Троян на Метрополисе..!

[СтелС_нАлЕвО]

Как только захожу на Метрополис, выскакивает плашечка от родного NOD32, что на обожаемом форуме троян. Признаться, очень не нравится...

[s0k]

аналогично модифицированный троян...

[Snaker]

 

[admin]

Сдается мне, это приблуды NOD'a
В атаче файл со строкой на которую он ругается.

Кто скажет мне в чем проблема, получит конфетку

[K i r i L L]

Trojan.VBS.StartPage

Троянец, написанный на языке Visual Basic Script (VBS). При запуске изменяет в системном реестре Windows адрес стартовой страницы MS Explorer.

 

[admin]

ты файл открывал, видел что там просто много ссылок?

[Vopros]

В атаче файл со строкой на которую он ругается.

Файл рассмотрен, ничего криминального не обнаружено, там нет даже скриптов... просто очередное коленце NOD32 о котором частенько пишут разные анекдоты... можно не обращать внимания на такие сообщения...

[DeMoNoID]

оффтоп: У меня другая проблема . Нод трояна НЕ видет  кто знает как помочь?

[leschka]

а у меня dr web не видет ни хрена  троянов 

[Kollega]

Поизучал я этот архивчик... Значит, вирус антивирусы находят в следующем фрагменте:

u=2206" title="15:23">deBugErr</a>, <a href="http://metropolis.anthill.ru/forum/index.php?action=profile

Как я понимаю, в том файле находится содержимое графы главной страницы форума под названием "Посетителей сегодня".
Добавление, замена(кроме смены регистра) или удаление хоть одного символа к выше процитированному фрагменту и никакого вируса НОД не находит... Проблема тут в комбинации символов... А если конкретнее, то deBugErr`у нельзя появляться на форуме в 15:23, раньше или позже, пожалуйста, но нельзя чтобы временем его последнего визита значилось 15:23, иначе весь оставшийся день или до его следующего визита на форум у всех будут антивирусы ругаться... Для решения проблемы я бы предложил сменить ему ник, но смена регистра символов не поможет, надо заменить, добавить или убрать хотя бы один символ или сменить ему идентификатор, который сейчас 2206.

DeMoNoID, leschka всё нормально, сообщения о вирусе выдаются только до 00:00 или до очередного визита deBugErr`а после вышеобозначенного времени...

[swein]

  ню видимо хеш у них совпал с базой


p.s. надо не отлаживать а грамотно тестить, и не отстаивать а делать бранчи и код фриз

[imperfect]

 
Весело на нашем форуме живется!
Думаю, приемлемее всего будет поменять уин. Все-таки это не пользователь виноват, почему же он должен менять ник? Или не заходить на форум в районе полчетвертого?

[Kollega]

ню видимо хеш у них совпал с базой

Если я правильно понимаю работу антивируса, то вирус обнаруживается не в самом html-коде, а при обработке его браузером, поэтому при просмотре этой страницы антивирусы и не ругаются, так как html-тэги в сообщениях не обрабатываются...

[imperfect]

2 Kollega: Просто хтмл в постах представлен не совсем тегами, а то бы он сразу же обработался бы браузером. 

Код:

<div class="quoteheader">Цитировать</div><div class="quote">u=2206&quot; title=&quot;15:23&quot;&gt;deBugErr&lt;/a&gt;,&#160;&lt;a href=&quot;<a href="http://metropolis.anthill.ru/forum/index.php?action=profile" target="_blank">http://metropolis.anthill.ru/forum/index.php?action=profile</a></div>