Как вылечить зараженные файлы

Компьютерная помощь на расстоянии!

Список лечащих утилит со ссылками на скачивание. Это не антивирусы работающие постоянно, это утилиты для лечения уже зараженных компьютеров! Запустил утилиту – полечил.

С помощью утилиты Dr.Web CureIt! ® без установки Dr.Web в системе Вы можете быстро проверить Ваш компьютер и, в случае обнаружения вредоносных объектов, вылечить его.

С помощью утилиты Kaspersky Virus Removal Tool без установки Антивируса Касперского в системе Вы можете быстро проверить Ваш компьютер и, в случае обнаружения вредоносных объектов, вылечить его.

Антивирусная утилита AVZ предназначена для обнаружения и удаления:

SpyWare и AdWare модулей – это основное назначение утилиты
Dialer (Trojan.Dialer)
Троянских программ
BackDoor модулей
Сетевых и почтовых червей
TrojanSpy, TrojanDownloader, TrojanDropper

Утилита является прямым аналогом программ TrojanHunter и LavaSoft Ad-aware 6. Первичной задачей программы является удаление SpyWare и троянских программ.

https://z-oleg.com/secur/avz/download.php

Дополнение к “Восстановления системы” от AVZ

Если ваш сайт взломали — не паникуйте.

В этой статье вы узнаете 2 способа вручную очистить сайт от вредоносного кода, бэкдоров и спама, и 1 способ с помощью плагина.

В первом способе вы Экспортируете базу данных и несколько файлов. После этого вы переустановите Вордпресс, Импортируете базу данных обратно и импортируете несколько настроек из сохраненных файлов.

Во втором способе вы удалите часть файлов и попробуете найти внедренный код при помощи команд в SSH терминале.

В третьем способе вы установите плагин.

Убедитесь, что сайт взломан

Если вы думаете, что сай взломан, убедитесь, что это действительно так. Иногда сайт может вести себя странно или вы можете думать, что сайт взломали.

Ваш сайт взломан, если:

• Вы видите появляющийся спам на вашем сайте в хедере или футере, который рекламирует казино, кошельки, нелегальные сервисы и так далее. Такое объявление может быть незаметным для посетителей, но заметным для поисковых систем, например, темный текст на темном фоне.
• Вы делаете запрос site:ваш-сайт.ru в Яндексе или Гугле, и видите на страницах сайта контент, который вы не добавляли.
• Ваши посетители говорят вам, что их перенаправляет на другие сайты. Эти редиректы могут быть настроены так, что они не работают с администратором сайта, но работают для обычных пользователей и видны поисковым системам.
• Вы получили сообщение от хостинг провайдера о том, что ваш сайт делает что-то вредоносное или спамит. Например, что ваш сайт рассылает спам, или в интернет-спаме присутствует ссылка на ваш сайт. Хакеры рассылают спам, в том числе с зараженных сайтов, и используют зараженные сайты для перенаправления пользователей на свои сайты. Они так делают, потому что хотят избежать спам-фильтров, чтобы их сайты не попали под санкции поисковых систем. Когда зараженный сайт попадает в спам-фильтры, хакеры оставляют его и пользуются другими.

• Другие признаки в чек-листе по взлому сайта

Сделайте бэкап

После того, как вы убедились, что сайт взломан, сделайте бэкап всего сайта с помощью плагина, бэкап приложения на хостинге или по FTP.

Некоторые хостинг провайдеры могут удалить сайт, если вы скажете им, что сайт взломан, или если хостинг провайдер сам определит это. Владельцы хостинга могут удалить сайт, чтобы не заразились другие сайты.

Также сделайте бэкап базы данных. Если что-то пойдет не так, вы всегда можете вернуться ко взломанной версии сайта, и начать все сначала. Бэкап базы данных.

Если ваши логи событий хранятся не в папке сайта, то скопируйте логи, так как обычно они хранятся на хостинге несколько дней, после чего автоматически удаляются.

Что можно безопасно удалить с любого взломанного сайта

• Обычно можно удалить все содержимое папки wp-content/plugins/ . Вы не потеряете никакие данные и это не разрушит сайт. Позже Вордпресс определит, что вы удалили плагины, и отключит их. Не удаляйте только отдельные файлы, удаляйте папки с плагинами целиком. Некоторые плагины создают свои папки и файлы не только в папке /plugins , но и в других. Например, W3TC удаляется так. Некоторые файлы кеша W3TC определяются некоторыми сканерами как подозрительный или вредоносный код. Удалите все папки и файлы плагинов, чтобы не было ложных срабатываний.
• Оставьте только одну тему в папке wp-content/themes/ , все остальные папки с темами можно удалить. Если вы пользуетесь дочерней темой, то оставьте 2 папки, — с родительской и с дочерней темой.
• В папки wp-admin и wp-includes очень редко добавляются новые файлы. Если вы видите в них что-то новое, скорее всего, это добавил хакер.
• Удалите старые копии или бэкапы сайта из подпапок сайта. Обычно что-нибудь вроде /old или /backup . Хакер мог попасть в старую версию сайта, и оттуда проникнуть в основную версию сайта. Если ваш сайт взломали, проверьте эти папки на наличие вредоносного ПО, часто старые версии сайта заражены вирусами.

Как очистить Вордпресс сайт от заражения. Способ 1

1. Сделайте полный бэкап сайта и базы данных, и сохраните их на компьютер.
2. Скачайте на компьютер файл wp-config.phpиз корневой папки сайта, папку /wp-content/uploads и папку с активной темой. Перед копированием темы обновите ее до последней версии. Если вы пользуетесь дочерней темой, то скопируйте обе папки.
3. Полностью удалите сайт и базу данных с сервера.
4. Установите свежую копию Вордпресс, используйте новые сложные логин и пароль.
5. Перенесите настройки связи с базой данных из сохраненного файла wp-config.php в новый из этой части файла:

Как найти вредоносный код и вылечить сайт. Способ 2

Если у вас есть SSH доступ к серверу, вы можете использовать эти команды, чтобы проверить, какие файлы изменялись за последние X дней. Этот запрос покажет все измененные файлы в запрошенном интервале времени во всех папках и подпапках сайта (чтобы узнать, какие это папки, наберите pwd в SSH терминале):

Если вы хотите найти измененные файлы в определенной папке, используйте этот запрос:

Замените /путь/к/вашему/сайту/папка/ на путь к вашей папке.

Если вы хотите изменить интервал до 10 дней, сделайте такой запрос:

Не забудьте заменить /путь/к/вашему/сайту/папка/ на путь к нужной папке.

Сделайте такой поиск, начните с 2-х дней и постепенно увеличивайте количество дней, пока не увидите изменения в файлах. Не забывайте, что обновления ПО — тоже изменения в файлах. После того, как вы нашли зараженный файл, его можно вылечить или заменить на оригинальный. Это очень простой и эффективный способ найти зараженные файлы, который используется всеми сервисами по лечению сайтов.

Еще одна полезная команда в SSH — «grep». Чтобы найти файл, который содержит какое-нибудь сочетание, например, «base64», которое часто используется хакерами, используйте эту команду:

Эта команда покажет список файлов, в которых встречается сочетание base64 .
Вы можете убрать «l» из запроса, чтобы увидеть содержание файлов, в которых встречается это сочетание.

Хакеры часто используют эти функции:

• base64
• str_rot13
• gzuncompress
• eval
• exec
• create_function
• system
• assert
• stripslashes
• preg_replace (/e/)
• move_uploaded_file

Эти функции могут использоваться и в оригинальных файлах тем или плагинов, но в большинстве случаев это хак. Перед тем, как что-нибудь удалить, убедитесь, что вы не удаляете здоровый код или файл.

Более аккуратный запрос может быть таким:

Результат этого запроса показывает номера строк, в которых содержится сочетание «base64_decode», в тех файлах, которые заканчиваются на .php.

Попробуйте использовать команду grep в комбинации с командой find . Вам нужно найти файлы, которые были недавно изменены, выяснить, что было изменено, и если вы нашли какое-то повторяющееся сочетание, например, «base64_decode» или «hacker was here», с помощью команды grep попробуйте найти это сочетание в других файлах:

Эта команда покажет все файлы, в которых встречается фраза hacker was here .

Хакеры часто внедряют код в папку /uploads . Этот код поможет вам найти все файлы в папке uploads, которые не являются изображениями. Результат сохраняется в файле “uploads-not-pictures.log” в текущей папке.

Использование запросов find и grep поможет вам очистить сайт от заразы.

Как найти вредоносный код и вылечить сайт спомощью плагина. Способ 3

Зайдите в Scan Settings, Зарегистрируйтесь в правом окне Updates & Registrations и нажмите Run Complete Scan.

Сервисы, на которых вы можете проверить сайт на наличие вредоносного ПО

• Unmask Parasites — довольно простой сервис для проверки сайта. Первый шаг, чтобы определить, был ли сайт взломан.
• Sucuri Site Check — хороший сервис для поиска заражений на сайте. Кроме сканера показывает, внесен ли сайт в списки вредоносных сайтов. На данный момент 9 списков.
• Norton Safe Web – сканер сайта от Norton.
• Quttera – сканирует сайт на наличие вредоносного ПО.
• 2ip — проверяет на вирусы и включение в черные списки Яндекса и Гугла.
• VirusTotal – крутейший сервис для сканирования сайтов, использует более 50 разных сканеров — Касперского, Dr.Web, ESET, Yandex Safebrowsing и других. Можно просканировать сайт, IP адрес или файл.
• Web Inspector – еще один хороший сервис, проверяет сайт на наличие червей, троянов, бэкдоров, вирусов, фишинга, вредоносного и подозрительного ПО и так далее. В течение пары минут генерирует довольно детальный отчет.
• Malware Removal – сканирует сайт на наличие вредоносного ПО, вирусов, внедренных скриптов и так далее.
• Scan My Server – сканирует сайт на вредоносный софт, SQL внедрения, XSS и так далее. Для использования требуется бесплатная регистрация. Довольно детальные отчеты приходят на е-мейл раз в неделю.

Что делать с зараженными файлами

В зависимости от того, что вы нашли, вы можете удалить файл целиком или только ту часть, которую добавил хакер.

• Если вы нашли файл бэкдора, в котором находится только вредоносный скрипт — удалите весь файл.
• Вы нашли вредоносный код в файле Вордпресс, темы или плагина — удалите весь файл, и замените на оригинальный с официальной страницы.
• Вы нашли вредоносный код в файле, который вы или кто-то создал вручную — удалите вредоносный код и сохраните файл.
• Возможно, у вас в бэкапе есть незараженная версия сайта, вы можете восстановить сайт из старой версии. После восстановления обновите Вордпресс, плагины и тему, смените пароль и установите плагин безопасности.
• Если ничего не помогло — обратитесь к профессионалам в платный сервис.

После очистки сайта Гугл Хром продолжает показывать предупреждение о том, что сайт опасен и содержит вредоносное ПО. Что делать?

Вам нужно удалить свой сайт из списка зараженных сайтов Гугл.

1. Зайдите в Инструменты вебмастера Гугл
2. Добавьте свой сайт, если вы его еще не добавили
3. Подтвердите владение сайтом
4. На главной странице вашего аккаунта Инструментов вебмастера Гугл выберите ваш сайт
5. Кликните Проблемы безопасности
6. Нажмите Запросить проверку

Посетители сайта получают предупреждения от файрволов и антивирусов. Что делать?

Аналогично со списком зараженных сайтов Гугл, нужно удалить сайт из списков всех антивирусов: Касперского, ESET32, Avira и так далее. Зайдите на сайт каждого производителя и найдите инструкции по удалению своего сайта из списка опасных сайтов. Обычно это называется whitelisting. Наберите в поисковике eset whitelist website, avira site removal, mcafee false positive, это поможет вам найти нужную страницу на этих сайтах, чтобы исключить свой сайт из списка сайтов, содержащих вредоносное ПО.

Как узнать, что мой сайт находится в списке опасных сайтов, содержащих вредоносное ПО?

Пройдите по этой ссылке, замените ваш-сайт.ru на ваш адрес:

Там же вы можете проверить субдомены вашего сайта, если они есть. На этой странице вы найдете детальную информацию о вашем сайте, находится ли он в списках malware или phishing сайтов, и что делать, если содержится.

Что делать, чтобы сайт не заразился снова?

• Регулярно обновляйте версию Вордпресс, тем и плагинов по мере выхода новых версий.
• Используйте сложные логины и пароли. Рекомендация для пароля: пароль должен быть не менее 12 символов, содержать заглавные и строчные буквы, цифры и символы.
• Выбирайте темы и плагины от проверенных авторов.
• Используйте надежный хостинг. По возможности используйте выделенный сервер.
• Установите какой-нибудь плагин безопасности.
• Настройте автоматический бэкап всех файлов и базы данных.
• Удалите все старые версии сайта с сервера.

Читайте также:

Надеюсь, статья была полезна. Оставляйте комментарии.

Опции темы

Как лечить файловый вирус?

Перед выполнением лечения в любом случае необходимо:
— Отключить восстановление системы, как написано в правилах.
— Если компьютер подключен к локальной сети, то на время лечения отключить его.

В настоящее время эффективны две стратегии лечения файловых вирусов:

1) Скачайте на здоровом компьютере утилиту от DrWeb — CureIT! Разархивируйте и запишите её на CD или DVD (ни в коем случае не записывайте на флэшку! активный вирус повредит утилиту ещё до запуска!). Сделайте полную проверку «больного» в режиме Safe Mode, затем в нормальном.

Этот способ может не помочь, если антивирус DrWeb не знает модификацию вируса, заразившего Ваш компьютер. Если это так, отправьте несколько зараженных файлов в вирусную лабораторию Dr. Web. В течении суток CureIT! «научится» лечить вирус, правда утилиту придется скачать заново на «чистом» компьютере.

2) Второй способ предполагает наличие здорового компьютера с установленным антивирусом Касперского или Dr. Web. Именно эти антивирусы делают упор на сигнатурный детект, который необходим в лечении классических вирусов. Антивирусные базы должны быть самыми свежими. Достаньте жесткий диск «зараженного» компьютера и подключите к «здоровому». Запустите полную проверку антивирусом. По окончании проверкилечения верните диск на место.

Данный способ также не гарантирует успеха, если антивирус не знает вирус. Кроме того его нельзя применять если один из компьютеров находится на гарантии или у Вас нет соответствующих навыков перестановки жесткого диска.

Ни один из вышеперечисленных способов не гарантирует 100% восстановления поврежденных файлов и их работоспособности. Если поврежденные данные для Вас очень ценны, рекомендуем обратится в сервисный центр.

Последний раз редактировалось Rene-gad; 10.09.2008 в 08:57 .

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

Еще одна довольно эффективная методика: это использование LiveCD, собранного специально для очистки компьютера от вредоносных программ, которых обычными средствами проблематично уничтожить.

В нашем случае (заражении файловым вирусом) необходимо использовать Dr.Web LiveCD, позволяет восстановить работоспособность системы, пораженной действиями вредоносных программ. Эта сборка LiveCD не только очистит компьютер от инфицированных и подозрительных файлов, но и попытается вылечить зараженные объекты.

В состав сборки Dr.Web LiveCD входят следующие приложения:
1. Сканер Dr.Web® для Linux;
2. Браузер Firefox;
3. Файловый менеджер Midnight Commander;
4. Терминал для работы с командной строкой непосредственно перед из-под графической оболочки;
5. Текстовый редактор Leafpad.
Более подробная информация находится в документации. Удачного лечения.

Последний раз редактировалось Bratez; 19.01.2011 в 12:46 .

Лечение файлового вируса с помощью VBA32

1. Если Вы еще не скачали Live CD Vba32 Rescue, то скачайте его по следующим ссылкам:

2. Запишите образ на болванку.

3. Выставите в BIOS загрузку с CD/DVD-носителя, вставьте диск в привод и загрузитесь с него.

4. Выберите режим vba32rescue, разрешение монитора и дождитесь появления окна навигации.

5. В меню выбора языка выберите Русский.

6. В главном меню нажмите Начать сканирование.

7. После завершения сканирования и загрузки в основную операционную систему, на системном разделе найдите директорию VbaRescue. Данная директория содержит файл-отчет vba32.rpt и файловый карантин. Файл отчета заархивируйте в zip-архив и прикрепите его к сообщению в Вашей теме.

Есть еще один вариант, но он более сложный и потребует еще одну машину.

1. Вам нужно скачать файл Vba32Check.exe (порядка 55 Mb.) по следующим ссылкам:

2. Разархивировать его на диск.

3. Папку Vba32Check записать на болванку. Все это нужно сделать на чистой машине, чтобы не заразились файлы.

4. Вставить болванку в CD/DVD-носитель зараженной машины и запустить с нее bat-файл vba32cdrun.bat.

5. По окончанию проверки файл отчета vba32.rpt, заархивировать в zip-архив и прикрепить его к сообщению в Вашей теме.

Последний раз редактировалось Aleksandra; 19.06.2011 в 22:04 .

В ряде случаев активный вирус так прописывает себя в системе, что его удаление весьма затруднительно. В этих случаях целесообразно использование загрузки с LiveCD — специальных загрузочных дисков, содержащих антивирус. Таким образом заражённая система неактивна, а значит неактивна и инфекция, а потому удалить её становится значительно проще.

На данный момент наиболее популярны два LiveCD: от DrWeb и от Лаборатории Касперского.

Для того, чтобы воспользоваться этими дисками, Вам необходимо скачать по одной из приведённых выше ссылок файл с расширением .iso на заведомо незаражённом компьютере. Этот файл — образ диска, его можно записать на любой пустой CD-R или CD-RW носитель. Использовать для этого можно самые различные программы, однако учтите, что файл нужно записывать именно как образ, а не просто поместить его на диск. Как записывать iso-образы указано в документации к программе для записи дисков, которую Вы собираетесь использовать.

После этого полученный диск вставьте в заражённый компьютер, убедитесь, что в настройках BIOS указано, что с CD-ROM нужно грузиться раньше, чем с HDD, после чего перезагрузите систему. Произойдёт загрузка с LiveCD в результате которой Вы сможете провести лечение заражённой системы автоматически.

ВНИМАНИЕ: LiveCD содержит антивирусные базы, в которых хранится информация о вирусах. С помощью этих баз система на LiveCD может определять вирусы и эффективно их обезвреживать. Очевидно, что антивирусные базы должны быть как можно более новыми, в противном случае система может пропустить последние версии зловредов. Поэтому мы рекомендуем Вам скачивать образы LiveCD непосредственно перед применением.

Если нет CD/DVD дисковода.

Для нетбуков (или в случае неисправности CD/DVD привода) можно использовать Dr.Web LiveUSB — продукт, позволяющий провести лечение и аварийное восстановление операционной системы с помощью загрузочного USB-накопителя.

Все необходимые инструкции вы найдете в документации на сайте производителя.

Внимание! Не подключайте загрузочный USB-накопитель к компьютеру, когда на нем запущена ваша зараженная система!