Даже не знаю в какую ветку форума отнести

С некоторых пор мне в почту стал приходить какой-то спам с адреса NOD32-что-то-там
Я решил отписаться от всех рассылок ESET и обнаружил

1) спам валится с сайта nod32master.ru, который именует себя "специализированный портал для розничных продавцов" и каковой портал я до сего дня в глаза не видел и не собираюсь, тем паче, что я не "розничный продавец решений ESET" и не намерен им стать.

2) сайт я вижу впервые, однако на нем УЖЕ ЕСТЬ регистрационная запись - логин, пароль и емейл - совпадающая с тем, что я использую для этого форума forum.esetnod32.ru

Нифигасебепельмень!

Админы форума, как это понимать? Вы раздаете "налево" не только емейлы юзеров, но и их логины с паролями?
И главное - зачем, ЗАЧЕМ? Локи, вот скажи - вот нахрена? (ц)
За какой такой надобностью мой аккаунт передан [B][I]порталу для розничных продавцов[/I][/B]?!
Ну, раз пошла такая пьянка, сделайте мне учетку на товарно-сырьевой бирже или онлайн-школе педикюра.

"Какую-то инфекцию сейчас я проглотил" (с)

Проявление:
1) блокировала запуск разнообразных антируткитов и антивирусов (avz, malvarebytes' и т.п.)
2) блокировала обновление антивирусов nod32 и drweb (каспера не проверял)
  обновлялка дрвеба просто не стартовала, а nod32 не просто показывал ошибку обновления, типа "нет связи"
3) блокировала доступ к части антивирусных сайтов (например drweb.com у меня загружался, но без картинок и стилей, eset.eu не грузился вообще - 501 ошибка, а esetnod32.ru загружался корректно весь)
4) почти наверняка: крала ftp-пароли с компа либо способствовала моментальному (через пару часов после использования нового пароля!) их утеканию

Не обнаружилось решительно ничем. В заражённой системе антивирусы практически не работали (дрвеба удалось "обновить" вручную, скачать новые базы с их ftp), при загрузке со всяких LiveCD и тому подобных _свежих_ сборок антивирусной направленности никакие тесты никакой заразы не обнаруживали.

Извините, но долго плясать с бубном мне было некогда, работа горела, и я без долгих умствований [B]переставил винду[/B]. Пока все хорошо.

Но очень любопытно что же это могло быть.
Привязаться можно только к одному:
На всех ftp, куда я лазил, были отсканированы, слиты, пропатчены и залиты обратно все или почти все файлы .php, .html, .js, .inc. (один комплект я сохранил)

Во все .php вставлена в начало файла закладка
eval(base64_decode('aWYoIWZ1bmN0aW9uX2V4 ............
Я глянул -- там какой-то запутанный кусок похапе, да еще с синтасической ошибкой.

В хтмл отправился
script src=http://[i]тут были разные адреса[/i].php ></script>, причем почему-то между /head и body
В .js пошло то же самое, в виде document.write('<sc ript ...
Я постучался тулзой по этим адресам - ответ 0 байт. Уже прикрыли, быть может?

И что очень интересно - ftp не зафиксировал попыток обращения с неправильным паролем, хотя я их (пароли) пару раз поменял

Кому-нибудь из спецов эта штука знакома?

Hi

Помогите pls разобраться.

Мне надо поставить nod32 на комп с 98ой виндой. Это такие конторские заморочки.
Причем надо еще его погонять в боевых условиях, выдать юзерам на растерзание, удостовериться в пригодности прежде, чем подсовывать бухгалтерии счет.

Здесь эту версию скачать уже нельзя, пришлось искать по просторам. Обнаружил, что виндузная версия 2.7 существует в двух ипостасях: для win95-98 и для всех остальных виндов, причем вторая более распространена и на win98, конечно же, не устанавливается. :)

Нашелся такой вот инстал для вин98.
[FONT=Courier]
 Length  Method    Size  Ratio    Date    Time    CRC-32   Attr    Name
 ------  ------    ----- -----    ----    ----   --------  ----    ----
11989840 DeflatF 11988338  0.1% 04-18-2010  5:44p 28314e75 --w----  nd98rust.exe
[/FONT]
При установке он требует указать логин-пароль к серверам обновлений, какового пароля у меня нету, разумется. Без логина обновления не работают, а антивирус с базами от 2007 года - это не антивирус, а самообман.

Вроде бы ESET предоставляет 30-дневный триальный период, в течении котороо все должно работать, и в том числе обновления?

Причем что примечательно: если поставить версию win-2000\win-xp (само собой, на win-xp и поставить!), то вот там все как я и ожидал - обновление работает, триальный "счетчик" отсчитывает дни, все прекрасно, жизнь чудесна.

1) в чем я ошибся?
2) как мне поставить полнофункциональную версию под win-98 и где ее взять?
3) существует ли _англоязычная_ версия 2.7 для win-98 и где ее можно найти (на гугле нет, я там уже искал)

Hi all!

[URL=http://img17.imageshack.us/i/forumscreenshot.gif/][IMG]http://img17.imageshack.us/img17/816/forumscreenshot.gif[/IMG][/URL]

Изображения кнопочек редактора сообщений

например http://forum.esetnod32.ru/bitrix/components/bitrix/forum.post_form/templates/.default/images/bbcode/empty_for_ie.gif

и смайликов

например http://forum.esetnod32.ru/bitrix/images/forum/smile/icon_biggrin.gif

на самом деле недоступны. Видимо их нет по указанному пути. Добро бы там была простая 404-ая страница, так нет же! Там сразу же титульная страница форума! Кнопочек 27 штук, а значит при создании нового сообщения я 27 раз невольно скачал начальную страницу форума. Сколько sql-запросов кидается при формировании титульной страницы? Один, два, пять? ;)

Люди, пожалейте pls свои сервера, исходящий траффик и наши нервы! Сделайте вменяемую 404ую пагу и поправьте ссылки на изображения кнопочек.

Обстановка следующая:
Дней примерно 10 назад я поставил на домашнюю машинку nod32. Версия 2.7. Ключа нет, но "триальный" период еще не кончился.

До этого стоял drweb (с подлинным ключом), но его последняя версия слишком уж стала тормозить работу компа.

Win-XP, SP3. Комп подключен к инету через внешний роутер dlink, внешний IP - public, через роутер смапированы несколько tcp-портов: для аськи, для radmin-а и т.п.

Резидентный монитор AMON регулярно вывешивает предупреждения о вирусах. Происходит это (я уж не знаю совпадение это или нет) [b]только при запущенном браузере[/b] (opera 9.27). Один раз такое было ровно в момент запуска браузера (опера при этом открывает вся свои ранее открытие окна с сайтами).
Но чаще это происходит в период, когда на компе никакой активности нет! Утром приду - на дисплее предупреждение от AMONа. Ничего подозрительного при этом не открыто. Сегоня "в ночное" оставались api.joomla.org, ucoz.ru, php.net, разные yandex-ы, dbug.ospinto.com, rutracker. По "детско-юношеским" сайтам не гуляю, староват-с. Утром - опять червяк.

Проверка (сканер по требованию) выполнена не раз, в том числе с самими параноидальными настройками, ничего не дала. Дрвеб, который тут не один год работал, подобной паранормальной активности никогда не регистрировал - если уж он что-то ловил, то источник всегда был понятен.

Логи показать сложно - из окошка показа логов в "буфер обмена" они копируются в какой-то неопознаваемой кодировке, а где в настройках программы включить английский язык интерфейса я так и не нашел.

NOD32 CC -> Логи -> Лог вирусов

Bpeìÿ Moäóëü Oáúeêò Èìÿ Bèpóc Äeécòâèe Ïoëüçoâaòeëü Èíôopìaöèÿ
^^^^^ вся кирилица в таком вот виде :)
дальше я ее вычищу

12-04-2010 13:29:41 AMON C:\TEMP\742.tmp Win32/Kryptik.DCR MIKE\admin C:\WINDOWS\system32\svchost.exe.
12-04-2010 13:29:31 AMON C:\TEMP\741.tmp Win32/Kryptik.DCR MIKE\admin C:\WINDOWS\system32\svchost.exe. 10-04-2010 02:32:52 AMON C:\WINDOWS\system32\sfcfiles.dll.bak Win32/Agent.QYP MIKE\admin E:\Programs\Opera\Opera.exe.
10-04-2010 02:31:45 AMON C:\WINDOWS\system32\sfcfiles.dll Win32/Agent.QYP MIKE\admin E:\Programs\Opera\Opera.exe.
08-04-2010 16:27:27 AMON C:\WINDOWS\System32\rihd.VVpno Win32/Oficla.FS \Device\HarddiskVolume2\WINDOWS\System32\rihd.VVVpno C:\WINDOWS\system32\wbem\wmiprvse.exe.
07-04-2010 18:24:26 AMON C:\WINDOWS\System32\rihd.Vpno Win32/Oficla.FS \Device\HarddiskVolume2\WINDOWS\System32\rihd.VVpno C:\WINDOWS\system32\wbem\wmiprvse.exe.
06-04-2010 21:22:59 AMON C:\WINDOWS\system32\drivers\sfc.sys Win32/Rootkit.Agent.NSY NT AUTHORITY\SYSTEM C:\WINDOWS\system32\winlogon.exe.
06-04-2010 18:48:20 C:\TEMP\16C8.tmp Win32/Oficla.FS
06-04-2010 18:46:49 C:\WINDOWS\system32\rihd.pno Win32/Oficla.FS
06-04-2010 10:20:21 AMON C:\TEMP\18EB.sys Win32/Rootkit.Agent.NSY NT AUTHORITY\SYSTEM C:\WINDOWS\system32\spoolsv.exe.

[b]И что мне с этим все делать, с таким красивым?[/b]
Что это - ложные срабатывания?
Если это действительно зараза, то как она ко мне проникает? Где эта дырка, как ее законопатить?