Как убить Трояна?

[piatachki]

Позвольте добавить, что этот вирус ворует пароли только из Total Commander, заражает все файлы, где в названии присутствует слово "index"... как php, так и html

[Alek$]

piatachki
этот - только. Другой может откуда угодно своровать.

[Kate admin]

В последнее время участились жалобы от пользователей. Говорят, что на форуме живет вот это Trojan.PWS.Gamania.origin
Очень многие жалуются на проблемы с клавиатурой.

Вот еще жалоба:

Похоже, на сайте вирус. Вчера после просмотра форума в папке Windows/System32 появилась библиотека kb1111p.dll, которая пыталась внедриться во все процессы.

См.
http://www.sophos.com/security/analyses/trojcabatb.html

И вот еще жалоба:

При заходе на форум (и переходе между темами) получаю наверху строчку - This website wants to run the following add-on: "Microsoft Data Access - Remote Data Services Dat...." from "Microsoft Corporation". If you trust the website and the add-on and want to allow it tо run, click here......

Ссылка на форум http://www.trworkshop.net/forum/
На первый взгляд в индексном файле ничего странного не увидела, но я и не копенгаген по большому счету.

Помогите и разобраться и, если действительно на форуме вирус, то очистить форум от него (понадобится помощь).

Стоит Anti Bot Question - 1.0.3.

Информация о версии phpBB:
Ваша версия phpBB самая новая, на данный момент для неё нет обновлений.

[crash]

Kate admin
ну так проверяйте все файлы.

[Kate admin]

crash
Как их проверять? Вручную? Выгрузив все к себе на компьютер? Удаленно просматривать файлы, к сожалению, не умею.

[crash]

значит выгрузите и смотрите, проверьте антивирусом. Все в ваших руках

[Boglik]

Kate admin Вы моды давно ставили? Если да, то помтрите файлы, которые изменялись недавно.

[Kate admin]

значит выгрузите и смотрите, проверьте антивирусом.

Сделано. Симантек антивирус со всеми обновлениями сказал, что все чисто. Может еще чем посмотреть надо?

Вы моды давно ставили? Если да, то помтрите файлы, которые изменялись недавно.

Давно. Недавно изменяла только хтмльные страницы, но они не на форуме. Есть еще мод аттачей, правда, но там экзешники запрещены.

[Alek$]

Kate admin
тогда посмотрите, какие файлы недавно изменялись и вручную проверьте их на подозрительный код.

Добавлено спустя 2 минуты 20 секунд:

И дайте ссылку на ту страницу, на которую жалуются.

[Kate admin]

Поставила еще Dr Web, просканировала все файлы им и опять ничего. Оставила пользователям вопрос по поводу конкретной страницы, в выходные у меня потише, так что подожду понедельника.

Вручную на форуме я ничего не меняла (не обладаю должными навыками и умениями), а обновления были очень давно, мб в начале этого года.

Часть пользователей заявляют, что с разных машин заходили на форум и не жужжат антивирусы, ничего не выскакивает, никто не жалуется. Т.е. явление не массовое.

[Rayden]

Я второй день смотрю - вируса в коде нет, хотя вот это Microsoft Data Access - Remote Data Services Dat...." и есть вирус.
Может со стороны подгружается? У тебя там баннеры и еще что-то со стороны грузится, может с ними за компанию?

А тем раздолбаям, у кого появляются левые библиотеки и пытаются внедритьс, нужно антивирусы нормальные ставить и не запускать все что попало.

[Kate admin]

Я второй день смотрю

Спасибо!

вируса в коде нет

Хорошо.

У тебя там баннеры и еще что-то со стороны грузится, может с ними за компанию?

Баннеры у меня грузятся с моей баннерокрутилки, т.е. там левых нет. И новые я давно не добавляла. Баннеры все гифки, флэшевых, допустим, нет.

А тем раздолбаям, у кого появляются левые библиотеки и пытаются внедритьс, нужно антивирусы нормальные ставить и не запускать все что попало.

Добавлено спустя 4 часа 40 минут 58 секунд:

Увы-увы, первая присланная ссылка ведет не на форум:

При попытке зайти на сайт грузится какая-то хрень:wuauserv.exe c sonyrpm.com. Потом она пытается запустить себя как svchost.exe, но обламывается. Почисти сайт от этой дряни, пожалуйста.

Ну вот, например:

http://www.trworkshop.net/job/index.php ... snum=72985

Короче, почти везде это чудо вылезает. Чего-то неполезное на твоем сайте поселилось.

У меня ничего не вылезает, но на указанной странице внизу экрана в уклу появляется сообщение об ошибке:
строка 256
символ 25
ошибка: предполагается наличие объекта
код 0

Я понимаю, что в данном случае не по теме форума, но если подскажете, что делать, буду благодарна.

[ks]

А тем раздолбаям, у кого появляются левые библиотеки и пытаются внедритьс, нужно антивирусы нормальные ставить и не запускать все что попало.

Я - один из пользователей форума Kate admin. Антивирусы стоят нормальные, есть антитрояны, вирусы обнаруживаются и убиваются быстро и вовремя. Но при выходе на форум тут же начинаются проблемы с настройками системного времени, подвешивается Касперский и запускаются подозрительные процессы, которые, впрочем, тут же Касперским и обнаруживаются. При проверке сразу обнаруживается Trojan.PWS.Gamania.origin, который исправно перемещается и убивается. Дальше все работает замечательно, пока опять не выхожу на форум.
Да еще: что попало не запускаю, не открываю, чищу и проверяю, а в последний раз даже не залогинилась. Но вирус опять подцепила и опять ушла его убивать.
Так что прошу Kate admin помочь и на нерадивых "раздолбаев" вину не сваливать.

[Rayden]

Ну вот, например:

http://www.trworkshop.net/job/index.php ... snum=72985

Короче, почти везде это чудо вылезает. Чего-то неполезное на твоем сайте поселилось.

У меня ничего не вылезает, но на указанной странице внизу экрана в уклу появляется сообщение об ошибке:
строка 256
символ 25
ошибка: предполагается наличие объекта
код 0

О, там вылезает!
А что у нас в коде /job/index.php?

Добавлено спустя 4 минуты 44 секунды:

Я - один из пользователей форума Kate admin.

очень приятно!

Антивирусы стоят нормальные, есть антитрояны, вирусы обнаруживаются и убиваются быстро и вовремя.

Но при выходе на форум тут же начинаются проблемы с настройками системного времени, подвешивается Касперский и запускаются подозрительные процессы, которые, впрочем, тут же Касперским и обнаруживаются.

Конечно вопрос о выборе антивируса несколько религиозен и не хочется ввязываться в спор что лучше, но вам не кажется, что данные два абзаца несколько противоречат друг другу?

Да еще: что попало не запускаю, не открываю, чищу и проверяю, а в последний раз даже не залогинилась. Но вирус опять подцепила и опять ушла его убивать.
Так что прошу Kate admin помочь и на нерадивых "раздолбаев" вину не сваливать.

Стараемся. Вирусы общая беда.

[ks]

Антивирусы стоят нормальные, есть антитрояны, вирусы обнаруживаются и убиваются быстро и вовремя.
Но при выходе на форум тут же начинаются проблемы с настройками системного времени, подвешивается Касперский и запускаются подозрительные процессы, которые, впрочем, тут же Касперским и обнаруживаются.

Конечно вопрос о выборе антивируса несколько религиозен и не хочется ввязываться в спор что лучше, но вам не кажется, что данные два абзаца несколько противоречат друг другу?

Именно поэтому я не стала перечислять все, что стоит на моем компьютере. Просто проактивная защита касперского реагирует первой и начинает отключать несанкционированные соединения. Спорить о том, какой антивирус лучше, не буду, так как спор этот будет непродуктивным.
Абзацы друг другу не противоречат. Вирус обнаруживается, но сначала подвешивает время и касперского. Мне приходится выйти с форума и провести чистку, не успев ничего прочитать и написать. В последние несколько дней туда вообще не заходила. Хотелось бы все-таки иметь возможность посещать форум безопасно.

Так что прошу Kate admin помочь и на нерадивых "раздолбаев" вину не сваливать.

Стараемся. Вирусы общая беда.

Совершенно верно, спасибо за помощь. Просто не хотелось бы проблему сводить к некомпетентности пользователей. Да, не все из нас компьютерные гуру, но, поверьте, в своей области мы тоже что-то умеем. А в целом, общий уровень компьютерной грамотности на форуме (в том числе в отношении вирусов) гораздо выше среднего по рунету. Так что надеемся на вашу помощь.