Jsredir как удалить с компьютера? cloud-script.ru

Jsredir как удалить с компьютера?

Как удалить вирус Troj/JSRedir-MN (по данным компании Sophos)?

Итак мы продолжаем разбирать случаи заражения сайтов вирусами и собственно удалять вирусы с сайтов.

Что было в предыдущих статьях:

Сегодня же мы поговорим о модификации вируса, рассмотренного в предыдущей статье — вирусе Troj/JSRedir-MN (по данным компании Sophos).

Данный вирус был обнаружен на сайте с CMS WordPress

Обнаружение

Как обычно, чаще всего мы узнаем о вирусах из Яндекс.Вебмастера. Вот что он нам сообщает:

содержит Troj/JSRedir-MN (по данным компании Sophos)

Поиск вируса на сайте

Вирус начинаем искать на сайте, путем просмотра всех используемых javascript — как и в прошлой версии данного вируса. Для этого лучше всего использовать плагин аналог FireBug. Для этого загружаем страницу сайта, далее кликаем ПКМ и выбираем пункт «Просмотр кода элемента».

Затем переходим во вкладку «Resources»->»Frames»->»Site.ru»->»Scripts».

Далее начинаем вручную просматривать все файлы на наличие подозрительных вставок. Чаще всего вставки бывают в начале или в конце файла.

После произведения данной операции под подозрение попал файл jquery.helper.js с некой вставкой:

На 13-й строчке вы можете видеть вредоносную вставку, которая ссылается на jameel.js

Далее начинаем распутывать всю цепочку.

Удаление вируса с сайта

1) Заходим на ftp и находим данный файл jameel.js.

В нем мы обнаруживаем зашифрованную ссылку на зараженный .swf с названием rosemarie.swf. Если его открыть, то мы видим что файл прогнали через криптор — программу, которая шифрует содержимое файла, чтобы его нельзя было так легко прочесть.

Также нужно обращать внимание на даты создания файлов, файлы вируса имеют свежую дату создания. И если же в это время вы на свой ftp ничего не заливали, соответственно с большой вероятностью эти файлы являются зараженными.

2) Удаляем файл jameel.js

3) Находим и удаляем rosemarie.swf

4) Далее заходим в исходный файл jquery.helper.js и удаляем из него 13-ю строчку

5) После всего этого можно отправлять сайт на повторную проверку в Яндекс.Вебмастер, а также на прочие онлайн-проверки на вирусы:

6) Как вы видите вирус удален. Яндекс обновит информацию во время ближайшего захода робота. Почему вирус был на сайте? Есть несколько вариантов его появления:

  • шаблон сайта был изначально заражен,
  • у вас старая версия движка или если даже не старая, то уязвимая
  • у вас украли доступы к хостингу

7) Рекомендации после удаления вируса:

  • Просканируйте сайт на наличие вредоносного кода и почистите его.
  • Обновите движок WordPress
  • Установите плагины для защиты от вирусов
  • Смените пароль от FTP и MYSQL
  • Просканируйте свой компьютер на вирусы

www.novichkoff.ru

Создай свой сайт!

Как обнаружить и удалить вирус JS:Redirector-MR [Trj] на сайте?

Недавно один мой сайт-сателлит подвергся вирусному заражению. Когда это произошло, я не знаю: не прикасался к нему очень давно – несколько месяцев. Это потом будет иметь определенное значение.

В статье рассмотрим вопросы:

  1. Заражение вирусом. Как это было
  2. Самые первые действия по предотвращению дальнейшего заражения
  3. Как на хостинге отключить доступ по FTP
  4. Определение типа вируса
  5. Поиск вируса JS:Redirector-MR [Trj] на сайте с помощью файлового менеджера
  6. Что сообщает Google о вирусе JS:Redirector-MR [Trj]?
  7. Как удалить вирус с сайта?
  8. Продолжаем удалять вирус в других темах (шаблонах)

1. Заражение вирусом. Как это было

Предыстория вопроса такова. Первым мне сообщила о заражении одна из бирж, куда я добавил свой сайт. Проверка мною этого сайта антивирусами ничего не показала (а их было более 40 шт!). Чуть позже Яндекс мне сообщил письмами по всем известным ему моим почтовым ящикам о заражении сайта, кроме того в Яндекс.Баре на Панели инструментов появился значок о заражении одного из сайтов вирусом:

Зашел в Яндекс.Вебмастер посмотреть, что за вирус такой, оказался — Troj/JSRedir-GS. Название вируса мне ни о чем не говорит, полез в «Помощь» Яндекса в раздел «Безопасность сайтов». Перешел на страницу «Вердикты» — а об этом вирусе ничего нет. Видимо, он или новый, или редкий. Позже я выяснил, что ему от роду уже несколько месяцев (с декабря 2011г.) и почему-то он особенно «любит» российские и бразильские сайты.

Практически сразу же начал беспокоиться антивирус Avast! , установленный в моем компьютере, но я невнимательно прочел его сообщение (это, как потом выяснилось, тоже важно). Но Avast! как-то странно повел себя: то он показывает вирус, то – нет. Причем обычно было так – при первом заходе вирус как бы есть, а при повторном заходе на эту страницу как бы его нет.

Кстати, из всех бесплатных антивирусов его определяет только Avast! Кто хочет скачать аваст бесплатно – перейдите по ссылке. Конечно, его можно скачать и на сайте разработчика.

2. Самые первые действия по предотвращению дальнейшего заражения

Я решил прежде всего обезопасить другие свои сайты. Поскольку с зараженным сайтом мне хочешь -не хочешь приходится сейчас довольно плотно общаться, то довольно велика вероятность, что произойдет заражение компьютера, а через него – других сайтов (через Ваш FTP- клиент).

Чтобы не допустить этого я сделал:

  • Удалил сохраненные пароли из FTP- клиента (увы, увы!)
  • Отключил на хостинге доступ с помощью FTP – клиента.
  • Все работы с сайтом стал проводить исключительно с помощью файлового менеджера хостинга.

3. Как на хостинге отключить доступ по FTP

Этот мой сайт располагается на хостинге jino.ru, поэтому все действия и будут показаны именно на его примере. На других хостингах должно быть все аналогично, если не разберетесь сами – обращайтесь к техподдержке.

Заходите в свой аккаунт и далее переходите во вкладку «FTP- аккаунты»:

Нам надо всего лишь сдвинуть ползунок в левое положение (как на скриншоте) и все, доступ закрыт. Правда теперь необходимо будет каждый раз, когда появляется желание поработать с FTP, надо предварительно переместить этот ползунок обратно и доступ снова будет открыт. Это можно обойти, если сделать специальный файл на сайте и прописать в нем IP адреса, с которых доступ разрешен. Но это тема отдельной статьи.

После этого я провел повторную проверку сайта и один из он-лайн сервисов показал, что вирус засел в одном из плагинов. Удалил плагин – антивирус успокоился. И я успокоился, а зря: перепроверка Яндекса показала, что вирус по-прежнему на сайте. – Видимо, это был тот самый момент когда вирус себя просто не проявлял и поэтому avast! его и не увидел.

Вывод: кавалерийская атака на вирус не удалась, придется перейти к долговременной осаде.

4. Определение типа вируса

Яндекс, как известно, обнаруживает антивирусы в сотрудничестве с sophos.com, пошел – там ничего, кроме призывов купить антивирус, — толком ничего нет. Или я не нашел. Порадовало одно – степень опасности этого вируса оценивается ими как низкая.

Погуглил. Совет был такой: снести зараженную тему (шаблон) и будет ОК. Так и сделал, вроде бы вируса не стало. Опять Яндекс этот сайт перепроверил и опять он показал, что вирус по-прежнему на сайте.

И вот тут-то я обратил внимание на то, что Avast! показывает совсем другой вирус — JS:Redirector-MR [Trj]. Я не знаю почему, но, кажется, один и тот же вирус обозначается по разному. Погуглил по этому вирусу, результатов в выдаче много, но они все несколько однообразные. Нет, там написано все правильно, но не до конца.

Смысл всех статей такой: вирус засел в файле functions.php (в самом низу файла), приведены скриншоты вируса и способы удаления. Сейчас я опишу то же самое, но применительно к файловому менеджеру хостинга.

Читать еще:  Dws что это за программа?

5. Поиск вируса JS:Redirector-MR [Trj] на сайте с помощью файлового менеджера

Чтобы на Вашем хостинге попасть в этот файл и отредактировать его, Вам надо зайти в нужный (зараженный) сайт, перейти в папку wp-content, далее выбрать установленную тему и уже в ней найти этот файл:

Вверху в прямоугольнике показан путь до темы (default).

У вас на хостинге картинка почти наверняка будет отличаться – у jino.ru самописная панель управления. Но принцип должен быть тот же самый. Кликаете на значок редактирования файла (карандаш), у Вас открывается страница с содержимым файла, смотрите в самом низу:

Все, что идет после красной вертикальной черты и есть вирус. Четверть дела сделано – вирус JS:Redirector-MR [Trj] мы нашли .

Почему я уверен, что это вирус?

Во-первых , об этом сообщали другие вебмастера.

Во-вторых , через три (!) дня проснулся Google и в Инструментах для веб-мастеров тоже сообщил о найденном вирусе. Хотя перед этим он не видел – я несколько раз заставлял его перепроверить мой сайт: всегда было одно и то же – «вредоносного кода не обнаружено». Тут вариантов два: (1) Google научился определять этот вирус самостоятельно или по подсказке других (предполагаемый путь Яндекс – Mozilla — Google) и это лучший для меня вариант или же (2) вирус потихоньку расползается по сайту и только теперь Google смог его найти – худший вариант.

В третьих, и это самое главное , я сравнил файлы functions.php на сайте и в заведомо чистом WordPress’е этой же версии: там этого кода нет (в WordPress’е потому, что рабочую тему я снес раньше и поиск вируса проводил на дефолтной теме, которая идет в составе самого WordPress’а).

6. Что сообщает Google о вирусе JS:Redirector-MR [Trj]?

У подавляющего большинства вебмастеров Google ничего не сообщат об обнаруженном вирусе, мне – сообщил. Видимо, после моих многочисленных команд «Проверить сайт». Google, хоть и обнаружил вирус позже, чем Яндекс, но дает вебмастеру гораздо больше информации.

Чтобы увидеть подробное сообщение Google о вирусе, заходите в Инструменты для веб-мастеров и в списке сайтов видите неприятное сообщение .Выглядит оно так :

Чтобы и у Вас раскрылось окно «Проверка состояния сайта» (на скриншоте в левом нижнем углу) необходимо кликнуть по одноименной ссылке (показана стрелкой). Чтобы увидеть какое именно вредоносное ПО обнаружено поисковиком, кликните по ссылке «Обнаружено ли вредоносное ПО?»

В столбце «Проблемные URL на сайте» будет показан перечень обнаруженных зараженных страниц. Напротив каждой обнаруженной зараженной страницы будет стоять ссылка «Сведения». Кликните по ней:

Вот этот код вируса (жаль, что Яндекс такой картинки не показывает – было бы намного легче.). Этот код надо удалить.

7. Как удалить вирус JS:Redirector-MR [Trj]?

Я предлагаю сделать это вручную, хотя можно и с помощью плагина Web Security Tools. Как это сделать, хорошо описано здесь .

Для ручного удаления вируса, следует выделить мышью весь вирус до самого конца:

И нажимаете клавишу «Delete». После этого надо нажать кнопку «Сохранить» (расположена ниже, на скриншоте не видно). Все, вирус почти удален. Почему почти? – Читаем дальше.

8. Продолжаем удалять вирус в других темах (шаблонах)

Сколько у Вас на сайте стоит шаблонов? Один-два установленных в WordPress по умолчанию и еще как минимум один – рабочий. И во всех этих темах сидит вирус! В том же самом файле functions.php.

Помните, в начале статьи я писал, что удалил с сайта рабочую тему? Посмотрите на скриншоты (например, на рис.5) там показано, что все действия я делал на дефолтном шаблоне. Он тоже оказался зараженным, как и все другие темы на этом сайте. Поэтому на своих сайтах откройте другие темы, проверьте и все сделайте как в первый раз.

Теперь Вы понимаете, почему я писал, что вирус JS:Redirector-MR [Trj] расползается по сайту.

Некоторые люди жалуются, что через некоторое время вирус на сайте появляется снова. Тут вариантов два.

Первый: вирус имеет несколько составляющих и одна из них контролирует наличие на сайте этого вредоносного кода. Как найти эту составляющую я пока не знаю, поэтому выделенный вирус отправил на исследование Касперскому, Dr.Web’у и Яндексу – пусть разбираются.

Второй: вирус сидит на сервере хостинга. Значит, надо бороться там и причем самим, на техподдержку хостинга здесь никакой надежды нет.

В любом случае полдела – обнаружили и удалили вирус JS:Redirector-MR [Trj] с сайта – мы сделали. Но это еще не все, нам предстоит еще кое-какая работа. Обо всех Ваших последующих действиях, в том числе и по предотвращению заражению сайтов, мы поговорим в другой статье.

Похожие записи по этой теме:

12 Responses to Как обнаружить и удалить вирус JS:Redirector-MR [Trj] на сайте?

когда я понял, что мой сайт заражен(по ссылке на мой сайт, начали попадать на другой, вредоносный сайт), я обратился к техподдержке Джино с просьбой обнаружить вирус, что они и сделали и прислали мне код вируса, указав, что он установлен в файле index.php причем мне сообщили, что удалять его бесполезно, так как у меня в аккаунте, скорей всего, существует оболочка php-shell и код может восстановится опять. Я начал проверять все файлы с расширением php и везде он присутствовал. Затем он обнаружился и в файлах с другим расширением, я восстановил сайты из бэкапа (а зараженными оказались еще и сайты на поддоменах, даже нерабочие), но доступ к сайту закрыл, так как не знаю, как обнаружить и удалить этот php-shell. Что посоветуете по этому поводу, учитывая то, что я полный чайник.

Рамиль, я тоже небольшой специалист. Посоветовать могу вот что: начало вируса вбейте в поиск и посмотрите на советы людей, которые с ним сталкивались.

Ой, забыла спросить. А чем плох метод удаления вируса через админку. Я именно так и удаляю. Он прекрасно виден в файле. Может чего-то не допонимаю? 🙂

Светлана, я рекомендую удалять с помощью файлового менеджера хостинга (а не с помощью FTP), потому что может произойти заражение Вашего компьютера. А в админку я попросту не мог попасть — меня туда FireFox категорически не пускал.

Спасибо. Тоже воюю с таким вирусом на двух сайтах — удалю, а через время они тут как тут. Но чистила тоже только рабочую тему. теперь и остальные почистила. будем надеяться, что на этом всё 🙂 Очень не хочется, чтобы был второй код.

Но вы обязательно напишите, пожалуйста, как получите ответы 🙂

Светлана, ответил пока только Яндекс, но в своем стиле: раз Вы предполагаете, что на сайте может быть вирус, значит, он там может быть. Вам (т.е. мне) надо все тщательно проверить.И все. Остальные пока молчат.

Спасибо, за подробную статью. Удалила вирус во всех установленных темах. Не разобралась с отключением доступа по FTR , т.к. у меня хостинг TIMEWEB.

Elena, если Вы хотите отключить доступ по FTP, но не знаете как это сделать, обратитесь к техподдержке — они Вам обьястнят. Не советую только просить их просто отключить: они-то отключат, но если Вам потом надо будет обратно включить, столкнетесь опять с этой же проблемой.

Читать еще:  0 dat процесс что это

Спасибо,понял хорошо что ничего не сделал кроме как не удалил коды с двух тем, но я не много не понял они могут находится кроме как в functions.php? и еще поставил на перепроверку как яндексом так и гуглом ,знаю что яндекс долго проверят а на счет гугла не сталкивался, сколько у Вас времени прошло? а то весь трафик ушел. Спасибо за статью ,у меня особо времени и я точно бы не знал, где точно он расположен и то что гугл это показывает тоже бы не знал.

alexandr, я тоже понятия не имею, где могут находиться еще куски вируса. И есть ли они вообще. Поэтому и отправил вирус в антивирусные лаборатории с моими комментариями.

Насчет времени. Google у меня перепроверял часов 5-6, а Яндекс — 4,5 дня.

Вот именно с такой проблемой я щас и сижу,нашел этот код. вот только не пойму как «снести зараженную тему» .

alexandr, как выяснилось, сносить зараженную тему никакого смысла нет. Надо во ВСЕХ темах, которые у Вас имеются на сайте (и активированные, и неактивированные) проверить и удалить код вируса. Возможно, вирус будет не до конца удален, по крайней мере, я так думаю, но тут я посоветовать ничего больше не могу.

Вирус с предложениями моей всемерной помощи я отправил в три антивирусные компании, надеюсь, что они или найдут еще кусок вируса, или успокоят меня сообщением, что ничего на сайте больше нет. О результатах их проверки я, конечно, напишу, так что Вы тоже узнаете. Чтобы не пропустить, можете подписаться на рассылку.

Выражение «снести зараженную тему» означает ее удаление с сайта.

Google и Яндекс вполне удовлетворены результатами моей работы, с сайта сняты все ограничения и предупреждения в выдаче. Так что можете делать все точно так, как написано, и у Вас тоже все будет хорошо. Завтра опубликую продолжение статьи.

Jsredir как удалить с компьютера

Итак мы продолжаем разбирать случаи заражения сайтов вирусами и собственно удалять вирусы с сайтов.

Что было в предыдущих статьях:

Сегодня же мы поговорим о модификации вируса, рассмотренного в предыдущей статье — вирусе Troj/JSRedir-MN (по данным компании Sophos).

Данный вирус был обнаружен на сайте с CMS WordPress

Обнаружение

Как обычно, чаще всего мы узнаем о вирусах из Яндекс.Вебмастера. Вот что он нам сообщает:

содержит Troj/JSRedir-MN (по данным компании Sophos)

Поиск вируса на сайте

Вирус начинаем искать на сайте, путем просмотра всех используемых javascript — как и в прошлой версии данного вируса. Для этого лучше всего использовать плагин аналог FireBug. Для этого загружаем страницу сайта, далее кликаем ПКМ и выбираем пункт «Просмотр кода элемента».

Затем переходим во вкладку «Resources»->»Frames»->»Site.ru»->»Scripts».

Далее начинаем вручную просматривать все файлы на наличие подозрительных вставок. Чаще всего вставки бывают в начале или в конце файла.

После произведения данной операции под подозрение попал файл jquery.helper.js с некой вставкой:

На 13-й строчке вы можете видеть вредоносную вставку, которая ссылается на jameel.js

Далее начинаем распутывать всю цепочку.

Удаление вируса с сайта

1) Заходим на ftp и находим данный файл jameel.js.

В нем мы обнаруживаем зашифрованную ссылку на зараженный .swf с названием rosemarie.swf. Если его открыть, то мы видим что файл прогнали через криптор — программу, которая шифрует содержимое файла, чтобы его нельзя было так легко прочесть.

Также нужно обращать внимание на даты создания файлов, файлы вируса имеют свежую дату создания. И если же в это время вы на свой ftp ничего не заливали, соответственно с большой вероятностью эти файлы являются зараженными.

2) Удаляем файл jameel.js

3) Находим и удаляем rosemarie.swf

4) Далее заходим в исходный файл jquery.helper.js и удаляем из него 13-ю строчку

5) После всего этого можно отправлять сайт на повторную проверку в Яндекс.Вебмастер, а также на прочие онлайн-проверки на вирусы:

6) Как вы видите вирус удален. Яндекс обновит информацию во время ближайшего захода робота. Почему вирус был на сайте? Есть несколько вариантов его появления:

  • шаблон сайта был изначально заражен,
  • у вас старая версия движка или если даже не старая, то уязвимая
  • у вас украли доступы к хостингу

7) Рекомендации после удаления вируса:

  • Просканируйте сайт на наличие вредоносного кода и почистите его.
  • Обновите движок WordPress
  • Установите плагины для защиты от вирусов
  • Смените пароль от FTP и MYSQL
  • Просканируйте свой компьютер на вирусы

+7 (495) 799-19-50

Как вылечить сайт от вируса Troj/JSRedir-MH

Вирус Troj/JSRedir-MH, как и большинство других вирусов, является результатом взлома сайта.

Если рассматривать конкретную модификацию Troj/JSRedir-MH, то чаще всего он встречается на сайтах под управлением CMS Joomla. Данный вирус легко вылечить самостоятельно, так как он является статичным, то есть вирусный фрагмент жестко прописан в файле .js.

Модификации вируса Troj/JSRedir-MH, с которыми нам приходилось работать, представляли собой вставку вида

в одном или нескольких .js файлов Joomla, в самом конце этих файлов. Данная вирусная вставка подгружала локальный .js файл, в котором находился вредоносный код.

В реальной жизни вирусная вставка выглядит так:

А сам вирус так:

Чтобы его найти, достаточно поискать по файлам фрагмент приведенного на скриншоте № 2 кода, а затем, когда найдется .js, выполнить поиск места, где этот .js подгружается (как на скриншоте № 1). Кстати, файл не обязательно будет называться stat.js.

Удалить нужно три вещи: сам вредоносный .js, код его подгрузки «document.write(. )» и.swf файл (он указан в .js коде вирусного файла).

После удаления вируса с сайта, нужно отправить сайт на перепроверку через панель вебмастера Яндекса в webmaster.yandex.ru

Вылеченный от вируса сайт обязательно проверьте утилитой AI-BOLIT //revisium.com/ai/, которая ищет бэкдоры и хакерские шеллы. Это поможет предотвратить повторное заражение сайта вирусами.

Если вы затрудняетесь самостоятельно выполнить поиск вирусов и лечение сайта, обращайтесь к нам в Revisium, мы сделаем это профессионально. Кроме простой очистки от вредоносных скриптов мы выполним аудит безопасности сайта и поставим надежную защиту от взлома.

«Гумбларизация» Google

Говорят, бэкдор Gumblar даже более опасен, чем известный Conficker. Здесь вы найдёте информацию об удалении Gumblar трояна.

Если вы подозреваете что ваш компьютер заражён этим трояном, сделайте следующее:

    Step 1. Найдите файл sqlsodbc.chm в системной папке Windows (по умолчанию C:WindowsSystem32).
    Step 2. Определите Sha1 (алгоритм хэширования) файла sqlsodbc.chm. Используйте бесплатные программы такие как FileAlyzer для определения SHA1.
    Step 3. Сравните полученный хэш Sha1 с этим списком, опубликованным Microsoft для борьбы с Gumblar
    Step 4. Если ваш SHA1 и размер файла не отличается от пары параметров из списка это может означать что вы действительно заражены.

Какие последствия заражения Gumblar можно ожидать?

  • Ваш компьютер становится не только носителем но и распространителем угрозы.
  • Если вы вебмастер и используете FTP клиент, Gumblar встроит свой код на все сайты управляемые с вашего компьютера.
  • Gumblar будет пытаться скачивать вредоносные программы и манипулировать результатами поиска Google в Internet Explorer. Т.е. после заражения Gumblar трояном вы не можете быть уверены в достоверности результатов поиска.

Быстрое унижтожение вируса Gumblar:

Идея 1. Вы можете использовать утилиту разработанную для удаления Gumblar – Программа для удаления Gumblar.

Идея 2. Скачать антивирусное обеспечение для обнаружения, удаления и защиты от Gumblar и многих других вредоносных элементов – True Sword.

Читать еще:  Kernel 32 dll ошибка как исправить?

Описание и принцип работы Gumblar

Gumblar заражает сайты получая доступ к ним через краденые пароли и логины FTP. Сайты затем заражают пользователей, заражение происходит при загрузке страницы в которую Gumblar встраивает свой скрипт. Это стало возможным «благодаря» обнаруженным дырам в защите Adobe PDF и Flash плейера, являющихся неотемлемыми элементами современных браузеров. Таким образом сайты и компьютеры заражались на протяжении 18 месяцев и теперь могут стать марионетками в руках хакеров.

Как только ваш компьютер заражается трояном, Gumblar пытается перенаправлять результаты поиска Google на спамные и фишинговые сайты.

Как результат число зараженных пользователей растёт по экспоненте. Пользователи заражаются сами, потом заражуются их сайт, которые заражают посетителей сайтов. А пользователь даже ничего не подозревает, поскольку никаких явных признаков заражения нет, никакие черные списки не помогут. Ведь зараженные сайты вполне легальны и их хозяева зачастую не подозревают о наличии скрипта Gumblar на страницах.

Сайт состоит из множества страниц и элементов — Gumblar добавляет лишь один. И этот след к тому же настолько мал что его очень сложно обнаружить вручную.

Хакеры постоянно меняют код Gumblar. Может вы уже удалили какой то известный вам элемент кода принадлежащий Gumblar, однако он мог успеть сгенерировать десяток неизвестных. Сейчас обнаружить и удалить Gumblar вручную практически не представляется возможным.

Ниже вы можете найти список SHA1 и размеров различных файлов. Наличие в списке таких же параметров как у файла sqlsodbc.chm на вашем компьютере может свидетельствовать о заражении

005AAD8912A62127A2F416AA9FD089000D24851A 97892
03C9CD0D8E90DD8754F8488A085359C818A28A90 97053
0DB4AB7E18991BF64139E7078249679098C85F2C 97758
17257DF49E03DAF2BA1FA286FBE2C14802ACCD2A 97176
1B10F5F97E2B7159C872B3576D72B4CF2AD2FFB5 49771
236F25115C31DBFEB11D9BF12B620266F46BA041 96647
2667D90C7B0CBCC212B8C9143C28C7AD5105BE49 97746
2803AD07C1C7A8908BBDB5F7AB32A19C9A724ECC 98124
2915AA45C3FAF60137402270F0C915C0F5CA2CD1 96945
2C73542A1598AEA03F7927ECF8F7156106037D67 96975
2D570F7E8CD9DFED179996AC40F7F7EF7AC99E93 95765
2EA3BAFD66A74ADC6B835F31BD4E4A228F666A5D 95739
309FF9840F53DFF406EC580063A9975224F626DE 97015
30AE3FF04C8D486A5BE77ACB0939B06AF626F17D 48693
328BB23CEF7816035E32B3BF28A9F9606B9FF255 96851
34F96E4305B6E28B966F15E9845748E44AF35762 97393
38A8E15E68D64670016E62D6D2150F812CD31298 97250
44A4B285C1B27FEB36E0E0C3D0081A63241AE6AF 97369
487AA6CDB994E1855B33C1F3B0BE522C36540E56 97216
540F94FA630BB64529F656C6EAA4F48A3F87756D 98700
5690D97E9F9E913431AA9453D0185F2665A713CC 97035
583C919DF623E4B8A7B3EFAD6D2E1C792B823D5D 98100
58BC35673C8B1F751CD0584A6914740B2F3DCAAE 96705
5A658A36EF43147CB3F1DBC4276EA82A239BF8FA 49345
5FBA738B9698AA61645CFFE3AD95192C4BACDC49 97260
61CBFAB7CB5AB27EED9193F225B77E2EF6BA7321 49648
62ABAB09DFD971A90C2030BE44778206991CE2D6 97268
6441922698A8CD80A2FC0AE15EFDAF0A0208F50B 96941
694BDB08101AD5C18BB5B3425EE01073320B8D8E 97667
6BE7E7A20D2AB835C78EB8F3759C304888B86BD4 97304
6DB4B4F065610CAE100FBDB850AFC9F16C76AB65 98753
6EAEBB4ADCB8B240571D447A1EE9B665F6C181D2 96827
752211F65B693C721E27785FCC6C74E9B71997E9 96903
7E98241E1B21361CC02DC88EB57C9BB9CF1F4239 49092
82B79C07941775B6072D97D5D033E45E8D3C6FDF 98469
87230AD4C2646376B819DDA4963DD2C49BC50D7A 46133
8FD4C3533D648A14C8183D6F3A3AFEF3D1CC75CE 97640
91BD59E2BB7B9ED95B1DF85B314EA8FF0B3B86FD 98074
9625698340941EB6D519A219396296E45FDCF7DB 36253
97586996280F2A61AE5193DB827C44300BF27FCD 96675
9811B4A14E3196AAC93DF7CE2F50C84030AA7D13 97232
9BA779EE746DCC5A44B30BDA6436E07997236E52 97146
9E1E2EDDA59BDE29226CAD2D5BDA5A954BFCA5DC 94792
9F7658F361D9F1398DD90707EDE01F0032991946 48475
A09564B76C13C8470A44509A17B4B6023295A361 98770
A310EF2F35A8670F6C4B7872073F94764C23FA08 48095
A3E367F7F30A9BF9064DEFBF94C36F4EB7CA4C0A 95800
ABB417B6F06F8C18F92DCD62D9BC9F2284F468E9 97740
B194BB244FF0FD101DCDA79CD8FFC8D33C392D13 94808
C6CD44574CC0F5BAC24DE85B0933A132B3A0D684 50004
C97875A6819A3F675ABE42C8BB870E191102C94C 98724
C98D1FF5D9E1D8366CF130899BC210EBE54E77F8 98955
CA58E7CA1EE50FB8EB7428064DFE84381EEDB453 95771
CD3B8E1C9C1096C635AA7B37D545C9B0CA241F70 101112
CF2DA46516BE3FC6312C2F05DF33C6A05F8562D7 48343
D6ED920D3D0ACEB52930A753256A21D43AE1899E 97087
D7E22080BF67CA6AE29BB12A51E865C22DDA48F7 101136
DA27CBA986161938C5086BB5C94FBBAB523B1F37 97791
DF025689B1E2E3C813969828AF26573BA4E2F23A 98800
E42C0D9D4669D41F8AB45F31F12B405489F39AFD 95808
E5EDDC4EF26EED5A64E4B4C509F01E224238D3C6 48401
E634C31114AE87D026812748E791402D69C6D996 97949
E667F70144423A645C6BC67CE01424F720594320 95909
E79A39606A2067120AEF63431F2C073B4B9298DC 97200
E9B9F0A53ED36C9464E4C4C154878742F1CA6EC6 96965
EAF20A3BC180FFE0AD59FF7AC786A5FC27DB0C3B 97662
EB60EEFA1AD57FA27E661032329AD9AF5FD243DA 97033
ED9E18A7E5EE245B77CFB4FC560013849072C943 96927
EF7A63AC6A45FA3BD6DD7390CA60462F61A6FCB2 47721
F3AF84FA7D5536E54F6A5357F3AC5AEDFA7EE52A 49249
FA0E76E509A8DF67B36B20BCBD0F6E4406DF32BA 100493
FAEFB399B9FFEBA156D31E2A0DE4195793300343 98052
FBDD32ED13D27E4102621E1067FDF3634F33B2C3 50727
FBFFF74687F608887E277068ED0390BD04CCF506 98977
FEDDBA02158D0425E5895439663C0481CA3911E6 94850

Избавтесь Gumblar прямо сейчас:

Шаг 1. Если вы не доволтьны вашим антивирусом который пропустил атаку Gumblar на ваш компьюте True Sword — программа для вас. Скачайте True Sword сейчас! для обеспечения наилучшей защиты вашего компьютера.
Шаг 2. Быстрое и легкое решение — программа специально разработанная для борьбы с трояном Gumblar – скачайте Gumblar Fast Heal здесь.

Не забывайте – если ваша проблема с Gumblar не исчезнет, мы вернём деньги.

Утилита для удаления трояна Gumblar

«Гумбларизация» Google

Говорят, бэкдор Gumblar даже более опасен, чем известный Conficker. Здесь вы найдёте информацию об удалении Gumblar трояна.

Если вы подозреваете что ваш компьютер заражён этим трояном, сделайте следующее:

    Step 1. Найдите файл sqlsodbc.chm в системной папке Windows (по умолчанию C:WindowsSystem32).
    Step 2. Определите Sha1 (алгоритм хэширования) файла sqlsodbc.chm. Используйте бесплатные программы такие как FileAlyzer для определения SHA1.
    Step 3. Сравните полученный хэш Sha1 с этим списком, опубликованным Microsoft для борьбы с Gumblar
    Step 4. Если ваш SHA1 и размер файла не отличается от пары параметров из списка это может означать что вы действительно заражены.

Какие последствия заражения Gumblar можно ожидать?

  • Ваш компьютер становится не только носителем но и распространителем угрозы.
  • Если вы вебмастер и используете FTP клиент, Gumblar встроит свой код на все сайты управляемые с вашего компьютера.
  • Gumblar будет пытаться скачивать вредоносные программы и манипулировать результатами поиска Google в Internet Explorer. Т.е. после заражения Gumblar трояном вы не можете быть уверены в достоверности результатов поиска.

Быстрое унижтожение вируса Gumblar:

Идея 1. Вы можете использовать утилиту разработанную для удаления Gumblar – Программа для удаления Gumblar.

Идея 2. Скачать антивирусное обеспечение для обнаружения, удаления и защиты от Gumblar и многих других вредоносных элементов – True Sword.

Описание и принцип работы Gumblar

Gumblar заражает сайты получая доступ к ним через краденые пароли и логины FTP. Сайты затем заражают пользователей, заражение происходит при загрузке страницы в которую Gumblar встраивает свой скрипт. Это стало возможным «благодаря» обнаруженным дырам в защите Adobe PDF и Flash плейера, являющихся неотемлемыми элементами современных браузеров. Таким образом сайты и компьютеры заражались на протяжении 18 месяцев и теперь могут стать марионетками в руках хакеров.

Как только ваш компьютер заражается трояном, Gumblar пытается перенаправлять результаты поиска Google на спамные и фишинговые сайты.

Как результат число зараженных пользователей растёт по экспоненте. Пользователи заражаются сами, потом заражуются их сайт, которые заражают посетителей сайтов. А пользователь даже ничего не подозревает, поскольку никаких явных признаков заражения нет, никакие черные списки не помогут. Ведь зараженные сайты вполне легальны и их хозяева зачастую не подозревают о наличии скрипта Gumblar на страницах.

Сайт состоит из множества страниц и элементов — Gumblar добавляет лишь один. И этот след к тому же настолько мал что его очень сложно обнаружить вручную.

Хакеры постоянно меняют код Gumblar. Может вы уже удалили какой то известный вам элемент кода принадлежащий Gumblar, однако он мог успеть сгенерировать десяток неизвестных. Сейчас обнаружить и удалить Gumblar вручную практически не представляется возможным.

Ниже вы можете найти список SHA1 и размеров различных файлов. Наличие в списке таких же параметров как у файла sqlsodbc.chm на вашем компьютере может свидетельствовать о заражении

005AAD8912A62127A2F416AA9FD089000D24851A 97892
03C9CD0D8E90DD8754F8488A085359C818A28A90 97053
0DB4AB7E18991BF64139E7078249679098C85F2C 97758
17257DF49E03DAF2BA1FA286FBE2C14802ACCD2A 97176
1B10F5F97E2B7159C872B3576D72B4CF2AD2FFB5 49771
236F25115C31DBFEB11D9BF12B620266F46BA041 96647
2667D90C7B0CBCC212B8C9143C28C7AD5105BE49 97746
2803AD07C1C7A8908BBDB5F7AB32A19C9A724ECC 98124
2915AA45C3FAF60137402270F0C915C0F5CA2CD1 96945
2C73542A1598AEA03F7927ECF8F7156106037D67 96975
2D570F7E8CD9DFED179996AC40F7F7EF7AC99E93 95765
2EA3BAFD66A74ADC6B835F31BD4E4A228F666A5D 95739
309FF9840F53DFF406EC580063A9975224F626DE 97015
30AE3FF04C8D486A5BE77ACB0939B06AF626F17D 48693
328BB23CEF7816035E32B3BF28A9F9606B9FF255 96851
34F96E4305B6E28B966F15E9845748E44AF35762 97393
38A8E15E68D64670016E62D6D2150F812CD31298 97250
44A4B285C1B27FEB36E0E0C3D0081A63241AE6AF 97369
487AA6CDB994E1855B33C1F3B0BE522C36540E56 97216
540F94FA630BB64529F656C6EAA4F48A3F87756D 98700
5690D97E9F9E913431AA9453D0185F2665A713CC 97035
583C919DF623E4B8A7B3EFAD6D2E1C792B823D5D 98100
58BC35673C8B1F751CD0584A6914740B2F3DCAAE 96705
5A658A36EF43147CB3F1DBC4276EA82A239BF8FA 49345
5FBA738B9698AA61645CFFE3AD95192C4BACDC49 97260
61CBFAB7CB5AB27EED9193F225B77E2EF6BA7321 49648
62ABAB09DFD971A90C2030BE44778206991CE2D6 97268
6441922698A8CD80A2FC0AE15EFDAF0A0208F50B 96941
694BDB08101AD5C18BB5B3425EE01073320B8D8E 97667
6BE7E7A20D2AB835C78EB8F3759C304888B86BD4 97304
6DB4B4F065610CAE100FBDB850AFC9F16C76AB65 98753
6EAEBB4ADCB8B240571D447A1EE9B665F6C181D2 96827
752211F65B693C721E27785FCC6C74E9B71997E9 96903
7E98241E1B21361CC02DC88EB57C9BB9CF1F4239 49092
82B79C07941775B6072D97D5D033E45E8D3C6FDF 98469
87230AD4C2646376B819DDA4963DD2C49BC50D7A 46133
8FD4C3533D648A14C8183D6F3A3AFEF3D1CC75CE 97640
91BD59E2BB7B9ED95B1DF85B314EA8FF0B3B86FD 98074
9625698340941EB6D519A219396296E45FDCF7DB 36253
97586996280F2A61AE5193DB827C44300BF27FCD 96675
9811B4A14E3196AAC93DF7CE2F50C84030AA7D13 97232
9BA779EE746DCC5A44B30BDA6436E07997236E52 97146
9E1E2EDDA59BDE29226CAD2D5BDA5A954BFCA5DC 94792
9F7658F361D9F1398DD90707EDE01F0032991946 48475
A09564B76C13C8470A44509A17B4B6023295A361 98770
A310EF2F35A8670F6C4B7872073F94764C23FA08 48095
A3E367F7F30A9BF9064DEFBF94C36F4EB7CA4C0A 95800
ABB417B6F06F8C18F92DCD62D9BC9F2284F468E9 97740
B194BB244FF0FD101DCDA79CD8FFC8D33C392D13 94808
C6CD44574CC0F5BAC24DE85B0933A132B3A0D684 50004
C97875A6819A3F675ABE42C8BB870E191102C94C 98724
C98D1FF5D9E1D8366CF130899BC210EBE54E77F8 98955
CA58E7CA1EE50FB8EB7428064DFE84381EEDB453 95771
CD3B8E1C9C1096C635AA7B37D545C9B0CA241F70 101112
CF2DA46516BE3FC6312C2F05DF33C6A05F8562D7 48343
D6ED920D3D0ACEB52930A753256A21D43AE1899E 97087
D7E22080BF67CA6AE29BB12A51E865C22DDA48F7 101136
DA27CBA986161938C5086BB5C94FBBAB523B1F37 97791
DF025689B1E2E3C813969828AF26573BA4E2F23A 98800
E42C0D9D4669D41F8AB45F31F12B405489F39AFD 95808
E5EDDC4EF26EED5A64E4B4C509F01E224238D3C6 48401
E634C31114AE87D026812748E791402D69C6D996 97949
E667F70144423A645C6BC67CE01424F720594320 95909
E79A39606A2067120AEF63431F2C073B4B9298DC 97200
E9B9F0A53ED36C9464E4C4C154878742F1CA6EC6 96965
EAF20A3BC180FFE0AD59FF7AC786A5FC27DB0C3B 97662
EB60EEFA1AD57FA27E661032329AD9AF5FD243DA 97033
ED9E18A7E5EE245B77CFB4FC560013849072C943 96927
EF7A63AC6A45FA3BD6DD7390CA60462F61A6FCB2 47721
F3AF84FA7D5536E54F6A5357F3AC5AEDFA7EE52A 49249
FA0E76E509A8DF67B36B20BCBD0F6E4406DF32BA 100493
FAEFB399B9FFEBA156D31E2A0DE4195793300343 98052
FBDD32ED13D27E4102621E1067FDF3634F33B2C3 50727
FBFFF74687F608887E277068ED0390BD04CCF506 98977
FEDDBA02158D0425E5895439663C0481CA3911E6 94850

Избавтесь Gumblar прямо сейчас:

Шаг 1. Если вы не доволтьны вашим антивирусом который пропустил атаку Gumblar на ваш компьюте True Sword — программа для вас. Скачайте True Sword сейчас! для обеспечения наилучшей защиты вашего компьютера.
Шаг 2. Быстрое и легкое решение — программа специально разработанная для борьбы с трояном Gumblar – скачайте Gumblar Fast Heal здесь.

Не забывайте – если ваша проблема с Gumblar не исчезнет, мы вернём деньги.

Ссылка на основную публикацию
Adblock
detector