Зарегистрировался на форуме в надежде дать небольшую подсказку. Сам часто мучаюсь из-за безответственности офисных сотрудников, сливающих пароли раз за разом (уничтожьте Total Commander
).
Сегодня Avast заругался на JS:Redirector-PB (иногда показывает URL:Mal, объект activatedreplacing.is-very-evil.org) на одном из наших сайтов.
Судя по всему, заражение произошло из-за "утечки" пароля. Удаленный сервер автоматически внедряет обфусцированный javascript во все файлы с расширением .js (2-3 строчки, содержание их варьируется из файла в файл).
Расшифровывать не умею и JS не знаю, поэтому действие этого кода остается для меня загадкой.
Если js-файлов у вас сотни (как в моем случае) и будете удалять автозаменой (perl/ced), то учитывайте, что строки варьируются, поэтому прежде лучше собрать все образцы.
Из-за нерабочего автобэкапа потерял половину дня! Делайте бэкапы, не создавайте себе лишнюю работу.