Статья рассчитана на более менее продвинутого вебмастера или продвинутого пользователя. Здесь представлен общий алгоритм и личный опыт очистки.

Если у Вас возникнут какие-то дополнительные вопросы, пожалуйста, не стесняйтесь обратиться в нашу службу поддержки. Мы всегда рады Вам помочь!

• Начинать очистку всегда нужно с компьютера администратора сайта, половина заражений происходят по причине кражи паролей (FTP или от панели управления сайтом). Лучше это делать не только тем антивирусом, который уже установлен на Вашем компьютере, но и каким-либо вторым, т.к. первый заведомо мог пропустить вирус.
• Вторым шагом скачиваем все файлы сайта к себе на компьютер, обязательно сохраняем резервную копию и проверяем рабочую копию антивирусом. Если Вы являетесь пользователем хостинга WebGuard, лучше использовать для проверки наш антивирусный сканер, интегрированный в файловый менеджер панели управления хостингом. Он на порядок лучше определяют web-вирусы по сравнению с классическими антивирусами, и в большинстве случаев находит 100% вредоносного кода на сайтах.
• Если Ваш сайт раположен на другом хостинге, проверять будем загруженную Вами копию сайта. В этом случае рекомендуется использовать антивирус Avast или Nod32, т.к. DrWeb и антивирус Касперского довольно часто пропускают простые вставки сторонних скриптов. Стоит однако отметить, что проверка сайта настольными антивирусами поможет Вам только в простых случаях заражения. Если после такой очистки сайт заразят повторно, лучше использовать при следующей очистке антивирус WebGuard.
• После проверки и получения списка заражённых файлов в отчёте приступаем к очистке:

1. 1. В первую очередь проверяем нет ли в отчёте вирусов типа phpshell, webshell, hacktool, trojan и т.п. Это как правило php файлы, через которые взломщик получает полный доступ к файлам сайта. Чаще всего, их можно просто удалить.
   2. Далее нужно удалить вирусы, прикреплённые к основным файлам сайта. Это оставшиеся найденные антивирусом файлы. Для этого Вам потребуется любой текстовый редактор, который позволяет производить поиск и замену в файлах с использованием регулярных выражений. Мы используем PhpED. Можно скачать полнофункциональную ознакомительную 30-ти дневную версию на официальном сайте. Как правило, оставшиеся вирусы прикрепляются либо вначале файла, либо в конце. Часто заражают только файл index.php в корневой папке сайта. Тогда достаточно просто удалить код вируса из index.php и шаг 3 можно пропустить. Если же файлов много, переходим к следующему шагу.
   3. Проанализируйте заражённые файлы. Вирусный код будет везде либо одинаковым, либо похожим.  Если код одинаковый, с помощью выбранного ранее редактора заменяем его на пустую строку во всех файлах сайта, потенциально подверженных заражению (*.php;*.php4;*.php5;*.inc;*.class;*.js;*.html;*.htm;*.css;*.htc;). Если строки вируса немного видоизменяются в файлах, но имеют общую структуру, нужно производить поиск по регулярным выражениям. Самый простой вариант, когда начало и конец строки с вирусом одинаковы. Тогда регулярное выражение примет вид:

начало_вируса.*конец_вируса

Лучше перед заменой произвести просто поиск и проверить, не попали ли в список найденных «здоровые» файлы. Если нет, производим замену.

1. 1. Конечно не исключено, что обычный антивирус не найдёт всех заражённых файлов. Для поиска не известных вирусов в своей работе мы используем собственный антивирусный сканер WebGuard (интегрированный в файловый менеджер нашей хостинг-панели) и ряд своих сигнатур основанных также на регулярных выражениях либо эвристическом анализе, но требующих дополнительного анализа при их использовании. Этот аспект мы рассмотрим в отдельной статье. Здесь можно можно привести пример пары наиболее безопасных выражений (пункты 5 и 6).
   2. На всякий случай ищем скрытые iframe:

<\s*iframe[^<>]*src\s*=\s*('|"|)\s*http://[^<>]*(width|height)[^<>]*=('|"|)(1|0|2|3|4|5)('|"|)[^\d<>]*(width|height)[^<>]*=('|"|)(1|0|2|3|4|5)('|"|)[^\d<>]*>\s*<\s*/\s*iframe\s*>

Анализируем найденное, и что не Вами добавлено, удаляем. Данную регулярку есть смысл поискать и в sql дампе базы данных.

1. 1. Используя мультистроковый поиск с использованием регулярных выражений проверяем .htaccess файлы:

.*(HTTP_USER_AGENT|REFERER).*
.*(Rewrite|Redirect).*http(|s)://

Это позволит выявить нестандартные перенаправления на сторонние сайты, которые выполняются только при выполнении каких-либо условий. Например, перенаправляются только посетители, пришедшие на сайт из поисковых систем. Такое перенаправление владелец сайта может долго не замечать, т.к. он чаще набирает адрес своего сайта в адресной строке.

1. После проделанных операций рекомендуется полностью удалить на хостинге папку с заражённым сайтом и залить с Вашего компьютера его очищенную версию.

После очистки сайта конечно желательно проанализировать логи веб-сервера, чтобы разобраться в причине заражения. Но это не всегда представляется возможным. Нередко логи дня заражения уже удалены или сайт заразили, украв FTP пароли (тогда анализ логов ничего не даст). Также, обязательно нужно выполнить несколько основных пунктов, которые значительно снизят риск повторного заражения. Читайте статью: Лечение сайта от вирусов. Защита после очистки.

Если самостоятельное удаление вирусов не удалось либо нет желания разбираться в этом, к Вашим услугам очистка сайта от вирусов специалистами WegGuard.pro

На сайте есть также устаревшая версия этой статьи. Но на наш взгляд она более трудна для понимая, хоть и рассматривает некоторые аспекты более детально.