Проверить сайт на наличие вирусов, все просьбы о проверке оставляйте в этой теме

[akok]

Это обилие букв после content.php - это может быть какая-нибудь вирусоопасная зашифровка?

Нет, это код сессии. Пока отправьте сайт на пересмотр в google

 

[S10]

akok, гугл сайт разблокировал.
Но вот левые js на сайте продолжают появляться... Вот ещё один всплыл:
<script src="/images/style_generator/hitter.js"></script>

И в файле тот же самый код который был в удалённых мной js
Начало кода выглядит так:
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+(( ...

 

[akok]

Папку install удалили? Удалили. Попробуем поискать врезку: http://revisium.com/ai/

А вообще необходимо подходить комплексно к проблеме:
1. Сменить пароли на ftp и БД
2. Провести ревизию мод. состава и сменить пароли от учетных записей пользователей с повышенными привилегиями
3. Провести сверку файлов на хостинге с эталонными
4. Проверить шаблоны

 

[S10]

akok, смена паролей не помогает, мод.состав не имеет доступа к сайту, доступ в админку сайта имею только я и только по айпи.
Видимо вирус был залит давным давно, раз продолжает спокойно действовать даже при закрытом доступе по ФТП.
Сверкой файлов сейчас занимаюсь + заливаю файлы сайта к себе на комп, буду проверять "айболитом"

Нашёл некоторую информацию про вирус http://sucuri.net/new-malware-evalfunctionpacked.html
Но вот как бороться не указано... Продолжу поиск информации о вирусе.

И да, папка install удалена, она была удалена сразу после обновления форума.

 

[dimusik2014]

Добрый день! Вот нашел у меня на сайте diminex.ru DrWEB такую ссылку на вирус хтпп://dimusik2010.okoshechka.net/cxnOYg2199/?sid=116296 при переходе по разделам сайта. Как его убрать? Жду ответа с уважением

 

[Indomito]

Внедрение методом подмены yandex на yambler.nen редиректом на img.sedoparking.com

Подмена стартовой страницы в браузере FireFox (Не оригинальная версия - модификатор от Yandex)

Дополнительная информация на форуме softboard.ru
Пост softboard.ru/topic/1375-mozilla-firefox/?p=607162 и ниже

 

[regist]

Indomito,
1) Постить активные вирусные ссылки запрещено. Перечитайте хотя бы шапку темы.
2) Не понятно, что вы хотели сказать своим постом #542.
Если у вас или у Gesha45 есть проблемы с вирусами, то создайте тему в разделе Лечение компьютерных вирусов выполнив правила раздела.
3) Если вы спрашиваете, вредоносен ли сайт yambler.nen то ответ да. Это вирусный сайт созданный злоумышленниками (не путать вирусный и заражённый).

сомнительные ссылки,это где

про это вам уже написали в посте #541

 

[Indomito]

regist,
1) Цитирую

Никогда не публикуйте активных ссылок. (заменяйте http на хттп, например https://safezone.cc - нужно писать как хттп://safezone.cc)

в моём посте нет ни одной активной ссылки.
2) Попросил проверки, т.е. доп.проверки
3) Это я и спрашивал, т.е. не знаю прочёт ли Gesha45 мой пост тут, т.е. ответ был дан, ну а у кого проблемы это ясно из ссылки на форум softboard.ru

Спасибо за ответ по ресурсу (см пост №546 пункт 3)

 

[Sandor]

в моём посте нет ни одной активной ссылки.

Уже нет, т.к. она была удалена модератором))

 

[regist]

1) Уже нету, так как я ваш пост отредактировал

Последнее редактирование модератором: 42 мин. назад

 

[Indomito]

regist, и Sandor, да, я был не прав. Визуальный редактор внедряет ссылки без их явного определения.

Приношу свои извинения за свою ошибку.

 

[garagok777]

Добрый день! Помогите пожалуйста, не могу зайти на свой сайт. Опыта практически нет в програмировании и решения подобных проблем: хттп://world-discount.ru/

 

[akok]

garagok777, сайт сейчас работает. Доступ появился?

 

[regist]

сайт сейчас работает. Доступ появился?

у меня не работает .
@garagok777, отключайте по очереди js скрипты и проверяйте, скорее всего из-за какого-то из них проблема.

 

[vista]

Сайт хттп:/ /forctry.ru)
Вирусы на нем не обнаруживаются, но ломанули его точно. Через соломоно показывает огромное количество исходящих ссылок картинок, которых ни на сайте ни в коде не видно. Заметны они только в кеше яндекса. Вот скрин. Как убрать эти ссылки, куда копать?. Даже не один сервис не показывает эти исходящие ссылки.

 

[SNS-amigo]

vista, Зайти по FTP в корневую директорию сайта и проверить на наличие посторонних папок.
Если у вас есть оригинальные файлы и папки, которые загружали на сайт самостоятельно, то можно просто инициировать полную замену содержимого.
Заменить пароли на более сложные. Например, такие Fh64#jYa7c#8h4с8

 

[vista]

vista, Зайти по FTP в корневую директорию сайта и проверить на наличие посторонних папок.
Если у вас есть оригинальные файлы и папки, которые загружали на сайт самостоятельно, то можно просто инициировать полную замену содержимого.
Заменить пароли на более сложные. Например, такие Fh64#jYa7c#8h4с8

Спасибо, вы мне очень помогли

 

[shestale]

какие именно скрипты обезвредить?

Код которого я вам выложил. Вы его уже удалили?

 

[menserj]

Здравствуйте. Не могу удалить вирус PHP/Agent.NFT с сайта.
После удаления заражённых файлов вирус появляется через несколько дней снова. Помогите его удалить!

Сайт хттп:/ /mypsichology.ru

 

[akok]

Бодрого времени суток.
1. Как/чем определили детект?
2. Насколько я понимаю заражение проявляется загрузкой нового файла на FTP, верно?
3. Скрипт обновлен до актуальной версии?
4. Какие плагины используются?
5. Как проявляет себя заражение?

И общие рекомендации по лечению:
1. Необходимо проверить файлы на ftp, для этого используем скрипт для сайтов, не перепутайте AI-Bolit - антивирус для сайта, сканер вирусов на хостинге и сайте или сравнить с эталонными (заведомо чистый бекап или файлы скрипта)
2. Сменить все пароли связанные с сайтом (администратора, FTP, SSH и т.д.)
И мне кажется, что в такой вариации работать не должно все правильно:

document.write('<a href="http://http://tweetmeme.com/i/scripts/button.js/" target="_blank" title=