-
[QUOTE='Bratez;127552']вычистить вредоносные коды со страниц сайта.[/QUOTE] - это как и где прям в теле страницы? а как их распознать?
-
[QUOTE]это как и где прям в теле страницы?[/QUOTE]
Ну да...
[QUOTE] а как их распознать?[/QUOTE]
Ну свое от чужого отличить не так уж трудно.
Или вы сайт не сами делали?
Поищите тэги IFRAME.
-
[QUOTE='Bratez;127555']Или вы сайт не сами делали[/QUOTE] но с помощью дрим вейвера, я так понял что там должны быть ссылки на внешние ресурсы или нет? IFRAME и все или еще что то ?
[size="1"][color="#666686"][B][I]Добавлено через 31 секунду[/I][/B][/color][/size]
сам
-
Возможно, я поспешил с выводами относительно сервиса [I]msupdate[/I].
Давайте попробуем еще такой скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\system32\mssrv32.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
Пришлите новый карантин, если будет не пустой.
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
[QUOTE]я так понял что там должны быть ссылки на внешние ресурсы или нет? IFRAME и все или еще что то[/QUOTE]
Ссылки может и не быть, может быть скрипт или какая-нибудь длиннющая шестнадцатеричная константа, возможно что-то еще, я не силен в хтмл, яваскриптах и технологии этих псаймов...
-
по моему скрипт не выполняется коректно,пробовал дважды он написал что выполнил после чего пытаюсь сохранить карантин - AVZ зависает а фаерфокс вырубается при попытке запустить пишет что нет доступа ( тоже самое с IE ) после выполнения в окне АВЗ - много красного, в процессе выполнения скрипта надолго зависает на файле netapi32.dll
-
Загляните в папку Quarantine\<текущая дата>\ и почитайте содержимое *.ini файлов. Если в каком-то найдете упоминание о [B]c:\windows\system32\mssrv32.exe[/B], пришлите *.dat файл с тем же именем, как у ini (в виде архива с паролем [I]virus[/I]).
-
-
Свеженький! На Вирустотал никто однозначно не детектит, только несколько подозрений. Отправил в ЛК, подождем ответа.
-
ну хоть обозначили проблему! Спасибо большое! а что мне делать с сайтом? создать отдельную тему? менять пароль сейчас или дождаться излечения?
-
1. Ждем вердикта ЛК.
2. Удаляем зловреда.
3. Меняете пароль.
4. Чистите страницы.
-
3 и 4 уже выполнил но потом повторю! спс!
-
Вердикт от ЛК получен: avz00001.dta - Backdoor.Win32.Agent.art
Выполните скрипт:
[code]
begin
BC_DeleteSvc('msupdate');
BC_DeleteFile('c:\windows\system32\mssrv32.exe');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки сделайте новый лог HijackThis для контроля.
-
Вложений: 1
-
Да,теперь у вас всё чисто.
Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL])"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить,[URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов.[/URL] Мы будем Вам очень благодарны!
Удачи!
-
РЕБЯТА всем огромное спасибо! жаль нельзя приложить к меседжу пиво ))) правильное дело делаете!!!
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]6[/B][*]Обработано файлов: [B]49[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\avz00001.dta - [B]Backdoor.Win32.Agent.art[/B] (DrWEB: Trojan.MulDrop.8347)[/LIST][/LIST]
Page generated in 0.00075 seconds with 10 queries