Как убить Трояна?

[AdmninsCluba]

обнаружено: троянская программа Trojan-Downloader.VBS.Small.dh

Почистил файл - index.php. Не помогло. Что надо сделать чтобы найти и убить скрипт?

Спасибо.

ОТВЕТ:
- проверяемся на вирусы
- меняем ВСЕ пароли и не храним их в FTP-клиенте.
- чистим файлы Index.* или заливаем из бэкапа.

http://virusinfo.info/pravila.html

[MAzZY]

lol

[Slash]

Здравствуйте, сегодня от Яндекса получил письмо:

Здравствуйте, Цинк Алексей!

На страницах вашего сайта http://www.danfa.ru обнаружен код, который может быть опасен для посетителей. Выполнение этого кода при посещении сайта может привести к нежелательным для пользователя последствиям: заражению компьютера вредоносными программами, несанкционированному использованию его ресурсов, порче или краже личных данных.
В настоящий момент сайт выводится в результатах поиска с пометкой «Этот сайт может угрожать безопасности вашего компьютера».
Яндекс никак не оценивает содержание сайта и предупреждает пользователей о том, что сайт мог быть заражен без ведома его владельцев.
Пожалуйста, удалите вредоносный код. Если при новой проверке код не будет обнаружен, пометка в результатах поиска будет снята. Для того чтобы снять пометку как можно быстрее, сразу после удаления кода вы можете запросить перепроверку сайта.

В результатах поиска Яндекса мой сайт с пометкой:
Сайт может угрожать безопасности вашего компьютера или мобильного устройства
Но проверяю всеми что есть антивирусами - вирусов не обнаружено... Яндекс показа на каких страницах якобы вирус:

Код: Выделить всё

http://www.danfa.ru/viewtopic.php?f=8&t=213
http://www.danfa.ru/viewtopic.php?p=1178
http://www.danfa.ru/viewtopic.php?p=1255

Антивирусы не могут найти код, я тоже не могу найти вирус (искал тщательно)... Как можно докопаться до истины?
Google ничего подобного не выкинул...

[Pazh]

Возможно на указанных страницах есть ссылка на сайт где есть вирус (вложение с фотохостинга, ссылка в сообщении, в подписи, всякие "линеечки" или аватарка)

[Slash]

Поддержка Яндекса ответила, что вредный у меня код:

Источником заражения являются js-скрипты сервиса http://odnaknopka.ru/ , которые находятся на Вашем сайте.
При обращении к odnaknopka.ru/ok2.js с User-Agent мобильного устройства, происходит автоматическое перенаправление посетителей на вредоносные цели.
Советую Вам обратиться к владельцам данного сервиса за комментариями относительно присутствия вредоносного кода для пользователей мобильных устройств.

Заменил однукнопку на кнопки http://api.yandex.ru/share/

[staiki]

Доброго времени суток.После обновления движка на 3.0.12 наблюдаю в папке cache постоянно появляются мальвар-как бороться?Сканирую антивирусом на хосте он находит заразу такого содержания:

Код: Выделить всё

www/staiki.net/cache/data_vt_t7216_s0_guest.php: winnow.malware.m0.malware.858347.UNOFFICIAL FOUND
www/staiki.net/cache/data_vt_t7804_s10_bot.php: winnow.malware.m0.malware.858347.UNOFFICIAL FOUND
www/staiki.net/cache/data_vt_t11667_s0_bot.php: winnow.malware.m0.malware.858347.UNOFFICIAL FOUND
www/staiki.net/cache/data_vt_t5263_s0_bot.php: winnow.malware.m0.malware.858347.UNOFFICIAL FOUND
www/staiki.net/cache/data_vt_t7258_s0_bot.php: winnow.malware.m0.malware.858347.UNOFFICIAL FOUND
www/staiki.net/cache/data_vt_t7228_s0_bot.php: winnow.malware.m0.malware.858347.UNOFFICIAL FOUND
www/staiki.net/cache/data_vt_t16717_s0_bot.php: MBL_409495.UNOFFICIAL FOUND

----------- SCAN SUMMARY -----------
Known viruses: 3218351
Engine version: 0.97.8
Scanned directories: 990
Scanned files: 11459
Infected files: 7
Total errors: 1
Data scanned: 2263.94 MB
Data read: 2180.34 MB (ratio 1.04:1)
Time: 473.998 sec (7 m 53 s)

Скажите-как с этим бороться?Запускаю поиск этих зверей по одному в shift+F3-ничего нет.Чистка папки кеш единственный вариант но на следующий скан-картина повторяется.Подскажите что делать?
Заранее спасибо.

[MIT]

Скорее всего файлы создаются автоматически каким-то скриптом, располагающемся на твоём сервере.
Ищи в логах запросы к подозрительным файлам. Если файлы в папке cache имеют недавнюю дату создания (смотреть при помощи ls -lha, например), то можешь сопоставлять время создания файлов со временем запросов к серверу.

И скинь мне в личку архив с этим добром.

[staiki]

И скинь мне в личку архив с этим добром.

Запаковать папку кеш?Или как мне скинуть если я их найти не могу а антивирь находит.Мне на хосте предложили файлзиллой воспользоваться-но толком не пойму как ею пользоваться...

[MIT]

Запаковать папку кеш?

Можно всю, можно только эти файлы.

толком не пойму как ею пользоваться

Учись, она не сложная. Инструкций в интернете полно.

staiki, ты вот лучше расскажи: у тебя шаред-хостинг или VPS? Ещё какие-нибудь сайты там же хостятся? С ними есть проблемы? Что за антивирь? Как находит?

[staiki]

MIT-может дать доступ сами посмотрите?

[MIT]

Давай. Но самому разобраться полезнее будет.

[staiki]

Давай.

Момент.

Но самому разобраться полезнее будет.

Согласен.Но мне такие вещи даются с трудом...

[MIT]

мне такие вещи даются с трудом

Дорогу осилит идущий.

[staiki]

MIT а этот скрипт не поможет? http://codemirrors.com/83-web-soft/85-s ... ware.html#

[MIT]

К сожалению, все эти скрипты, как правило, очень ограничены по части умений обнаружить вредонос. А значит по-просту бесполезны и могут помочь только от совсем-совсем школьников. Но ради интереса можешь запустить.

[staiki]

А значит по-просту бесполезны

Я понял.Благодарю за консультацию!