Как убить Трояна?

[AdmninsCluba]

обнаружено: троянская программа Trojan-Downloader.VBS.Small.dh

Почистил файл - index.php. Не помогло. Что надо сделать чтобы найти и убить скрипт?

Спасибо.

ОТВЕТ:
- проверяемся на вирусы
- меняем ВСЕ пароли и не храним их в FTP-клиенте.
- чистим файлы Index.* или заливаем из бэкапа.

http://virusinfo.info/pravila.html

[Стопангин]

Простите, товарищи, не могу прочитать все Ваше обсуждение в этой теме, так как при попытке выйти на страницы 8-10 Аваст! обнаруживает вирус Iframe-BH . Приходится прерывать соединение.

Я заменил все индексные файлы, в которых были вставки этого фрейма, более того, все, что было в дистрибутиве phpBB3 версии 3.0.5, заместил на сервере сайта системные файлы, но проблема не исчезла -

она заключается в том, что когда пытаешься выйти на страницы с помощью функции "Новые сообщения" или "активные темы", или же воспользуешься ф-цией поиск, тогда или Аваст выдает предупреждение о попытке выйти на опасный ресурс, или (когда такого предупреждения не выдается) ссылки с этой страницы перенаправляют на поисковик ask.com (причем со смещением в строке адреса до метки, которая отмечает новое сообщение в теме, например, вместо http://sait/phpBB/viewtopic.php?p=16096#p16096 приводит на http://ask.com/#p16096). Наводишь на ссылку, высвечивается нормальный адрес (тот же http://sait/phpBB/viewtopic.php?p=16096#p16096 ), но на самом деле уходишь на этот ask.com .

Компьютер на вирусы проверен, все на сервере тоже проверено Авастом и Д-рВебом (launch.exe).

Я думаю создать папку на сервере, куда установить новый форум с нуля, потом переименовать бывшую папку с форумом, а это имя присвоить новой папке с новым форумом (конференцию на это время выключу).

Или же (чтобы предотвратить возможность заражения со старой папки во время инсталляции) предварительно ее (старую папку) убить?

Прокатит ли такая рокировка? Ничего в БД не повредится? Если все допустимо, то убъю затем старую папку. Ну как?

P.S. Прошу прощения у модераторов, что повторил то, что уже рассказал в другой теме.

[Rayden]

почистил страницы 8-10, весь год вогнал в бб-код
Пользователю GVD надо ай-яй-яй сделать.

[Стопангин]

Еще 9-ю надо тоже. Ругается на нее. - http://www.phpbbguru.net/community/topic14816-120.html

[Rayden]

вообще-то запись 8-10 подразумевает и девятую тоже.
Там ничего нет. Если ругается - отключи антивирус и прочти.

Добавлено спустя 1 минуту 5 секунд:
И кеш почисть для начала

[Стопангин]

Ок.


Эта сцука насрала в .htaccess , поэтому и переадрессация шла. Все, пока, по крайней мере.

[Стопангин]

Вот зараза. Вчера почистил в том числе индексную сайта (не форума!) - кроме вставки фрейма в теле был еще какой-то скрипт с длиннющей цифирью (о нем тоже писали), походил по форуму, так не прошло и часа, как индексная сайта снова засрана iframe. Зато за ночь этого не произошло, так как в корень форума бросил пустую папку install . Знач, в php-файлах искать надо, а как? Антивирусник умеет распознавать только в htm(l)

Короче, решил-таки заново проинсталлировать форум, вот только не знаю (если БД не трогать), сохранятся ли индивидуальные настройки форумчан - их аватары, подписи в сообщениях? Если нет, то какой из старых системных файлов (или папок с аватарами и т.п.) надо сохранить от старого?

[crash]

1. проверьте комп на вирусы
2. смените все пароли
3. замените все файлы форума, кроме конфига.
4. Прочтите эту тему и не надо флудить

[Стопангин]

Я не флужу. только кратко описываю ситуацию.
1. Пароль ftp изменен.
2. Я проверил антивирусником все файлы на сервере и накомпьютере. Заражение обнаружено им только в индексных файлах форума. Также запустил контекстный поиск по компу по наличию фрагмента iframe в файлах, но в php ничего такого не находит (может, что-то связано с кодировкой?).
3. А где взять исходные файлы девственного форума, если у меня их нет. В дистрибутиве phpBB 3.0.5 они не все, что имелось, давно заменил. Получить их могу только на сервере, проинсталлировав, почему и спрашиваю подробности. Вчера попробовал с помощью Аpache, но у меня ничего не получилось.

P.S. Если я своими вопросами перестраховываюсь, то только потому, что форум коллективный (лишь я вынужденно выполняю роль техадмина). Был бы только мой, меньше бы было ответственности.

[crash]

А где взять исходные файлы девственного форума, если у меня их нет.

я боюсь что вы мне не поверите, но phpbb.com

В дистрибутиве hyhBB 3.0.5 они не все

потому чт надо скачивать на phpbb3.0.5.

Если я своими вопросами перестраховываюсь

да вы не перестраховываетесь, вы нам описываете уже второй день как и что вы делаете, а вы прочтите прочтите тему, воспользуйтесь поиском.

Добавлено спустя 2 минуты 15 секунд:
да и самое главное забыл. Вы знаете что надо искать

iframe в файлах

. А вы не можете подумать и понять, что винда это может сделать, я уже молчу что если у вас есть доступ на сервер (ssh или какой там еще), то это еще быстрей делает и не надо тогда антивирусником проходить по файлам.

Добавлено спустя 38 секунд:

форум коллективный

у всего коллектива есть фтп доступ? Ну так проверяйте всех или не давайте пароли

[Стопангин]

потому чт надо скачивать на phpbb3.0.5.

А где по вашему я взял дистрибутив? Там же и взял. Зачем придираться к непроизвольным опискам (конечно, не hyhBB). После распаковки архива кол-во файлов гораздо меньше, чем их было на сервере. Что имелось, заменил уже.

Добавлено спустя 1 минуту 42 секунды:

у всего коллектива есть фтп доступ? Ну так проверяйте всех или не давайте пароли

Нет, новый пароль только у меня.

[crash]

Стопангин
если вы ставили моды, и моды имели свои файлы, то это естественно. Если моды не имели своих файлов, то у вас не может быт на сервере больше файлов, чем в архиве. Аватары, добавленные смайлики естественно не в счет.

[Rfnz]

Помогите разобраться. Уже двое пользователей написали, что при заходе на форум срабатывает антивирус. Просмотрела файлы форума и ни чего найти не смогла. Где копать? адрес spitz-club.ru/forum/

[Nekstati]

Вообще-то кривость антивируса и заражённость компьютеров у этих товарищей более вероятны, чем наличие вируса на форуме. Вот этот, например, доверенный товарищ вирусов не видит: http://online.us.drweb.com/?url=1.

[DK7]

Просмотрела файлы форума и ни чего найти не смогла.

Поищите аналогично и в бд. Бывает что прописывается в описание форумов, в таблицу конфига и т.д.
Слейте бд себе на рабочий стол, и в ней любым текстовым редактором поищите.

заражённость компьютеров у этих товарищей более вероятны

Это как? Причем здесь локальная машина если автор пишет

при заходе на форум

.

[Rfnz]

Поищите аналогично и в бд.

Искать что конкретно? Ифрэймы? Сегодня правда уже ни кто из пользователей не жалуется на вирус, все что сделал проверила все файлы форума и после этого почистила кэш.