хелп хелп !!!

[kent911 0]

люди памогите немогу понять все работало и тут раз и такое вирусяка или взлом вот что выдаёт http://klin-stal.ru/

[support 447]

В ошибке написано, что нет файла /home/weddin/public_html/klin-stal.ru/templates/vamshop/source/boxes.php

[Гость pooh]

Похоже, вирус у Вас.

Надо смотреть недавно измененные файлы

В коде искать что-то типа

<script>/*LGPL*/ try{ window.onload = function()

.....

</script>

[kent911 0]

vamshop заменил полностью папку копия была, все заработало но как могло так получится не могу понять

[kent911 0]

ну а если вирус как с ним бороться

[support 447]

kent911

Не знаю, с чего Вы взяли, что вирус!?

Обычно это видно, iframe появляется в исходном коде страницы или какй-то js код посторонний.

[kent911 0]

Антивирус Версия Обновление Результат

a-squared 4.5.0.50 2010.01.16 -

AhnLab-V3 5.0.0.2 2010.01.16 -

AntiVir 7.9.1.142 2010.01.16 -

Antiy-AVL 2.0.3.7 2010.01.12 -

Authentium 5.2.0.5 2010.01.16 JS/Redir.AH

Avast 4.8.1351.0 2010.01.16 -

AVG 9.0.0.730 2010.01.16 -

BitDefender 7.2 2010.01.16 -

CAT-QuickHeal 10.00 2010.01.16 -

ClamAV 0.94.1 2010.01.16 Trojan.Iframe-14

Comodo 3604 2010.01.16 -

DrWeb 5.0.1.12222 2010.01.16 -

eSafe 7.0.17.0 2010.01.14 -

eTrust-Vet 35.2.7240 2010.01.15 HTML/MalScr.A

F-Prot 4.5.1.85 2010.01.15 JS/Redir.AH

вот что нашло на сайте после проверки

[support 447]

Значит вирус сидит на Вашем компе.

Это ж известная кака, сидит на компе, ворует пароли на ftp и гадит по всем сайтам, что прописаны в ftp клиенте.

[kent911 0]

интересно тогда девки пляшут!!! у меня на хосте 15 сайтов и FTP соединения одно. сайты разного рода, и повредил вирус ими но VaM Shop templates  я проверил файлы на изменение в папке  templates так и есть в коде вирусяка почему тогда другие сайты не пострадали :/

[Гость pooh]

Если Вы думаете, что теперь у ВАс все хорошо, то ошибаетесь.

Например, сидит у ВАс вирус в http://klin-stal.ru/jscript/jscript_JsHttpRequest.js

[support 447]

Вообще это не вирус, а библиотека с dklab.ru

[support 447]

Вообще это не вирус, а библиотека с dklab.ru для ajax.

[sagos 0]

Запрашиваемый URL-адрес не может быть предоставлен

В запрашиваемом объекте по URL-адресу:

http://klin-stal.ru/

Обнаружена угроза:

объект заражен HEUR:Trojan-Downloader.Script.Generic

Сообщение создано:

23:38:03

Kaspersky Internet Security 2010

[kent911 0]

кароче правлю vamshop пальчиками коды, все файлы index  заражены вот блин засада

[Гость pooh]

Вообще это не вирус, а библиотека с dklab.ru для ajax.

Файл, конечно, сначала был библиотечный.

На момент написания поста наряду со стандартным библиотечным содержимым в нем был добавлен код вируса.

Сейчас в этом файле все нормально, видимо, владелец восстановил.

Но вирусы еще есть. В  коде главной страницы эту бяку в начале видно невооруженным глазом

<script>/*LGPL*/ try{ window.onload = function(){

....

</script>

[support 447]

Тогда пардон, но всё равно, лучше не удаляйте этот файл, а замените оригинальным, без вируса.

[kent911 0]

я убил целый день на зачистку вирусов, повезло что есть копии правда не все

[kent911 0]

интересно кто нить ставил скрипт linker 3 обмен и еще вопросик? ,может вирус автоматом попас через скрипт гости вой книги, или скрипт обратной связи.

[Гость pooh]

может вирус автоматом попас через скрипт гости вой книги, или скрипт обратной связи.

Вряд ли.

Скорее всего, причина в наличии дыр в безопасности на хостинге.

На это простой админ сайта обычно повлиять не может.

[support 447]

А что за скрипт гостевой книги, это кстати тоже распространённый вариант, найти какой-то скрипт с дыркой и через него гадить.

[kent911 0]

http://rapidshare.com/files/337206004/book.rar ВОТ скрипт

[support 447]

Так а смысл его выкладывать.

Нужно по лог-файлам Вашего веб-сервера смотреть, как появились новые файлы на сервере, если появились.

[kent911 0]

я понял