Exploit JavaScript Obfuscation

[moneymaker6]

Hej

Jag har fått skadliga program på mina hemsidor.

Har tagit hem alla till min dator för att försöka ta bort.

Har använt AVG, Windows definder, Ad-aware och Regcure.

Alla program säger att det är okej.

Jag testar med att skicka upp en hemsida men får upp

Exploit JavaScript Obfuscation

 

Ni kan testa på carolashop.com så ser ni vad som kommer upp.

 

Finns det någon som vet hur man får bort det här ?

[inlägget ändrat 2009-02-05 23:46:01 av moneymaker6]

[Cecilia]

Om webbsidorna innehåller något olämpligt javascript så hjälper det ju inte att söka igenom datorn.

 

Avinstallera Reg Cure av den här anledningen:

http://www.mywot.com/sv/scorecard/regcure.com

 

Jag kan inte besöka din webbplats eftersom jag får upp en varning om att webbplatsen har rapporterats göra angrepp på datorer.

http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=sv-SE&site=http://carolashop.com/

 

Jag antar att du måste börja med att ta bort webbplatsen från internet så att du inte orsakar att besökare får sina datorer infekterade.

 

--------------

Jag flyttar tråden till forumet för Webbutveckling - övrigt eftersom det inte gäller att rensa en dator utan handlar om hur man gör säkra webbsidor.

 

Cecilia - Moderator för Virus, skadliga program & botemedel

 

[Cecilia]

Kolla på http://vurl.mysteryfcm.co.uk/?url=207064

Du får upp den html-kod som laddas ner till en dator när din webbsida hämtas.

Just efter <body topmargin="3"> så finns det en rödmarkerad iframe som pekar till litetopfindworld.cn för köra något skript som finns där, samt en iframe som pekar till directlinke.cn.

 

Det ser ut som att någon har hackat sig in på webbplatsen och ändrat om.

 

[Cecilia]

Jag ser att du har ändrat nu, men nu har du ingen <body> alls.

 

[moneymaker6]

Hej

Tack så mycket för hjälpen.

Fick agera lite fort eftersom jag har många hemsidor.

Får snygga till senare.

 

Har ett lite problem till och det är linktrade.se som är ett php script.

Var går man in och tar bort Iframe där.

Kan se det på källa men hittar inte var jag kan rensa.

 

 

 

[Cecilia]

Om du menar att du använder ett php-script som ligger på en annan domän som inte är din så är det väl svårt för dig att ändra skriptet. Men jag kanske missförstår dig. Sedan är ju inte alla iFrames farliga, det beror ju på vad de används till.

 

[moneymaker6]

Hej

Linktrade.se är min hemsida och det är samma iframe som övriga.

Det kommer upp en popup som säger typ farlig programvara.

Har du ett program som kan se var jag kan gå in och ta bort scriptet.

 

[Cecilia]

Hjälper vurl-sidan?

http://vurl.mysteryfcm.co.uk/?url=209078

 

 

[moneymaker6]

Hej

Jag har en hemsida som heter:

txlauncher.com

 

Har försökt hitta malweare men inte funnit något.

 

Enligt google ska jag ha det på hemsidan.

 

Kan du vara snäll och hjälpa mig eftersom du gjorde ett bra jobb sist.

 

 

Länken gjord oklickbar av moderator

 

[inlägget ändrat 2009-12-09 23:24:38 av Cluster]

[Cecilia]

Vad skriver Google? Hur får du reda på det?

 

[Cecilia]

Enligt vurl så är det här det här webbsidan

<html><head><title>Error</title></head><body><head><title>Directory Listing Denied</title></head>
<body><h1>Directory Listing Denied</h1>This Virtual Directory does not allow contents to be listed.</body></body></html> 

Inget innehåll alls alltså, så det kan ju gärna inte vara skadligt.

 

[moneymaker6]

Hej

Jag får inte upp det du skrev så man kan läsa allt ?

Kan du berätta vad sidan heter ?

 

[Cecilia]

Jag använde på http://vurl.mysteryfcm.co.uk precis som förut i tråden.

 

[moneymaker6]

Hej

Jag har testat med länken men får inte fram det du har fått fram.

Kan du tala om hur du fick fram det ?

Är det några speciella inställningar ?

 

Vill gärna få fram det här så jag kan ta bort sidan.

<html><head><title>Error</title></head><body><head><title>Directory Listing Denied</title></head>

<body><h1>Directory Listing Denied</h1>This Virtual Directory does not allow contents to be listed.</body></body></html>

 

 

 

[Cecilia]

Jag valde Internet Explorer version 6 som User Agent. Men jag förstår inte varför du behöver se källkoden på vurl-sidan för att ta bort sidan.

 

[moneymaker6]

Hej

Vad heter vurl sidan ?

Vill gärna veta vad sidan heter där koden är eftersom jag hittar inte vart koden är ?

 

 

[Cecilia]

Hej!

http://vurl.mysteryfcm.co.uk/ heter webbsidan där jag angav txlauncher.com och valde IE 6 innan jag tryckte på Dissect. Men nu kommer det upp mycket mer så det måste ha varit något tillfälligt problem med din webbsida förra gången jag kollade.

 

Andra frågan förstår jag inte alls.

 

[moneymaker6]

Hej

Jag tyckte det var lite konstigt eftersom jag fick upp den riktiga sidan hela tiden och ingen kod som du gav mig.

Det verkar som den är helt okej så jag får tacka så mycket för hjälpen.

Om du vill testa sidan så kan jag bjuda på ett år gratis som Pro.

Men först kan du testa i 7 dagar gratis och gillar du konceptet så maila mig.

Tack ännu en gång.

 

[Cecilia]

Tack, men jag har inget behov av den tjänsten.