Проблема блога - вирус

[sammillord]

Здравствуйте форумчане!
Модераторы - заранее простите если не в ту ветку написал.

В общем такая вот проблема у меня на Блоге (WordPrees)- поселился вирус... при попытке зайти на блог антивирусник блокирует сайт. Пользуюсь авастом, и вот что он мне говорит:

Имя файла: http://мой сайт.ру/favicon.ico

Имя вируса:HTML:IFrame-NO [Trj]

Тип вируса: Троян

Далее смотрю что в браузере:

Unsafe JavaScript attempt to access frame with URL chrome://chromewebdata/ from frame with URL http://мой сайт.ру/. Domains, protocols and ports must match.

Я просто в шоке! И не знаю что делать и как быть... удалил нафиг favicon.ico на хостинге, хоть это и глупо наверное.

Буду очень признателен за дельные советы по избавлению от вируса.

Заранее спасибо! ребята


ПС: и правда не туда написал, не в ту ветку, перенесите пожалуйста...

ППС: на нервах весь... :unsure:

 

[medwoodu]

ну для начала неплохо бы указать что за сайт, чтобы мы хотя бы могли посмотреть глюк, а дальше раздираться в типе вируса, как он был словлен и через что. Сайт в студию

 

[sammillord]

Medwoodu да я не против дать, просто не хотел с первого сообщения в бан, так как обычно ссылки на сторонние ресурсы везде запрещены вот ссылка на сайт sam-production.ru ... суть в том что когда захожу на главную вирус показывает вирус на вот этой странице - sam-production.ru/favicon.ico

 

[medwoodu]

Medwoodu да я не против дать, просто не хотел с первого сообщения в бан, так как обычно ссылки на сторонние ресурсы везде запрещены вот ссылка на сайт sam-production.ru ... суть в том что когда захожу на главную вирус показывает вирус на вот этой странице - sam-production.ru/favicon.ico

Нет, уважаемый, вы не туда копаете, у вас похоже либо на компе вирус, либо с завирусованного компа заходили. в конце страниц дописан вирусный жабаскрипт. удаляйте ручками либо регуляркой, а ico не при чем

 

[sammillord]

Medwoodu, спасибо! осталось только уточнить, так как я в этом не силен - когда вы говорили про "в конце страницы" вы имели ввиду в конце каждого отдельного поста? и еще - на счет рук понятно, а вот что такое регулярка?

На счет компьютера вы правы, уже прогнал через антивирусники, вроде все вирусы удалил.

Был бы очень признателен если бы вы мне в личку этот код кинули, чтобы мне его отыскать (не разбираюсь в этом и поэтому не могу определить какой именно код вредоносный)

Зарание большое спасибо, думаю это последние вопросы

 

[Felix]

Комп лучше прогнать каспером для верности! Скачай пробную версью KIS установи на 30 дней обнови и проверься на вирусы.

Так что то я тебя запутал. По порядку.
1. Проверяешься каспером на вирусы!
2. Меняешь пасс на фтп!
3. Копируешь БД на всякий случай.
4. Смотрим ФТП и выесняем когда были изменены файлы не тобой тоесть это сделали с чужого IP
5. Смотришь ближайшуюу дату и стучишь хостеру. Говоришь дату за день до того когда забрался вирус они сделают бекап.

Вроде ничего не забыл.

 

[sammillord]

Felix спасибо! Все сделал кроме проверки каспером, прогонял через AVZ и Avast... каспер сейчас качаю. Что по поводу вредоносного кода, сделал пару скринов:

Видимо это и есть этот код:


Вот он же но только визуально - ниже "подвала" и в один пиксель размером:


через админку в ВордПрессе в файлах используемой темы код найти не смог, а больше не знаю где искать. Хотелось бы обойтись без сноса с хостинга движка и темы...

ПС: хостеру отписал, сказали проблемой занялись, ждите!

 

[Felix]

Когда быкап делаю то у тебя ничего не слетит не двиг не сайт. Он престо востановят сайт на точку когда вируса небыло. А каспером обязательно проверься и только потом меняй пароль на фтп!
По тому как если вирус у тебя всё ещё сидит то он новые пасс стащит.

 

[sammillord]

Felix ок, спасибо! сейчас как раз проверяю на вирусы каспером, ключики придется еще раз менять - но это не проблема
Наверное так и придется делать бекап БД, но в любом случае, хотелось бы знать где же этот код засел, найти не могу... а жаль... я вообще считаю что он в отдельном файлике где то, возможно ошибаюсь (повторюсь что не силен в этом)


ПС: Форум кстати очень нравиться, думаю я тут надолго

Не разглядел где кнопка редактирования, так что извиняюсь за мультипост!
Все разрешилось, хостер отписался где нужно искать данный код, а так же дал один совет: "не сохранять пароли не в каких программах."
Если у кого такая же проблема будет с блогом, возможно это поможет:

Код находился в файле index.php (а я искал в файлах темы, так как не знал что нужно там). И был там последней строкой, причем закодирован. Скачал этот файлик, подтер код и все отлично всем спасибо за помощь и советы :biggrin:

 

[Felix]

Ну вот и хорошо что всё вылечено, все живы, все здоровы

 

[sammillord]

Felix