Показано с 1 по 16 из 16.

VBS/Psyme trojan при работе в админке WordPress (заявка № 105734)

  1. #1
    Priority Member Репутация
    Регистрация
    21.06.2008
    Сообщений
    130
    Вес репутации
    36

    VBS/Psyme trojan при работе в админке WordPress

    Добрый день/ночь.

    При входе в аминпанель блога Wordpress McAfee выдает сообщение, что удален троян VBS/Psyme - файл load-script[3].php в папке Temporary Internet Files. Такое сообщение выдается при открытии каждой новой страницы админки. На странице виджетов ни один виджет не открывается, все остальное работает (редактирование страниц-постов). То, что не работает страница виджетов, очень плохо для меня, так как тема вордпресса такая, что контент home page может редактироваться только через виджеты... Сам сайт работает вроде нормально.
    На моем компе антивирус (McAfee) ничего не находит. При работе в админках других сайтов с Wordpress все нормально.
    Попробовал найти инфу в интернете - пишут, что скорее всего сайт взломан и где-то есть iframe с редиректом. Но я нигде в коде iframe найти не смог.
    Как спасаться? Заранее спасибо за любые советы.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Priority Member Репутация
    Регистрация
    21.06.2008
    Сообщений
    130
    Вес репутации
    36
    Уважаемые хелперы! Неужели никакого совета ни от кого? Помогите, пожалуйста!

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Здравствуйте!
    Пожалуйста, сделайте логи по правилам.

  5. #4
    Priority Member Репутация
    Регистрация
    21.06.2008
    Сообщений
    130
    Вес репутации
    36
    AVP tool ничего не изменил.
    Логи.
    Вложения Вложения

  6. #5
    Priority Member Репутация
    Регистрация
    21.06.2008
    Сообщений
    130
    Вес репутации
    36
    Уважаемые хелперы, вроде бы я все сделал по правилам? Кто-то, вижу, смотрел вложения, но ничего не ответил... Все так плохо, что лучше мне не знать?

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Ничего подозрительного.
    Сделайте лог MBAM.

  8. #7
    Priority Member Репутация
    Регистрация
    21.06.2008
    Сообщений
    130
    Вес репутации
    36
    Лог MBAM.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Удалите в MBAM:
    Код:
    Registry Keys Infected:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} (Adware.MyCentria) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} (Adware.MyCentria) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.
    
    Registry Data Items Infected:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
    
    Folders Infected:
    c:\program files\FieryAds (Adware.Adware.FearAds) -> No action taken.
    c:\program files\mycentria (Adware.MyCentria) -> No action taken.
    c:\program files\mycentria\Firefox (Adware.MyCentria) -> No action taken.
    c:\program files\mycentria\InfoBar (Adware.MyCentria) -> No action taken.
    
    Files Infected:
    c:\documents and settings\Boris\application data\thinstall\articlecopymaster\300000001700002i\MDM.EXE (Trojan.Agent) -> No action taken.
    c:\program files\php expert editor\phpxedit.exe (Rogue.FakeMSE) -> No action taken.
    c:\documents and settings\Boris\local settings\temporary internet files\pse_350_rus.exe (Trojan.Agent) -> No action taken.
    c:\program files\FieryAds\fieryadsuninstall.exe (Adware.Adware.FearAds) -> No action taken.
    Сделайте повторный лог MBAM.

  10. Это понравилось:


  11. #9
    Priority Member Репутация
    Регистрация
    21.06.2008
    Сообщений
    130
    Вес репутации
    36
    Уважаемый hedgars, я делаю то, что Вы сказали. Но скан занял больше 7 часов, и сейчас будет 2 раза по столько...
    Описанная проблема повторилась при входе в админку того же сайта с другого компьютера: сначала все там было нормально и я решил, что, видимо, действительно инфицирован первый комп. Но при втором подходе на втором компе возникла точно та же проблема - сообщение McAfee об удалении трояна VBS/Psyme при загрузке каждой новой страницы в админке (только в админке, сам сайт работает тьфутьфутьфу нормально), и не открываются виджеты.
    Я проверил сайт онлайн-проверяльщиками - ни один ничего плохого не сказал.
    Пока оно сканируется - может быть, Вы или кто-то еще скажете что-то об этом? Не свидетельствует ли описанное о заражении сайта и как в этом удостовериться?
    Заранее большое спасибо за чтение этих многих букв. )

  12. #10
    Priority Member Репутация
    Регистрация
    21.06.2008
    Сообщений
    130
    Вес репутации
    36
    Лог MBAM после удаления указанных строк.

  13. #11
    Priority Member Репутация
    Регистрация
    21.06.2008
    Сообщений
    130
    Вес репутации
    36
    Лог MBAM после повторной проверки после удаления указанных строк.
    К сожалению, проблема осталась.

  14. #12
    Priority Member Репутация
    Регистрация
    21.06.2008
    Сообщений
    130
    Вес репутации
    36
    Все, стало быть? Больше не делать логов и советов не последует?
    Ну все равно спасибо за попытку...

  15. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    402
    Попробовал найти инфу в интернете - пишут, что скорее всего сайт взломан и где-то есть iframe с редиректом. Но я нигде в коде iframe найти не смог.
    Ищите в коде подозрительные VBS или ссылки на них.

  16. Это понравилось:


  17. #14
    Priority Member Репутация
    Регистрация
    21.06.2008
    Сообщений
    130
    Вес репутации
    36
    То есть стало быть все-таки это сайт заражен. Спасибо...

  18. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    402
    То есть стало быть все-таки это сайт заражен.
    Думаю, что да. Потому как:
    При входе в аминпанель блога Wordpress McAfee выдает сообщение, что удален троян VBS/Psyme - файл load-script[3].php в папке Temporary Internet Files.
    Ищите в коде vbs скрипт. Затем смените пароли.

  19. Это понравилось:


  20. #16
    Priority Member Репутация
    Регистрация
    21.06.2008
    Сообщений
    130
    Вес репутации
    36
    Попробуем поискать... Спасибо!

  • Уважаемый(ая) borber, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. JS/Psyme...,etc.
      От Andbar в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 21.03.2009, 08:08
    2. троянская программа Trojan-Downloader.JS.Psyme.mf
      От serjga в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 22.05.2008, 16:20
    3. HLLW.Autoruner.1172 VBS Psyme 377 и TrojanDownloader 4268
      От dlenacsm в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 30.04.2008, 12:32
    4. Ответов: 5
      Последнее сообщение: 18.10.2007, 11:27
    5. Trojan-Downloader.VBS.Psyme.fc
      От Fisher в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.03.2007, 15:53

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00836 seconds with 17 queries