Re: Wyświetla mi się oszukana strona banku

Autor: <przemoWYTNIJTO_at_vp.pl>
Data: Fri 13 Jul 2007 - 00:59:34 MET DST
Message-ID: <3353.0000010d.4696b255@newsgate.onet.pl>
Content-Type: text/plain; charset="iso-8859-2"

Napiszę na jakim etapie "śledztwa" jestem. Przeskanowałem system za pomocą:
- avast
- kaspersky
- adaware
Nic nie pomogło a jeśli coś wykryło to... i tak nie pomogło usunięcie
znalezionego syfa. Na pewien trop naprowadził mnie program Spybot - Search &
Destroy. Namierzył podejrzane pliki:
C:\Windows\Temp\$_2341233.TMP
C:\Windows\Temp\$_2341234.TMP
Nie mógł ich usunąć ponieważ były używane przez jakiś program i zalecił restart
kompa, po którym program Spybot miał sie uruchomić automatycznie i usunąć te
pliki. Rzeczywiście uruchomił się zanim windows wystartował na dobre, ale znów
wyświetlił informację, że nie może ich usunąć i zalecił restart... bez sensu.
Jest jakiś sposób na usunięcie tych plików? Chociaż podejrzewam, że i tak
ponownie zostaną założone.

Skopiowałem sobie plik $_2341233.TMP, zajrzałem do niego i się przestraszyłem...
są tam wszystkie maile znajomych, hasła do ftp programu total commander, hasła
do kont pocztowych, wysyłane smsy z bramki i inne teksty wpisywane w formularze
na stronach. Co ciekawe problem dotyczy nie tylko przeglądarki IE ale również
FF, ponieważ spod tej przeglądarki szybko zmieniałem hasło do konta inteligo co
zostało też zarejestrowane w tym pliku:

----------------------------------------------------------------------------
[fuzz_108]
Application: d:\programy\firefox\firefox.exe
REQUEST:
HEADERS:
POST /web HTTP/1.1
Host: secure.inteligo.com.pl
Referer: https://secure.inteligo.com.pl/web

POST_FORM:
section=mojedane
form_name=change_www_pwd
old_password=tutaj_stare_haslo
new_password=tutaj_nowe_haslo
new_password_2=tutaj_nowe_haslo
btn_ok.x=41
btn_ok.y=12
----------------------------------------------------------------------------

Mam pytanie. Czy jeśli używam firewalla ZoneAlarm i nie zgłosił on żadnej próby
uzyskania dostępu do internetu, to czy jest możliwe, że ten plik $_2341233.TMP
został wysłany w świat?

P.S. Znalazłem informacje o tym trojanie lub podobnym, ale nie ma tam porady jak
go usunąć: http://cienias1.fm.interia.pl/pg003_2.html W każdym razie wyświetla
mi się identyczna, słaszowana strona inteligo. 

-- 
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl
Received on Fri Jul 13 01:00:11 2007

To archiwum zostało wygenerowane przez hypermail 2.1.8 : Fri 13 Jul 2007 - 01:42:02 MET DST