Сообщений в теме: 33

[RUnet Keeper]

P.S. Главный админ тоже человек!!! У него есть эмоции и чувства!!!

[Анатолий Белоусов]

Ни фига себе главный админ, в шоке млин

А как еще должен чувствовать себя главный админ, когда приходят какие-то засранцы и вставляют трояны в его форум?
Прыгать от радости, что ли?

P.S. А Вы, Antimatrica, судя по Вашим трём постам, оставленным на нашем форуме, и по Вашему нику - как раз и принадлежите к лагерю тех самых засранцев-антилохов, которые занимаются в Сети подобными грязными делишками? Или я ошибаюсь?

[Алик]

А как еще должен чувствовать себя главный админ, когда приходят какие-то засранцы и вставляют трояны в его форум?
Прыгать от радости, что ли?

P.S. А Вы, Antimatrica, судя по Вашим трём постам, оставленным на нашем форуме, и по Вашему нику - как раз и принадлежите к лагерю тех самых засранцев-антилохов, которые занимаются в Сети подобными грязными делишками? Или я ошибаюсь?

Анатолию большой привет и моё почтение!
А, вот, что касается данной проблемы - совсем недавно сам с ней столкнулся! Установил на своём хостере сразу два форума, чтобы посмотреть, который из них более удобный. Настроил, а, на следующий день при попытке войти в админку тут же получил от моего файерволла предупреждение, что файлы на хосте заражены! (у меня стоит Outpost Security Suite Pro 2007) и, самое главное, что заразились файлы не только на хосте, но, и, на компе!!! Быстренько связался со службой поддержки моего хостинга и получил от них такой ответ: "В случае обнаружения следов вируса необходимо выполнить следующие действия с
обязательным соблюдением порядка:

1. Удалить вирусное содержимое со страниц вашего сайта.
2. Проверить локальный компьютер на наличие вирусов.
3. Зайти в панель управления хостинг-аккаунтом и изменить пароль на cPanel,
пользователей FTP."
И, далее: "код начинающийся с <!-- ~ --><iframe ::::</iframe--><!-- ~ -->Либо <!--
~ --><script language=JavaScript>function dc(x){var ::::N")</script><!--
~ --> Обычно сверху или с низу"
Затем: "У вас вирус в странице Просканируйте свой компьютер антивирусной программой
к примеру касперским и удалите его На ФТП и сПанель замените пароль
В public_html/index найдите код начинающийся с <!-- ~ --><iframe
::::</iframe--><!-- ~ -->Либо <!-- ~ --><script language=JavaScript>function
dc(x){var ::::N")</script><!-- ~ --> Обычно сверху или с низу и удалите его..."
И ещё: "В сети интернет появился новый тип вируса - Downloader.JS.Psyme.ct
(возможны другия названия), распространяющий себя через веб-сайты.
Схема заражения довольно проста: достаточно зайти на зараженный сайт и
при стандартных настройках безопасности браузера, вирус автоматически
установится на компьютере пользователя. После этого он начинает
отслеживать логины и пароли от FTP, высылая их злоумышленникам. Собрав
определенное количество паролей, запускается специальная программа,
которая подключается по FTP к каждому сайту и встраивает в начало или
конец страниц собственный html-код."
Каково?!!!
Так, что Анатолия прекрасно понимаю! И, полностью с ним согласен!

[Антон Пушкарёв]

Извините, но на форуме ТРОЯН всё ещё живой:

Name:Win32.TrojanPWS.LdPinch
Category:Monitoring Tool
Object Type:Regkey
Size:15 Bytes
Location:clsid\{b495cafe-d53f-408b-a081-0814be80eb3e}\
Last Activity:30.09.2007
Relevance:Low
TAC index:10
Comment:
Description:Win32.TrojanPWS.LdPinch is a trojan that will run in the background and monitor the user while surfing. It will also try to steal passwords from different kinds of messengers and ftp programs. Stolen information is sent back using either email or http traffic.

Может всё же обратите внимание на этот факт?

[Вячеслав Сивак]

Извините, но на форуме ТРОЯН всё ещё живой:

Name:Win32.TrojanPWS.LdPinch
Category:Monitoring Tool
Object Type:Regkey
Size:15 Bytes
Location:clsid\{b495cafe-d53f-408b-a081-0814be80eb3e}\
Last Activity:30.09.2007
Relevance:Low
TAC index:10
Comment:
Description:Win32.TrojanPWS.LdPinch is a trojan that will run in the background and monitor the user while surfing. It will also try to steal passwords from different kinds of messengers and ftp programs. Stolen information is sent back using either email or http traffic.

Может всё же обратите внимание на этот факт?

Расскажите поподробнее, пожалуйста: на какой именно странице форума и какой программой Вы этот вирус обнаружили???

[Антон Пушкарёв]

Расскажите поподробнее, пожалуйста: на какой именно странице форума и какой программой Вы этот вирус обнаружили???

Я пользуюсь антишпионом Ad-Aware SE personal. А этот вирус я нахожу только тогда, когда открыт этот форум на компе. Поскольку я этот форум читаю постоянно, мне приходится запускать этот антивирус на проверку постоянно, и из-за этого момента не могу точно сказать, на какой именно странице проходит троян. Могу только указать места форума, где я бывал в последнее время:
http://forum.e-comme...?showtopic=6999
http://forum.e-comme...hp?showforum=19
http://forum.e-comme...hp?showforum=80
http://forum.e-comme...?showtopic=7580
http://forum.e-comme...?showtopic=6913
http://forum.e-comme...?showtopic=7237
http://forum.e-comme...?showtopic=7235
http://forum.e-comme...?showtopic=5227
http://forum.e-comme...hp?showforum=77
http://forum.e-comme...?showtopic=7543
http://forum.e-comme...hp?showforum=78
вот примерный список

[Анатолий Белоусов]

Мой NOD32 в упор ничего не обнаруживает!!!

Если используется Ad-Aware SE personal, это может быть не троян вовсе, а какой-то безобидный скрипт, являющийся компонентом самого форума...

Ладно, не будем ломать голову...
Уверен, Вячеслав разберется!!!

[Антон Пушкарёв]

Уверен, Вячеслав разберется!!!

Кстати, антивирус и не должен в этом случае ничего обнаруживать. Для таких случаев как раз и существуют антишпионы и антитрояны. То, что находит антишпион, является кусочками, частями этого вируса. Которые когда нибудь, собравшись вместе, сработают как вирус. А до этого эти кусочки для антивируса - просто кусочки...
Будем надеяться, что эти части вируса никогда не соединятся и будут вовремя обнаружены

Мой NOD32 в упор ничего не обнаруживает!!!

У меня тройной экран из Ad-Aware SE Personal + Avast Pro + Agnitium Outpost (спасал уже тыщу раз если не больше)

[Анатолий Белоусов]

У меня тройной экран из Ad-Aware SE Personal + Avast Pro + Agnitium Outpost (спасал уже тыщу раз если не больше)

Согласен, но такая конструкция очень много и ложных срабатываний выдавать может...

[Антон Пушкарёв]

Согласен, но такая конструкция очень много и ложных срабатываний выдавать может...

Ну не знаю ... эта троица уже проверена временем, я их использую второй год и не раз она спасала мой комп именно своевременным сигналом, на который я соответственно реагировал ...
Я же не просто их установил и всё. Я же их настраиваю как надо работать друг с другом

[Анатолий Белоусов]

Я же не просто их установил и всё. Я же их настраиваю как надо работать друг с другом

Да, согласен!
Грамотная тонкая настройка - это 90% адекватрой работы такого рода прог!

[Ярослав]

Вчера на главной странице форума действительно был iframe, в самом верху. Сегодня его уже нет. Адреса я, к сожалению, не запомнил. NOD32 молчал.

[=Дмитрий=]

Вчера на главной странице форума действительно был iframe, в самом верху. Сегодня его уже нет.

iframe открывались при переходе по любой ссылке "последнее сообщение".
адрес что-то вроде gc-detective.com.

После апдейта баз на нод32 я проверил комп и нашел троян, какой-то не очень известный, win32.goldun вроде назывался
Кто-то писал, что там был Pinch, но пинч - это старье, детектится абсолютно всеми антивирусниками, и у себя я его не обнаружил, хотя вирус абсолютно точно проявил себя - через некоторое время начал подвисать комп (по альт-табу программы не переключались, потом меню пуск и панель задач подвисла, потом я перезагрузился) и иконка коннекта к сети появлялась где-то через полторы минуты после того, как коннект уже произошел.

Не понимаю дебилов, которые потроянили форум. Серьезных проблем ни у кого не было, да и сразу вызывает подозрение растянувшаяся панель наверху.
Вайп форума вызвал бы гораздо больше проблем.

У кого какие мнения? Это вторая или третья атака на форум, кто бы это мог быть? Антилохов не видно и не слышно, вряд ли они...

[Вячеслав Сивак]

У меня стоит Kaspersky Internet Security 7.0 (там и файервол, и все остальное) с самыми свежими базами. Никакого вируса не обнаруживается. 1 октября на форуме действительно был вирус, я поудалял его и после этого никакие изменения в исходные файлы форума не вносились.