Jsredir что это и как вылечить
17.09.16 23:29 (ответ для: Liza2791)
Liza2791 писал(а): Т.е. после установки лицензионной системы и лицензионного Каспера при первом пользовании у вас появилась та же проблема? Или вы что-то опять закачали на комп и ё.. роутер, он во всем виноват? Если всё так, как вы написали — только переустановили систему и сразу проявился вирус, обратитесь к вашему провайдеру. Я очень хорошо осведомлена в таких вопросах, ибо сама работаю в тех.поддержке одного из провайдеров
да ничего не закачивала, в том то и дело. заново устоновленная лицензионная версия ОС, Касперский(который никаких вирусов не обнаружил), вход в инет и опять всё по новой. только после перепрошивки, чистки и последующей настройки роутера(после сброса до заводских настроек) проблема исчезла. на данный момент всё чисто. просто вы сказали, что что грешить на роутер глупо, а дело то оказалось в нём. потому я и сказала — не делайте поспешных выводов.
16.09.16 20:12 (ответ для: SheRma)
SheRma писал(а): да нет никаких вирусовкроме того, о котором я написала. даже Касперский подтвердилесть лицензионка. я никакую заразную хрень не загружаю, с чего вы это взяли вообще? после полной переустановки ОС в верхней строке httpя ещё только на стартовую страничку яндекс захожу СРАЗУ появляется строка с jsredir. точно также и на двух других ноутбукахродители толком интернетом пользоваться не умеют, поэтому вообще ничего не загружают, а я к их ноутбукам даже не подхожу. прежде чем делать выводы, убедитесь в том, что вы осведомлены обо всём на все 100.
Т.е. после установки лицензионной системы и лицензионного Каспера при первом пользовании у вас появилась та же проблема? Или вы что-то опять закачали на комп и “ё.. роутер, он во всем виноват“? Если всё так, как вы написали — только переустановили систему и сразу проявился вирус, обратитесь к вашему провайдеру.
Я очень хорошо осведомлена в таких вопросах, ибо сама работаю в тех.поддержке одного из провайдеров
14.09.16 11:52 (ответ для: Liza2791)
да нет никаких вирусов(кроме того, о котором я написала). даже Касперский подтвердил(есть лицензионка).
я никакую заразную хрень не загружаю, с чего вы это взяли вообще?
после полной переустановки ОС в верхней строке http(я ещё только на стартовую страничку яндекс захожу) СРАЗУ появляется строка с jsredir.
точно также и на двух других ноутбуках(родители толком интернетом пользоваться не умеют, поэтому вообще ничего не загружают, а я к их ноутбукам даже не подхожу).
прежде чем делать выводы, убедитесь в том, что вы осведомлены обо всём на все 100.
Переустановка системы не помогла??? или переустановка чего? У вас вирусы гуляют, как в осеннем парке, но вы всё загружаете и загружаете всякую заразную хрень. Я даже не удивлена, что такие проблемы у вас с компьютером.
Вы думаете, что через роутер заразили все устройства? Вы настолько бездумно используете интернет и технику, что грешить на роутер глупо.
Обратитесь к специалисту, который почистит все ваши устройства и установит надежный антивирус, еще рекомендую вам установить Unchecky, который будет блокировать ненужные приложения, программы и снимать лишние галочки при установке новой программы на ваш компьютер, так как поняла, что вы любите всякий мусор устанавливать — отсюда и проблемы. Антивирус, в вашем случае, Касперский и ЛИЦЕНЗИОННЫЙ, а не, как вы привыкли — скачанный и установленный не бог весть откуда.
На вашем несчастном компьютере даже восстановление системы делать бессмысленно, ибо вы всегда им так неграмотно пользовались и точек восстановления чистых не найти на нем. Только переустановка системы.
11.09.16 15:20 (ответ для: ИзольдаФранцевна)
purr-kiri писал(а): надеюсь вы скоро найдете специалиста
только на это и надеюсь. спасибо)
11.09.16 15:19 (ответ для: SheRma)
SheRma писал(а): всё делала. и касперским и в безопасном. там уже системные файлы повреждены. вот только почему то переустановка ОС не помогла. всё равно гад возвращается. там в верхней строке, перед тем как зайти на любой сайт, отображается вот это jsredir и куча каких то значков и цифр после него.
жаль конечно, даже на запущенном компе родителей помогло(
странно, что после полной переустановки системы нет результата, все ж удаляется и заново устанавливается
действительно уже нужно предметно смотреть, раз общие рецепты не помогают
надеюсь вы скоро найдете специалиста
11.09.16 14:53 (ответ для: ИзольдаФранцевна)
purr-kiri писал(а): a вы можете скрин или ножницами изображение добавить?
всё делала. и касперским и в безопасном. там уже системные файлы повреждены. вот только почему то переустановка ОС не помогла. всё равно гад возвращается.
там в верхней строке, перед тем как зайти на любой сайт, отображается вот это jsredir и куча каких то значков и цифр после него.
торможу
3. и в безопасном режиме запустить ту программу
11.09.16 14:26 (ответ для: SheRma)
спросила мужа, он посоветовал
1. скачать Kaspersky Virus Removal Tool (он бесплатный)
2. установить
3. запустить компьютер в безопасном (!) режиме
должно помочь
11.09.16 14:13 (ответ для: SheRma)
a вы можете скрин или ножницами изображение добавить?
11.09.16 11:24 (ответ для: ИзольдаФранцевна)
делала. через время этой “чужой“ опять возвращается. мастеров приходило человек 10, если не больше(за этот год). один только предположил, что нужно обратиться к поставщикам услуг(провайдеру). пусть они разруливают ситуацию, потому что такое ощущение, что это что-то запущенное с их подачи, потому что почищено всё, что только можно и на вредоносные сайты я ни ногой(хотя девушка ниже предположила, что причина в этом).
Источник
Недавно один мой сайт-сателлит подвергся вирусному заражению. Когда это произошло, я не знаю: не прикасался к нему очень давно – несколько месяцев. Это потом будет иметь определенное значение.
В статье рассмотрим вопросы:
- Заражение вирусом. Как это было
- Самые первые действия по предотвращению дальнейшего заражения
- Как на хостинге отключить доступ по FTP
- Определение типа вируса
- Поиск вируса JS:Redirector-MR [Trj] на сайте с помощью файлового менеджера
- Что сообщает Google о вирусе JS:Redirector-MR [Trj]?
- Как удалить вирус с сайта?
- Продолжаем удалять вирус в других темах (шаблонах)
1. Заражение вирусом. Как это было
Предыстория вопроса такова. Первым мне сообщила о заражении одна из бирж, куда я добавил свой сайт. Проверка мною этого сайта антивирусами ничего не показала (а их было более 40 шт!). Чуть позже Яндекс мне сообщил письмами по всем известным ему моим почтовым ящикам о заражении сайта, кроме того в Яндекс.Баре на Панели инструментов появился значок о заражении одного из сайтов вирусом:
![Как удалить вирус JS:Redirector-MR [Trj]?](https://www.novichkoff.ru/wp-content/uploads/2012/04/12.jpg "1"){kind=small}
Рис.1
Зашел в Яндекс.Вебмастер посмотреть, что за вирус такой, оказался — Troj/JSRedir-GS. Название вируса мне ни о чем не говорит, полез в «Помощь» Яндекса в раздел «Безопасность сайтов». Перешел на страницу «Вердикты» — а об этом вирусе ничего нет. Видимо, он или новый, или редкий. Позже я выяснил, что ему от роду уже несколько месяцев (с декабря 2011г.) и почему-то он особенно «любит» российские и бразильские сайты.
Практически сразу же начал беспокоиться антивирус Avast! , установленный в моем компьютере, но я невнимательно прочел его сообщение (это, как потом выяснилось, тоже важно). Но Avast! как-то странно повел себя: то он показывает вирус, то – нет. Причем обычно было так – при первом заходе вирус как бы есть, а при повторном заходе на эту страницу как бы его нет.
Кстати, из всех бесплатных антивирусов его определяет только Avast! Кто хочет скачать аваст бесплатно – перейдите по ссылке. Конечно, его можно скачать и на сайте разработчика.
2. Самые первые действия по предотвращению дальнейшего заражения
Я решил прежде всего обезопасить другие свои сайты. Поскольку с зараженным сайтом мне хочешь -не хочешь приходится сейчас довольно плотно общаться, то довольно велика вероятность, что произойдет заражение компьютера, а через него – других сайтов (через Ваш FTP- клиент).
Чтобы не допустить этого я сделал:
- Удалил сохраненные пароли из FTP- клиента (увы, увы!)
- Отключил на хостинге доступ с помощью FTP – клиента.
- Все работы с сайтом стал проводить исключительно с помощью файлового менеджера хостинга.
3. Как на хостинге отключить доступ по FTP
Этот мой сайт располагается на хостинге jino.ru, поэтому все действия и будут показаны именно на его примере. На других хостингах должно быть все аналогично, если не разберетесь сами – обращайтесь к техподдержке.
Заходите в свой аккаунт и далее переходите во вкладку «FTP- аккаунты»:
![Как обнаружить и удалить вирус JS:Redirector-MR [Trj]?](https://www.novichkoff.ru/wp-content/uploads/2012/04/22-500x130.jpg "2")
Рис.2
Нам надо всего лишь сдвинуть ползунок в левое положение (как на скриншоте) и все, доступ закрыт. Правда теперь необходимо будет каждый раз, когда появляется желание поработать с FTP, надо предварительно переместить этот ползунок обратно и доступ снова будет открыт. Это можно обойти, если сделать специальный файл на сайте и прописать в нем IP адреса, с которых доступ разрешен. Но это тема отдельной статьи.
После этого я провел повторную проверку сайта и один из он-лайн сервисов показал, что вирус засел в одном из плагинов. Удалил плагин – антивирус успокоился. И я успокоился, а зря: перепроверка Яндекса показала, что вирус по-прежнему на сайте. – Видимо, это был тот самый момент когда вирус себя просто не проявлял и поэтому avast! его и не увидел.
Вывод: кавалерийская атака на вирус не удалась, придется перейти к долговременной осаде.
4. Определение типа вируса
Яндекс, как известно, обнаруживает антивирусы в сотрудничестве с sophos.com, пошел – там ничего, кроме призывов купить антивирус, — толком ничего нет. Или я не нашел. Порадовало одно – степень опасности этого вируса оценивается ими как низкая.
Погуглил. Совет был такой: снести зараженную тему (шаблон) и будет ОК. Так и сделал, вроде бы вируса не стало. Опять Яндекс этот сайт перепроверил и опять он показал, что вирус по-прежнему на сайте.
И вот тут-то я обратил внимание на то, что Avast! показывает совсем другой вирус — JS:Redirector-MR [Trj]. Я не знаю почему, но, кажется, один и тот же вирус обозначается по разному. Погуглил по этому вирусу, результатов в выдаче много, но они все несколько однообразные. Нет, там написано все правильно, но не до конца.
Смысл всех статей такой: вирус засел в файле functions.php (в самом низу файла), приведены скриншоты вируса и способы удаления. Сейчас я опишу то же самое, но применительно к файловому менеджеру хостинга.
5. Поиск вируса JS:Redirector-MR [Trj] на сайте с помощью файлового менеджера
Чтобы на Вашем хостинге попасть в этот файл и отредактировать его, Вам надо зайти в нужный (зараженный) сайт, перейти в папку wp-content, далее выбрать установленную тему и уже в ней найти этот файл:
![Как обнаружить и удалить вирус JS:Redirector-MR [Trj]?](https://www.novichkoff.ru/wp-content/uploads/2012/04/32-500x350.jpg "3")
Рис.3
Вверху в прямоугольнике показан путь до темы (default).
У вас на хостинге картинка почти наверняка будет отличаться – у jino.ru самописная панель управления. Но принцип должен быть тот же самый. Кликаете на значок редактирования файла (карандаш), у Вас открывается страница с содержимым файла, смотрите в самом низу:
![Как обнаружить и удалить вирус JS:Redirector-MR [Trj]?](https://www.novichkoff.ru/wp-content/uploads/2012/04/42-500x379.jpg "4")
Рис.4
Все, что идет после красной вертикальной черты и есть вирус. Четверть дела сделано – вирус JS:Redirector-MR [Trj] мы нашли.
Почему я уверен, что это вирус?
Во-первых, об этом сообщали другие вебмастера.
Во-вторых, через три (!) дня проснулся Google и в Инструментах для веб-мастеров тоже сообщил о найденном вирусе. Хотя перед этим он не видел – я несколько раз заставлял его перепроверить мой сайт: всегда было одно и то же – «вредоносного кода не обнаружено». Тут вариантов два: (1) Google научился определять этот вирус самостоятельно или по подсказке других (предполагаемый путь Яндекс – Mozilla — Google) и это лучший для меня вариант или же (2) вирус потихоньку расползается по сайту и только теперь Google смог его найти – худший вариант.
В третьих, и это самое главное, я сравнил файлы functions.php на сайте и в заведомо чистом WordPress’е этой же версии: там этого кода нет (в WordPress’е потому, что рабочую тему я снес раньше и поиск вируса проводил на дефолтной теме, которая идет в составе самого WordPress’а).
6. Что сообщает Google о вирусе JS:Redirector-MR [Trj]?
У подавляющего большинства вебмастеров Google ничего не сообщат об обнаруженном вирусе, мне – сообщил. Видимо, после моих многочисленных команд «Проверить сайт». Google, хоть и обнаружил вирус позже, чем Яндекс, но дает вебмастеру гораздо больше информации.
Чтобы увидеть подробное сообщение Google о вирусе, заходите в Инструменты для веб-мастеров и в списке сайтов видите неприятное сообщение .Выглядит оно так :
![Как обнаружить и удалить вирус JS:Redirector-MR [Trj]?](https://www.novichkoff.ru/wp-content/uploads/2012/04/52-500x168.jpg "5")
Рис.5
Чтобы и у Вас раскрылось окно «Проверка состояния сайта» (на скриншоте в левом нижнем углу) необходимо кликнуть по одноименной ссылке (показана стрелкой). Чтобы увидеть какое именно вредоносное ПО обнаружено поисковиком, кликните по ссылке «Обнаружено ли вредоносное ПО?»
![Как обнаружить и удалить вирус JS:Redirector-MR [Trj]?](https://www.novichkoff.ru/wp-content/uploads/2012/04/62-500x227.jpg "6")
Рис.6
В столбце «Проблемные URL на сайте» будет показан перечень обнаруженных зараженных страниц. Напротив каждой обнаруженной зараженной страницы будет стоять ссылка «Сведения». Кликните по ней:
![Как обнаружить и удалить вирус JS:Redirector-MR [Trj]?](https://www.novichkoff.ru/wp-content/uploads/2012/04/72.jpg "7")
Рис.7
Вот этот код вируса (жаль, что Яндекс такой картинки не показывает – было бы намного легче.). Этот код надо удалить.
7. Как удалить вирус JS:Redirector-MR [Trj]?
Я предлагаю сделать это вручную, хотя можно и с помощью плагина Web Security Tools. Как это сделать, хорошо описано здесь .
Для ручного удаления вируса, следует выделить мышью весь вирус до самого конца:
Рис.8
И нажимаете клавишу «Delete». После этого надо нажать кнопку «Сохранить» (расположена ниже, на скриншоте не видно). Все, вирус почти удален. Почему почти? – Читаем дальше.
8. Продолжаем удалять вирус в других темах (шаблонах)
Сколько у Вас на сайте стоит шаблонов? Один-два установленных в WordPress по умолчанию и еще как минимум один – рабочий. И во всех этих темах сидит вирус! В том же самом файле functions.php.
Помните, в начале статьи я писал, что удалил с сайта рабочую тему? Посмотрите на скриншоты (например, на рис.5) там показано, что все действия я делал на дефолтном шаблоне. Он тоже оказался зараженным, как и все другие темы на этом сайте. Поэтому на своих сайтах откройте другие темы, проверьте и все сделайте как в первый раз.
Теперь Вы понимаете, почему я писал, что вирус JS:Redirector-MR [Trj] расползается по сайту.
Некоторые люди жалуются, что через некоторое время вирус на сайте появляется снова. Тут вариантов два.
Первый: вирус имеет несколько составляющих и одна из них контролирует наличие на сайте этого вредоносного кода. Как найти эту составляющую я пока не знаю, поэтому выделенный вирус отправил на исследование Касперскому, Dr.Web’у и Яндексу – пусть разбираются.
Второй: вирус сидит на сервере хостинга. Значит, надо бороться там и причем самим, на техподдержку хостинга здесь никакой надежды нет.
В любом случае полдела – обнаружили и удалили вирус JS:Redirector-MR [Trj] с сайта – мы сделали. Но это еще не все, нам предстоит еще кое-какая работа. Обо всех Ваших последующих действиях, в том числе и по предотвращению заражению сайтов, мы поговорим в другой статье.
Источник
