Уважаемые пользователи!
Напоминаем, что с 7 ноября 2020 года phpBB Group прекратила выпуск обновлений для phpBB версии 3.2.
С учетом этого, рекомендуется обновить конференции до версии 3.3.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до отдельного объявления.

Как убить Трояна?

Вопросы без привязки к версии. Установлена авточистка (2 года).
Правила форума
Местная Конституция | Шаблон запроса | Документация (phpBB3) | Переход на 3.0.6 и выше | FAQ | Как задавать вопросы | Как устанавливать расширения

Ваш вопрос может быть удален без объяснения причин, если на него есть ответы по приведённым ссылкам (а вы рискуете получить предупреждение ;) ).
AdmninsCluba
phpBB 1.2.1
Сообщения: 22
Стаж: 16 лет
Благодарил (а): 1 раз

Как убить Трояна?

Сообщение AdmninsCluba »

обнаружено: троянская программа Trojan-Downloader.VBS.Small.dh

Почистил файл - index.php. Не помогло. Что надо сделать чтобы найти и убить скрипт?

Спасибо.

ОТВЕТ:
- проверяемся на вирусы
- меняем ВСЕ пароли и не храним их в FTP-клиенте.
- чистим файлы Index.* или заливаем из бэкапа.

http://virusinfo.info/pravila.html
piatachki
phpBB 1.4.2
Сообщения: 56
Стаж: 14 лет 9 месяцев
Откуда: Москва
Благодарил (а): 1 раз

Сообщение piatachki »

Позвольте добавить, что этот вирус ворует пароли только из Total Commander, заражает все файлы, где в названии присутствует слово "index"... как php, так и html
This is a man's world (c)
Аватара пользователя
Alek$
Former team member
Сообщения: 2616
Стаж: 17 лет 1 месяц
Откуда: Новосибирск
Поблагодарили: 3 раза

Сообщение Alek$ »

piatachki
этот - только. Другой может откуда угодно своровать.
Самая страшная ошибка, это ошибка без видимых причин и конкретных последствий.
phpBB3 [db_update.php generator]
Первая помощь по всем phpBB-вопросам: phpBB2 и phpBB3 FAQ; Правила общения;
Все консультации в icq или личке - на платной основе.
Kate admin
phpBB 1.4.0
Сообщения: 31
Стаж: 14 лет 9 месяцев

Сообщение Kate admin »

В последнее время участились жалобы от пользователей. Говорят, что на форуме живет вот это Trojan.PWS.Gamania.origin :?
Очень многие жалуются на проблемы с клавиатурой.

Вот еще жалоба:
Похоже, на сайте вирус. Вчера после просмотра форума в папке Windows/System32 появилась библиотека kb1111p.dll, которая пыталась внедриться во все процессы.

См.
http://www.sophos.com/security/analyses/trojcabatb.html
И вот еще жалоба:
При заходе на форум (и переходе между темами) получаю наверху строчку - This website wants to run the following add-on: "Microsoft Data Access - Remote Data Services Dat...." from "Microsoft Corporation". If you trust the website and the add-on and want to allow it tо run, click here......
Ссылка на форум http://www.trworkshop.net/forum/
На первый взгляд в индексном файле ничего странного не увидела, но я и не копенгаген по большому счету.

Помогите и разобраться и, если действительно на форуме вирус, то очистить форум от него (понадобится помощь).

Стоит Anti Bot Question - 1.0.3.

Информация о версии phpBB:
Ваша версия phpBB самая новая, на данный момент для неё нет обновлений.
Аватара пользователя
crash
Former team member
Сообщения: 6517
Стаж: 18 лет 2 месяца
Откуда: Бердск

Сообщение crash »

Kate admin
ну так проверяйте все файлы.
Как правильно задавать вопросы
Для особо одаренных: поиск - это есть круто.
FAQ v.2 | FAQ v.3 | Шаблон запроса
Kate admin
phpBB 1.4.0
Сообщения: 31
Стаж: 14 лет 9 месяцев

Сообщение Kate admin »

crash
Как их проверять? :oops: Вручную? Выгрузив все к себе на компьютер? Удаленно просматривать файлы, к сожалению, не умею.
Аватара пользователя
crash
Former team member
Сообщения: 6517
Стаж: 18 лет 2 месяца
Откуда: Бердск

Сообщение crash »

значит выгрузите и смотрите, проверьте антивирусом. Все в ваших руках
Как правильно задавать вопросы
Для особо одаренных: поиск - это есть круто.
FAQ v.2 | FAQ v.3 | Шаблон запроса
Boglik
phpBB 1.4.0
Сообщения: 32
Стаж: 15 лет

Сообщение Boglik »

Kate admin Вы моды давно ставили? Если да, то помтрите файлы, которые изменялись недавно.
Kate admin
phpBB 1.4.0
Сообщения: 31
Стаж: 14 лет 9 месяцев

Сообщение Kate admin »

crash писал(а):значит выгрузите и смотрите, проверьте антивирусом.
Сделано. Симантек антивирус со всеми обновлениями сказал, что все чисто. :? Может еще чем посмотреть надо?
Boglik писал(а):Вы моды давно ставили? Если да, то помтрите файлы, которые изменялись недавно.
Давно. Недавно изменяла только хтмльные страницы, но они не на форуме. Есть еще мод аттачей, правда, но там экзешники запрещены.
Аватара пользователя
Alek$
Former team member
Сообщения: 2616
Стаж: 17 лет 1 месяц
Откуда: Новосибирск
Поблагодарили: 3 раза

Сообщение Alek$ »

Kate admin
тогда посмотрите, какие файлы недавно изменялись и вручную проверьте их на подозрительный код.

Добавлено спустя 2 минуты 20 секунд:

И дайте ссылку на ту страницу, на которую жалуются.
Самая страшная ошибка, это ошибка без видимых причин и конкретных последствий.
phpBB3 [db_update.php generator]
Первая помощь по всем phpBB-вопросам: phpBB2 и phpBB3 FAQ; Правила общения;
Все консультации в icq или личке - на платной основе.
Kate admin
phpBB 1.4.0
Сообщения: 31
Стаж: 14 лет 9 месяцев

Сообщение Kate admin »

Поставила еще Dr Web, просканировала все файлы им и опять ничего. :? Оставила пользователям вопрос по поводу конкретной страницы, в выходные у меня потише, так что подожду понедельника.

Вручную на форуме я ничего не меняла (не обладаю должными навыками и умениями), а обновления были очень давно, мб в начале этого года.

Часть пользователей заявляют, что с разных машин заходили на форум и не жужжат антивирусы, ничего не выскакивает, никто не жалуется. Т.е. явление не массовое.
Аватара пользователя
Rayden
Former team member
Сообщения: 3739
Стаж: 17 лет 3 месяца
Поблагодарили: 3 раза

Сообщение Rayden »

Я второй день смотрю - вируса в коде нет, хотя вот это Microsoft Data Access - Remote Data Services Dat...." и есть вирус.
Может со стороны подгружается? У тебя там баннеры и еще что-то со стороны грузится, может с ними за компанию?

А тем раздолбаям, у кого появляются левые библиотеки и пытаются внедритьс, нужно антивирусы нормальные ставить и не запускать все что попало.
phpBB2 FAQ
phpBB3 FAQ
Kate admin
phpBB 1.4.0
Сообщения: 31
Стаж: 14 лет 9 месяцев

Сообщение Kate admin »

Rayden писал(а):Я второй день смотрю
Спасибо!
Rayden писал(а):вируса в коде нет
Хорошо.
Rayden писал(а):У тебя там баннеры и еще что-то со стороны грузится, может с ними за компанию?
Баннеры у меня грузятся с моей баннерокрутилки, т.е. там левых нет. И новые я давно не добавляла. Баннеры все гифки, флэшевых, допустим, нет.
Rayden писал(а):А тем раздолбаям, у кого появляются левые библиотеки и пытаются внедритьс, нужно антивирусы нормальные ставить и не запускать все что попало.
:lol:

Добавлено спустя 4 часа 40 минут 58 секунд:

Увы-увы, первая присланная ссылка ведет не на форум:
При попытке зайти на сайт грузится какая-то хрень:wuauserv.exe c sonyrpm.com. Потом она пытается запустить себя как svchost.exe, но обламывается. Почисти сайт от этой дряни, пожалуйста.
Ну вот, например:

http://www.trworkshop.net/job/index.php ... snum=72985

Короче, почти везде это чудо вылезает. Чего-то неполезное на твоем сайте поселилось.
У меня ничего не вылезает, но на указанной странице внизу экрана в уклу появляется сообщение об ошибке:
строка 256
символ 25
ошибка: предполагается наличие объекта
код 0

Я понимаю, что в данном случае не по теме форума, но если подскажете, что делать, буду благодарна.
ks
phpBB 1.0.0
Сообщения: 2
Стаж: 14 лет 9 месяцев

Сообщение ks »

Rayden писал(а):А тем раздолбаям, у кого появляются левые библиотеки и пытаются внедритьс, нужно антивирусы нормальные ставить и не запускать все что попало.
Я - один из пользователей форума Kate admin. Антивирусы стоят нормальные, есть антитрояны, вирусы обнаруживаются и убиваются быстро и вовремя. Но при выходе на форум тут же начинаются проблемы с настройками системного времени, подвешивается Касперский и запускаются подозрительные процессы, которые, впрочем, тут же Касперским и обнаруживаются. При проверке сразу обнаруживается Trojan.PWS.Gamania.origin, который исправно перемещается и убивается. Дальше все работает замечательно, пока опять не выхожу на форум.
Да еще: что попало не запускаю, не открываю, чищу и проверяю, а в последний раз даже не залогинилась. Но вирус опять подцепила и опять ушла его убивать.
Так что прошу Kate admin помочь и на нерадивых "раздолбаев" вину не сваливать.
Аватара пользователя
Rayden
Former team member
Сообщения: 3739
Стаж: 17 лет 3 месяца
Поблагодарили: 3 раза

Сообщение Rayden »

Kate admin писал(а):
Ну вот, например:

http://www.trworkshop.net/job/index.php ... snum=72985

Короче, почти везде это чудо вылезает. Чего-то неполезное на твоем сайте поселилось.
У меня ничего не вылезает, но на указанной странице внизу экрана в уклу появляется сообщение об ошибке:
строка 256
символ 25
ошибка: предполагается наличие объекта
код 0
О, там вылезает!
А что у нас в коде /job/index.php?

Добавлено спустя 4 минуты 44 секунды:
ks писал(а): Я - один из пользователей форума Kate admin.
очень приятно!
ks писал(а):Антивирусы стоят нормальные, есть антитрояны, вирусы обнаруживаются и убиваются быстро и вовремя.

Но при выходе на форум тут же начинаются проблемы с настройками системного времени, подвешивается Касперский и запускаются подозрительные процессы, которые, впрочем, тут же Касперским и обнаруживаются.
Конечно вопрос о выборе антивируса несколько религиозен и не хочется ввязываться в спор что лучше, но вам не кажется, что данные два абзаца несколько противоречат друг другу? :wink:

ks писал(а):Да еще: что попало не запускаю, не открываю, чищу и проверяю, а в последний раз даже не залогинилась. Но вирус опять подцепила и опять ушла его убивать.
Так что прошу Kate admin помочь и на нерадивых "раздолбаев" вину не сваливать.
Стараемся. Вирусы общая беда.
phpBB2 FAQ
phpBB3 FAQ
ks
phpBB 1.0.0
Сообщения: 2
Стаж: 14 лет 9 месяцев

Сообщение ks »

Rayden писал(а):
ks писал(а):Антивирусы стоят нормальные, есть антитрояны, вирусы обнаруживаются и убиваются быстро и вовремя.
Но при выходе на форум тут же начинаются проблемы с настройками системного времени, подвешивается Касперский и запускаются подозрительные процессы, которые, впрочем, тут же Касперским и обнаруживаются.
Конечно вопрос о выборе антивируса несколько религиозен и не хочется ввязываться в спор что лучше, но вам не кажется, что данные два абзаца несколько противоречат друг другу? :wink:
Именно поэтому я не стала перечислять все, что стоит на моем компьютере. Просто проактивная защита касперского реагирует первой и начинает отключать несанкционированные соединения. Спорить о том, какой антивирус лучше, не буду, так как спор этот будет непродуктивным.
Абзацы друг другу не противоречат. Вирус обнаруживается, но сначала подвешивает время и касперского. Мне приходится выйти с форума и провести чистку, не успев ничего прочитать и написать. В последние несколько дней туда вообще не заходила. Хотелось бы все-таки иметь возможность посещать форум безопасно.
Rayden писал(а):
ks писал(а):Так что прошу Kate admin помочь и на нерадивых "раздолбаев" вину не сваливать.
Стараемся. Вирусы общая беда.

Совершенно верно, спасибо за помощь. Просто не хотелось бы проблему сводить к некомпетентности пользователей. Да, не все из нас компьютерные гуру, но, поверьте, в своей области мы тоже что-то умеем. А в целом, общий уровень компьютерной грамотности на форуме (в том числе в отношении вирусов) гораздо выше среднего по рунету. Так что надеемся на вашу помощь.

Вернуться в «phpBB-пространство»