Помогите, сайт заражен!

падаван, можно посмотреть что выдает avz4 и хайджек?

вот логи, вроде ничего не находят

блин может к твоему компу просто кто то подключился? Честно уже вариантов не осталось

Sidebar.exe - это что за сайдбар?
2GISUpdateService.exe - карты стоят?
TeamViewer_Service.exe - действительно ли teamviewer?

Application Data\Application Data\Opera\Opera\cache\sesn\opr05OU5.tmp
>>> подозрение на Trojan.Win32.DNSChanger.ieq ( 0B6BC615 0DB75E33 002663F9 00000000 7696)

Похоже через подмену dns и уходят пароли.

Просканировано файлов: 305139, извлечено из архивов: 75996, найдено вредоносных программ 0, подозрений - 46

Данные логи лучше разместить на форуме касперского, они точнее скажут как лечить, я максимум диагностику могу произвести.

Добавлено через 9 минут
Пояснение к тому как возможно уходят пароли:
1) Похоже была использована уязвимость браузера опера, т.к. вирус лежит в ее кеше. Это путь проникновения.
2) Возможна подмена DNS в свойствах подключения к сети, проверьте, правильно ли стоят DNS в настройках?
3) Если перехватывается только filezilla, значит проверяются заголовки отправляемые программой и смотрят какие пароли отправляются. (они передаются в обычном текстовом виде). Кому интересно попробуйте перехватчик пакетов поставить.

>>> подозрение на Trojan.Win32.DNSChanger.ieq ( 0B6BC615 0DB75E33 002663F9 00000000 7696)
Ну вот примерно такой хорек и у меня был, только я полностью удалил вешь кеш всех браузеров и просканировал систему, может поэтому повторно у меня не все заразили.

А вот другие браузеры имеют такие неприятные моменты как опера?

zahar-zaharych, у меня лисичка была. Он ловится в любой браузер

дело не движках...у меня все сайты на разных движках были заражены..точнее ява скриптовые файлы...кстати, подобную тему обсуждают
это какое-то массовое заражение... найти бы причину...

И я с этим столкнулся.. Заражены .js файлы. Движки разные (Wordpress + cамописные). Спасают только бэкапы.

Почитал тему - снеc FileZilla со своего компа. На рабочем стоит тоже, но заражены были только сайты, доступые с личного. Как бы эту заразу найти?

newinseo, если бы мы сами знали то и проблем не было
Я перебрал все возможные варианты но так и не понял посредством чего было сделано

zahar-zaharych,
xxxPHOENIXxxx,
newinseo,
ЕЩЕ РАЗ ПОЯСНЯЮ

Сами компьютеры были заражены. К filezilla это не имеет никакого отношения, кроме того что в ней хранятся пароли которые можно достать или перехватить, как в общем-то и для любого ftp клиента.

Все логины и пароли при связи по обычному ftp соединению передаются в текстовом виде который поддается перехвату.

Wireshark перехватывает все принятые и переданные пакеты для конкретного сетевого соединения. Если хотите посмотреть данные выбираете нужный пакет из списка и смотрите его содержимое.

specialist-seo, согласен с тобой. А второе заражение было потому что не полностью был вычищен код, не сменены пароли или не очищен сам комп. Я пришел к такому мнению оно рационально )

2GIS есть, TeamViewer тоже, а что за Sidebar не знаю..
а какие должны быть?) не знаю, оно получает их автоматически..

например, гугловские:
8.8.8.8
8.8.4.4

падаван, если автоматически, то возможно проблем и нет. Там подмена идет не для всех сайтов, так что может быть не на этом уровне реализация