У Вас в настройках PHP register_globals=ON? какеры идут к Вам!!!

Файловый Архив

  • Неограниченное количество категорий и суб-категорий
  • Настройки прав доступа по группам
  • Настройки прав доступа по каждой категории
  • Предпросмотр медиа файлов: FLV, IFLV, F4A, F4V, MP4, MP3, MOV и других...
  • Мультизагрузка файлов - SWFUploader
  • Добавление файлов с сервера
Подробности и история обновлений продукта в этой теме
Loading

Go Back   форум vBSupport.org > > > >
Register Изображения Меню vBsupport Files Manager Аллея Звёзд Реклама на форуме Search Today's Posts Mark Forums Read
  • Мемберка
  • Администраторам
  • Premoderation
  • For English speaking users
  • Изменения в правах
  • Каталог Фрилансеров
Пароли на скачивание файлов в Member Area меняются автоматически каждый день
Если вам нужно скачать какой то скрипт, за паролем ко мне в ЛС
привет какирам kerk
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота.
Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
На форуме введена премодерация ВСЕХ новых пользователей

Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
for English speaking users:
You may be surprised with restriction of access to the attachments of the forum. The reason is the recent change in vbsupport.org strategy:

- users with reputation < 10 belong to "simple_users" users' group
- if your reputation > 10 then administrator (kerk, Luvilla) can decide to move you into an "improved" group, but only manually

Main idea is to increase motivation of community members to share their ideas and willingness to support to each other. You may write an article for the subject where you are good enough, you may answer questions, you may share vbulletin.com/org content with vbsupport.org users, receiving "thanks" equal your reputation points. We should not only consume, we should produce something.

- you may:
* increase your reputation (doing something useful for another members of community) and being improved
* purchase temporary access to the improved category:
10 $ for 3 months. - this group can download attachments, reputation/posts do not matter.
20 $ for 3 months. - this group can download attachments, reputation/posts do not matter + adds eliminated + Inbox capacity increased + files manager increased permissions.

Please contact kerk or Luvilla regarding payments.

Important!:
- if your reputation will become less then 0, you will be moved into "simple_users" users' group automatically.*
*for temporary groups (pre-paid for 3 months) reputation/posts do not matter.
Не можете скачать вложение?
Изменения в правах групп пользователей
внимательно читаем эту и эту темы
Короткая версия - тут
Уважаемые пользователи!

На форуме открыт новый раздел "Каталог фрилансеров"

и отдельный раздел для платных заказов "Куплю/Закажу"

 
 
Первый пост
Old  
Pozniy
Продвинутый
Default 0

Quote:
Originally Posted by VipeR View Post
Nod32 + Outpost Firewall - Лучшая цепочка для безопасности рабочей станции. ИМХО.
Надеюсь.

Кстати, там в Outpost Firewall Pro ver. 4.0 есть свой спайваре-сканер. Но эта зараза не хочет обновлять базу спайваре (при том, что лицензионный). Это только мне такое счастье? (Как мне сдается с Аутпоста спайваре сторож - не очень, а вот как файрвол - ненарадуюсь)
 
Bot
Yandex Bot Yandex Bot is online now
 
Join Date: 05.05.2005
Реклама на форуме А что у нас тут интересного? =)
Old  
КотЪ
Администратор
Неадекватный
 
КотЪ's Avatar
Default 2

Quote:
Originally Posted by mikhenty View Post
C завидным постоянством Каспер ругается ...
Обнаружено: вредоносная программа Exploit.HTML.IESlice.n Скрипт: http://www.название основного ресурса.ru/[3]
После чего, просматривая HTML код главной страницы .index в самом низу обнаруживаю бяку (бессмысленный набор знаков и прочей ерунды) ...
Вычищая, все становится на свои места и ругани больше нет ...
Но она же зараза лезит от куда-то ...

Я перенес весь HTML код в блокнот, заархивировал и присоеденил к данному посту ...
(Архив антивирусом проверил, но все же ...)

Помогите плиз разобраться куда и к кому бежать ...
Хостер на меня балон катит ...
Хостер правильно катит баллон.

Вам необходимо очистить компьютер от трояна, передающего сохраненные пароли злоумышленникам (icq, почта, фтп-клиенты).
Затем сменить ВСЕ используемые пароли, в том числе к панели управления и фтп.
И далее - очистить код индексных страниц вашего сайта.

Подробнее об этом распространенном сейчас вирусе, вы можете прочитать например, здесь:


http://forum.searchengines.ru/showthread.php?t=132909
http://tutmedia.com/ya2.html
http://www.host.ru/news/2007/03/19.html
 
Old  
КотЪ
Администратор
Неадекватный
 
КотЪ's Avatar
Default 0

Quote:
Originally Posted by Martell View Post
Nod32 + Cтенка каспер проблем пока не было.Есть нод на 16715512 дней,если кому надо могу куда нить закинуть.
НАДО!
 
Old  
g0rn
Гуру
Default 0

Quote:
Originally Posted by КотЪ View Post
НАДО!
Паддерживаю! а то как идиот каждый месяц переустанавливаю..(
 
Old  
Pozniy
Продвинутый
Default 0

Quote:
Originally Posted by КотЪ View Post
Подробнее об этом распространенном сейчас вирусе, вы можете прочитать например, здесь:

http://forum.searchengines.ru/showthread.php?t=132909
http://tutmedia.com/ya2.html
http://www.host.ru/news/2007/03/19.html
БЛЯ, ВОЛОСЫ ДЫБОМ!!! всё, чем пользуюсь в следующем ниже списке - это надо прочитать всем!:

Quote:
Технические детали

Троянская программа, относящаяся к семейству троянов, ворующих пароли пользователя. Предназначена для кражи конфиденциальной информации. Является приложением Windows (PE EXE-файл). Имеет размер — 25600 байт. Упакована при помощи UPX, распакованный размер — около 250 КБ. Написана на Ассемблере.
Деструктивная активность

После запуска троянец добавляет следующую запись в системный реестр:
[HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"<имя троянской программы>" = "<имя троянской программы>:*:Enabled:<имя троянца без расширения>"

Троянец непрерывно ищет в системе окна с именами класса «AVP.AlertDialog», «AVP.AhAppChangedDialog», «AVP.AhLearnDialog» и имитирует в них нажатия на кнопки «Разрешить», «Allow», «Skip», «Создать правило», «Apply to all», «Remember this action». Закрывает окна с именем класса «AVP.Product_Notification».

Троянец непрерывно ищет в системе окна с заголовком, содержащим следующие строки: «Kaspersky Anti-Hacker — Создать правило для» или «Kaspersky Anti-Hacker — Create a rule for» и имитирует нажатия на кнопку «Разрешить однократно» или «Allow Once».

Также троянская программа имитирует нажатия на кнопку «OK» в окнах с заголовками:
Внимание: некоторые компоненты изменились
Warning: Components Have Changed
Скрытый процесс запрашивает сетевой доступ
Hidden Process Requests Network Access

Троянец собирает информацию о жестком диске, количестве свободного места на нем; об учетной записи текущего пользователя, сетевом имени компьютера, версии операционной системы, типе процессора; возможностях экрана, установленных на компьютере; программах, запущенных процессах и существующих в системе dialup-соединениях.

Троянец ищет файлы account.cfg и account.cfn в папках:
%Documents and Settings%\<имя текущего пользователя>\Application Data\BatMail
%Documents and Settings%\<имя текущего пользователя>\Application Data\The Bat!

А также в папках, на которые указывают параметры ключа реестра:
[HKCU\Software\RIT\The Bat!]
Working Directory
ProgramDir

Содержимое найденных файлов похищается.

Троянец получает из реестра путь к установленному Mirabilis ICQ, ищет в его папке файлы с расширением DAT и похищает их содержимое. Также получает значения следующих ключей реестра:

[HKCU\Software\Mirabilis\ICQ\NewOwners]
[HKLM\Software\Mirabilis\ICQ\NewOwners]

Троянская программа ищет файлы с расширением DAT и похищает их содержимое посредством считываения пути к установленой Miranda из раздела реестра:

[HKLM\Software\Miranda]
Install_Dir

Также троянец ищет параметр с именем RQ.exe и RAT.exe в параметрах ключа реестра:

[HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache]

И если находит, получает его значение и использует для поиска файла andrq.ini. Если нет, то получает значение ключа реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\RQ]
UninstallString

и использует его для поиска файла andrq.ini.

Троянец получает путь к папке с установленным Trillian из ключа реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Trillian]

В реестре прочитывает содержимое файла users\global\profiles.ini, извлекая информацию о текущих профилях пользователя. Также читает имена пользователей и пароли из файла aim.ini.

Также троянец получает путь к папке с установленным Total Commander из следующих ключей реестра:
[HKCU\Software\Ghisler\Windows Commander]
[HKCU\Software\Ghisler\Total Commander]
[HKLM\Software\Ghisler\Windows Commander]
[HKLM\Software\Ghisler\Total Commander]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Total Commander]
UninstallString
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Total Commander XP]
UninstallString
[HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache]
Totalcmd.exe

В указанной папке, а также в папке %WinDir% ищет файл wcx_ftp.ini или ftp.ini, в котором находит параметры и получает их значения:

host
username
password
directory
method

Троянская программа получает путь к папке из следующего ключа реестра:

[HKCU\Software\RimArts\B2\Settings],

ищет в ней файл Mailbox.ini, в котором получает значения следующих параметров:

UserID
MailAddress
MailServer
PassWd

Троянец получает список записей адресной книги, а также пароли на учетные записи Microsoft Outlook из ключа реестра:
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook]

Троянец получает путь к установленным CuteFTP и CuteFTP Professional, ищет и похищает содержимое файлов:

sm.dat
tree.dat
smdata.dat

Троянец получает значения параметров из файла %WinDir%\edialer.ini:

LoginSaved
PasswordSaved

Троянская программа получает список ключей раздела

[HKCU\Software\Far\Plugins\FTP\Hosts]

В найденных ключах получает значения следующих параметров:

HostName
User
Password
Description

Троянец читает из реестра путь к установленному браузеру Opera и ищет файл \profile\wand.dat (с последующим похищением содержимого) в папке браузера, а также по указанному пути:

%Documents and Settings%\<имя пользователя>\Application Data\Opera

Получает из реестра путь к установленному браузеру Mozilla и похищает содержимое всех файлов в папке Profiles.

Троянец получает путь к программе QIP из ключа реестра
[HKCU\Software\Microsoft\Windows\ShellNoRoam]
"qip.exe"

и ищет в его папке в подпапке Users все имеющиеся папки после чего читает из файлов Config.ini, расположенных в этих папках, следующие значения:

Password
NPass

Троянец читает содержимое файла
%Documents and Settings%\<имя пользователя>\Application Data\Thunderbird\Profiles.ini

и извлекает из него пути к профилям, по которым далее ищет файлы signons.txt и prefs.js и получает их содержимое.

Получает значения всех подключей ключа реестра:

[HKCU\Software\Mail.Ru\Agent\mra_logins]

Троянец читает из файла
%Documents and Settings%\<имя пользователя>\Application Data\Qualcomm\Eudora\Eudora.ini

следующие параметры:

RealName
ReturnAddress
PopServer
LoginName
SavePasswordText

Читает путь к папке с установленным Punto Switcher из ключа реестра:

[HKCU\Software\Punto Switcher]

и читает содержимое файла "diary.dat".

Читает значения файла
%Documents and Settings%\<имя пользователя>\Application Data\.gaim\accounts.xml

Троянец похищает содержимое файлов, которые находятся в профилях Firefox. Также похищает содержимое файла FileZilla.xml, получая путь к папке с установленным FileZilla из ключа реестра:

[HKCU\Software\FileZilla]
Install_Dir

Получает из реестра путь к папке с FlashFXP и похищает содержимое файла Sites.dat.

Троянец похищает содержимое файлов:

%WinDir%\VD3User.dat
%WinDir%\Vd3main.dat,

а также таких файлов, как:
%Documents and Settings%\<имя пользователя>\Application Data\SmartFTP\Client 2.0\Favorites\ Favorites.dat
%Documents and Settings%\<имя пользователя>\Application Data\SmartFTP\Favorites.dat
%Documents and Settings%\<имя пользователя>\Application Data\SmartFTP\History.dat

[HKCU\Software\CoffeeCup Software\Internet\Profiles]

Из подключей ключа данного реестра похищаются следующие значения:

HostName
Port
Username
Password
ItemName

Троянская программа читает значение параметра в ключе реестра
[HKCU\Software\Microsoft\Windows\ShellNoRoam]
USDownloader.exe

и использует его для поиска следующих файлов, содержимое которых похищает:

USDownloader.lst
Depositfilesl.txt
Megauploadl.txt
Rapidsharel.txt

Аналогично троянец поступает со значением параметра в ключе реестра
[HKCU\Software\Microsoft\Windows\ShellNoRoam]
rapget.exe,

используя его для поиска файлов:

rapget.ini
links.dat

Также похищается содержимое файлов с расширением .rdp, находящихся в папке:
%Documents and Settings%\<имя пользователя>\Мои документы

Отчет со всей собранной информацией троянская программа отправляет на электронную почту злоумышленника spartak***@mail.ru.
Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Выгрузить из памяти троянский процесс.
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).

...

источник - http://www.viruslist.com/ru/viruses/...virusid=147349
В системном реестре, там где сказано, нашел запись:
"*:\WINNT\Temp\counter.exe:*:Enabled:Enabled"
При попытке просмотреть свойства этого, бля, "каунтера" NOD заматерился:
"*:\WINNT\Temp\counter.exe - модифицированный Win32/PSW.LdPinch.NCB троян"

БЛЯ!!! БЛЯ!!! БЛЯ!!! БЛЯ!!! БЛЯ!!! БЛЯ!!! БЛЯ!!! .....

Это при том что стоял и файрвол и нод а до этого две недели назад скрэйбил комп тремя спайскрабами! Кстати, на счет файрвола. Было дело. Помню. При загрузке одной вредной страницы Файрвол открыл окно, но оно тут же закрылось. Ещё удивился...

КотЪ, огромный тебе респект!!!

А я пошел, бля-бля-бля, пароли менять, все... 200 с лиху...м штук.....................................

Last edited by Pozniy : 06-06-2007 at 09:25 PM.
 
Old  
g0rn
Гуру
Default 0

прикольный троян..
пинч отдыхает..
где-бы компилятор скачать можно было=)
 
Old  
KitsuneSolar
Эксперт
Default 0

Quote:
Originally Posted by Pozniy View Post
Это при том что стоял и файрвол и нод
Нод иногда не реагирует на вирусы/трояны в дежурном режиме.
Это выявляется только полной проверкой компа.
Сам не раз с этим сталкивался.
Так что нод тоже ф топку. А то нахвалили его тут... ппц...
 
Old  
Pozniy
Продвинутый
Default 0

Quote:
Originally Posted by g0rn View Post
прикольный троян..
пинч отдыхает..
где-бы компилятор скачать можно было=)
без вопросов
набираешь в браузере (корректно) погоняло:

http:/ / razorstudio.org /tds/ iframe.php

и ловишь.... (злая шутка)
 
Old  
g0rn
Гуру
Default 0

Quote:
Originally Posted by Pozniy View Post
без вопросов
набираешь в браузере (корректно) погоняло:

http:/ / razorstudio.org /tds/ iframe.php

и ловишь.... (злая шутка)
я хачу исходники подправить - чтоб отчеты шли мне на мыло, а не васепупкину на

Quote:
Originally Posted by Pozniy View Post
spartak***@mail.ru.
 
Old  
Malcolm Reed
Эксперт
 
Malcolm Reed's Avatar
Default 0

Quote:
Originally Posted by Pozniy View Post
БЛЯ!!! БЛЯ!!! БЛЯ!!! БЛЯ!!! БЛЯ!!! БЛЯ!!! БЛЯ!!! .....
А мне откровенно похуй.
 
 

Thread Tools

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off




All times are GMT +4. The time now is 01:36 PM.


Powered by vBulletin® Version 3.0.15
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.