Hitinizi Çeken Virüs

arkadaşlar bende 4 gündur bu virüs ile uğraşıyorum. Büyük ihtimal benim pc den ftp ye bulaştı ve resel hesabımdan da 7 tane siteme sildim tekrar geldi sildim tekrar geldi. Neyse hostumun tavsiyesi ile şunları yaptım kurtuldum

1-bilgisayarıma komple format attım. (yedek olduğu için 10 dk eski haline geldi)
2-kaspersky kurulu idi. Onu güncelledim ve tam tarama yaptım. 1 2 sakıncalı birşeyler buldu sildi.
3- yeni host değiştirdiğim için FTP de temiz zip li yedeklerim vardı. Tüm FTP yi silip zip li yedeklerimi tekrardan kurdum
4- ve tüm FTP şifrelerimi değiştirdim.
5- Klasörlerimi 755 dosyalarımın iznini 444 yaptım.

Sonuç: kurtuldum tavsiyelerim bunlar arkadaşlar

Tabii Buda Başka Bir Yöntem Bende İlgili Sitemdeki Ftp İçinde Bulunan " index.php , index.htm , html " ve Subdomain`lerimdeki index`lerime buluşan bu Virisü Temizledim Ftp Şifrelerimi Değiştirdim.
Şu Zamana Kadar Tekrardan Gelmedi İnş. Gelmez
Sitelerine Bu Virüs`ten Bulaşan Arkadaşların Hepsi Ftp`lerindeki " index " lerini kontrol etsinler. Sadece Bir Sayfaya Değil Ftp`nizde ne Kadar " index " Varsa Hepsine Bulaşıyor...

ya zaten virüsün etkili olduğu dosyalar index.html index.php ve emin olmasam da default dosyaları. O yüzden bu dosyaları temizleseniz bile yeterli olur. Benim imkanım olduğu için temiz olması bakımından yedek kurdum.

*isteyen komple yedek kurabilir
*uğraşmak istemeyen index dosyalarını temizleyebilir. size kalmış

Arkadaşlar eğer sizin için yorucu değilse ftpye explorerdan girin.o şekilde virüs bulaşamıyor.Bu virüs genelde cute ftp kullananlarda meydana gelmektedir.

benim bütün sitelerimde de bu inframe kod vardı uzun araştırmalardan sonra buldum, siz nette gezerken sayfadaki inframe kodu sizin pc nizdeki sadece cuteftp benzeri programınızda kayıtlı tüm sitelere sizin pc nizden erişerek index.php, index.html, home.php gibi belirli sayfaların footer kısmına yerleşerel yönlerdirme yapmaya çalışıyor ve sadece avast buluyor bu virüsü, sitenizden yedeği yükleyerek ve ya tek tek elle temizledikten sonra kesinlikte ftp kullanıcı adı ve şifrenizi değiştirmenizi öneririm, çözümü ftp nize sadece ftp.siteadiniz.com şeklinde explorer dan ulaşmak biraz yavaş olacak ama güvenilir yolu bu.

Kod kullandığımız scriptlerede girebilirmi acaba ? Ve bu kodu nerede aramamız gerekiyor

Ben Wordpress Kullanıyorum Sonuçta oda Script ve Bana Bulaştı.
Bu Kodu Ftp`nizdeki " index, home, default " adı Altındaki Tüm Dosyalarınızda Arayın.
Mesela Bu Kodu Ben İlk Kez " wp-admin " Klasöründeki " index " Sayfasında buldum. Sitenin ana " index " inde Bu Kod Yoktu ama Diğer Tüm " index " adındaki Sayfalarda Vardı...

aynı sorunu ben de yaşadım. hatta müşteri sitelerinin çoğuna da bulaşmıştı. dediğiniz gibi ismi index.php index.html vs. gibi kullanılan bütün anasayfa dosyalarına bulaşıyor. Çalışma yöntemi ise bilgisayaınızdaki ftp programından şifreleri çalmak. Bunu yapmak için muhtemelen bir truva sisteminize bulaşmıştır. Bizim başımıza geldiğinde cuteftp kullanıyorduk. sonra değiştirdik ancak sanırım bunu yapan virüs birçok ftp programı için yapmıştır. Çözümü ise ftp şifrelerini değiştirmek ve asla kaydetmemek. Bundan sonra bulaşan sitelerdeki bu iframe kodları kaldırmanız gerekiyor tabi. (genelde <body> iminden hemen sonra yada </body> iminden hemen önce görebilirsiniz.) Eğer windows kullanıyorsanız kullandığınız kullanıcı hesabını sınırlı kullanıcı yapın ve yönetim işlemleri için başka bir kullanıcı hesabı kullanın. Bulaşan sitelerdeki etkisinin ise hit çalmak vs. değil (ki bunu nasıl yapabilir anlamış değilim) sadece kendi işe yarayan bazı adresleri dünyadaki farklı adreslerden ziyaret etmek diye düşünüyorum. Henüz bulaşan sitelerde iframein ekranı kapladığını görmedim. Not: Bilgisayarınızda truva hareketlerinden şüpheleniyorsanız komut isteminde netstat komutunu çalıştırıp son ağ hareketlerini görebilirsiniz.
Başlat
Çalıştır -> cmd
netstat

Eğer sitemize bi iframe açıyorsa ve bunu göremememiz için sadece yurtdışı hitlerine yapıyorsa. Sanırım önlem olarak sitemiza ara ara proxy ile girip bakmakta fayda var.