Помощь Вирус...

[sk8er]

Проверил всё что есть - нигде каспер вирусов не обнаружил... Что ещё можно сделать?

 

[Jerry]

\upload\engine\skins\default.skin.php

 

[nimitz]

Авастом прогнать надо и будет тебя счастье!

угу. предлагаю более умный выход: закинуть все файло кроме контента в архив который будет весить всего 5-8 мегов и архив залить на вирустотал. Сразу отпадут "высокоинтеллектуальные" предложения о том каким антивирем пользоваться.
sk8er
время файла на фтп меняется 1 командой. Вообще без проблем. Так что этот вариант не вариант. Что можно делать в плане поиска фрейма:
1) я не совсем понял проверял ли ты файло все скаивая на локалку но если нет то проверь. И антивирем скачала и тотал коммандером на предмет кода левого в текстах.
2) Проверить все файлы .htaccess на предмет их соответствия орегинальным потосу что сейчас многие продвинутые инфреймеры умеют ставить фрейм именно в них. Как раз вот на такой случай как твой, когда хотят чтоб искали причину подольше.
3) Дампани БД, прогони в ней поиск текстом на предмет наличия инфрейма, это тоже очень хорошо скрываемый способ скрыть фрейм.

Чтоб искать было лучше, оптимальный вариант это из под виртуалки с хорошим снифером без антивируса зайти по адресу, посмотреть конкретно испорченый код, посмотреть куда и как уходят хвосты и потом исходя из этого искать уже.

Кроме того, ищи не просто обычные фреймы в тексте но и куски закодированые в простых крипторах, типа base64 и подобных.

 

[bukа]

А как найти в куче файлов один котрый с iframe? чем поиск такой делается?

 

[sergeysnl]

bukа, в тоталкоммандере Alt+F7 или проги есть, гугли...

 

[sk8er]

\upload\engine\skins\default.skin.php

Неа. я уже писал, там всё чисто...

1) я не совсем понял проверял ли ты файло все скаивая на локалку но если нет то проверь. И антивирем скачала и тотал коммандером на предмет кода левого в текстах.

Сначало проверил вручную (мельком пробежался), потом тоталкомандером на iframe. И ничего подозрительного...

2) Проверить все файлы .htaccess на предмет их соответствия орегинальным потосу что сейчас многие продвинутые инфреймеры умеют ставить фрейм именно в них. Как раз вот на такой случай как твой, когда хотят чтоб искали причину подольше.

Неа, пусто... В смысле без подозрительных кодов/ссылок

3) Дампани БД, прогони в ней поиск текстом на предмет наличия инфрейма, это тоже очень хорошо скрываемый способ скрыть фрейм.

Это где новости? через phpmyadmin?

Чтоб никто не тупил вирус у меня на главной странице админы. Тут: _http://сайт.ru/admin.php?mod=main А в админу захожу так: (и вирусы/трои не атакуют! О_о ) _http://сайт.ru/admin.php?mod=options&action=options

Стоит ли писать суппорту хостинга? Или они не помогут?

 

[nimitz]

Это где новости? через phpmyadmin?

Чтоб никто не тупил вирус у меня на главной странице админы. Тут: _http://сайт.ru/admin.php?mod=main А в админу захожу так: (и вирусы/трои не атакуют! О_о ) _http://сайт.ru/admin.php?mod=options&action=options

чем сдампиш это всеравно. смысл в том что можно наприме поставить инклюд на определенные страници в БД. И не только в новости а еще и в любое место где используется информация из БД.

Стоит ли писать суппорту хостинга? Или они не помогут?

а чем они тебе помочь могут? если есть бекам то восстановят и все. Да и то не факт что тот бекап не протроянен. Лучше сам слей то что есть сейчас и восстанови старый чистый бекап, т.е. сделай некоторый "откат" сайта и потом ручками восстанови недостающую информацию.

 

[sk8er]

Проверил - ничего нет

Лучше сам слей то что есть сейчас и восстанови старый чистый бекап, т.е. сделай некоторый "откат" сайта и потом ручками восстанови недостающую информацию.

Я вообще бекап ниразу не делал... Как тогда? переставлять обязательно?
И чёт я вспомнил, что есть такая программа, sundbox вроде называется. через неё если что-то запустить, то это не отразится на винде. как то так. Есть такое? кто-нить знаком?

 

[sk8er]

Ребят помогите! Что ещё можно сделать? Если везде всё чисто возможно ли что у касперского параноя? И что ещё можно сделать?

 

[bumer3]

1 Отруби каспер зайди в админку на ту страницу посмотри HTML сорсы найди код на страницу и потом ищи его по файлам