| Вопрос: противоядие от VBRedlof | Добавлено: 12.08.04 20:37 |
Автор вопроса:  someone | Web-сайт: 123
|
|
не к кому случаем не заскакивал вирус VBRedlof???
я тут пишу противоядие, подскажите плиз как в лист запихать содержимое жесткого диска (по разделам) |
| Ответы | Всего ответов: 24 |
|
Номер ответа: 1 Автор ответа:  Kodo Разработчик Offline Client ICQ: 293048085 Вопросов: 37 Ответов: 457 |
Профиль | | #1 | Добавлено: 12.08.04 20:40 |
Ко мне заскакивал  А в смысле "Записать в лист содержимое жеского диска"? Ето как? Если запихать в лист все файлы, делай поиск файлов (хош код вышлю) по маске *.* и пихаешь их в List.
Или я не так понял??? |
||
|
Номер ответа: 2 Автор ответа: KodoРазработчик Offline Client ICQ: 293048085 Вопросов: 37 Ответов: 457 |
Профиль | | #2 | Добавлено: 12.08.04 20:41 |
Только он VBS.Redlof, как я помню. Или это уже совсем другой вирус ?  ))))
|
||
|
Номер ответа: 3 Автор ответа: someone Вопросов: 215 Ответов: 1596 |
Web-сайт: Профиль | | #3 | Добавлено: 12.08.04 20:44 |
|
Да!!! Именно так. Кстати а в лист залезет? не будет перегрузки, а у меня то 10 гб на одном только C:\. А по разделам в смысле C:\, D:\ E:\
да, а кстати не знаешь как уничтожить вирус из корня (распространяется, зараза!). Я делаю так - ищу код вируса в файлах и удаляю. Такой же и принцип действия противоядия. |
||
|
Номер ответа: 4 Автор ответа: someoneВопросов: 215 Ответов: 1596 |
Web-сайт: Профиль | | #4 | Добавлено: 12.08.04 20:45 |
| ну да, VBS | ||
|
Номер ответа: 5 Автор ответа: someoneВопросов: 215 Ответов: 1596 |
Web-сайт: Профиль | | #5 | Добавлено: 12.08.04 20:59 |
| вот... | ||
|
Номер ответа: 6 Автор ответа: CyRax  Разработчик Offline Client ICQ: 204447456 Вопросов: 180 Ответов: 4229 |
Web-сайт: Профиль | | #6 | Добавлено: 12.08.04 21:01 |
|
Если мне не изменяет память, то вирус крайне примитивен.
Размножения как такового там нет. Есть прога, запускающаяся через автозагрузку реестра, которая ловит открытие всех папок и создаёт там какой то свой сценарий (вроде .HTT). От чего создаётся впечатление что это реальный вирус. А на самом деле если убить его тело то и заражение прекратится. Все его отпрыски нежизнеспособны. Зато прячется хорошо. Может называться Kernel.dll, Kernel.exe или Rundll32.dll. Короче название похоже на системные файлы. А проверить очень просто. Прсматриваешь все файлы автозагрузки на производителя. Если название похоже на системный файл, а производитель не MS - убиваешь. Другой вариант. Через VC или FAR смотришь содержимое файла. Обычно в конце идёт байт-код с VB-подобным синтаксисом (ну в общем то у VB Script'а и есть такой синтаксис ). Убиваешь этот файл. Остальное не способно размножаться. Его легко подчистит Каспер. Кстати каспером (ну или что там у тебя) можешь и подозрительный файл проверить.
|
||
|
Номер ответа: 7 Автор ответа: someoneВопросов: 215 Ответов: 1596 |
Web-сайт: Профиль | | #7 | Добавлено: 12.08.04 21:05 |
| не, redlof размножается через HTM, HTML, PHP. при их запуске. так говорят продвинутые люди с форума Доктора Веба, которым я пользуюсь. а вообще ни каспер ни др.веб его не лечат. у меня он называется kernel.dll. ну а вообще за инфу спасибо | ||
|
Номер ответа: 8 Автор ответа: someoneВопросов: 215 Ответов: 1596 |
Web-сайт: Профиль | | #8 | Добавлено: 12.08.04 21:13 |
| Kodo, вышли код, плиз. Очень надо empro@ukr.net | ||
|
Номер ответа: 9 Автор ответа: CyRax Разработчик Offline Client ICQ: 204447456 Вопросов: 180 Ответов: 4229 |
Web-сайт: Профиль | | #9 | Добавлено: 12.08.04 21:17 |
|
Продвинутые (вернее профи) - это производители DrWeb'а. А остальные такие же залётные как и ты.
Спроси у них лучше исходники этого вируса. Если они впервый раз слышат слово "исходники", то их продвинутость ясна. Если же они у них есть, то бери и разбирайся. Потому что твоё "противоядие" совсем не в тему. |
||
|
Номер ответа: 10 Автор ответа: KodoРазработчик Offline Client ICQ: 293048085 Вопросов: 37 Ответов: 457 |
Профиль | | #10 | Добавлено: 12.08.04 21:19 |
|
Empro, щас вышлю... Найти еще надо
|
||
|
Номер ответа: 11 Автор ответа: someoneВопросов: 215 Ответов: 1596 |
Web-сайт: Профиль | | #11 | Добавлено: 12.08.04 21:19 |
| ну спасибо заранее... | ||
|
Номер ответа: 12 Автор ответа: someoneВопросов: 215 Ответов: 1596 |
Web-сайт: Профиль | | #12 | Добавлено: 12.08.04 21:24 |
|
гм, если есть время, то можно еще на empro@list.ru
ну это так для очистки совести, я не настаиваю |
||
|
Номер ответа: 13 Автор ответа: KodoРазработчик Offline Client ICQ: 293048085 Вопросов: 37 Ответов: 457 |
Профиль | | #13 | Добавлено: 12.08.04 21:35 |
|
Не понял ???????? Это че значит ???????? ))))))))))))) Нахрена тебе его на два емейла ????????????????
|
||
|
Номер ответа: 14 Автор ответа: DaSharmICQ: 780477 Вопросов: 72 Ответов: 1297 |
Web-сайт: Профиль | | #14 | Добавлено: 12.08.04 21:38 |
| Хи...На самом деле редлоф- безобидный VBA вирь, который (вы только прикиньте) не несет никаких (!) деструктивных ф-ций, он только прописываеться во другие HTM,PHP файлы. Храниться вирь в файлах .htt (они отвечают за отображение ярлыков експлорером). Если вы зайдете на диск, то .htt не исполняються, но если вы запустите IE и попробуете в адресной строке прописать директорию (например С:\windows) с зараженным .htt файлом, то вирь активизируется.Избавиться от виря ОЧЕНЬ просто, он прописан в самом конце .htt файла с закодированным телом, приблизительно 3 строчки кода. П. С. каспер лечит без проблем | ||
|
Номер ответа: 15 Автор ответа: KodoРазработчик Offline Client ICQ: 293048085 Вопросов: 37 Ответов: 457 |
Профиль | | #15 | Добавлено: 12.08.04 21:41 |
| Empro, проверь EMail ... Послал вроде и туда и туда ... | ||