-
Junior Member
- Вес репутации
- 55
iframe'ы
Здравствуйте! Я уже обращалась к вам с проблемой того, что из-за вируса, полученного с сайта, ни один антивирусник не запускался, и что мои сайты заражались этим вирусом с моего компьютера через ftp. (В первый раз здесь http://virusinfo.info/showthread.php?p=404876). Сегодня я обнаружила, что один из моих сайтов, к которому я обращалась в последнее время по ftp, снова заражен. Те, к которым не обращалась, в порядке (пароль запрашивается при обращении, а не сохраняется). При этом проверка на вирусы и сканирование AVPTool ничего не выявили, никаких предупреждений и уведомлений KIS не выдавал, антивирусник запускается. Зараженность сайта проявляется в виде посторонних iframe'ов со ссылками на некий сайт. Если нужно, могу указать на какой.
Вопрос: что мне сейчас делать? Уверенности, что после чистки сайта, вирус там снова не заведется, у меня нет, потому что антивирусник-то его не выявил. При этом, я уверена, что сайт заражен через мой компьютер.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\rncsys32.exe','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\rncsys32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
Если Вы - не администратор сайтов, на которые Вы заходите - маловероятно, что Вы их заразите.
-
-
Junior Member
- Вес репутации
- 55
Я администратор.
-
Тогда придётся отдельно лечить сервера, раз уж они подцепили заразу.
На какой операционной системе работают сервера?
-
-
Junior Member
- Вес репутации
- 55
Сервер под линуксом (это удаленный хостинг, я администратор сайтов, но не сервера). Только на нем, кроме этого последнего сайта, все сайты в порядке. Так уже было, после очистки файлов сайта от тэгов с этим злосчастным iframe'ом и удаления скрипта все в нормально. На сервере чисто. А вот почему антивирусник не ловит эту дрянь - не понимаю..
-
В логах чисто.
Сайты чистите от iframe - у Вас же есть бэкап страниц? Вот и перезапишите то, что на сервере.
-
-
Junior Member
- Вес репутации
- 55
У меня есть бэкапы, вопрос вот в чем: если этот вирус взялся из моего компьютера, почему мой антивирусник не в курсе? Он даже не возмутился, когда я открыла страницу с этим iframe'ом, я только по внешнему виду определила, что на сайте кто-то копался. Может эта какая-то новая зараза? Поможет, если я дам ссылку, на которую ссылается этот фрейм? Могу кинуть в личку, чтоб никто не кликнул ненароком. И еще - в логах было чисто и до лечения? В смысле, понятно, что там что-то было, но оно было связано с этими фреймами? Как мне контролировать чистоту компьютера от этого вируса?
-
Скорее всего, с вашего компьютера утекли к злоумышленникам пароли на FTP-доступ к сайту, а ковыряются в ваших страницах совсем из другого места. Поэтому меняйте пароли и чистите сайт.
Iframe сохраните в файл и пришлите по правилам карантина, так точно не затеряется.
Последний раз редактировалось pig; 13.07.2009 в 23:58.
-
-
Junior Member
- Вес репутации
- 55
Отправила файл. Спасибо за консультацию.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\admin\главное меню\программы\автозагрузка\rncsys32.exe - Trojan.Win32.Agent.cqge ( DrWEB: Trojan.Botnetlog.11 )
-