\Jothaz\Configurações locais\Temp\tempx852.exe

 

2) E agora entra nesse site http://virscan.org abrindo você clique no botão ((Procurar)) ou ((Arquivo))

 

E abrirá uma janela, depois cola o caminho na janela e clique em ((abrir)) e depois clique no botão ((Upload))

 

< imagemyc.jpg >

 

Aguarde o arquivo será verificado por varios antivírus, finalizando o resultado poste o link do site aqui.

[jothaz 1]

Parece que foi resolvido pois:

pasta: C:\Documents and Settings\Jothaz\Configurações locais\Temp

arquivos: tempx852.exe, jar_cache2194221639556670104.tmp e java_install_reg.log

 

Não aparecem mais quando navego pelo site.

 

Realmente pode ser um falso positivo mas o intrigante é que o arquivos eram baixados na minha máquina.

 

Por mim podem dar o post por resolvido.

[Elektra 102]

Certo, mas hoje não apareceu nenhuma vez o ícone do Java na Barra de Notificações, nem a mensagem suspeita na tela.

 

Houve relatos de problema semelhante em outros sites.

 

Penso que os administradores do Imasters já tenham encontrado alguma forma de neutralizar o problema.

[Mário Monteiro 179]

Mas ainda vi a mensagem

 

Em menor quantidade mas aparece

 

Ainda não foi cercado com 100% o problema

[EDSSX 0]

Boa noite

 

 

Com vossas permissões de postar aqui ; tive o mesmo problema cfe. tópico :

 

http://forum.imaster...anela-suspeita/

 

 

Apenas clique em cancelar na janela do plugin/java, simples; se no caso apareçer a mesma. Agora se for em run, se no caso tiver o avira; ele pega mesmo .

 

 

 

Abraços e obrigado