Одесса: 3°С (вода 8°С)
Киев: -1°С
Львов: -4°С

Тема: 213.159.117.134 - очередной троян

Ответить в теме
Показано с 1 по 10 из 10
  1. Вверх #1
    Постоялец форума
    Пол
    Мужской
    Сообщений
    1,488
    Репутация
    40

    По умолчанию 213.159.117.134 - очередной троян

    НЕ НАЖИМАЙТЕ НА ЭТОТ ЛИНК!!!
    Обнаруженая очередная *ня
    http://213.159.117.134/index.php прописывается в реестре:

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    "Local Page"="http://213.159.117.134/index.php"
    "Start Page"="http://213.159.117.134/index.php"
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
    "Default_Page_URL"="http://213.159.117.134/index.php"
    "Local Page"="http://213.159.117.134/index.php"
    "Start Page"="http://213.159.117.134/index.php"
    [HKEY_USERS\S-1-5-21-*****\Software\Microsoft\Internet Explorer\Main]
    "Local Page"="http://213.159.117.134/index.php"
    "Start Page"="http://213.159.117.134/index.php"
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\ZoneMap\Ranges\Range1]
    "*"=dword:00000002
    ":Range"="213.159.117.133"

    При чем остаются нетронутыми обычно подверженные этому ключи:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\URL\DefaultPrefix]
    @="http://"
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\URL\Prefixes]
    "ftp"="ftp://"
    "gopher"="gopher://"
    "home"="http://"
    "mosaic"="http://"
    "www"="http://"

    Вот, как должно быть (можно сделать файл reg и припаять к реестру, предварительно звездочки * заменив на нужные циферки):
    ------------------------------------------------------------------------
    Windows Registry Editor Version 5.00

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    "Local Page"="C:\\WINDOWS\\System32\\blank.htm"
    "Start Page"="about:blank"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
    "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
    "Local Page"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6 d,00,52,00,6f,00,6f,\
    00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00 ,6d,00,33,00,32,00,5c,00,\
    62,00,6c,00,61,00,6e,00,6b,00,2e,00,68,00,74,00,6d ,00,00,00
    "Start
    Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SU B_PVER}&ar=home"

    [HKEY_USERS\S-1-5-21-****\Software\Microsoft\Internet Explorer\Main]
    "Local Page"="C:\\WINDOWS\\System32\\blank.htm"
    "Start Page"="about:blank"
    ------------------------------------------------------------------------
    А ключа
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\ZoneMap\Ranges\Range1]
    вообще быть не должно (у меня нет)! Т.е. его достаточно просто удалить.

    Изменять реестр сразу - без успешно. Надо найти и удалить .../System32/Systime.exe . Может быть файл называтеся как-то по-другому, однако сразу видно, что он прописывается в автозагрузку причем дважды, и соотв в памяти висят два этих процесса. После убийства файла можно фиксить реестр

    ЗЫ Тесты проводились на WXP
    здесь завуалированный мат


  2. Вверх #2
    Важное замечание: заразе подвержены использующие IE в качестве броузера.
    Проверено: пользователи Mozilla и Opera могут быть спокойны.

  3. Вверх #3
    Постоялец форума Аватар для igva
    Пол
    Мужской
    Адрес
    Одесса
    Сообщений
    1,232
    Репутация
    38
    Проверено: пользователи Mozilla и Opera могут быть спокойны.
    Я спAкоен уже не в первый раз наша Мozzila нас бережет, кстати интересно почему Оперу не касаются ети дела ведь ето тот же IE ?

  4. Вверх #4
    Не покидает форум Аватар для iMo
    Пол
    Мужской
    Адрес
    Одесса
    Возраст
    38
    Сообщений
    6,306
    Репутация
    331
    А почему опера тот-же ие :?:
    -Почему у тебя зрачки такие большие?!!
    -Это чтобы Вас лучше видеть XD

  5. Вверх #5
    Постоялец форума Аватар для igva
    Пол
    Мужской
    Адрес
    Одесса
    Сообщений
    1,232
    Репутация
    38
    Цитата Сообщение от iMo
    А почему опера тот-же ие :?:
    а потому что Мозила работает на своем движке а Опера юзает движок IE

  6. Вверх #6
    igva, ты ошибаешься.

  7. Вверх #7
    Постоялец форума Аватар для igva
    Пол
    Мужской
    Адрес
    Одесса
    Сообщений
    1,232
    Репутация
    38
    где источник моей не правоты ?(ето не спор ,просто интересно) вроде опера была всегда переделкой (или надстройкой на IE)

  8. Вверх #8
    igva, MyIE - вот это надстройка, а Опера - это веСч...

  9. Вверх #9
    Постоялец форума Аватар для igva
    Пол
    Мужской
    Адрес
    Одесса
    Сообщений
    1,232
    Репутация
    38
    АС-Админ, я не спорю весЧ не весЧ, я про движки
    Опера меня бесит сохранением страниц в 1 файл ,как по мне ето сводит все её "+" на нет,а по скорости не быстрее Мазилы,ресурсов жрет меньше ето да ,но мне ето не грозит

  10. Вверх #10
    Посетитель Аватар для ase
    Пол
    Мужской
    Адрес
    Одесса
    Возраст
    41
    Сообщений
    472
    Репутация
    38
    Цитата Сообщение от igva
    где источник моей не правоты ?(ето не спор ,просто интересно) вроде опера была всегда переделкой (или надстройкой на IE)
    Кто здесь?
    Опера полноценный браузер со своим движком. Прошу заметить - не эесплореровским. Не забываем и про то,что опера имеется под ряд операционок не считая винды. Опять-же из-за своего собственного движка.
    Буй, буй, буй, бу-бу-бу-бу-бу буй! (с)ВВ


Ответить в теме

Похожие темы

  1. Школа №117
    от Ligazakon в разделе Школы
    Ответов: 4898
    Последнее сообщение: 14.12.2017, 22:25
  2. Сад №117 Армейская-Сегедская
    от malvina-fem в разделе Дошкольные заведения
    Ответов: 359
    Последнее сообщение: 10.12.2017, 22:07
  3. Капри "Барбери" рост 134-140
    от ZayaYa в разделе Одежда (Для Девочек)
    Ответов: 14
    Последнее сообщение: 16.08.2016, 11:28

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения