TANUKI

A QIP.ru все еще заражен?

В этой теме 19 сообщений

Удобная штука этот Norton safe Web, только паранойю развивает, как побочный эффект. :D Я случайно зашел на qip.ru (посмотреть, наладили ли они форум) и теперь переживаю, не проникла ли ко мне на ноут какая-нибудь зараза.

Смотрим сюда. Кто что думает?

2612156_bf95e420.jpg

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Это 'патч' для WarCraft III.

Paul

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А а чё он там делает?)

Я не знаю. Я его туда не поместил. Патчи надо только вставить от самого производителя. Я думал, что каждый это знает... ;)

Paul

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Просто очередная подлость. Кому Квип насолил - думайте сами. А насолил он по крайней мере двум компаниям....

Некоторым людям нельзя верить.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Некоторым людям нельзя верить.

ОК. Они его и заказали. И компаниям тем более нельзя верить.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я надеюсь, что от того, что я просто зашел на главную мой комп не заразился?

Блин, теперь на все левые сайты я буду ходить через google. Нортон хоть в поисковике сразу показывает значками можно туда идти или нет.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ОК. Они его и заказали. И компаниям тем более нельзя верить.

Я не об этом. Автор темы не отличается непредвзятостью. Если честно: у меня больше вопросов не к создателям Квипа, а к их партнёрам, в качестве которых выступает РБК.

Возможно я не всё знаю, но то, что я знаю - заставляет задуматься о том, каков партнёр РБК на самом деле.

Кстати, после того, как "взломали" QIP ко мне в контакт - лист попытался 1004 стукнуться с вежливым напоминанием про ICQ 6.5

Совпадение по - Вашему? Я что - то не верю в такие совпадения....

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

IT-Shark, ну а если бы ваш антивирус заорал что на главной страничке вирус, как бы вы поступили?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Неплохо...всемиизвестный пинчеГ.А на ВТ,расстроился что не задетектили Авира,Касп и Г-Дата.

Только почему по версии ОнлайнВеб - Нортон квалифицирует Пинч,как вирус?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Патч надо удалить с сайта и через какое-то время статус сайта в SafeWeb поменяется. Можно попробовать ускорить процесс через тех. поддерку Symantec.

P.S. Вспоминаем аналогичную ситуацию с Anti-Malware.ru и McAfee SiteAdvasor год назад. Напомню, что тогда не понравились ссылки от нас на subscribe.ru

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Автор темы не отличается непредвзятостью. Если честно: у меня больше вопросов не к создателям Квипа, а к их партнёрам, в качестве которых выступает РБК.

Да, я не предвзят, как и любой живой человек.

Но Norton Safe web - это программный код, у которого нет предпочтений. Или вы будете обвинять в предвзятости Symantec по отношению к QIP? Им тоже Миранда проплатила? :lol:

А у меня нет никаких вопросов к РБК. Компания делает бизнес. И когда Ильхаму предложили хорошую денежку за его QIP, то я на 1000000% уверен, что долго он не ломался и никаких переговоров относительно морально-этических нюансов не проводил. Ему то что? Денюжку получил, а там всегда можно сказать: я хороший, это РБК извратили мою идею :) Да РБК просто купили продукт и теперь могут делать с ним все что угодно. Ильхаму просто не следовало его продавать, если не хотел пятнать честь QIPa. Но кто же откажется от хороших барышей? Я бы не отказался, буду честен ;)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
РБК

Про действия РБК я уже рассказывал на форуме.

Их действия как хост-владельца принесли мне и, в своё время, моей группе некоторые убытки, но против них ничего не предпримешь. Хотя, и предпринимать то нечего.

В одном месте убавилось - в другом прибавилось (Закон сохранения материи).

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ладно, все это здорово, только это не пинч. Это банальная фолса. Когда-то мы тоже детектили это счастье как Trojan-PSW.Win32.LdPinch.att из-за неудачных масок. Мы ложняк убрали, а кое-кто все еще не убрал.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мы ложняк убрали, а кое-кто все еще не убрал.

Уже пофиксено :) Или ложняк пофиксили или сам файл убрали.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Уже пофиксено :) Или ложняк пофиксили или сам файл убрали.

По ходу -- http://habrahabr.ru/blogs/infosecurity/59811/ На момент написания комментария qip.ru\www.qip.ru таки были недоступны.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В этом время, видимо, убрали кое-какие следы того, что показывают у вас по ссылке...

Но действительно нельзя же доверять таким админам, извините. Человек заходит под ником, а 'школьники' (©) обращаются к нему по UIN. :rolleyes:

P.S.: Предлагаю создателям Norton safe Web оставить этот сайт в 'Недоверенные' пока грамотные профессионалы не посмотрели на это дело...

Paul

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Wenderoy
      Антивирус Kyранина (Кuranin Antivirus Free 2017) - https://kuranin.org Тестируем на 315 свежих зловредах из разных источников: malc0de, cleanmx, vxvault и т. д.


      Антивирус реагирует практически на каждый вирус, удаляем - на остатке 4 файла. Запуск:



      Два раза эвристическая сработка, один раз - автоматическое удаление зловредного кода. При этом все запускаемые объекты представляли собой консольные приложения, последнее запустило несколько процессов, но антивирус их заблокировал. В поставку входит утилита для чистки реестра - сканирует и удаляем остаточный мусор... Итог: система абсолютно чистая и работает стабильно, сканирование Hitman Pro в лишний раз это подтвердило.
    • PR55.RP55
    • PR55.RP55
      И в uVS  явный косяк с анализом автозапуска. C:\WINDOWS\SYSWOW64\IHCTRL32.DLL C:\WINDOWS\SYSTEM32\IHCTRL32.DLL _________________________________________________ Полное имя                  C:\WINDOWS\SYSWOW64\IHCTRL32.DLL
      Имя файла                   IHCTRL32.DLL

       Сохраненная информация      на момент создания образа
      Статус                      [Запускался неявно или вручную]
      File_Id                     556EBE5498000
      Linker                      7.0
      Размер                      603648 байт
      Создан                      12.04.2017 в 20:44:02
      Изменен                     08.03.2017 в 07:22:45
                                  
      TimeStamp                   03.06.2015 в 08:44:04
      EntryPoint                  +
      OS Version                  5.0
      Subsystem                   Windows character-mode user interface (CUI) subsystem
      IMAGE_FILE_DLL              +
      IMAGE_FILE_EXECUTABLE_IMAGE +
      Оригинальное имя            DDDDDDDD.DLL
      Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
      Цифр. подпись               Отсутствует либо ее не удалось проверить
                                  
      Доп. информация             на момент обновления списка
      SHA1                        2428AE627F382A886C0C48F4748C0DB3FD943796
      MD5                         79283E53B76D96C869EF64241D5D2794
                                  
      Ссылки на объект            
      Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini _________________________________________ Полное имя                  C:\WINDOWS\SYSTEM32\IHCTRL32.DLL
      Имя файла                   IHCTRL32.DLL
      Тек. статус                 сервисная_DLL в автозапуске [SVCHOST]
                                  
      Сохраненная информация      на момент создания образа
      Статус                      сервисная_DLL в автозапуске [SVCHOST]
      Инф. о файле                Не удается найти указанный файл.
      Цифр. подпись               проверка не производилась
                                  
      Ссылки на объект            
      Ссылка                      HKLM\System\CurrentControlSet\Services\ihctrl32\Parameters\ServiceDLL
      ServiceDLL                  %SystemRoot%\System32\ihctrl32.dll ____________________________________________ Полное имя                  C:\WINDOWS\SYSTEM32\WSAUDIO.DLL
      Имя файла                   WSAUDIO.DLL
      Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SVCHOST]
                                  
                               
      Сохраненная информация      на момент создания образа
      Статус                      сервисная_DLL в автозапуске [SVCHOST]
      Инф. о файле                Не удается найти указанный файл.
      Цифр. подпись               проверка не производилась
                                  
      Ссылки на объект            
      Ссылка                      HKLM\System\CurrentControlSet\Services\wsaudio\Parameters\ServiceDLL
      ServiceDLL                  %SystemRoot%\System32\wsaudio.dll
      ________________________________________________ А из лога FRST  видно, что... S2 wsaudio; C:\Windows\SysWOW64\wsaudio.dll [251392 2017-05-12] () [File not signed] 2017-06-25 15:31 - 2017-05-12 21:03 - 00251392 _____ C:\Windows\SysWOW64\wsaudio.dll             ------------ И какой вывод ? 1) Файл а втозапуске - но как бы и нет... SYSWOW64 SYSTEM32 2) Файл есть но uVS  его не видит...     Образ:    http://zalil.su/2930698 Тема: https://forum.esetnod32.ru/forum6/topic14098/ и таких тем ( по wsaudio.dll  уже за сотню ) Я уже об этом в  писал выше - а сейчас пишу подробно.                           
    • PR55.RP55
      Error: (06/25/2017 05:44:21 PM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3011) (User: NT AUTHORITY)
      Description: При выгрузке строк счетчиков производительности для службы WmiApRpl (WmiApRpl) произошел сбой. Первое двойное слово (DWORD) в секции данных содержит код ошибки. Возможно что-то новое для WMI придумали.
      Во сяком случае это: KERNCAP.VBS в секции WMI --------- Полное имя                  KERNCAP.VBS
      Имя файла                   KERNCAP.VBS

      Сохраненная информация      на момент создания образа
      Статус                      в автозапуске ---------------- Образ: http://zalil.su/5444829
                                  
    • PR55.RP55
      Demkd https://forum.esetnod32.ru/forum6/topic14097/ Если сравнить записи в uVS и FRST то я не вижу в uVS записи: BootExecute: autocheck autochk * sh4native 7099sdnclean64.exe Запуск приложений через ключ реестра BootExecute http://hex.pp.ua/bootexecute.php Я так думаю, что можно исхитриться и чего нибудь да запустить.