Яндекс Вебмастер прислал уведомление о заражении моего личного сайта. В конце файла index были добавлены вредоносные скрипты. По мнению Яндекса это сделал Troj/ExpJS-EV. Тот же самый код был вставлен в другие мои сайты, на которые был запомнен пароль в FTP-менеджере.
Также были обнаружены такие симптомы:
на почту пришли уведомления о недоставленных письмах на адреса, на которые я не отправляла. В расширенных данных было видно, что письма были отправлены через программу The Bat, которая у меня не установлена (следовательно, был украден пароль и использована моя учётная запись).
Помимо этого вКонтакте я оказалась в группах, в которые не вступала.
Доктор Веб нашёл несколько вредоносных файлов, AVP после него не нашёл ничего.
Также компьютер не загружался в безопасном режиме для проверки с помощью AVP, чтобы войти в безопасный режим я использовала функцию AVZ Файл - Восстановление системы №10.
Пароли сменила на машине, где заведомо вирусов нет (Mac). Один день после этого группы вконтакте продолжали появляться, все пароли поменяла ещё раз, в FTP сняла запоминание. Больше симптомы не появляются.
Проверьте, пожалуйста, всё ли я вычистила.
Логи прилагаю.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Inngrid, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Еще так прошу сделать:
При подключенном интернете выполните скрипт в AVZ (как выполнить):
Код:
begin
ClearQuarantine;
ExecuteAVUpdate;
ExecuteStdScr(4);
end.
Скрипт будет выполняться несколько минут (обычно не больше 10), по окончании появится окно с сообщением о успешном выполнении скрипта.
После этого в папке AVZ\LOG появится файл вида virusinfo_files_<имя вашего компьютера>.zip.
Загрузите этот файл по этой ссылке: http://virusinfo.info/upload_clean.php
По окончании загрузки скопируйте информацию о загрузке и вставьте ее в ваше следующее сообщение.
Скрипт выполнен успешно, файл создался.
Но при загрузке по указанной ссылке появляется информация:
Ошибка загрузки.
Файл не является архивом с карантином AVZ !!
Если точнее, то 628 байт (даже меньше килобайта).
Сегодня возобновился симптом заражения сайта. Но вредоносный скрипт с другой ссылкой.
ДокторВеб выдал предупреждение C:\8YVudRXzGAI\klpclst.dat - инфицирован Trojan.Carberp.30.
Пройдите по всем ссылкам (http:...) в avz_log.txt и установите указанные там обновления.
Выполните еще раз скрипт в http://dataforce.ru/~kad/ScanVuln.txt и убедитесь, что обновления установились.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Admin\Application Data\8BC23D.exe','');
QuarantineFile('C:\Program Files\SDL International\T2007\TT\Lng\Dialogs1031.lng','');
QuarantineFile('c:\windows\vsnpstd2.exe','');
QuarantineFile('c:\program files\common files\microsoft shared\vs7debug\mdm.exe','');
QuarantineFile('c:\windows\system32\ati2evxx.exe','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\8BC23D.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Intel');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Скачайте, распакуйте и запустите TDSSKiller: http://support.kaspersky.ru/faq/?qid=208636926
Если программа обругается на файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска).
Сделайте заново лог virusinfo_syscheck.zip (пункт 2 раздела Диагностика правил) и приложите в теме.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: