Od kilku godzin, z różnych numerów GG, dostaję pojedyncze wiadomości (w odróżnieniu od rozmów) o treści: www.hsqvyrpzeh.info/?awbiby.jpg (jeśli używasz Windows, to trzymaj się z daleka). Ostatnia część (query string) jest losowa.
Fakt, że przychodzi jako pojedyncza wiadomość, każe przypuszczać, że do użytkowników GG trafia jako zagnieżdżony w rozmowie obrazek. Ludzie, od których to dostałem, nie mają pojęcia, o co chodzi, bo nic nie wysyłali.
Dostałem też od paru nieznajomych, ale wszyscy mieli mnie na liście kontaktów. Wszyscy używają oficjalnego klienta GG. Czyżby nowy trojan? Próba odwiedzenia wgetem i Firefoksem pokazuje pusty dokument. Nie próbowałem jeszcze zmieniać nagłówka User Agent.
Update: Smalu deobfuskował kod strony (wysyłany jest tylko do użytkowników IE), wygląda na to, że do wstrzyknięcia używa techniki Trojan-Downloader.JS.Agent.ab, dalej nie wiadomo, co (oprócz rozsyłania linka dalej) robi sam trojan.
Update: Inne wątki na ten temat:
Update: Wyciągnąłem z kodu trojana listę używanych ciągów tekstowych, znalazłem przy okazji mechanizm automatycznej aktualizacji za pomocą adresu http://66.185.126.34/cgi-bin/exe_output.cgi, do którego przekazywany jest numer GG i dwa bliżej nieokreślone parametry, wyglądające na bieżący znacznik czasu i hasło użytkownika. Jeśli padłeś ofiarą trojana, to po jego usunięciu zmień hasło do swojego konta.
kilka razy już zdążyłam to dostać dziś, ale nie byłam na tyle odważna żeby podążyć za tym linkiem
mienta:
Nie używałem Windowsa, to klikałem z ciekawości :)
Też dziś dostałem. I dokładnie jak Patrys - nie byłem na Windowsie, więc ciekawość nie miała większych trudności, aby wziąć górę nad rozsądkiem :P
Właśnie dostałem takiego linka:
http://www.jhjhaliwgpee.info
Prowadzi do tego samego celu.
No proszę. A ja myślałem, że to tylko mnie dotknęło ;-) Też kliknąłem z ciekawości (byłem zalogowany pod Linuksem) i też ujrzałem pustkę ;-)
ja dostalem tez pelno takich i jeszcze o tresci ‘google.com’ ;-)
Ja dostałem od 6 ludzi taki: http://www.hsqvyrpzeh.info/beeubf.jpg (nie klikać na to). Znajomi nie znający siebie nawzajem przysyłają taki sam link (u Ciebie jest trochę inna końcówka), tzn. że wszyscy mają wspólnego znajomego :D
Przesadzam :P
Też dziś dostałem już kilka takich… Klikam sobie na Windowsie w Operze i nic sie nie dzieje ;>
http://herself.ayanami.pl/code.txt - takie coś pokazuje się w IE.
Tutaj jest troche opisany, http://www.webservertalk.com/showthread.php?threadid=1721803
U mnie na dysku zostawił Uninstall0.exe, hamsko wrzucił do menu start > autostart ;-D Bez problemu dało się go skillować a bez gg nic nie wysyłał, tak przynajmniej twierdzi Ethereal.
Witam, Paytrys trzyma rękę na pulsie zmiana user-agent naMozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; EmbeddedWB 14,52 from: http://www.bsalsa.com/ EmbeddedWB 14,52; .NET CLR 1.1.4322; .NET CLR 2.0.50727; FDM; MEGAUPLOAD 1.0) lub któregoś z tychpomogła - dostaliśmy się do cudownego Java Script zajmującego bagatel 55KB ale nim to nastąpiło zostalismy przekierowani 3 razy:
najpierw z http://www.hsqvyrpzeh.info/?awbiby.jpg (64.202.189.170 - domena odwrotna to: pwfwd-v01.prod.mesa1.secureserver.net) do http://www.hsqvyrpzeh.info/site.aspx?aspxerrorpath=/default.html a nastepnie do http://66.185.126.34:1080/vnew/ (66.185.126.34 PTR record query refused sieć należy do 66.185.126.34 wg whoisa) natomiast po puszczeniu skanowania portów z rozpoznawaniem wersji demonów działających na serwerze dowiedziałem się, że mjest tam: 22: ssh OpenSSH 3.9p1 (protocol 1.99), 80: http-proxy nginx http proxy 0.4.12, 110: rpcbind 2 (rpc #100000, jakiś secure http 631: ipp CUPS 1.1: 1080: http Apache httpd 2.0.52 ((CentOS)), 3306: mysql MySQL (unauthorized) natomiast na serwerze hsqvyrpzeh.infojest otwarte tylko http … jeśli ktoś chce się pobawić JS to może powiedzieć co robi ten ‘magiczny kod’
GG chyba poblokowało juz wiadomości zawierające http
No ja dostaje takie linki już od jakiegoś czasu. Zazwyczaj po kliknięciu wywala mi Firefoxa (na windzie). Dostałem takiego linka od kolegi, który teraz ma objawy “Zablokowania przez filtr anty-spamowy Gadu-Gadu” :).
Siostra kilka razy dostała, na szczęście nie kliknęła (bo zabroniłem ;)) No i mnie też jakiś “szczęśliwiec” chciał wciągnąć do grona Zombie, zapraszając na iufqvgearxko[dot]info.
Odkodowałem już to,
http://smalu.info/odkodowane.txt
U mnie zaledwie zamyka liska (niewielki ból, zważywszy na “restore session” od 2.0). Win XP SP2. Żadnych syfów w autostarcie czy na dysku. Pod IE nie ćwiczyłem.
Kod robi to samo co zawsze, instaluje trojana. Pytanie co robi trojan ;-)
BTW. jak przerabiałem skrypt żeby poznać co trzyma w środku, sprawdziłem na wszelki wypadek konsolę błędów. I co się okazało ?:
“Błąd: [Exception... "'Nie udzielono uprawnien do odczytania wlasciwosci XULElement.accessible' when calling method:[...]“
Napisałem o czymś podobnym jakiś czas temu:
http://eriz.pc-inside.org/weblog/2006/11/19/gadu-padu-trojanik/
A ja nic takiego nie dostałem. Dziwne bo mam całkiem sporo znajomych, a czasami dostaje jakiś spam.
Nie po raz pierwszy i nie po raz ostatni autorzy trojanów/wirusów wykorzystują fakt, iż Gadu-Gadu otwiera linki zawsze w IE - nawet, jeśli jako domyślną przeglądarkę mamy inną.
Spodziewając się czegoś takiego z tego linka (oprócz nazwy sam znak zapytania i dopiero potem teoretyczna nazwa pliku budziły zastrzeżenia) ale również ufając przeglądarce (Opera) śmiało kliknąłem i potwierdziło się.
Opery szkodliwe JSy nie ruszą… co najwyżej te dobre nie ruszą na Operze :P :D
Też dostałem, mam operę i nie otworzyło mi tego linka, mam nadzieję, że nic się nie stalo, aczkolwiek jakby mi wolniej chodził net, ale były przerwy dziś w dostawie neta i może dlatego.
Wiatm wszystkich! Dobrze poinformowanych zapraszam do uzupełnienia informacji: http://pl.wikinews.org/wiki/Gadu-Gadu_rozsyła_spam_linki
a ja oryginalnie:
dostałem z “www.google.pl”,
ale te poprzednie też…
:/
Z ciekawosci zajrzalem na ten link ale nie z gg tylko z innego forum i jednynie probowal sie odpalic wmp w FF ale mam skrypty zablkowane a wiec nic sie nie dzialo
w ie7 pyta czy odpalić activex DAO
to pewnie Paweł J. :)
Z Konnekta kliknąłem, otwarło się w Firefoksie 2, na stronie biało i tab Adblocka. Lista blokowalnych elementów zawiera tylko jakiś wmv.
Robak działa również na firefoksie, gdy ten ma włączoną wtyczke Windows Media Player (a poprzez nią ładowana jest strona przy użyciu silnika IE). Wtyczka jest automatycznie aktywowana przez firefoksa gdy ten znajdzie odpowiednią bibliotekę w systemie. Aby się przed tym zabezpieczyć w about:config ustawiamy plugin.scan.WindowsMediaPlayer na 12.0 :)
a ja kliknąłem i teraz dostaje wiadomości od znajomych a jak pisze do nich to oni ode mnie nie dostają żadnych wiadomości niech mi ktos pomoże :((
Twoje konto GG zostało zablokowane, pisz na tech@gadu-gadu.pl albo odczekaj kilkanaście godzin na jego odblokowanie.
napisałem maila na tech@gadu-gadu.pl bo nie wiem co robić :/
Siadłem przy tym trojanie i już wiem, co to jest:
http://eriz.pc-inside.org/weblog/2006/12/27/gadu-padu-trojanik/
Jest to zintegrowany deszyfrator haseł i jednocześnie samowystarczalny klient GG. Wystarczy, że pozostaną resztki profilu (plik config.dat) i sam sobie będzie egzystował…
A ja mam pytanie, czy ten link szkodzi tylko pod klientem gadu-gadu czy pod innymi tez ? aqq, tlen, wpkontakt itp..
Patrys, z tego co patrzałem to on nic nie robi, tylko wrzuca swój exec do autostartu. Jak wyrzuciłem to byłem już wolny…
Robią Ci ludzie reklame - adres tej noty na tnij.org i w opis na gadzie.
Daj znać jak już będzie po wszystkim jak staty skoczyły :)
Czy wiadomo już pod jakimi plikami trojan urzęduje w systemie ? Ciekawi mnie też, czy jest on wykrywany przez antywirusy.
Nod32 nie wykrywa (świeżo pobrany).
http://bezpieczne.gadu-gadu.pl - a czy ten program oferowany przez samo gadu-gadu oprócz tego, że jego twórcy zostali poinformowani o całej sytuacji, daje rade temu? Intryguje mnie sprawa, gdyż sam z nieuwagi otworzyłem link w FF 2.0 Trwało to chwile - strona nie zdążyła się załadować. Dowiedziałem się też, że ponoć trojan zostawia w komputerze plik u nazwie “u.exe”. Sprawa nie jest ciągle do końca jasna…
pitiunited:
Wykrywa go Kasperski (już po infekcji). Szukaj w autostarcie Uninstall.exe albo Uninstall0.exe.
herself:
Nic nie robi teraz, to może być bomba zegarowa.
Dostałam od kilku znajomych. Mam zasadę, że nie klikam w nieopisane linki.
Napisalem na abuse@serverflo.com… A tak z nudow.
Patrys,
Na stronie eRiZ’a jest to wszystko teraz dokładnie opisane, myśle, że gdyby to była bomba zegarowa to by wspomniał o tym w tej notce
Dostałem dziś to i kliknąłem. Fox się włączył i za chwilę wyłączył. Nie wiem, czy zostałem tym jakoś zainfekowany. Skarg nie miałem od nikogo, że coś wysyłam, nie mam żadnej blokady ani nic. Używam Konnekta i Firefoxa. Jeśli faktycznie robak szuka plików gg, to mnie chyba uratowało to, że śmieci po starym gg miałem na partycji D: :)
Gdzie oprócz autostartu (tam nic nie mam) szukać śladów tego ustrojstwa i sprawdzic, czy nie siedzi gdzieś i nie czycha?
biorąc pod uwage rady tego typu jak tutaj,
http://wolvverine.jogger.pl/2006/12/02/bez-tytulu-29/
udzielane przez przeróżne HelpDeski (sciezka %ALLUSERSPROFILE% tez podawana jest jako ta do ktorej musi byc ustawiony pełny dostęp to takie trojany beda miały się dobrze )
herself, nigdy pewności nie ma, ale sądząc po wcześniejszych tego typu robakach - jego jedynym celem jest rozprzestrzenianie się.
Pod warunkiem, że AV ma najnowsze bazy; szukałem w Sieci i niewiele znalazłem na temat tego g…
@Patrys, sory za jednoczesnego trackbacka i komentarz, ale się zagapiłem :)
A nuż kolejna osoba zrezygnuje z Gadu-Sradu® na rzecz czegoś innego…
w autostarcie nie mam takiego pliku, a Kaspersky’ego nie moge niestety zainstalować - nie ma natywnej wersji na win2k3. Chciałbym poczuć się bezpieczniej - bo sam nie wiem czy mam tego trojana na dysku. Hasła w pliku config.dat nie miałem, ponieważ mam od długiego czasu odznaczoną opcje “Zapamiętaj hasło”, także nikt mi nie powie czy wysłałem do niego linka ;) Najgorsza jest ta niepewnośc…
Pozdrawiam
eRiZ:
Jeśli autor w międzyczasie podmienił binarkę, to masa ludzi mogła dostać inną wersję niż my. Poza tym, trojan jest podatny na ponowną infekcję, więc może sam siebie zaktualizować i zacząć robić coś bardziej przykrego albo zmienić domeny, do których wysyła link (te już są spalone).
@pitiunited: Jeżeli nie miałeś zapisanego hasła, to nie masz problemu.
Wiecie co, przyjrzałem się kodowi JS, który zaatakował i to jest dokładnie to samo, co miesiąc temu było, czyli przeróbka tego, co była na początku listopada. Atak po kolei przez kilka dziur, w tym przez ADODB.Stream, wrzucenie pliku do All Users (ciekawe czy autor wirusa zauważył, że prawo zapisu do tego katalogu ma tylko administrator, a zwykły użytkownik nie), uruchomienie go. A atak na Firefoksa bardzo podobnie, ale na wtyczkę do WMP i plik się pojawia w katalogu Firefoksa (gdzie praw zapisu zwykły użytkownik też nie ma).
Robak jest polską specyfiką, jak nikt z nas nie wyśle tego do autorów antywirusów, to nic dziwnego, że żaden antywirus sobie z tym nie radzi…
Po wstepnych analizach okazuje sie ze pod XP siedzi jako nowy proces w menadzeze zadan widac go jako ~temp……………
wystarczy zabic proces
oraz sprawdzic czy sie w autostart nie dodal jako Uninstall.exe lub Unistall0.exe
oraz sciagnac sobie RegCleaner-a i usunac wpis z zakladki autostartu o tresci Uninstall
po restarcie juz nie powinno byc problemu
Sprawdzilem tez sama zawartosc trojana, skrypt javy sciaga plik spod adresu 66.185.126.34:1080/vnew/loader.exe , instaluje go na dysku i odpala.
Sam loader.exe jest skompresowany niby UPX-em, ale proba dekompresji nie daje rezultatu, w zasadzie nie wiadomo co robi ten plik, oprocz chyba oczywistej kwestii odczytu kontaktow z gg i rozsylania wspominanego juz linka/ow do uzytkownikow z naszego kompa podszywajac sie pod nas.
Pozdrawiam, dobrej zabawy w Sylwestra !!!
- NevTon
Spyware Doctor znajduje jakiś “uninistall.exe” i daje temu 5/5 szkodliwości (wysokie). Zawsze można wziąć “wyszukaj” i wpisać nazwę tego trojana :). Ja niestety też kliknąłem, otworzył się FF 2 i zaraz wyłączył razem z innymi zakładkami. Wobec tego proszę o odpowiedź -> co mam zrobić, żeby poczuć się znów bezpiecznie?
Auto-Protekt w NIS od symantec jakos sobie radzi wykrywajac to jako Bloodhound.Exploit.58 czyli jak zrozumialem [Bloodhound.Exploit.58 is a heuristic detection for the Windows Media Player Plug-in with Non-Microsoft Internet Browsers Vulnerability (as described in Microsoft Security Bulletin MS06-006).] wtyczke. Trafiło do quarantined items. sys dziala normalnie. odpalalem link z ciekawosci na winxp i FF2.0.
P.S.
Znalizlem rozpakowana wersje trojana w C:\Documents and Settings\
pod nazwa ~tmp0.6168620824117190374.exe
Pod adresem http://vitesoft.net/cgi/~tmp0.gg_trojan.~exe jest caly plik z trojanem.
Mam nadzieje ze jest osoba ktora bedzie w stanie sprawdzic co ten robal robi dokladnie…..
Jeszcze raz goraco Pozdrawiam.
- NevTon
Sorry, poprawny link to http://vitesoft.net/trojan/~tmp0.gg_trojan.~exe.
Ważniejsze jak temu G**** zaradzić a nie co robi. A najlepiej znaleźć tych, którzy to rozesłali i do końca życia wsadzić na Rakowiecką.
także ciągle nie mamy pewności, czy bezpiecznie można korzystać z komputera… Kto wie czy kod trojana nie uaktualni się i nie stanie się on groźny…
Przy skanowaniu Spyware Doctorem zakażdym razem znajduje ten szit :/
Mam pytanie - czy jeśli ja nie rozsyłam nikomu tych dziwnych linków, to znaczy, że nie zostałem zainfekowany?
nie koniecznie, właśnie jeżeli nie masz zapisanego hasła w config.dat to wtedy nie będziesz spamował linkami - co nie znaczy, że nie jesteś zainfekowany… Pozostaje nam czekać, aż ktoś znajdzie pewny sposób na pozbycie się trojana
a to nie jest wystarczajacy sposob na to, zeby spac w miare spokojnie, bo z tego co wiem, to jest ten trojan caly czas na dysku, ale nie jest aktywny, tak?
Nie odpalałem tego u siebie, ale kilka razy spotkałem się z jakimś “dzikim” trojanem: mianowicie, startowały dwa procesy i każdy miał na uwadze swojego sąsiada - jeśli ten został skillowany, to “brat” znowu go uruchamiał…
Nota bene, sprawdził ktoś, czy to nie jest jakiś rootkit?
hej,wczoraj rowniez weszlam na ten link,wirusa juz usunelam-bynajmniej teraz juz go nie wykrywa a wczesnie wykrywalo.Problem tkwi w tym,ze po wejsciu na moje gg-profil na ktory zsotala wczoraj wyslana ta nieszczesna wiadomosc mam caly czas czerwone sloneczko,niemoge miec zadnego innego statusu!na innym numerze dziala bez zarzutu.
Wie ktos co z tym zrobic?Prosze o pomoc.
Trojan jest bardzo zabawny, bo zawiera tablicę symboli debuggera.
Pełną listę ciągów (po usunięciu false-positives) można znależć na pastebinie: http://pastebin.com/845716
Wygląda na to, że próbuje się update’ować z ipka 66.185.126.34, a przynajmniej melduje się tam. Nie mam komputera z Windows pod ręką, żeby to w kontrolowanym środowisku odpalić i debugować.
Update:
Trojan woła
http://66.185.126.34/cgi-bin/exe_output.cgii podaje mu numerek GG i hasło (?). Wygląda na to, że trzecim parametrem jest timestamp. Wołany skrypt odpowiada plikiem z aktualną wersją trojana.kurcze ja wszedlem wczoraj na tego linka…
nie wlaczylo sie nic na tej stronie…
od wczoraj skanuje komputer antywirusem [AVG]
dopiero dzis wykryl jakis plik a mianowicie ‘odkodowane[1].htm’ zostal usuniety, nie wiem czy ma cos wspolnego z ‘tym’ wirusem, a spyware doctor wykryl tylko jakies cookies o niskim stopniu zagrozenia…
czyzby sie ten wirus nie wrzucil?
bo nie zauwazylem zadnych objawow.
P.S.
wlaczylem przez IE
z gory dziekuje za info :)
pozdrawiam i zycze szczesliwego Nowego Roku
Dostałam wiadomość z linkiem do google.pl otworzyła oczywiście bo jak się nie myśli to tak jest…ale nic się nie dzieje czy można jakoś sprawdzić czy mam tego wirusa na kompie ?
Jeśli link był do google.pl, to nic się u Ciebie nie dzieje :)
Właśnie przeskanowałem C: Avira Antivirem (freeAV) i nic nie znalazł. Szukałem też plików loader.exe i *temp*.exe na dysku i nic nie znalazłem. W autostarcie też nic nie mam (szukałem we wszystkich profilach). Próbowałem otworzyc link kilkakrotnie i zawsze kończyło sie to wywaleniem Firefoxa. W about:config miałem WMP na default i 7.0, jednak nie mam żadnych plików gg ani Konnekta na dysku C: - nie było żadnych linków wysyłanych ode mnie.
Czy jestem bezpieczny, czy jeszcze gdzieś mam szukać (czym?)?
Jak nie masz config.dat/smseab.dat na twardzielu, to teoretycznie tak.
Nigdy nie można dać stuprocentowej pewności.
Jest news na dzienniku internautów (http://www.di.com.pl/news/15502,Nowa_fala_zlosliwych_linkow_na_Gadu-Gadu.html)
IMHO warto by sobie (jak ktoś ma windowsa i oryginalnego klienta gg) zablokować w pliku hosts poniższe adresy (więcej informacji o hosts http://www.enter.net.pl/forum/viewtopic.php?p=252035)
“127.0.0.1 http://www.jhjhaliwgpee.info
127.0.0.1 http://www.hsqvyrpzeh.info
127.0.0.1 http://www.sqvyrpzeh.info
127.0.0.1 hsqvyrpzeh.info”
na ekipę gadu-gadu nie ma co liczyć, mają pewnie 3 dzień świąt :]
smalu:
Jak ktoś wie, gdzie to dopisać, to z całą pewnością nie kliknie też w linki.
Update: Smalu deobfuskował kod strony
Co zrobil? To cos jak reverse enginering?
A sprawdzał ktoś linki LinkScannerem ( http://linkscanner.explabs.com/linkscanner/default.asp ), bo widzę, że domena trojana jest niedostępna teraz, a ciekawi mnie czy scanner to wykryje ;)
Ja również dostałem takie linki - w żaden nie kliknąlem.
Jako gratis mam zbanowany nr gg :/ Czort jeden wie za co…
zostales zbanowany poniewaz serwer gg wykryl niby ze rozsylasz spam …. Twoj numer zostanie zablokowany na ok 1 dzien juz ja mialem podobny problem przy tym poprzednim wirusie na gg ktory pojawil sie miesiac temu …;/
ZMIANIAMY GG NA JABBERA !!! JABBER RULEZZZZ ;D
max:
Proces odwrotny do obfuskacji.
Reverse engineering polega na odtwarzaniu kodu programu na podstawie jego zachowania.
Czy jeżeli otworzyłem ten link (www.hsqvyrpzeh.info/?iyeief.jpg) pod Mirandą i otworzył mi się on w Operze, to mam 100% gwarancji, że jednak nie mam tego trojana?
Wie ktos co zrobic,gdy po kliknieciu na ten link nie moge sie dostac na konto-nie psauje haslo ani adres e-mail.Pomoze mi ktos?
dzolo89,
Oj niekoniecznie, też nie mam bana, mimo że klikam tylko z ekg które sobie na shellu siedzi. ,,Czort jeden wie za co”.
ola,
Proponuje wyrzucić oryginalny klient gg i zainstalować coś przyjemniejszego, np. Konnekta.
,,też nie mam bana” - oczywiście tutaj powinno być ,,też mam bana” :-D
herself ale chodzi mi o to czy jest jakas mozliwosc odzyskania mojego nr?
czy komus po kliknieciu w linka tez sie takie cos stalo???
LinkScanner wykrywa exploit i identyfikuje go jako IE COM CreateObject Code Execution (MS06-042)
http://linkscanner.explabs.com/linkscanner/checksite.asp?NS=ChkOnly&SRC=apps.ExpLabs.com&CS=http://smalu.info/uwaga_tu_jest_exploit/test.html
Osobiście tak otwierałem :D
Przeczytaj dokładnie wszystkie komentarze :P
siema . jelsi usunalem ten badziew bo znalazlem go tam gdzie mowiliscie, usunalem wszystkei pliki gg na kompi i poszla instalka tlena i dalej jest to samo. Czemu i jak to zlatiwc. Ja mam mks-a i tez nic nie wykrywa :/
Dzieki za info pozdro
Z tego co mi wiadomo, to narazie najpewniejszym sposobem na bezpieczeństwo będzie odznaczenie w Gadu-Gadu “Zapamiętaj hasło w programie” - chodzi oczywiście o hasło do profilu. Ci którzy planują zmienić komunikator, niech pozbędą się najpierw pliku config.dat z dysku. Żeby natomiast zapobiedz aktualizaji trojana wypadałoby zablokować adres IP z którego owy pochodzi.
Kurcze, ja pieprze takie trojany! :/ Chciałem takiego uruchomić, zdebugować i w ogóle odkryc, a potem zdobytą wiedzę opublikować by być sławnym… A ten paskud najpierw nie chciał sie zexploitować, a jak już ściągnąłem go ręcznie, to zamknął sie od razu po uruchomieniu :/
Wiedział co go czeka…
@Maciej Łebkowski
Byłem szybszy i bardziej umiejętny i to ja jestem teraz sławny ;)
A nie zrobiłeś tego co chciałeś, bo źle do tego podszedłeś. Exploit wyczuł, że masz wobec niego złe zamiary i obraził się :P.
Ja dostałem taki link http://www.jxshfbavxwla.info Teraz ten link, też już nie działa. Ale jak go niestety odpaliłem to system kompletnie zamulił, windows napisał że musi rozszerzyć pamięć wirtualną bo mu za mało. Skanowałem system nortonem internet security 2005 ale nic nie wykrył. Teraz coś mi się internet explorer sypie. Czy dostaliście taki link może? Ja nie znalazłem nic w autostarcie. Jak można sprawdzić czy coś u mnie jest i jak to skutecznie wrazie co usunąć?
Niepamiętam dokładnie nazwy linku ale było to coś ala: http://www.hsqvyrpzeh.info…. i dalej nazwa pliku. Utworzyło mi to plik o nazwie winnt32 a potem podobne z końcówkami winnt32098750.exe lub podobnym z losowo wybraną numeracją. Skanowałem to anty-wirami, nic niewykryły. Wyczytałem gdzieś o Trojan-Remover. ściągnąłem, skan i też nic. Następnie poszedł w ruch Zone Alarm: Wtedy pierwsze wiadomości. Otóż pliki winnt32(…).exe były wykrywane jako o “niskiej szkodliwości” (ZA nawet niebrał tego jako alert tylko informache) i chciał łaczyć sie z jakims hostem, prawdopodobnie 66.185.126.34:1080. Po ściągnieciu monitora portów i pootwarciu. Zobaczyłem jak plik Service.exe polaczył sie ponad 100 razy z tym hostem O.o No to kasowanie z rejestru ale potem znowu było to samo. W koncu wszedłem na tą strone. Znalazłem post jednego forumowicza(NevTon) i bardzo mi pomógło to co napisał. A mianowicie Ciągnęłem tego Reg-Cleanera i wywaliłem wszystko związane z winnt32(…).exe, winnt32.exe oraz Uninstall.exe, ktory też pojawiał sie w procesach i rejestrze. Po usunięciu, tak na wszelki wypadek, usunałem cały rejestr związany z Gadu-Gadu, mimo że sam program z plikami(jak config.dat) usunałem. Po ponownym restarcie pliki nie klonowały się i nie uruchamiały automatycznie w autostarcie, co uczyniały wcześniej. Teraz jest wszystko pod kontrolą i zobacze jak dalej bedzie funkcjonował. Napewno nie zainstaluje Gadu-Gadu :D Pozdrawiam i dziękuje!
Właśnie wczoraj dostałem taki link:
1) http://www.google.pl
2) http://www.hsqvyrpzeh.info/?wowcub.jpg
Co z tym mam zrobić??
kurwa jak bym wiedzial kto mi to wyslal to bym mu najchetniej leb rozjebal.. otworzylem ten link i teraz kurwa gadu mi sie zjebalo..ludzie do korych pisze nie dostaja moich wiadomosci, ale ja ich tak i to jest tak wkurwiajace ze szok ;/ ;/ odinstalowywalem gg i instalowalem od nowa stare nowe probowalem wszystkich metod ktore wydawaly mi sie skuteczne ale nadal gg nie dziala ;/ wie ktos moze jak to naprawic? jesli tak to bardzo bym prosil o pomoc, z gory dziekuje i pozdrawiam :))
NIE KLIKAĆ!
Z modułu GG zainstalowanego w Tlenie też mi rozsyła to badziewie … :/
Jeśli kliknąłem w te strony a nie mam w Autostarcie tego Unninstal to znaczy, że nie mam wirusa?
Prawdopodobnie zostałem zainfekowany tym wirusrem, więc po kolei co i jak mam robić żeby go wywalić?
Bardzo proszę o pomoc
OK, po kolei:
1. CZYTAJCIE POSTY to znajdziecie odpowiedzi na większość pytań!
2. Ten robak nie blokuje Wam gg! GG macie zablokowane przez serwer gg, bo robak wysłał za dużą ilość wiadomości z Waszego numeru. Za to dostaliście po prostu bana na jeden lub kilka dni. Nie pytajcie więc co macie z tym zrobić, tylko czekajcie na usunięcie blokady przez serwer gg.
A teraz czekajmy spokojnie na nowe informacje… :)
Nie wiem, czy to ma związek akurat z tym wirusem, czy mam po prostu jeszcze jednego, ale w NetLimiterze widzę, że siedzi u mnie coś takiego jak svchost2.exe. Z tego, co wyczytałem jest to aktualizacja jakiegoś robala.
Ja mam zwłaszcza kłopot z tym programem :
Reg-Cleaner , jak w tym programie usuwa sie te szkodliwe pliki?
Skończy się tak, jak to było ostatnio - sprawa ucichnie do czasu, aż pojawi się kolejny trojan…
Miałem nieszczęście kliknąć w tego shita niech komentażem będzie to (masakra) error mbr 2 error mbr 3 ;/
no i otworzylam ten szajs bo akurat ten kumpel fajne linki zawse daje:/ i co mam teraz zrobic jak to cos usunac i czy pomoze format bo mam zamiar takowy zrobic. Czy to wystarczy? sory czytam te komentarze ale jakos nie kumam zbyt dobrze wszystkiego… heh. Pozdr i z gory dziekuje
Robal jak widac nic ciekawego nie robi poza panika w necie ;) a umnie NAV wyskoczyl z informacja o virze NAV z RT jak widac dziala dobrze :) po skopiowaniu txtka “odkodowanie” od smalu jak chcialem go inny board wrzucic
Po wklejeniu linka do FF 1.5.0.9 odpalil sie na chwile wmp ale go zaraz wywalilem a system przeszukany i nic niema :)
Zauważyłem nowy objaw: od osób z zainfekowanym kompem trojan wysyła losowe wiadomości z wciśniętymi tymi emotkami, co są w tablicy execa.
Dostałam podobnego linka do tych które wymieniliście w swoich komentarzach… po kliknieciu na niego zablokowało mi gg na 24h;/ Teraz juz jest niby wszystko w porzadku,ale czy ten robal na pewno juz nigdzie nie siedzi w moim kompie? Jesli cos wiecie na ten temat to piszcie prosze!
A ja ten link dostałem :P .
Ale szybko zamknąłem kartę (Opera).
też go dostałem i kliknąłem na to. zobaczyłem że wrzuciła sie jakaś aplikacja U.exe ale dała sie usunąć. Za każdym razem gdy przechodze z nieaktywnego na aktywny zauwarzyłem że uruchamia sie proces update.tmp. Wobec tego mam pytanie czy to jest sprawka wirusa czy tak juz jest w gadu??
To ja mam Operę, i nic się nie stało;) A net jest wolny, bo przekroczyłem transfer ;p
update.tmp to komponent starego Padu-Zasradu® o ile mi wiadomo.
A ja nic takiego nie dostałem i nie wieże w takie bajki po zatym kazdy głópi ma antywira i antywirus wykryłby takie dziadostwo i nikt nie otwiera linków od nieznajomych, przynajmniej ja jakiś dziwnych.
Gdyby każdy głupi miał antywirusa, to nie byłoby takiej afery. Poza tym, nie wszystkie wyłapywały ten shit.
Gdzieś w Sieci widziałem statystyki nt. wykrywalności trojana po kilku dniach od wysypu. Tylko KAV wykrywał! Reszta tylko “not found”…
A ja czuję się bezpieczny dostalem tego linka ale nie klinełem :) czuję się bezpieczny bo nie kożystam z dziurawego windowsa tylko z załatanego Unbuntu :) polecam tyle ale myśle że trojan ma za zadanie blokowanie numerów gg a poco ? niewiem ale takiego wirusa łatwo zrobić :) windows CCC lub nawet w internecie jest generator wirusów do tego javascript i już masz wirusa :P
Pozdrawiam
Gadu-gówno - i wszystko jasne :)
A ja kliknąłem na ten link….
ale nic nie zaowazylem;/
ja dostalem cos takiego: artykuł http://www.dearbernard.com/dobre14988.shtml
a ze dostalem to cos od kolegi…klikalem ;/
nic sie nie dzieje, na fw wszystko po staremu, skanowanie avastem nic nie wykrylo, spybot tez nic nie znalazl
pozdro :)
Czy mogę jakoś odblokować się jeżeli inna osoba mnie zablokowała na GG???Popadam w depresje..plizzz;] pozdro
ja mam zarażone gg wtej chwili i próbuje wytepić szkodnika nie jest to łatwe. Moje gg rozsyła wiadomosci w których sa zawarte emotki i cus takiego “ifbcib” heheh niewiem co to jest.