# Форум на русском языке  > Лечение и защита сайтов от вирусов  >  Помогите разобраться. Kaspercky Trojan.Script.Generic

## Вирга

Добрый день.
Столкнулся со следующей проблемой. Наш сайт virga-ltd.ru размещён на хостинге компании Reg.ru
С недавнего времени (2 недели), антивирус Kaspersky internet security начал блокировать доступ пользователей к сайту так как обнаруживает вирус: HEUR:Trojan.Script.Generic (тестировалось на более 10 компьютерах).
С компьютеров, где установлены другие антивирусы мы заходили на сайт без каких-либо сообщений о подозрениях на вирус.
В базе данных Kaspersky описания вируса не нашлось.
Я написал в Лабораторию Касперского вопрос, но пока нет ответа, а время идёт и проблемы с доступом на сайт не украшают нас перед посетителями.
Я связывался с тех поддержкой провайдера хостинга, они проверили своими инструментами и вирус не обнаружили.
Очень прошу совета, как действовать в такой ситуации? Может уже кто-нибудь решал аналогичную проблему.
Высокобюджетные способы решения проблемы, к сожалению, неприемлемы.
Заранее благодарю.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## olejah

Добрый день!
Судя по всему, что я вижу, нет никакого вируса.
Остается только ждать, чтобы в Лаборатории Касперского исправили это. Правильно сделали, что написали им.

----------


## Ilya Shabanov

Хотя HEUR:Trojan.Script.Generic как бы намекает на срабытывания эвристики, а не четкой сигнатуры (иными словами есть подозрение, а не фактическое обнаружение),  но не факт, что это ложное срабатывание.

Сайты заражаются хитро, вредоносный скрипт может возвращать разный код в зависимости от того, кто и откуда заходит на сайт. Это принципы продажи трафика на черном рынке. Поэтому если вы не видите вредоносного, то это не значит, что его там нет. 

Пока дожидаетесь ответа от ЛК рекомендую вам самым тщательным образом проверить изменения сриптов на сайте. Чаще всего злоумышленники меняют index.php, шаблоны тем или какие-либо модули CMS. Если что-либо менялось, то это должно насторожить. 

Также проверить свой сайт на virustotal.com, различные страницы. Проблемная по отчету этого сервиса чистая https://www.virustotal.com/ru/url/39...is/1407410657/

Также не лишним будет посмотреть есть ли алерты в интерфейсе веб-мастера к вашему сайту для поисковиков Google, Bing. Они по опыту очень быстро обнаруживают заразу и шлют алерты.

Но скорее всего ложное срабатывание. *olejah* прав.

----------

*Макcим*,  *olejah*

----------


## thyrex

> Я написал в Лабораторию Касперского вопрос, но пока нет ответа


Куда писали? Номер обращения напишите

----------


## Вирга

> Куда писали? Номер обращения напишите


Писал представителю "Лаборатории Касперского" в СЗФО Евгению Питолину 5 августа 2014. Его контакт взял с сайта Касперского : Evgeny Pitolin <[email protected]>

Получил от него ответ 5 августа: 

_Добрый день!

я подумаю, куда лучше переслать Ваш вопрос, и сообщу Вам.

Евгений Питолин| Представительство в СЗФО| Лаборатория Касперского
_
Пока больше ничего от них нет.
Может есть другой, более правильный путь обращения в "Лабораторию Касперского"? Подскажите, пожалуйста, я на сайте не смог найти.

----------


## regist

*Вирга*, слать надо было сюда https://my.kaspersky.com/ru/kpc/support/viruslab#aform 
Выбрав тип запроса ложное срабатывание на ресурс.

- - - Добавлено - - -

Отправил туда запрос [KLAN-1859884296]

----------

*olejah*

----------


## Вирга

> *Вирга*, слать надо было сюда https://my.kaspersky.com/ru/kpc/support/viruslab#aform 
> Выбрав тип запроса ложное срабатывание на ресурс.
> 
> - - - Добавлено - - -
> 
> Отправил туда запрос [KLAN-1859884296]


Спасибо!

----------


## regist

Уже получил ответ



> Здравствуйте,
> 
>  Данное срабатывание не является ложным. Сайт инфицирован.
> 
>  Следующий код является вредоносным:
>  function dnnViewState()
>  ...
>  ...
> 
> ...

----------


## Вирга

> Уже получил ответ


Спасибо.
Прогуглил проблему.
Сайт на джумле. Код находится в файле default.php в папке шаблонов modules/mod_AutsonSlideShow/tmpl/default.php
Помогите советами, как убрать код?
Я на форумах прочитал, что необходимо искать код function dnnViewState()
Но я такой строки в своём файле не вижу. Но это тот файл точно, т.к. при переносе его на мой компьютер, антивирус сразу его убивает.
Прикрепляю скриншоты кода файла два файла это один код
Заранее благодарю за помощь.

----------


## regist

*Вирга*, надо смотреть подключённые JS скрипты.




> Код находится в файле default.php в папке шаблонов modules/mod_AutsonSlideShow/tmpl/default.php


заархивируйте его с паролем virus и пришлите мне в личку.

- - - Добавлено - - -

Странно, что не смогли найти. Удаляйте из файла строки с №562 по строку №578 включительно.

- - - Добавлено - - -

там внизу файла есть ещё ссылка $credit на производителя модуля. На неё тоже могут ругаться некоторые антивирусы https://www.virustotal.com/ru/url/a8...is/1407506390/
В таком случае удалить ещё три последние строчки.

----------

Вирга

----------


## Вирга

> *Вирга*, надо смотреть подключённые JS скрипты.
> 
> 
> заархивируйте его с паролем virus и пришлите мне в личку.
> 
> - - - Добавлено - - -
> 
> Странно, что не смогли найти. Удаляйте из файла строки с №562 по строку №578 включительно.
> 
> ...


Видимо, мне надо очки купить)
Удалил, теперь всё работает.
Спасибо за помощь!

----------


## Ilya Shabanov

> Спасибо.
> 
> Сайт на джумле. Код находится в файле default.php в папке шаблонов modules/mod_AutsonSlideShow/tmpl/default.php


Ровно то, что я подозревал. Хорошо, что проблему удалось разрешить общими усилиями.

----------

