Касперский указывает на трояна

[hitkinor 8]

После обновления движка на версию 10.1 при добавлении новости и нажатии на кнопку "Просмотр" касперский выдает сообщение, что обнаружена троянская программа HEUR:Trojan.Script.Generis

Такое сообщение на всех сайтах. Появилось только сегодня. Остальные сайты обновил ранее и касперский не ругался.

Все файлы скрипта обновлял, не помогает.

В чем может быть дело?

P.S выяснил что касперский ругается только когда делаю предосмотр в IE, в мозиле все нормально.

Заодно хотел бы уточнить. У меня в мозиле предосмотр открывается в виде всплывающего окна а в IE в новом окне (блокировку всплывающих окон пробовал отключать). Это так и должно быть?

Лицензии на сайты в профиле с тем же логином.

Изменено 10 декабря 2013 пользователем hitkinor

[celsoft 6 072]

В чем может быть дело?

Вероятно в вашем шаблоне. Потому что при предосмотре вы видите содержимое вашего шаблона.

Заодно хотел бы уточнить. У меня в мозиле предосмотр открывается в виде всплывающего окна а в IE в новом окне (блокировку всплывающих окон пробовал отключать). Это так и должно быть?

скрипт всегда генерирует новое окно, а дальше как отображает дело уже самого браузера.

[hitkinor 8]

Весь шаблон проверил. Нигде ничего лишнего

Сообщение при предосмотре касперский выдает такое:

admin.php?mod=editnews&action=editnews&id=22426[5] Обнаружено: HEUR:Trojan.Script.Generic 11.12.2013 3:07:22

Как я понимаю, что то связаное с файлом admin.php

И так на всех трех сайтах, на которых перешел на версию 10.1

[celsoft 6 072]

Как я понимаю, что то связаное с файлом admin.php

Не совсем верное понимание и вовсе необяательно в этом файле проблема, это файл который все подключает и показывает. Тот же шаблон. Смотрите файлы шаблонов preview.tpl он используется при показе предосмотра, смотрите на наличие в нем каких либо JS скриптов.

Ну и безусловно убедитесь что все файлы скрипта у вас оригинальные, они не изменены.

[hitkinor 8]

Перебрал все скрипты, которые подключаются при предварительном просмотре.

<script type="text/javascript" src="http://batona.net/engine/editor/scripts/common/jquery-1.7.min.js"></script>

<script type="text/javascript" src="http://ajax.googleapis.com/ajax/libs/webfont/1/webfont.js"></script>

<script type="text/javascript" src="http://batona.net/engine/editor/scripts/webfont.js"></script>

</head>

<body>

<script type="text/javascript" src="http://batona.net/engine/classes/highslide/highslide.js"></script>

<script type="text/javascript" src="http://batona.net/engine/classes/highlight/highlight.code.js"></script>

Сравнил каждый с таким же из версии DLE 10.0

Выяснил, что поменяли только highslide.js

Удавлил его и касперский перестал реагировать на предосмотр.

Поэтому можно сделать вывод что код, который распознается касперским как HEUR:Trojan.Script.Generic, находится в файле highslide.js

Подскажите, за что отвечает этот файл (после удаления ничего не изменилось) и не можете ли вы найти в нем сомнительный код?

P.S. Пока на всякий случай загрузил highslide.js от DLE 10,0. К нему у касперского претензий нет

[celsoft 6 072]

Поэтому можно сделать вывод что код, который распознается касперским как HEUR:Trojan.Script.Generic, находится в файле highslide.js

За показ оригинальных изображений при клике на уменьшенные копии. Его не удалять нужно а заменять на оригинальный из архива дистрибутива, в оригинальном файле вирусов гарантированно нет.

[hitkinor 8]

Его не удалять нужно а заменять на оригинальный из архива дистрибутива, в оригинальном файле вирусов гарантированно нет.

Для полной перестраховки скачал еще раз дистрибутив с этого сайта. Загружаю файл highslide.js на свой сайт и тут же при предварительном просмотре новости через internet Explorer Касперский выдает сообщение о загрузке HEUR:Trojan.Script.Generic

я в тупике. наше общение пошло по кругу ))))

P.S. к слову, для перестраховки снес вообще все файлы скрипта и загрузил из дистрибутива, просмотрел все файлы шаблона. Все чисто.

[23neon23 0]

Кэш браузера чистили? Возможно просто ложное срабатывание.

[celsoft 6 072]

Для полной перестраховки скачал еще раз дистрибутив с этого сайта. Загружаю файл highslide.js на свой сайт и тут же при предварительном просмотре новости через internet Explorer Касперский выдает сообщение о загрузке HEUR:Trojan.Script.Generic я в тупике. наше общение пошло по кругу ))))

У вас в данном случае ложное срабатывание, либо какие либо агрессивные настройки антивируса. Вообще я еще не получал ни от кого кроме вас сообщения на ложное срабатывание Касперского на этот файл. У вас антивирусные базы актуальные? Пошлите файл в поддержку касперского с сообщением о ложном срабатывании, они достаточно быстро реагируют на данные сообщения и обновляют антивирусные базы, либо скажут в чем причина срабатывания именно у вас.

[celsoft 6 072]

Чтобы вам не ждать и не пугать своих посетителей, я обновил данный файл engine/classes/highslide/highslide.js в дистрибутивах, чтобы изменились сигнатуры файлы и соответственно антивирус ложно не реагировал. Скачайте дистрибутив повторно и замените данный файл.