Как быстро удалить трояны на своем сайте

Скрипты, разработка, настройка, администрирование

Модераторы:dobs, ArniXXX, hostess, bj

Сообщение
Автор
dobs
HO Moderators
Сообщения:2504
Зарегистрирован:Вс апр 09, 2006 14:42
Откуда:/home/Ukraine/Kiev
Контактная информация:
Как быстро удалить трояны на своем сайте

#1 Сообщение dobs » Сб дек 12, 2009 02:08

Собсна скрипт для удаления троянов с сайтов тут
Описание тоже там...
Думаю многим пригодится...

Tiger
HO Moderators
Сообщения:923
Зарегистрирован:Ср фев 13, 2008 20:04
Откуда:Юкрайна!

#2 Сообщение Tiger » Сб дек 12, 2009 12:37

Дякую. Изображение
Маємо ту владу, якої заслуговуємо.
Повернувшись з Інтернету додому, не забудьте помити руки!
=> Смайлики для форуму!

vektor
Сообщения:462
Зарегистрирован:Пт авг 07, 2009 14:31
Откуда:Украина
Контактная информация:

#3 Сообщение vektor » Пт дек 18, 2009 21:59

Я тут с троянами попался, по самое "небалуйся", но только на своем компе. Вляпался так, как за все годы юзарства, не вляпывался. Когда разберусь, - отпишусь. Изображение

Tiger
HO Moderators
Сообщения:923
Зарегистрирован:Ср фев 13, 2008 20:04
Откуда:Юкрайна!

#4 Сообщение Tiger » Пт дек 18, 2009 22:03

Не заздрю я Вам...
А які "симптоми"?
Маємо ту владу, якої заслуговуємо.
Повернувшись з Інтернету додому, не забудьте помити руки!
=> Смайлики для форуму!

vektor
Сообщения:462
Зарегистрирован:Пт авг 07, 2009 14:31
Откуда:Украина
Контактная информация:

#5 Сообщение vektor » Сб дек 19, 2009 18:28

Итак что такое Sality ?
Работал как обычно за компом. Запустил «тяжелую» обработку и решил отследить загрузку процессора в диспетчере задач. Правой клавишей по панели задач – и полный облом – строка в меню неактивна. Сначала подумал на политику безопасности, но ее давно уже не менял, поэтому вариант отпал. Следующим шагом была проверка работоспособности антивируса - в трее нет, принудительно не запускается . Мысли полезли всякие …
Запуск Диспетчера по горячим клавишам “Ctrl + Shift + Esc” и получил забавную картинку

Изображение

С безопасностью проблем нет, так как я админ на своем компьютере. О том, что это вирус сомнений не было, решил проверить автозагрузку в реестре но снова получил окошко

Изображение

После недолгих поисков по нету нашел решение
Диспетчер задач отключен администратором
Пуск – Выполнить
REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
Редактирование реестра запрещено администратором системы
Пуск – Выполнить
REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f
Проверка запущенных процессов и автозагрузка подозрительного ничего не выявила. К тому же, как только я включал доступ к реестру и диспетчеру злобный вирус снова их отключал спустя пару минут.
А самое прикольное – загрузиться в безопасный режим не удалось.
Антивирус стоявший на машине отказывался работать. Установка Касперского до конца не доходила. Другие антивирусные программы, не требующие установки, не запускались или же запускались на 10 - 20 секунд и вырубались. Вообщем полный армагедон.
После недолгих размышлений взял с чистой машины обновленный нод, только файл nod32.exe переименовал как 1nod321.exe записал на болванку, дабы невозможно было его изменить, и запустил. Сканер стартовал нормально. И пошла проверка дисков. Буквально сразу же пошли сообщения о вирусе win32/sality.nat. Пораженные файлы – самые разнообразные exe–шники. Проверил два раза и оба находил новые. После тотального удаление удалось поставить Касперского и реанимировать машину. Вот только думаю придется ее переставлять, слишком много файлов успел повредить данный вирус.
Последний раз редактировалось vektor Пн дек 21, 2009 22:30, всего редактировалось 1 раз.

vektor
Сообщения:462
Зарегистрирован:Пт авг 07, 2009 14:31
Откуда:Украина
Контактная информация:

#6 Сообщение vektor » Сб дек 19, 2009 18:37

Итак что такое Sality ?
Рублюсь уже несколько месяцев, окончательной победы добится не могу.Не знаю откуда всплывает эта сволочь.По первости перекатывал систему нифига не даёт ,есть другие диски. Отбиваться легче запуская Винду с DVD без установки с реаниматора. а оттуда DR Web он по крайней мере лечит. У меня определяет как WIN32. Sektor12 , зверюга ещё та. ВОт что нащел про него:
***Вирус содержит процедуру самосборки, при запуске вирус лезет по указанным ниже адресам для докачки своих частей якобы в виде картинок.
Далее собирает свой код и устанавливает в систему. После запуска сервиса пытается зарегистрировать DNS имя в локальном домене SOSiTE_AVERI_SOSiTEEE.haha.domai
От имени текущего пользователя вирус дергает NBSTAT читая имена компьютеров которые видны в локальной сети. Определяет имя компьютера и пытается подключиться к системным шарам для раздачи кода. Если запуск трояна произойдет на машине админа, то вся сеть через некоторое время превратится в один сплошной ботнет. В нашем случае так и произошло, т.к. обновления баз производятся под админским аккаунтом.
Вирус маскирует себя внедряясь в ring0 ядра и убирает любые упоминания о себе из списка процессов подменяя PID и имя на пустоту.
Далее вирус начинает собирать на эту машину троянов и руткиты из интернета хотя по разным адресам. Спамботы поднимают соединение с корневыми спам ботами(p2p сеть) и ожидают команд.
Ядро вируса попавшее в ring0 обеспечивает прикрытие спамботов, подтаскивая новые экземпляры по мере удаления процессов и файлов из системы. при попытке загрузить файлы имеющие в названии окна или имени файла части распространённых антивирусных систем вирус просто напросто пристреливает процессы. Спустя некоторое время вирус начинает заражать системные файлы и утилиты формируя список “доверенных” приложений. Со временем в этот список попадают касперский, cureit, trendmicro которые будучи запущены из-под “доверенного” процесса заражаются и получают обрезанный блок памяти, где успешно блокируются ядром вируса при попытках лечения зараженных файлов.
Первым делом вирус заражает dllcache и system32 файлы logon.scr для того, чтобы обеспечить себе стабильный запуск когда пользователя не будет на месте. Следующие объекты это hkcmd и ctfmon которые стартуют на системном уровне, а также у каждого пользователя при загрузке.
Далее вирус заражает всё что находится в реестре в “Run” разделе, обеспечивая себе распространение по машине и живучесть. После того как основные файлы заражены, вирус приступает к последующему заражению часто запускаемых пользователем приложений.*** Взято http://aborche.livejournal.com/1300.html
Несмотря на все принятые профилактические меры,всё равно переодически пытается всплыть первым делом вырубая SPIDer Guard.

:!: От себя добавлю:
1. Это не вирус, а сборка. Расчитано на то, что чем бы вы не лечили, все равно, все не вычистите. Так же, эта пакость блокирует доступ на проверку компа в онлайн, на антивирусных сервисах.
2. Если не хотите потратить кучу времени напрасно, снимите с компа на сд, всю важную инфу, и при переустановке windows, зафрагментируйте жесткий диск в ноль, предворительно сравняв все диски ( C,D итд. ) в неразмеченную область.
3. Не трогайте ваш диск с инфой, пока через некоторое время, не появится хорошее лекакрство от этой заразы. :!:
Последний раз редактировалось vektor Пн дек 21, 2009 22:31, всего редактировалось 1 раз.

dobs
HO Moderators
Сообщения:2504
Зарегистрирован:Вс апр 09, 2006 14:42
Откуда:/home/Ukraine/Kiev
Контактная информация:

#7 Сообщение dobs » Сб дек 19, 2009 19:46

А лучше переходите на Федору 12 я уже почти месяц сижу и все типа кул)

vektor
Сообщения:462
Зарегистрирован:Пт авг 07, 2009 14:31
Откуда:Украина
Контактная информация:

#8 Сообщение vektor » Вс дек 20, 2009 00:13

Ув. dobs, что насчет обзаводиться линуксовским софтом? :wink:

dobs
HO Moderators
Сообщения:2504
Зарегистрирован:Вс апр 09, 2006 14:42
Откуда:/home/Ukraine/Kiev
Контактная информация:

#9 Сообщение dobs » Вс дек 20, 2009 00:27

Ну например какого именно софта?
Ворд, текстовые редакторы есть, для графики GIMP или фотошоп онлайн http://pixlr.com/editor/?loc=ru

vektor
Сообщения:462
Зарегистрирован:Пт авг 07, 2009 14:31
Откуда:Украина
Контактная информация:

#10 Сообщение vektor » Вс дек 20, 2009 13:59

Ув. dobs, меня этот проект, крайне заинтересовал, по двум причинам:
1. Windows система хорошая, но постоянно "насилует" своих пользователей; причем по многим направлениям. К примеру своим регистрированием.
2. Мало того, что "насилует", дак еще и отслеживает, и собирает информацию. Многие знают, что винда постоянно и скрыто, соединяется через инет, со своими серверами, - зачем???

Но пересаживаться с виндузного софта, на линуксовый, это не пирожок скушать. Сначала постараюсь собрать побольше инфы по данному предмету, и если все нормально, приобрету софт. А тогда уже и пересядем.

dobs
HO Moderators
Сообщения:2504
Зарегистрирован:Вс апр 09, 2006 14:42
Откуда:/home/Ukraine/Kiev
Контактная информация:

#11 Сообщение dobs » Вс дек 20, 2009 18:33

Для начала лучше потестить на виртуалке...

П.С. Виртуал бокс не тянет Федору 12 так что надо ставить Вмваре

Tiger
HO Moderators
Сообщения:923
Зарегистрирован:Ср фев 13, 2008 20:04
Откуда:Юкрайна!

#12 Сообщение Tiger » Вс дек 20, 2009 19:01

Напевно, коли народ масово почне переходити на Лінукс, там теж схожі проблеми почнуть з'являтися...
Бізнес. Нічого особистого.
Але це ще не скоро буде. Проблема сумісності залишається актуальною...
Маємо ту владу, якої заслуговуємо.
Повернувшись з Інтернету додому, не забудьте помити руки!
=> Смайлики для форуму!

vektor
Сообщения:462
Зарегистрирован:Пт авг 07, 2009 14:31
Откуда:Украина
Контактная информация:

#13 Сообщение vektor » Вс дек 20, 2009 20:03

Ув. Tiger, думаю проблемы начнуться побольше, по этой же причине. Однако радует то, что в ближайшем, обозримом будущем, массового перехода, - не ожидается. Пока на раскладках, не появиться, в массовом количестве диски с софтом, где жирными буквами будет написано: "Для Linux"; никто особо не зашивелиться, ИМХО. :lol:

dobs
HO Moderators
Сообщения:2504
Зарегистрирован:Вс апр 09, 2006 14:42
Откуда:/home/Ukraine/Kiev
Контактная информация:

#14 Сообщение dobs » Вс дек 20, 2009 20:32

ИМХО на линь софт надо ток с нета качать а то как начнет просить зависимости то можно зат**хатся с ними...

Tiger
HO Moderators
Сообщения:923
Зарегистрирован:Ср фев 13, 2008 20:04
Откуда:Юкрайна!

#15 Сообщение Tiger » Вс дек 20, 2009 21:30

З тими вірусами, блін, хоч в Інтернет не заходь... Изображение
Маємо ту владу, якої заслуговуємо.
Повернувшись з Інтернету додому, не забудьте помити руки!
=> Смайлики для форуму!

Ответить