Начало | IRC HELP | IRC ФОРУМ | HTML Chat | Вход

от: dzver (регистриран)

Виждали ли сте наскоро някой да излиза от чата със съобщение: http://www.petq-nikolaeva.net - I wanna be erotic model? Сигурно сте. А може и на вас да ви се е случило:) Заразата е обичайна за уеб вирусите. Посещавате този сайт и се заразявате. Просто е и винаги се случва.

Ако сте заразен: ще откриете с FIND winexplore.vbs файл, който трябва да изтриете незабавно (евентуално vght.vbs, който също трябва да се изтрие) и в mIRC директорията - versions.txt - също за изтриване. В win.ini и mirc.ini са добавени редове, които могат да си останат и така - уиндоус и мирк ще искат файловете на вируса. Най-добре е да инсталирате наново mIRC и да изтриете старата версия.

Повече за червея:
След посещаването на сайта, червеят е заредил http://vha.hit.bg/set.txt (от където се е конфигурирал). В последствие като конфигураицонен е бил ползван и файл set.set. Троянът се е ъпдейтвал многократно с файлове като http://vha.hit.bg/vght.vbs. http://avsoft.hit.bg/update.exe, http://avsoft.hit.bg/avs.exe. Последният му ъпдейт преди тези сайтове да бъдат спрени от администраторите на hit.bg е бил с троянски кон - http://avsoft.hit.bg/avs.exe. Файлът е бил с размер 321K, overwrite-нал е %mirc%soundsavs.exe и се е изпълнил. След това е бил изтрит. Какви точно са щетите - не знае. Внимание - веднъж заразени с троян вече няма спасение - файлът се доъпдейтва многократно с update.exe, изтеглян от различно място. Последната версия update има номер 42, което може да значи 42 upgrade-a на вашия компютър, за да може достъпът до него да бъде съвършен;)

Команди, изпълнени от петя николаева преди avs.exe / update.exe / regscan.exe:

Със сигурност е изпратил .pwl - файла ви на собственика на петя николаева - някой си vha. Това означава, че максимално бързо трябва да смените потребителското име и паролата си за достъп до интернет.

Червеят Петя Николаева е изпратил и паролите ви за NS в UNIBG на неговия внедрител vha. Следователно сменете си паролата в NS!.

За заразените с avs.exe / regscan.exe / update.exe:

Този файл е модификация на троянския кон Talex.a. Ще го разпознаете по файла regscan.exe, намиращ се в windows. Изчистване - ще бъде разпознат от KAV antivirus- www.avp.ru. (rev. може и да не бъде разпознат, пратили сме информация за това и на frisk и symantec). Проверете дали във вашия компютър няма и файл rundll32_.pif.

Както знаете, троянските коне дават пълен достъп до вашия компютър, така че чистете се:) Ако имате признаци на заразяване и не можете да се справите, потърсете компетентна помощ. Късмет.

Edited from: dzver; 2002-05-05 06:04

Мнения от посетители (11):
CecoVTB (анонимен)28.08.06 12:41:10
www.safetyhomepage.com
First of all, download SmitRemFix.zip and save it to your desktop. Once it has downloaded, double click on it which will extract it. Do not run the actual program yet as it must be done in safe mode.
Load into Windows Safe mode by restarting the computer and just before the Windows XP screen comes up, press F8 and choose safemode.
Once in Safemode:

Goto the SmitfraudFix folder which you saved on your Desktop earlier and double-click on smi...

pencho (анонимен)14.08.06 19:27:07
www.safetyhomepage.com
dai te akal kak da svalia www.safetyhomepage.com deto mi se poiaviava postoianno na komputara me kara da si instaliram edin kup ujkim antivirusni programi.

ProNeT (анонимен)13.02.04 10:13:46
iznadaduh se
ave az nemoga da razbera kvo pechelqt osven da im poseshtavat toq sait ??

T0sh08.11.02 17:08:49
gluposti :)
max mi napravo kazhi "ne polzvaite tok nito telefon" a :)
prosto tryabva da se prochete http://help.bgirc.net -> virus help (2 stranici) i da si zagubi chovek okolo 20 minuti ot skupocennoto vreme, i shte mozhe da gleda psokoino sitove kudeto i kakvito si iska.

[m]ax (анонимен)06.11.02 06:06:45
kak da ne se zarazim s podobni virusi
1. NE IZPOLZVAJTE IE - (Internet Explorer)
2. NE IZPOLZVAJTE MIRC
3. Instalirajte si personalen firewall, preporychvam atguard

Pi4-GaZe` (анонимен)09.07.02 08:09:10
vha
Toz vha bahti lainoto doskoro e u4il v MG-Rousse ve4e e zavur6il. Ako go izdirvate v IRC posetete kanala
#MG-RS moje da e tam...Ako iskate posetete i moq :)))
#Menzis :P
Mi tva e ot mene are Bye vi hora...

l@m3r@ (анонимен)08.06.02 18:08:40
aham
ave dzver ti nqmash li si pishka da si igraesh che mi se zanimavash s botovete?

T0sh04.05.02 10:04:04
konkreten help za mahane na tozi virus
Specifichen help za "clicknah na petq-nikolaeva.net":
1. navsyakude kudeto imash mirc iztrivash file-a "versions.txt"
2. tursish i iztrivash "vght.vbs" file, po princip se kachva vuv windows direktoriyata
i virusa e mahnat. Ostavat kozmetichni defekti, primerno pri start windowsa kazva che mu lipsva file (tozi vght.vbs koito si iztril i se opitva da go startira). Tova mozhe da se opravi kato editnesh win.ini, i o...

dzver02.05.02 19:02:10
more info:
Osven www.petq-nikolaeva.net wormyt polzva ili e polzval i adresi www.petq-nikolaeva.com i www.petq-nikolaeva.hit.bg;

Za mnogo ot zarazenite (vsushtnost e izvestno i koi sa i kade sa:) petq nikolaeva moje da bude razpoznat po otvoren connection kym irc.zonebg.com 6667 - shte go vidite s MSDOS PROMPT, komanda netstat (vurvi v komplekt s connection kum hit.bg, stranicata za file not found).

dzver01.05.02 08:01:49
vryzka
KAV antivirus bil crash-nal WIN2000: ako imate namerenie da polzvate tazi programa pod NT/2000 proverete tozi material.

http://www.bgirc.net/showpost.php?post_id=93&parent=8

ne smeja da se izkazvam, no efektut doniakude mi e poznat ot norton disk doctor, kojto se opitva da repair-ne linux file-ovata sistema :-)

dzver27.04.02 15:27:45
42.....
moje da e kakto nomer na versiata trojan, taka i smisyla na sveta :)

Anonymous comments are temporary disabled

  Copyright: ShakeIT IRC; dev: dzver; des: metala. Read blogs.  
eXTReMe Tracker