В результате серфинга интернета подцепил вирус, который спер ftp пароли. Avira что-то удалил, но зараза все равно осталась. Почему так думаю? После смены админом паролей с заведомо чистой машины новые пароли уже не хранились в реестер, вбивались для каждого сеанса, но на сайте продолжалось редактирование файлов этим же фтп-пользователем. После ограничения доступа к ftp серверу по ip проблема исчезла. Но на других сторонних ftp аккаунтах проблема продолжает быть.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скриптКод:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe, O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\twex.exe',''); DeleteFile('C:\WINDOWS\system32\twex.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Есть что-то?
Чисто...
Было чисто или стало чисто?Сообщение от Гриша
Стало...
опять двадцать пять, или продолжение истории
1) вчера утром определил что внедрен посторонний код в один из сайтов
2) поднял эту тему и подлечился
3) после заражения и до лечения были проблемы с сетевым принтером (то не печатал, то печатал бесконечное число копий). После лечения принтер стал работать нормально. Воспринял это как явный признак выздоровления.
4) решил что машина чистая, через административный веб-интерфейс через https поменял ftp пароль для сайта и фтп-клиентом без шифрования поработал с сайтом - почистил файлы.
5) сегодня утром проверил этот сайт - с 3 по 7 часов утра с файлами опять работали и внедрили код.
Вывод - на пути от ftp клиента до ftp сервера стоит "перехватчик".
1) может я до сих пор заражен?
2) прошу не пинать, я полный лох в теме, но м.б. заражена соседняя рабочая станция?
PS. Я созрел себе уже линукс ставить второй операционкой, но если возможен пункт 2, то это мне не поможет. На всяк случай сдела еще раз логи.
В этих логах чисто...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) nso, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
