kto | Дата: Суббота, 24.05.2014, 16:31 | Сообщение # 1 | |
В общем вот >>> |
Вирус, заразиться им можно через MOTD сервера(сообщение приветствия) Он запихивает в HTML страницу вредоносный код, который тут же выполняется. Так вот, эта ж*опа записывает путь до кс и каждые 30 секунд переписывает конфиги! 1) Отследил я эту гадину только при просмотре потока чтения/записи! Он прикидывался explorer`ом! Копнув глубже, я узнал, что он открывается через regsvr32.exe (подпись microsoft). Казалось бы странно: с чего майкрософту нужно переписывать конфиги, но прочитав аргументы вызова, я обнаружил интересную строчку: "%appdata%/roaming/glister/msl.dll" -s (название dll может меняться) Это означает запуск приложения в фоновом режиме! Чтобы снести эту папку, мне пришлось завершить regsvr32.exe в дисп. задач. После этого конфиги не менялись. -------------------------------------------------------------------------------- 2) Короче: Заражают тебе КС. Все это прописывается в CFG. Очистка или удаление CFG не поможет. Потому что при заражении CFG делается много копий в корне КС. Ты очищаешь или удаляешь один CFG и при запуске сново оно появляется потому что он из других потом зараженыйх все берет. Есть один простой выход. Удали КС и заново установи. Когда установишь, найди CFG который находится в папке Strike сделай его только для чтения. И все. --------------------------------------------------------------------------------------------- 2 дня парился(( Может кому и поможет 100%! Сообщение изменил:kto - Суббота, 24.05.2014, 19:46
| |