day & night

Вирус в компьютере!, Сюда постим проблемы из-за Вирусов на ПК
Дата обновления: , перейти к новому сообщению
icon13
#1
Фан



Watching You
[SoftoRooMTeaM] Group Icon

Группа: Наши Люди
Сообщений: 1.643
Регистрация: 29.06.2005
Пользователь №: 15


Респектов: 252
-----XX---




Вирус в компьютере


Компания Microsoft просит всех пользователей операционной системы Windows до 3 февраля в обязательном порядке провести проверку компьютера обновленным антивирусом, в противном случае им грозит новый и весьма деструктивный червь Nyxem. Вирус может удалить все файлы Word и Excel, а также заблокировать клавиатуру и мышь. Уже известно о 300 тысячах зараженных машин.

В пятницу вирус, названный Nyxem-E, активизируется на всех зараженных компьютерах, стерев с жесткого диска все файлы Word, PowerPoint и Excel, а также сами эти программы, входящие в комплект Microsoft Office. Под угрозой оказался также программный продукт Abode – Acrobat Reader.

Предполагается, что вирус осел на многих машинах, пользователи которых открывали пришедшее им по электронной почте сообщение с предложением посетить бесплатный порно-сайт. Компании, выпускающие антивирусы, заявили, что огромное количество копий червя уже выявлено на PC по всему миру.

Первые сигналы о появлении опасности поступили 16 января, и с тех пор жертв Nyxem становится все больше. Вирус известен также под названиями Blackmal, MyWife, Kama Sutra, Grew и CME-24. Заразив PC, вирус посылает информацию на специальный веб-сайт, где установлен счетчик всех инфицированных компьютеров. На прошлой неделе цифра на счетчике зашкалила за миллион, однако сотрудникам фирмы Lurhq, занимающейся компьютерной безопасностью, удалось выяснить, что примерно треть показателей – накрутки. Тем не менее доподлинно известно, что на данный момент Nyxem-E заразил уже около 300 тысяч машин.

Как и многие вирусы подобного типа, Nyxem пользуется тем, что неопытные пользователи открывают вложенные в письма файлы, которые, в свою очередь, содержат разрушительный код, мгновенно встраиваемый в различные файлы системы.

В строке «Subject» зараженного червем e-mail могут содержаться различные надписи, однако они преимущественно предлагают получателю просмотреть бесплатную порнографию. Примеры надписей: «Fw: Funny», «*Hot Movie*», «Re: Sex Video» и другие. Как сообщает BBC, сразу же после заражения вирус сканирует адресную книгу и автоматически рассылает себя по найденным e-mail. Кроме того, он распространяется по всем компьютерам в локальной сети жертвы.

Отличие Nyxem в том, что он, помимо того, что после заражения машины не уничтожается, а продолжает свое «победное шествие» по Сети, еще и заражает 11 типов файлов, наиболее часто используемых на PC, причем делает это каждое третье число месяца. Среди файлов, которым угрожает червь, такие распространенные типы, как, к примеру, doc, pdf, ppt, rar, zip и xls.

Червь настроен таким образом, что способен самостоятельно препятствовать работе антивирусов. Он блокирует обновление программных продуктов, а также в некоторых случаях может вызывать сбои в функционировании клавиатуры и мыши.

Всем пользователям Windows рекомендовано срочно обновить антивирусы и просканировать систему на предмет заражения Nyxem. Многие компании, выпускающие антивирусы, разработали специальные приложения, которые позволят более эффективно выявить и удалить «бомбу замедленного действия».

Джейсон Стир, технический консультант фирмы Ironport, специализирующейся на разработке защищающих от спама программ, подчеркивает, что Nyxem использует начавшую уже устаревать схему, когда вирус активизируется в определенное число месяца. «Если обратить внимание на похожие вирусы, ходившие по сети 10-15 лет назад, они были довольно деструктивны – форматировали жесткий диск, удаляли файлы и тому подобное», - говорит Джейсон Стир.

Пит Симпсон, сотрудник антивирусной лаборатории Clearswift, указывает на отсутствие какого-либо изящества в таком подходе. «Да, сам код вируса довольно сложен, для написания он требует большого объема практических знаний, но никакой мотив, кроме вандализма, не двигает создателями подобных червей», - говорит Пит.

Оба специалиста полагают, что наибольший удар 3 февраля придется на домашних пользователей Windows. IT-отделы большинства компаний регулярно обновляют антивирусные базы данных и отсекают нежелательную почту еще до того, как она попадет на компьютеры сотрудников.

Домашние пользователи, напротив, зачастую игнорируют обновления Windows и антивирусов, а также не проводят проверку системы на наличие вирусов, а о постоянном резервном копировании файлов на сменные носители речи не идет вообще.

Деловая газета «Взгляд»
User is offline
Go topGo end

Ответов(20 - 29)
1.08.2006 - 19:46
#21
Andrey_n



Грамотный
***

Группа: Пользователи
Сообщений: 256
Регистрация: 2.09.2005
Из: Кострома
Пользователь №: 41.030


Респектов: 76
-----X----


Предупреждений:


Сделано в СССР, напиши какая у тебя винда. Можешь ли ты загрузится в отладочные режимы (безопасный, режим отладки) и оттуда получить доступ к реестру.
Если есть возможность проверь файл win.ini,system.ini.
Умеешь ли ты работать с реестром ручками?

Добавлено:

Сделано в СССР. Кое что нашел по твоему "другу".У Каспера на сайте, в его энциклопедии лежит следующее:

При инсталляции червь копирует себя в следующие каталоги со следующими именами:
%Documents and Settings%\User\Local Settings\Application Data\csrss.exe
%Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe
%Documents and Settings%\User\Local Settings\Application Data\lsass.exe
%Documents and Settings%\User\Local Settings\Application Data\services.exe
%Documents and Settings%\User\Local Settings\Application Data\smss.exe
%Documents and Settings%\User\Local Settings\Application Data\winlogon.exe
%Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif
%Documents and Settings%\User\Templates\WowTumpeh.com
%System%\<Имя пользователя>'s Setting.scr
%Windir%\eksplorasi.pif
%Windir%\ShellNew\bronstab.exe
После чего червь регистрирует себя в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus"="%Windir%\ShellNew\bronstab.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"="%Documents and Settings%\User\Local Settings\Application Data\smss.exe"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe %Windir%\eksplorasi.pif"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений и опций Windows (Системный Реестр, свойства папок):

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"="1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]
"Hidden"="0"
"ShowSuperHidden"="0"
"HideFileExt"="1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="1"
"DisableCMD"="0"


Также червь создает следующую папку:

%Documents and Settings%\User\Local Settings\Application Data\Bron.tok-XX
XX – 2 случайные цифры.

Прочее
Червь перегружает зараженную систему в том случае, если обнаруживает открытое окно со следующими строками в заголовке:

.exe
Registry


Добавлено:

А теперь подскажу как можно добраться до реестра:

...Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений и опций Windows (Системный Реестр, свойства папок):

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"="1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]
"Hidden"="0"
"ShowSuperHidden"="0"
"HideFileExt"="1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="1"
"DisableCMD"="0"

Исправь следующее:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="0"
"DisableCMD"="0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"="0"

Не знаешь как пиши подскажу! Только обязательно укажи версию винды.

User is offline
Go topGo end
1.08.2006 - 20:26
#22
Сделано в СССР



Грамотный
Group Icon

Группа: Наши Люди
Сообщений: 289
Регистрация: 23.06.2005
Из: Moskau (UdSSR)
Пользователь №: 24.767


Респектов: 28
-----X----




Превед, спасибо за помощь!
Это все я уже читал конечно же.
С реестром работать не умею, не понимаю значений записей там, но пару раз успешно пользовался подобными подсказками для ламаков, тогда чистил от чего-то другого...
Винда ХР про.
QUOTE
Если есть возможность проверь файл win.ini,system.ini.

Как проверить их?
QUOTE
При инсталляции червь копирует себя в следующие каталоги со следующими именами:
%Documents and Settings%\User\Local Settings\Application Data\csrss.exe
%Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe
%Documents and Settings%\User\Local Settings\Application Data\lsass.exe............
..................

Тоже не совсем понятно - и что дальше?

QUOTE
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus"="%Windir%\ShellNew\bronstab.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"="%Documents and Settings%\User\Local Settings\Application Data\smss.exe"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe %Windir%\eksplorasi.pif"


[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"="1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]
"Hidden"="0"
"ShowSuperHidden"="0"
"HideFileExt"="1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="1"
"DisableCMD"="0"


Здесь я пробовал менять значения или вообще удалять полностью запись из реестра(доступ к нему удалось получить при помощи сахалинской проги Reg Organizer , но тщетно - восстанавливает обратно сволочь.
Может что-то упустил, сейчас еще раз попробую. Кстати формат С в данном случае решит проблему в крайнем случае?
User is offline
Go topGo end
1.08.2006 - 20:47
#23
Andrey_n



Грамотный
***

Группа: Пользователи
Сообщений: 256
Регистрация: 2.09.2005
Из: Кострома
Пользователь №: 41.030


Респектов: 76
-----X----


Предупреждений:


Смотри в реестре все ключи типа RUN,RUNOnce.

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus"="%Windir%\ShellNew\bronstab.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"="%Documents and Settings%\User\Local Settings\Application Data\smss.exe"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe %Windir%\eksplorasi.pif"

Удаляй все ссылки в реестре на эти файлы.Особенно в RUN,RUNONCE:

%Documents and Settings%\User\Local Settings\Application Data\csrss.exe
%Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe
%Documents and Settings%\User\Local Settings\Application Data\lsass.exe
%Documents and Settings%\User\Local Settings\Application Data\services.exe
%Documents and Settings%\User\Local Settings\Application Data\smss.exe
%Documents and Settings%\User\Local Settings\Application Data\winlogon.exe
%Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif
%Documents and Settings%\User\Templates\WowTumpeh.com
%System%\<Имя пользователя>'s Setting.scr
%Windir%\eksplorasi.pif
%Windir%\ShellNew\bronstab.exe

Только затем удаляй эти файлы!

Почитай внимательно, все ключи и все файлы которые
задействованы перечислены. Постарайся найти откуда к тебе этот вирус пришел, процентов 85 что по почте.
Удали!
Если что пропустишь он воссоздаст себя заново, такая это ЗАРАЗА! Так что убивай до конца, и не перезагружайся, пока не будешь уверен что все.
И еще помни про строку ...
Прочее
Червь перегружает зараженную систему в том случае, если обнаруживает открытое окно со следующими строками в заголовке:
.exe
Registry
Так что не провоцируй перезагрузки.
Успехов! Извини если немного запутано объяснил.
User is offline
Go topGo end
1.08.2006 - 21:28
#24
Love.sys



Коксохим
Group Icon

Группа: Наши Люди
Сообщений: 1.341
Регистрация: 23.08.2005
Пользователь №: 12.345


Респектов: 120
-----X----




Не занимайс фигнёй. Используй вот это:
https://softoroom.org/...33.html?hl=avz

Я об этом замечательном средстве уже писал
User is offline
Go topGo end
2.08.2006 - 2:15
#25
Сделано в СССР



Грамотный
Group Icon

Группа: Наши Люди
Сообщений: 289
Регистрация: 23.06.2005
Из: Moskau (UdSSR)
Пользователь №: 24.767


Респектов: 28
-----X----




QUOTE(Andrey_n @ 1.08.2006 - 20:47)
Смотри в реестре все ключи типа RUN,RUNOnce.

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus"="%Windir%\ShellNew\bronstab.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"="%Documents and Settings%\User\Local Settings\Application Data\smss.exe"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe %Windir%\eksplorasi.pif"

Удаляй все ссылки в реестре на эти файлы.Особенно в RUN,RUNONCE:

%Documents and Settings%\User\Local Settings\Application Data\csrss.exe
%Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe
%Documents and Settings%\User\Local Settings\Application Data\lsass.exe
%Documents and Settings%\User\Local Settings\Application Data\services.exe
%Documents and Settings%\User\Local Settings\Application Data\smss.exe
%Documents and Settings%\User\Local Settings\Application Data\winlogon.exe
%Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif
%Documents and Settings%\User\Templates\WowTumpeh.com
%System%\<Имя пользователя>'s Setting.scr
%Windir%\eksplorasi.pif
%Windir%\ShellNew\bronstab.exe

Только затем удаляй эти файлы!

Если что пропустишь он воссоздаст себя заново, такая это ЗАРАЗА! Так что убивай до конца, и не перезагружайся, пока не будешь уверен что все.
*


В общем к реестру доступ только через прогу, так, через regedit не дает. Прога не дает изменить некоторые записи в реестре, например восстановить прямой доступ к реестру через regedit, меняешь 1 на 0 но сохранить не удается. Где-то еще что-то лежит, что восстанавливает . Что делать не знаю... huh.gif
User is offline
Go topGo end
2.08.2006 - 2:41
#26
Сделано в СССР



Грамотный
Group Icon

Группа: Наши Люди
Сообщений: 289
Регистрация: 23.06.2005
Из: Moskau (UdSSR)
Пользователь №: 24.767


Респектов: 28
-----X----




QUOTE(Гражданин @ 1.08.2006 - 21:28)
Не занимайс фигнёй. Используй вот это:
https://softoroom.org/...33.html?hl=avz

Я об этом замечательном средстве уже писал
*


Попробовал эту штуку с жесткими настройками - не прет. Видит вроде бы много но не лечит.
User is offline
Go topGo end
2.08.2006 - 5:29
#27
сахалинец



Unregistered














попробуй зайти на virusinfo по этой ссылке
http://virusinfo.info...ead.php?t=1235
Go topGo end
2.08.2006 - 5:55
#28
сахалинец



Unregistered














вот еще что вычитал

Вам необходимо отключить службу востановления системы (кнопка ПУСК/Настройка/Панель управления/Администрирование/Службы/востановления системы- стоп!), а потом просканировать комп. Настройки антивируса должны быть жесткими.После чего червяк помрет,а так же рекомендуется поставить файрвол или использовать встроенный в Window

Добавлено:

еще один совет

через поиск киляй экзешники, потом в безопасном режиме запусти msconfig поудаляй оттуда все левые галочки, ну а потом спайбот, после него касперский. Но мне кажется помог только НОД 32, касперский что то мозги делал, но вири не удалял.
Go topGo end
2.08.2006 - 6:18
#29
сахалинец



Unregistered














нашел нашел!!!!!!!
ftp://d-ru-1f.kasper...om/utils/klwk/ там лежит утилитка которая лечит и именно этот вирус в том числе
Go topGo end
2.08.2006 - 13:43
#30
Сделано в СССР



Грамотный
Group Icon

Группа: Наши Люди
Сообщений: 289
Регистрация: 23.06.2005
Из: Moskau (UdSSR)
Пользователь №: 24.767


Респектов: 28
-----X----




QUOTE(сахалинец @ 2.08.2006 - 6:18)
нашел нашел!!!!!!!
ftp://d-ru-1f.kasper...om/utils/klwk/ там лежит утилитка которая лечит и именно этот вирус в том числе
*


Попробовал эту штуку - пишет что мол у тебя нечего чистить-то чувак!
У меня версия червяка называется Brontok.A а там пишут что лечат версию N. Вчера после многочисленных мытарств, перестала самопроизвольно загружаться сраная страничка, но...
K regedit по-прежнему нет доступа - сразу же перегружается, после ругательств. К тому же в папке Local settings/Application Data лежат его файлы с иконками папок, которые через секунду после удаления появляются снова. Видимо удалось удалить компоненты червя, но не полностью - наверно он медленно развивается, поэтому пока нет странички.
Становится интересно, азарт даже какой-то, хотя злит ужасно.

CODE
в безопасном режиме запусти msconfig поудаляй оттуда все левые галочки, ну а потом спайбот, после него касперский. Но мне кажется помог только НОД 32, касперский что то мозги делал, но вири не удалял.


С твоих слов я понял что у тебя был такой-же червяк - нет?
User is offline
Go topGo end

Topic Options
Сейчас: 28.03.2024 - 16:14
Мобильная версия | Lite версия