Как удалить майнер с сайта на 1С-Битрикс?

Question

[Александр Растаманов]

Добрый день!

Сайт 1С-Битрикс: Управление сайтом 16.0.13.
Заражен майнером (по версии Каспера) HEUR:Trojan.Script.Miner.gen

Нашел инструкцию по которой нужно было удалить файлы:
/bitrix/js/main/core/core_loader.js
/bitrix/js/main/core/core_tasker.js
/bitrix/tools/check_files.php - шелл (у меня его в принципе не было)
/bitrix/gadgets/bitrix/weather/lang/ru/exec/include.php - backdoor

Возможно он так же прописан в /bitrix/modules/main/include.php, но его естественно удалять нельзя. Рекомендуют скачать этот файл от аналогичной версии.

Все перечисленное удалил, кроме include.php, пароль у админа поменял, но троян появляется снова и снова.

Два вопроса:
1. Может кто сталкивался с ним и нужно копать еще где-то ?
2. Где взять чистый include.php моей версии ? Поиск выдает левые сайты, не внушающие доверия.

Comments

[Ярослав Александров]

Какая редакция у вас лицензии и дата последних установленных обновлений. У меня есть битрикс установщики разных годов.

[Александр Растаманов]

Ярослав Александров, спасибо за отклик! Ниже дали ссылку на решение.

[Ярослав Александров]

Думаю вас не по тому пути направили. Я так понимаю у вас нет обновлений и вы еще не запускали антивирусную проверку на хостинге, либо получите в скором времени письмо счастья о блокировке аккаунта.
Так вот Антивирус ImunifyAV , Virusdie и т.д. определяют наличие трояна найденного Касперским в файле include.php сразу.
У вас реально троян.