Новые сообщения Участники Правила Поиск


  • Страница 1 из 1
  • 1
Модератор форума: CHEATER-Top  
Connect allnetmaster.org:27015
Российская Федерация kto Дата: Суббота, 24.05.2014, 16:31 | Сообщение # 1

Сообщений: 113

Награды: 6



[ медали скрыты ]
Активность:
В общем вот >>>
Вирус, заразиться им можно через MOTD сервера(сообщение приветствия)
Он запихивает в HTML страницу вредоносный код, который тут же выполняется.
Так вот, эта ж*опа записывает путь до кс и каждые 30 секунд переписывает конфиги!
1)
Отследил я эту гадину только при просмотре потока чтения/записи! Он прикидывался explorer`ом!
Копнув глубже, я узнал, что он открывается через regsvr32.exe (подпись microsoft).
Казалось бы странно:
с чего майкрософту нужно переписывать конфиги, но прочитав аргументы вызова, я обнаружил интересную строчку:
"%appdata%/roaming/glister/msl.dll" -s (название dll может меняться)

Это означает запуск приложения в фоновом режиме!
Чтобы снести эту папку, мне пришлось завершить regsvr32.exe в дисп. задач.
После этого конфиги не менялись.
--------------------------------------------------------------------------------
2)
Короче: Заражают тебе КС. Все это прописывается в CFG. Очистка или удаление CFG не поможет. Потому что при заражении CFG делается много копий в корне КС. Ты очищаешь или удаляешь один CFG и при запуске сново оно появляется потому что он из других потом зараженыйх все берет. Есть один простой выход. Удали КС и заново установи. Когда установишь, найди CFG который находится в папке Strike сделай его только для чтения. И все.
---------------------------------------------------------------------------------------------
2 дня парился(( Может кому и поможет 100%!



Сообщение изменил:kto - Суббота, 24.05.2014, 19:46
Германия tyne Дата: Суббота, 24.05.2014, 16:39 | Сообщение # 2

Сообщений: 146

Награды: 8



[ медали скрыты ]
Активность:
Я всегда мотд блокирую протектором.
Российская Федерация kto Дата: Суббота, 24.05.2014, 16:41 | Сообщение # 3

Сообщений: 113

Награды: 6



[ медали скрыты ]
Активность:
Цитата tyne ()
Я всегда мотд блокирую протектором.


Как?мне не помогает(



Сообщение изменил:kto - Суббота, 24.05.2014, 16:43
Российская Федерация kaktak Дата: Суббота, 24.05.2014, 19:13 | Сообщение # 4

Сообщений: 36

Награды: 2



[ медали скрыты ]
Активность:
Кому не помогло уберите из автозапуска reg_svr, msconfig вряд ли поможет так что используйте ccleaner.
  • Страница 1 из 1
  • 1
Поиск: