Вірус Troj / JSRedir-MH є трояном модифікацією JSRedir-MH і послідовником лінійки JSRedir яка вже своєю назвою говорить про те що заражений сайт має в кодах JS редирект ну а редирект йде вже на вірусний сайт який безпосередньо містить віруси заражають користувачів.
Не будемо втягуватися в теорію, поговоримо про рішення, за станом на 20 жовтня 2013 року нашими співробітниками розглядалися випадки зараження цим вірусом ряду ряду сайтів на двигунах WordPress, DLE, Joomla, Drupal, ModX зараження інших популярних движків незалежно від версії і використаних в них плагінів оскільки всі зараження сайтів проводилися через витік доступу до FTP.
Якщо Яндекс заявив що у Вас на сайті вірус JSRedir-MH і Ви не бачите його ні в одному з антивірусів то це не означає як насамперед здається більшості "щасливих володарів" цього вірусу на своїх сайтах що це помилка антивірусної бази компанії sophos або ж Яндекса (який її використовує), повірте він дійсно у Вас є, просто дуже добре захований.
1. Отже насамперед затикаємо діри.
Якщо вірус помічений на сайті, то його туди закачали, або через FTP (логін і пароль крадеться трояном з Вашого ПК або іншого ПК з якого проводився доступ до Сату) або ж доступ проведено через дірки в безпеки в системі сайту (складно і рішення не просте , для кожної системи своє загальне - оновити движок і всі модулі до актуальних версій).
1.1. Що б почистити комп'ютер від трояна який злив доступи FTP - насамперед поставте на пк антивірус СОПОС - Sophos Virus Removal Tool - http://www.sophos.com/en-us/products/free-tools/virus-removal-tool.aspx і проскануйте їм весь ПК.
1.2. Міняйте FTP пароль що б після видалення робот знову не поставив його на сайт якщо він защел через FTP а не дірки в системі.
2. Знаходимо сам вірус на сайті.
За поміченим особливостям вірус підступний Troj / JSRedir-MH він використовує стандартний файл Вашого двіка або теми прописує в ній посилання на файл js де закодований код проводить не просто редирект а відображення користувачеві як правило не всім а обмеженій групі (по ОС, браузеру, типу пристрою ...) файл .swf який вже в свою чергу редирект на сайт який проводить зараження відвідувача.
2.1. Шукайте в темі файл .swf швидше за все він буде невеликим (за датою і назвою не відштовхувати так як їх часто маскують під звичайний схожий під природний для сайту елемент). Видаляєте його.
2.2. Шукайте в файлах движка новий файл який буде з Разрещеніе .js і раніше небув на сайті (якщо немає бекапів - довше, доведеться порівнювати з вихідними файлами движка розробника). Видаляєте його.
2.3. У стандартних файлах движка або теми (в залежності від движка) шукайте де вставлявся той що знайшли в 2.2. Вирізуєте вставку.
3. Завершуємо проблему і повертаємося в серп чистими.
Йдемо в панель Яндекс Вебмастера і подаємо на перегляд, як показує практика перевірка проходить близько доби (від 2 до 72 годин) після чого якщо п. 1 був правильно виконаний то sopos не знайде вже вірусу і Яндекс прибере попередження.
Удачі Вам у видаленні підступного JSRedir-MH з вашого сайту!
Не забувайте зберігати сайти чистими і безпеки, якщо виникнуть складності в рішенні проблеми завжди можете звернеться до наших фахівців за допомогою по його видаленню в skype: w2b.kz вартість залежить від движка і джерела зараження, як правило обходиться в 25 $, очищення проводиться протягом діб.
