Внимание Вирус. Обсуждение вирусов.

Если переустановил ХР, то что в ней лечить? Или ты ее уже успел заразить, запустив что-то с соседних дисков?

Если же просто собрался лечить папки с дистрибутивами, то лучше этого не делать, а снова набрать незараженных, так как Нешта вроде корректно не лечится, т.е. вирусный код выкусывается, но целостность нарушается, и те инсталяторы, которые проверяют свою контрольную сумму, запускаться не будут.

кто-нибудь может это опровергнуть? Уж очень есть нужные ехешники

если ты в ручную кампилить вири не умеешь то врядли ты их спасёшь

Если же просто собрался лечить папки с дистрибутивами, то лучше этого не делать, а снова набрать незараженных, так как Нешта вроде корректно не лечится

бред! лечится и всегда лечился. др.веб точно лечит и все после лечения работает.

Это похоже Trojan.Win32.Autoit.dt

цитата отсюда:

http://virusinfo.info/showthread.php?t=30603

Не могу избавится от этого трояна.

Пока антивирус включен - все нормально. стоит отключить антивирус и во всех расшареных папках (кроме тех что на диске C: ) появляется этот троян:

*khq (без расширения, размером 0 байт)

*autoran.inf

*(6 случайных символов).exe

У меня стоит prio потому я сразу начал смотреть что куда щемится.

system неожиданно для себя используя ощутимую часть канал (40кб/с) начало ломится на ип моего провайдера.

ип разные (провайдер выдает динамически их всем)

включал я и антивирус в момент отправки - он тоже показывал этот же процесс.

http://www.virustotal.com/ru/analisi...e97f32a57e8ed0

уже выполнено следующее:

begin

QuarantineFile('C:\WINDOWS\dropcpyr.dll','');

QuarantineFile('L:\fnnpsr.exe','');

QuarantineFile('C:\Program Files\Comodo\CBOClean\BOCDRIVE.sys','');

DeleteService('Miranda_service');

StopService('Miranda_service');

QuarantineFile('g:\wildfire\bin\wildfi~1.exe','');

SetServiceStart('Wildfire', 4);

StopService('Wildfire');

BC_DeleteFile('C:\Program Files\ELTIMA Software\Application as Service\app2srv.exe');

DeleteFile('E:\autorun.inf');

DeleteFile('F:\autorun.inf');

DeleteFile('G:\autorun.inf');

DeleteFile('L:\autorun.inf');

DeleteFile('L:\fnnpsr.exe');

end.

так же нашел подозрительным следующие файлы в %sysdir%:

c:\WINDOWS\system32\1111ccdfebedaf2_r.111ocx 23 b 08.07.2007 01:05 -a--

c:\WINDOWS\system32\111fdbbabb_r111.111dll111 23 b 08.07.2007 01:05 -ahs

c:\WINDOWS\system32\11ff_vfw1111.111dll.manifest11 11 547 b 10.07.2007 19:10 -a--

единички добавил сам, что бы проверить за что файлы отвечают. пока основные программы молчат.

похоже все решилось установкой СП3 на ХР...

UPD. Еще отсюда:

http://www.avira.com/en/threats/section/fulldetails/id_vir/4311/w ... n.bft.html

Side effects:

• Downloads files

• Drops files

• Registry modification

It copies itself to the following locations:

• %SYSDIR%\csrcs.exe

• %network shares%\%random character string%.exe

It deletes the initially executed copy of itself.

The following files are created:

– Temporary files that might be deleted afterwards:

• %TEMPDIR%\aut1.tmp

• %TEMPDIR%\aut2.tmp

• %TEMPDIR%\%random character string%

• %TEMPDIR%\%random character string%

– %SYSDIR%\autorun.inf This is a non malicious text file with the following content:

• %code that runs malware%

– %TEMPDIR%\suicide.bat Furthermore it gets executed after it was fully created. This batch file is used to delete a file.

It tries to download some files:

– The location is the following:

• http://www.whatismyip.com/**********/n09230945.asp

It is saved on the local hard drive under: %temporary internet files%\Content.IE5\%random character string%\n09230945[1].htm

– The location is the following:

• http://sousi.extasix.com/**********.htm

It is saved on the local hard drive under: %temporary internet files%\Content.IE5\%random character string%\genst[1].htm

The following registry key is added in order to run the process after reboot:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

• "Shell"="Explorer.exe csrcs.exe"

The following registry key is added:

– [HKLM\SOFTWARE\Microsoft\DRM\amty]

• "ilop"="1"

• "fix"=""

• "exp1"="%hex values%"

• "dreg"="%hex values%"

• "eggol"="0"

• "regexp"="%number%"

REGISTRY

The following registry keys are changed:

Various Explorer settings:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\

Run]

New value:

• "csrcs"="c:\windows\\system32\\csrcs.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

New value:

• "Hidden"=dword:00000002

"SuperHidden"=dword:00000000

"ShowSuperHidden"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\

Folder\Hidden\SHOWALL]

New value:

• "CheckedValue"=dword:00000001

Network Infection

In order to ensure its propagation the malware attemps to connect to other machines as described below.

It drops a copy of itself to the following network share:

• %network shares%\%random character string%.exe

хороший вирус - я час убил, пока выщемил.

cureit не даёт запускать - выдаёт ошибку файла.

цепляет csrcs.exe к explorer.exe и т.д. И дллка из систем32 цепляется ко всем процессам.

Лечится - берётся unlocker, разлочиваются эти файлики и удаляются. чистится автозагрузка и запускается cureit последний.

*не на моей машине было, если что *

В диспетчере задач постоянно висит программа <мои документы>, именно со значком программы. Файл с таким названием на компьютере не обнаруживается. При попытке уничтожить через несколько секунд появляется вновь. Исчезает при уничтожении explorer.exe в процессах, но сразу пропадает с экрана всё, за что отвечает эксплорер. Про запуске эксплорера появляются и значки, и строчка мои документы в приложениях. Explorer.exe процессах один. Что бы это могло значить, кто знает?

neizvestnyj:

Народ, что за файлы такие Thumbs с расширением db. удаляю их, но они снова появляются???

кэш привьюшек изображений. виндошная внутренняя дрянь. генерируется автоматически.

можно отключить в свойствах папок. опция типа "не кэшировать картинки (thumbnails)"

Kiri11., это вы мне? Буду дома - посмотрю, но насколько я помню, кроме собственно userinit там больше ничего нет.

IgorOK, AVPTool пробовали?

Попробуй в безопасном режиме запустить винду и опять cureit натравить на комп.