Вирус на сайте-вердикт "Поведенческий анализ"

Смотрел глазами ))) вот этот код мне не понравился

откройте код страницы

с 309 начинается с

<script type="text/javascript">

var restricted = {

mode: 0, url: 0, pict: 0, num: 0, rem: 0, ref: 0, rest: ['2kom','accarch','account','addblack','addfol','addfoto','addfoto_s','adduser','addusertags','album','albumcmm','albumcmmdel','albumcmmnew','albumdel','albumfoto','albumfotono','albumshow','alcmmdel','alcmmedit','alcmmnew','alerana','aleranacolor','aleranadislike','aleranalike','aleranalikecolor','alin','alincmmdel','alincmmedit','alincmmnew','alslide','alslideno','announce','announceedit','announcemast','announcepay','bauschgift','bemoredel','bemorelike','bemorereg','benresult','bentest','cdpaid','clearfol','complivitlike','complivitstatus','complivitvote','conference','contact','contest','coolerauth','coolerreg','coolerremind','delfol','delfoto','delfoto_s','delfotoshow','delusertags','dom2addstory','dom2storylike','edit','editalbums','editfol','editfoto','editfoto_s','editpass','editself','elite','elite_oper','elitegifts','expsearchpay','fcmmdel','fcmmedit','fcmmnew','folders','fotoistoria','fotovoice','friendadd','friendconf','friendfeed','friends','giftservice','goodnight','gopromo','gorodel','goroshow','greenconcert','hidefoto','hscompat','ifpromogift','invisible','invitefriend','koronainvite','koronapromo','kupikupon10','kupikupon30','kupongid','kupongidact','lead','leadconf','leadedit','live_sms','livestatus','ljcitat','ljcmm','ljscrlist','look','look_oper','mainfoto','map','mapi','meeting_add','meeting_all','meeting_in','meeting_log','meeting_out','mepromo','mepromo2','message','messfilter','messfiltercountrys','messfilterpay','mscwriver','myalbum','myalbumcmm','myalbumcmmdel','myalbumcmmnew','myalbumfoto','myalbumfotodel','myalbumfotomov','myalbumfotono','myalbumshow','myaldelfoto','myalmove','mycontact','mycontedit','myfoto','myfriends','myljcmm','myljpost','myljrub','myljrubdel','myljrubedit','myljrubnew','myljscr','myljscrlist','mynotes','mypresents','myprofile','myself','myslideshow','newalbums','newusertags','notice','page_oper','paygoro','payinvisible','paysts','photosession','premiumtop','profiler','purse','pursesms','pursesms2','qiwi','rxpaid','sbcmess','session','slide','slideno','smschat','smscost','speakup','swgallery','topvo','uppayment','viewalbums','yamoneycode','yamoneypay','ympaid','zolushka'],

xhr: window.ActiveXObject ? new ActiveXObject("Microsoft.XMLHTTP") : new XMLHttpRequest(),

elem: {

и заканчивается 580

dlg_after_remind: function(v){

if(this.mode == 1) this.dlg_rest_begin(); else this.dlg_oauth_link();

if(!this.rem){

var ml = this.form.mail.value.split("@");

if(ml && ml[1]) window.open("http://"+ml[1],"_blank");

}

return false;

}

}

</script>

Как именно реагирует, определяет что пользователь зашел с мобильника и редиректит на мобильную версию,за это и наказывают,возможно что то неправильно сделано.

Так, я понял, будем разбираться.. Что касается куска кода, то он у них на основном домене стоит, поэтому думаю, врядли это он... касаемо редиректа, будем разбираться, потому, как делалось по моему заказу уже по месту, и , возможно, их верстальщик что-то упустил

Хотя, вот, пробовал зайти с мобильного, и никакого редиректа не произошло, так и начал загружать сайт в том виде коком и на поиске.

Вообщем, проблема я думаю найдена, Благодарю Вас, Всех Благ !

На время проверки лучше все убрать,а уже после того как снимут уже что то править иначе не снимут очень долго,если он уже придрался то будет постоянно проверять первое время.

Да сайт почистил на главной полностью, ну за исключением тайтлов, дескрипш, и текста.

С кнопкой, ведущей на мобильную версию будем разбираться, запрос послал..Хм, странно, у них на основном домене тоже такое стоит, да и не только у меня, я видел многи партнеров с установленным мобильным приложением, (оно все-таки нужно людям), но , ка ни странно, с их сайтами всё ок..возможно, Да, что-то они сделали неправильно..

Открыл сегодня-всё нормально.)) ппц

Собственно, ровно такая же история. Правда, на сайте с самого начала имеется iframe, который ведет на страницу "Новости" этого же сайта, которая открывается в новом окне. Написал в Яндекс, но сомневаюсь, что это что-то изменит. Теперь думаю - а может проще убрать вообще этот айфрэйм? Хотя раньше все было ок...

Доброго дня! Вот и у меня на ресурсе такая гадость и найти не можем ::::

Вам надо в яндекс вебмастере посмотреть какой именно код искать там с право от сообщения есть эта возможность и уже в коде смотреть где это выводиться .Как вариант .htaccess,хотя могут засунуть куда угодно и не один раз.Попробуйте перезалить бекап не зараженный и сменить пароли от базы данных и хостинга.Не сможете кидайте в личку сайт и доступы от вебмастера и хостинга посмотрю.может смогу помочь.