Помощник
|
Предупреждение на наличие вирусов на сайте |
AlexSANdr
|
Сообщение
#1
|
||
|
|
||
|
|||
filmo |
21.7.2008, 7:38;
Ответить: filmo
Сообщение
#2
|
|
вроде как мозилла не антивирус... с чего бы ей выдавать такие песни?
|
|
|
AlexSANdr
|
Сообщение
#3
|
|
|
|
|
filmo |
21.7.2008, 7:44;
Ответить: filmo
Сообщение
#4
|
|
)))) так и гугл не антивирус!!! но мысль ясна )
|
|
|
AlexSANdr
|
Сообщение
#5
|
|
По идее нужно проанализировать код на наличие вредоносных объектов. Но как это делается, я не знаю. Может проги какие либо есть?
|
|
|
filmo |
21.7.2008, 7:50;
Ответить: filmo
Сообщение
#6
|
|
короче, мозилла сотрудничает с гуглом, гугал с каким-нить касперским и все это друг друга анализирует и фиг куда пустит ))
а по теме - ну, значит, полхой это сайт.. и зы: ходил на твой сайт, включив всю свою защиту... торчит там троян-даунлоадер версию не помню. так что пиплам без защиты ходить туда не рекомендую зызы - видимо, тандем мозилла-гугаль неплохой получился, ну, как всегда, ГГ рулит!!! Сообщение отредактировал filmo - 21.7.2008, 7:51 |
|
|
AlexSANdr
|
Сообщение
#7
|
|
А как его убрать? найти?
|
|
|
filmo |
21.7.2008, 7:59;
Ответить: filmo
Сообщение
#8
|
|
http://61.***.*.***/iframe/wp-stats.php заражен вредоносной программой
Trojan-Downloader.HTML.Agent.is описания в лаборатории касперского нет... |
|
|
zrom |
21.7.2008, 8:15;
Ответить: zrom
Сообщение
#9
|
|
на других браузках просто антивир ругается на файл выше, смотри че там)
Сообщение отредактировал zrom - 21.7.2008, 8:18 -------------------- |
|
|
Tiger |
21.7.2008, 8:30;
Ответить: Tiger
Сообщение
#10
|
|
Avast ругается так
http://61.155.8.157/iframe/wp-stats.php VBS:Malware-gen Вирус/Червь ЛК:Worm.VBS.Newley,AhnLab-V3:VBS/Newley,AntiVir:Worm/Newley.A,Authentium:VBS/Newley.A, Avast:VBS:Malware-gen,BitDefender:VBS.Newley.A,DrWeb:SCRIPT.Virus,eTrust-Vet:VBS/Newly, Ewido:Worm.Newley.a,Fortinet:VBS/Newley.A!worm,F-Prot:VBS/Newley.A,McAfee:VBS/Psyme, Ikarus:Worm.VBS.Newley.A,Norman:VBS/Worm.gen,Panda:VBS/SlowDeath.A,TheHacker:VBS/Psyme, Rising:Worm.VB.Newley.a,Sophos:VBS/Newley-A,VBA32:Worm.VBS.Newley.a, VirusBuster:VBS.Ovbius.A,Webwasher-Gateway:Worm.Newley.A. ________________________________________________________________________________ Технические детали ________________________________________________________________________________ Сетевой червь выполняющий деструктивные действия на заражённом компьютере. Написан на Visual Basic Script , размер заражённой программы 3641 байт В процессе своей работы на заражённый компьютер загружает различное вредоносное ПО ________________________________________________________________________________ Деструктивная активность ________________________________________________________________________________ 1)_При открытии копируется в "C:\WinNT.Dat" "C:\Windows\System32\CompuSpeed.vbs" "C:\Winnt\System32\CompuSpeed.vbs" 2)_Добавляет себя в новую группу с полномочиями администратора (user:geo,password:geo) 3)_Противодействует антивирусу Sophos 4)_Создаёт ключи в автозапуске системного реестра "HKLM\Software\Microsoft\Windows\Currentversion\run\Geography TX 1.0 NT", "C:\Winnt\System32\CompuSpeed.vbs" "HKLM\Software\Microsoft\Windows\Currentversion\run\Geography TX 1.0 XP", "C:\Windows\System32\CompuSpeed.vbs" "HKLM\Software\Microsoft\Windows\Currentversion\uninstall\CompuSpeed\DisplayName","Geography TX-A" "HKLM\Software\Microsoft\Windows\Currentversion\uninstall\CompuSpeed\UninstallString","taskkill /f /im svchost.exe" 5)_Запускает Telnet с учётной записи созданного виросом пользователя "geo" 6)_Скачивает с http://www.meer.net/*****/nc.exe (nc.exe - not-a-virus:RemoteAdmin.Win32.NetCat) _Загруженный файл сохраняется C:\winnt\system32\winntsrv.exe C:\windows\system32\winntsrv.exe 7)_ После того как файл загружен червь прекращяет свою работу на 100 секунд, зделано так по простой причине - vbs скрипты слишком "медленны" + не известно за какое время будет загружен файл 8)_Для только что загруженного бэкдора создаётся ключ в автозапуске системного реестра (см.ниже) "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NC1565", "winntsrv -l -p10001 -d -e cmd.exe -L" 9)_После всез выше описанных операций на заражённом хосте открывается 10001, к данному порту будет канектится злоумышленник 10)_Червь копирует своё тело "C:\WinNT.dat" по всем сетевым дискам с DISK:\CompuSpeed.vbs ________________________________________________________________________________ Рекомендации по удалению ________________________________________________________________________________ Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия: Удалить следущие ключи реестра(см.ниже) HKLM\Software\Microsoft\Windows\Currentversion\run\Geography TX 1.0 XP HKLM\Software\Microsoft\Windows\Currentversion\run\Geography TX 1.0 NT HKLM\Software\Microsoft\Windows\Currentversion\uninstall\CompuSpeed\DisplayName HKLM\Software\Microsoft\Windows\Currentversion\uninstall\CompuSpeed\UninstallString HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NC1565 Необходимо удалить созданные червём файлы C:\WinNT.Dat C:\Windows\System32\CompuSpeed.vbs C:\Winnt\System32\CompuSpeed.vbs C:\winnt\system32\winntsrv.exe C:\windows\system32\winntsrv.exe А также на всех дисках DISK_NAME:\CompuSpeed.vbs Удалите созданную червём учётную запись User:Geo, Password:geo |
|
|
|
Похожие темы
Тема | Ответов | Автор | Просмотров | Последний ответ | |
---|---|---|---|---|---|
Боты могут делать пушподписки на моём сайте? | 3 | Megaspryt | 886 | Сегодня, 5:18 автор: Skyworker |
|
Быстрый и качественный обмен на сайте Baksman.org Обмен Bitcoin, BTC-e, PM, Qiwi, Yandex money, Карты банк |
53 | Baksman | 33770 | Вчера, 11:29 автор: Baksman |
|
CryptoCloud — прием USDT, BTC, ETH, LTC на любом сайте | 36 | CryptoCLoud | 10664 | 16.4.2024, 16:02 автор: CryptoCLoud |
|
Странный трафик на сайте длительное время | 33 | TABAK | 8921 | 12.4.2024, 5:56 автор: Skyworker |
|
Алтуально ли заработок на сайте? Оцение пожалуйста идею |
10 | hitman20 | 1886 | 1.2.2024, 5:37 автор: Liudmila |
Текстовая версия | Сейчас: 24.4.2024, 5:25 |