Шо за... - CM Russia Forum

CM Russia

Помощь Поиск Пользователи Календарь

Здравствуйте, гость ( Вход | Регистрация )

CM Russia Forum > Разделы форума > Наш сайт

Шо за...

Опции

AleksWesT	May 11 2005, 19:02 Сообщение #1
The BEST from the WEST! Группа: Элитарный Клуб Сетевиков Сообщений: 2403 Регистрация: 10-July 04 Пользователь №: 24	Чё за users.php вылезает при открытии главной страницы?

Ответов

Admin

May 12 2005, 17:38

Сообщение #2

Младший Бог

Группа: Admin
Сообщений: 872
Регистрация: 13-July 04
Пользователь №: 32

QUOTE (Serg Chudo @ May 12 2005, 17:27)

вот что у меня добавилось после вчерашнего вашего хака.
Это страшное?

ты уверен что оно добавилось только вчера ?
lsass.exe - стандартный файл от винды.
Черви использующие уязвимость в LSASS (тот же Sasser, например) - просто вызывают ошибку в выполнении этого файла и получают потом управление.
Сам файл lsass.exe - по идее ничего с вирусами общего не имеет.

Другое дело, что любой червь\троян может иметь точно такое же имя файла. НО! оригинальный lsass.exe ДОЛЖЕН находиться в system32 каталоге. Если он у вас валяется где-то еще - проверяйте на www.kaspersky.com/scanforvirus и если будет "ок" - шлите на newvirus@kaspersky.com, будем смотреть.

"Взлом" сайта и наличие там VB-скрипта в принципе может означать, то что был подсунут Trojan-Dropper (именно вот тот VBS), который использует уязвимости в непропатченных IE и ставит в систему какой-нибудь троян. С именем lsass.exe и НЕ в каталог system32

Карочи. Серега - тебе надо посмотреть в файрволе - точный путь к этому файлу.

да и еще... такой способ (взлом и размещение дропера) характерны для Trojan-PSW.Win32.LdPinch
глянь у себя в корне диска C: наличие файлика out.bin или 0.bin, вообще любого файла с расширением *.bin (размер небольшой). атрибуты - скрытый\системный.

Ответить с цитированием данного сообщения

Сообщений в этой теме

AleksWesT Шо за... May 11 2005, 19:02

SergeyZ Понятия не имею. Скриншот давай. May 11 2005, 19:03

AleksWesT Даю May 11 2005, 19:08

Serg Chudo и у меня сегодня весь день файрвол ругается на это... May 11 2005, 20:00

ap78 Дурилки вы картонные. С самого утра трояны на глав... May 11 2005, 20:13

ap78 ЗЫ. Админам сайта НИЗАЧОТ :bash: May 11 2005, 20:14

SergeyZ Нету тут никаких троянов. Просто в новостях ссылка... May 11 2005, 20:28

SergeyZ Сообщения файрволов и антивирусов давайте. Без них... May 11 2005, 20:30

SergeyZ Все, в причине разобрался. Действительно, попытка ... May 11 2005, 20:34

brother brown вот ведь у нас в стране хакеров полно, на всех хва... May 11 2005, 20:43

SergeyZ К сожалению, отследить не удалось. Включил следящу... May 11 2005, 23:33

Ole Lukoye Меня можешь исключить из состава подозреваемых... ... May 11 2005, 23:34

SergeyZ А я тебя в этот состав и не включал :) May 11 2005, 23:35

Admin йа тоже не виноват :oops: May 12 2005, 00:24

Dirty Andy Камменты жжут? :) May 12 2005, 00:26

Serg Chudo вот что у меня добавилось после вчерашнего вашего ... May 12 2005, 16:27

SergeyZ Это к Админу :) Вообще да, в том самом users.php б... May 12 2005, 16:34

Serg Chudo Ладно, меня хоть файрвол предупредил. А сколько юз... May 12 2005, 17:01

romario экзешники где у него? May 12 2005, 17:03

Serg Chudo только в памяти, больше нигде. на винте лежит сааа... May 12 2005, 17:08

Serg Chudo ващето начинает мне казаться, что сассер, и lsass.... May 12 2005, 17:15

SergeyZ http://www.viruslist.com/ru/viruses/encycl...a?vir... May 12 2005, 17:16

SergeyZ http://www.certification.ru/archive/topic9...9/51/... May 12 2005, 17:16

romario сассер просто lsass использует чтоб комп перезагру... May 12 2005, 17:23

Admin ты уверен что оно добавилось только вчера ? lsas... May 12 2005, 17:38

Unique В общем, у меня такая фигня появилась после users.... May 12 2005, 17:43

Admin Кратко - как искать. Берем FAR или любой другой _н... May 12 2005, 17:53

SergeyZ Хак был 11-го мая, т.е. вчера, в районе 00:50. Все... May 12 2005, 17:58

brother brown я на сайт как-то нечасто на самом деле :) May 12 2005, 18:07

drmad У меня вчера днем тоже файрволл отловил. Я этот ... May 12 2005, 18:15

Lyrius Смотрю я на вас... и думаю: а Opera то, рулит. :) May 12 2005, 18:17

bigfoot Админ, спасибо. Просвятил. У меня траблы другого х... May 12 2005, 18:21

drmad На самом деле рулит Арахна фор МС-ДОС. :D May 12 2005, 18:23

Admin угу, через sql-injection я вообще удивлен весьма... May 12 2005, 18:42

Admin 1. Могут, но 99% заточены именно под ИЕ, как наи... May 12 2005, 18:45

Admin да и вот еще что, люди... отключайте нах Windows ... May 12 2005, 18:48

Ole Lukoye угу, через sql-injection я вообще удивлен весьма,... May 12 2005, 18:49

Jmura Не фига.. Нас кто-то заказал. :unsure: May 12 2005, 18:53

Serg Chudo Так. Я вирус у себя отловил. Это svchost.exe svc... May 12 2005, 18:57

Admin все вопросы к Грязному Энди, об истории происхож... May 12 2005, 18:57

Serg Chudo Бля... На Касперском нет бесплатной утилиты от это... May 12 2005, 19:03

Serg Chudo если svchost.exe удалить, винде хуже не будет от э... May 12 2005, 19:09

Serg Chudo Да, и что-то не грузятся у меня вирусные инциклопе... May 12 2005, 19:15

Ole Lukoye Проверился... вирусов нет... Опера рулит :thumbsu... May 12 2005, 19:48

SergeyZ У меня IE6, Win98SE, правда, с заплатками. Вирусов... May 12 2005, 19:52

drmad 2SergeyZ. Не-а, еще должен быть KERNEL32.EXE в кор... May 12 2005, 21:10

drmad Сорри, переклинило. :blush2: Конечно же HKCU... May 12 2005, 22:15

Unfair_Joe Так. Тау-монитор и аутпост файрвол тоже просигнали... May 12 2005, 22:44

SergeyZ Реестр и многочисленные Run как в Local Machine, т... May 12 2005, 22:46

Admin Вот обьясните мне - ну вот какого ... пользуетесь... May 12 2005, 22:55

Admin мыло получателя... попробуем пристрелить. May 12 2005, 22:56

Admin бесплатные утилиты выпускаются только для тех ви... May 12 2005, 22:59

Admin если он лежит НЕ в system32 - убивай без раздуми... May 12 2005, 23:00

SergeyZ Мыло получателя и все, что удалось выяснить - мне ... May 12 2005, 23:02

Unfair_Joe я отловил момент загрязнения. вот какие файлы были... May 12 2005, 23:15

Admin у меня тут подразделение К бродит и хочит показа... May 12 2005, 23:16

SergeyZ Честно - не хочется связываться с подобным официоз... May 12 2005, 23:35

bigfoot Я продолжу. Вот этот syshost.exe. Опять объявился... May 13 2005, 09:42

bigfoot Это вторая херня, которая ломится куда-то. По ... May 13 2005, 09:45

bigfoot Ну и все процессы. Опытный взгляд что говорит? May 13 2005, 09:50

Admin Вирус-вирус. Видишь ломится на порты 5005 (хз) и ... May 13 2005, 09:54

bigfoot Т.е. оба вируса? Оба слать? А лечить как? Тупо п... May 13 2005, 10:18

Alessio Попробуй поискать все файлы, созданные относительн... May 13 2005, 10:30

bigfoot Алессио, дело в том, что это случилось достаточно ... May 13 2005, 10:49

AleksWesT Проверил пандой папку виндоуз - нмчего нет... Да и... May 13 2005, 11:37

SergeyZ bigfoot, у тебя там, на мой взгляд, вирусов и глюк... May 13 2005, 13:27

Alessio soundman - нормальное приложение, обеспечивающее р... May 13 2005, 15:59

brother brown эээ в связи с ахтунгом скачал последний adaware и ... May 13 2005, 16:14

SergeyZ adaware у меня обычно находит только новые куки, ч... May 13 2005, 16:18

Admin бугага ты еще аидстест скачай. May 13 2005, 16:47

SergeyZ Хорошая штука, кстати, была. Легендарная :) Кстат... May 13 2005, 16:51

Serg Chudo Да, мне убийство того единственного файла и коррек... May 13 2005, 17:03

drmad 2All: Оказывается, чтобы написать такого пинча, д... May 15 2005, 16:55

Admin да May 16 2005, 10:43

« Предыдущая тема · Наш сайт · Следующая тема »

2 чел. читают эту тему (гостей: 2, скрытых пользователей: 0)

Пользователей: 0

Режим отображения: Переключить на: Стандартный · Переключить на: Линейный · Древовидный

Подписка на тему · Сообщить другу · Версия для печати · Подписка на этот форум

Текстовая версия

Сейчас: 25-05-2025 08:41:18