что это было? знатоки вирусов - подскажите pls

1
RSS
"Какую-то инфекцию сейчас я проглотил" (с)

Проявление:
1) блокировала запуск разнообразных антируткитов и антивирусов (avz, malvarebytes' и т.п.)
2) блокировала обновление антивирусов nod32 и drweb (каспера не проверял)
  обновлялка дрвеба просто не стартовала, а nod32 не просто показывал ошибку обновления, типа "нет связи"
3) блокировала доступ к части антивирусных сайтов (например drweb.com у меня загружался, но без картинок и стилей, eset.eu не грузился вообще - 501 ошибка, а esetnod32.ru загружался корректно весь)
4) почти наверняка: крала ftp-пароли с компа либо способствовала моментальному (через пару часов после использования нового пароля!) их утеканию

Не обнаружилось решительно ничем. В заражённой системе антивирусы практически не работали (дрвеба удалось "обновить" вручную, скачать новые базы с их ftp), при загрузке со всяких LiveCD и тому подобных _свежих_ сборок антивирусной направленности никакие тесты никакой заразы не обнаруживали.

Извините, но долго плясать с бубном мне было некогда, работа горела, и я без долгих умствований переставил винду. Пока все хорошо.

Но очень любопытно что же это могло быть.
Привязаться можно только к одному:
На всех ftp, куда я лазил, были отсканированы, слиты, пропатчены и залиты обратно все или почти все файлы .php, .html, .js, .inc. (один комплект я сохранил)

Во все .php вставлена в начало файла закладка
eval(base64_decode('aWYoIWZ1bmN0aW9uX2V4 ............
Я глянул -- там какой-то запутанный кусок похапе, да еще с синтасической ошибкой.

В хтмл отправился
script src=http://тут были разные адреса.php ></script>, причем почему-то между /head и body
В .js пошло то же самое, в виде document.write('<sc ript ...
Я постучался тулзой по этим адресам - ответ 0 байт. Уже прикрыли, быть может?

И что очень интересно - ftp не зафиксировал попыток обращения с неправильным паролем, хотя я их (пароли) пару раз поменял

Кому-нибудь из спецов эта штука знакома?
Посмотрите вот эту программу,
Universal Virus Sniffer, программа для обнаружения неизвестных вирусов.

http://soft.oszone.net/program/8729/Universal_Virus_Sniffer_uVS/
Цитата
morra

На будущее помогает вот эта утилита!
Изменено: zloyDi - 27.04.2010 14:13:49
Браузер блокирует передачу данных, осуществляемую вредоносным программным обеспечением
Устранить проблему может:

   * PcProtect 2010
   * ESET Nod32
   * Антивирус Касперского
   * Проверьте, установлено ли на Вашем компьютере антивирусное программное обеспечение
   * Обязательно устраните источник проблемы, так как данные, находящиеся на Вашем компьютере могут быть повреждены, и несанкционированно передаваться третьим

,,,,,,,,
что это подскажите!!!
в таком случае лучше снести винду,иначе тут заморочек ппц,и Почистить свой комп AVZ,NOD32

Цитата
Никита Егельский пишет:
в таком случае лучше снести винду,иначе тут заморочек ппц,и Почистить свой комп AVZ,NOD32
снос винды - путь ламеров. К тому же есть вирусы, где и переустановка не поможет. Всегда нужно бороться с заразой до последнего.
Цитата
ORION пишет:
снос винды - путь ламеров. К тому же есть вирусы, где и переустановка не поможет. Всегда нужно бороться с заразой до последнего.

Таки да, автору были даны рекомендации, но видимо он к ним не прислушался ...
Сносить винду не вариант ваще. я думал что это не вирус а какая нить нодовская служба, чношу нод такая же история. причем на некоторые сайты заходит
мне кажется вариант.После сноса винды просканировать ESET Sysrescue и все..

1
Читают тему (гостей: 3)