Java/ClassLoader.AA trojan

Nod32 je registrovao ovo cudo u mom kompu ali ne moze da ga stavi u karantin ili ocisti. Interesantno je da trojanac svaki put menja ime. (posle svakog neuspesnog stavljanja u karantin: Java/ClassLoader.B trojan, Java/TrojanDownloader.OpenConnection.AJ trojan, Java/ClassLoader.H trojan...i fajl u kome je navodno smesten je prazan, cak i kada podesim da mi se prikazu i 'skriveni' fajlovi) Da li se neko ranije susreo sa ovim i ima li mu leka? Izvinjavam se ako ovaj post nije na pravom mestu ili ako ima nekih drugih propusta, nova sam na forumu.




_{[Ovu poruku je menjao Rowena dana 17.12.2005. u 00:59 GMT+1]}

Ma uzmi Kaspersky i cvetace ti cvece.

---

da li si pokushala iz safe moda da ga ochistish?

---

Pokusala i Nod32 nista ne registruje (ni Ad-Aware niti Spybot, mada to nije njihov teren) Doduse, u safe mode-u ne mogu da pokrenem Control Centre koji u Amon log-u registruje infiltraciju. Laik sam, ali mi je engleski struka pa sam mnoge probleme do sada resavala citajuci referentne sajtove, pa ako znate neki koji moze da pomogne u ovom slucaju....

Ovo ce morati korak po korak...
Proskeniraj NOD-om (nije potreban safe mod) i kada ti nadje taj virus zapisi ovde tacnu putanju do fajla, kao i tacno ono sto je NOD32 rekao. Zatim pogledaj i velicinu tog fajla i napisi i to ovde. Nemoj prethodno da smestas fajl u karantin. Kazi NOD-u da ga ignorise (samo pazi da li postoji opcija da ignorise i ubuduce, ako ima nemoj to. Potrebno je da ignorise sao pri tom skeniranju).

---

Scan performed at: 14.12.2005 14:40:49
Scanning Log
NOD32 version 1.1321 (20051213) NT
Operating memory - is OK

date: 14.12.2005 time: 14:40:53
Scanned disks, directories and files: C:; D:
C:\pagefile.sys - error opening (access denied) [4]
number of scanned files: 26829
number of viruses found: 0
time of completion: 14:46:31 total scanning time: 338 sec (00:05:38)

Notes:
[4] File cannot be open. It is being exclusively used by another application or operating system.

Hm, Nod32 redovnim skenom ne nalazi nista ali Amon u Control Centre-u (za one koji imaju ovu verziju Nod-a, to je ono iritantno oko u crvenom prozoru) registruje ovo (Info 14.12.2005 13:32:28 AMON file C:\DOCUME~1\x\LOCALS~1\Temp\AAWTMP\C4652984\312F46\NewSecurityClassLoader.class Java/Exploit.Bytverify trojan X-Y5ADTVC******\x) mada tog fajla nema ili ga bar ja ne vidim.

Hajde da probamo ovako:

http://www.java.com/en/download/help/5000020300.xml

_{[Ovu poruku je menjao AleksandarNS dana 14.12.2005. u 22:16 GMT+1]}

---

Hvala na linku, ali avaj, ja sam jos ranije ‘deinstalirala’ plug-in posto sam sumnjala da sam trojance pokupila na taj nacin. Ocigledno to moje ‘resenje’ nije upalilo. Pokusaj ocajnika: odem na SEARCH (‘java’) i medju fajlovima koji su pronadjeni trazim ‘sumnjive’ i ubodem iz prve jedan zipovan (javainstaller.jar-5aa0b436-233f4c8d) Izbacim sadrzaj na desktop (gde mi je bila glava?!) Fajl sam proverila Nod-om and guess what I’ve found (File C:\Documents and Settings\x\Desktop\javainstaller\InstallerApplet.class is infected with trojan Java/TrojanDownloader.OpenStream.W. NOD32 cannot clean this infiltration) Ali, uspela sam da stavim u karantin jedan, C:\Documents and Settings\x\Desktop\javainstaller\InstallerApplet.class Java/TrojanDownloader.OpenStream.W trojan quarantined X-Y5ADTVC******\x. Ali tu problemi tek pocinju! Uradim In-Depth Analysis I dobijem 23 virusa od cega 13 aktivnih (ostalo sam smestila u karantin) a uz to jos i sledece: modified trojan Win32/TrojanDownloader.Swizzor found in operating memory. NOD32 cannot clean this infiltration. No action can be taken on a memory infiltration.
Ako nekog interesuje, prilazem log tog scan-a. Odoh na spavanje, a vama hvala puno na strpljenju i dobroj volji da pomognete.

IN-DEPTH ANALYSIS
Scan performed at: 15.12.2005 2:17:36
date: 15.12.2005 time: 02:18:18
Scanned disks, directories and files: C:; D:

modified trojan Win32/TrojanDownloader.Swizzor found in operating memory. NOD32 cannot clean this infiltration. No action can be taken on a memory infiltration.

C:\Documents and Settings\x\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\javainstaller.jar-5aa0b436-233f4c8d.zip »ZIP »javainstaller/InstallerApplet.class - Java/TrojanDownloader.OpenStream.W trojan
C:\Documents and Settings\x\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-4ef836e7-765eb92c.zip »ZIP »BlackBox.class - Java/ClassLoader.AA trojan
C:\Documents and Settings\x\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-4ef836e7-765eb92c.zip »ZIP »VerifierBug.class - Java/ClassLoader.AA trojan
C:\Documents and Settings\x\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-4ef836e7-765eb92c.zip »ZIP »Dummy.class - Java/ClassLoader.AA trojan
C:\Documents and Settings\x\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-4ef836e7-765eb92c.zip »ZIP »Beyond.class - Java/ClassLoader.AA trojan

C:\Documents and Settings\x\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\ie0502b.jar-963ccf0-48d142ef.zip »ZIP »GetAccess.class - modified Java/ClassLoader trojan
C:\Documents and Settings\x\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\ie0502b.jar-963ccf0-48d142ef.zip »ZIP »NewSecurityClassLoader.class - Java/Exploit.Bytverify trojan
C:\Documents and Settings\x\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\ie0502b.jar-963ccf0-48d142ef.zip »ZIP »Installer.class - probably modified trojan Java/TrojanDownloader.OpenConnection
C:\Documents and Settings\x\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv433.jar-1f248ffd-69cc27d4.zip »ZIP »Matrix.class - modified Java/TrojanDownloader.OpenStream.C trojan
C:\Documents and Settings\x\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv433.jar-1f248ffd-69cc27d4.zip »ZIP »Counter.class - Java/ClassLoader.H trojan
C:\Documents and Settings\x\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv433.jar-1f248ffd-69cc27d4.zip »ZIP »Dummy.class - Java/Dummy trojan
C:\Documents and Settings\x\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv433.jar-1f248ffd-69cc27d4.zip »ZIP »Parser.class - Java/ClassLoader.B trojan
C:\Documents and Settings\x\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-1109b54b-5fb4f06d.zip »ZIP »GetAccess.class - Java/TrojanDownloader.OpenConnection.AJ trojan
C:\Documents and Settings\x\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-1109b54b-5fb4f06d.zip »ZIP »Installer.class - Java/TrojanDownloader.OpenConnection trojan
C:\Documents and Settings\x\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-1109b54b-5fb4f06d.zip »ZIP »NewSecurityClassLoader.class - Java/Exploit.Bytverify trojan

number of scanned files: 305748
number of viruses found: 23
number of active viruses: 13
time of completion: 02:39:16 total scanning time: 1258 sec (00:20:58)

shteta shto si deintalirala javu.
probaj da odesh (iz safe moda) u C:\Documents and Settings\x\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\ i da obrishesh sve shto tamo nadjesh (pre toga u folder options u windows exploreru ukljuchi da mozesh da vidish skrivene fajlove).

---

Ili jednostavnije, obrisi sam taj folder. Win ce ga kreirati ponovo. A mozes i sama da ga kreiras nakon brisanja.

---

Uradila sve kako ste rekli i obrisala ceo folder. Uradila scan u safe mode-u (obican, C,D) i Nod32 nije nasao nista. Vratila se u normalan mode, uradila In-depth Analysis iz Control Centre-a i evo dela log-a (broj virusa se smanjio sa 23 na 7):

Checking CRC of the NOD32.EXE file: status OK
modified trojan Win32/TrojanDownloader.Swizzor found in operating memory.

Scan performed at: 15.12.2005 21:00:10
date: 15.12.2005 time: 21:00:17
Scanned disks, directories and files: C:; D:
C:\pagefile.sys - error opening (access denied) [4]
……
C:\Documents and Settings\All Users\Application Data\ProgramSoftwareTwoActive\Exit keep.exe - modified Win32/TrojanDownloader.Swizzor trojan - quarantined
C:\Documents and Settings\x\Application Data\BoreSignFace\Bindglue.exe - modified Win32/TrojanDownloader.Swizzor trojan - quarantined
C:\Documents and Settings\x\Application Data\BoreSignFace\rbqtgvbs.exe - modified Win32/TrojanDownloader.Swizzor trojan - quarantined
C:\Documents and Settings\x\Application Data\BoreSignFace\Online Warn Creative.exe - modified Win32/TrojanDownloader.Swizzor trojan - quarantined
C:\Program Files\NetPumper\ZM\NP_0020_1.exe - probably modified trojan Win32/TrojanDownloader.Swizzor - quarantined
C:\System Volume Information\_restore{2709EBB9-B5EF-401B-A056-32CD967BFBBB}\RP308\A0083431.exe - modified Win32/Dialer.EB trojan - quarantined
C:\System Volume Information\_restore{2709EBB9-B5EF-401B-A056-32CD967BFBBB}\RP308\A0083433.exe - modified Win32/Dialer.EB trojan – quarantined
……
number of scanned files: 305665
number of viruses found: 7
number of active viruses: 7
time of completion: 21:22:09 total scanning time: 1312 sec (00:21:52)

Nekoliko konkretnih pitanja:
Kako to da je 7 virusa aktivno ako sam ih stavila u karantin? Pokusala sam da obrisem foldere, ali ‘navodno’ ih neko drugi koristi. Da li je ovo moguce obrisati? Obrisala sam samo NetPumper. (ali je on presao u ‘restore point’, ako se ne varam C:\System Volume Information\_restore{2709EBB9-B5EF-401B-A056-32CD967BFBBB}\RP366\A0099876.exe - probably modified trojan Win32/TrojanDownloader.Swizzor) Da li te ‘restore’ mogu da brisem? (ne bih da iskljucujem system restore jer mi to ponekad pomaze da resim probleme) Vidim da se i dialer kog sam se resila pre dva meseca negde ukotvio medju ‘restore point’ a njega sam se resila. (inace imam broadband konekciju, a nakacila sam dialer-a!?)
Sta da radim sa ovom infiltracijom u operativnoj memoriji koju Nod ne moze da stavi u karantin i o kojoj ne daje nikakve sire informacije?
Koliko je ovo STVARNO opasno? Ja ne primecujem nikakve promene. Da li treba da alarmiram nekog da mi to pogleda? (ja bih to i ranije, ne bih maltretirala vas, ali svi koje znam sad imaju apsolventski, pa ne bih da ih cimam) Da li nesto moze da se vidi (i obrise) u Task Manager procesima ili preko HijackThis-a ili… (ako sam se nalupala,…znate vec – izvinjavam se, ali polako gubim zivce)

ovo sve radi u SAFE modu

ovako...taj netpumper program shto si instalirala je u stvari download manager (kao recimo flashget, getright, fresh download), medjutim on uz sebe instalira gomilu adawarea. uninstaliraj taj program, a zatim obrishi folder C:\Program Files\NetPumper (shift+delete).

shto se tiche system volume information, uradi shto pishe na ovom linku i tako cesh moci da pristupish tom folderu, zatim obrishi fajlove o kojima je rech (shift+delete).

ja ne znam shta je BoreSignFace, kao i ProgramSoftwareTwoActive mada bih ih ja obrisao odma' (ali moguce je da greshim, mozda neko zna shta je ovo).



paaaa....upravo i jeste problem u system restore. ja sam ti gore napisao kako da preuzmesh vlasnishtvo nad tim folderom (kako bi uopshte mogla da mu pristupish) i onda kako da obrishesh trojance. verujem da ti system restore koristi, ali chesto je taj isti system restore jedna od slabih tachki windowsa gde se pod obavezno infiltriraju maliciozni programi. pored svega ovoga skini programe Adaware i Spybot Search and destroy.

_{[Ovu poruku je menjao AleksandarNS dana 16.12.2005. u 10:41 GMT+1]}

---

Ljudi, puuuno hvala! Mogu opet mirno da spavam. Malo sam se mucila sa onim ProgramSoftwareTwoActive ali sam na kraju sve sredila. Ponosno prilazem log:

Scan performed at: 16.12.2005 23:18:56
date: 16.12.2005 time: 23:22:28
Scanned disks, directories and files: C:; D:
.......
number of scanned files: 306898
number of viruses found: 0
time of completion: 23:41:57 total scanning time: 1169 sec (00:19:29)

Mala pusa od mene i mog zdravog kompica (slikano telefonom, pa nije nesto, al' je od srca)












_{[Ovu poruku je menjao Rowena dana 22.12.2005. u 19:53 GMT+1]}