Тема закрыта
  • Rus Senior Member
    офлайн
    Rus Senior Member

    1595

    21 год на сайте
    пользователь #273

    Профиль
    Написать сообщение

    1595
    # 27 мая 2003 13:34

    Domovoy,

    WORM_YAHA.F

    Virus type: Worm

    Destructive: No

    Aliases: LENTIN.F, YAHA.F, I-Worm.Lentif.f

    Pattern file needed: 306

    Scan engine needed: 5.200

    Overall risk rating: Low

    --------------------------------------------------------------------------------

    Reported infections: Low

    Damage Potential: High

    Distribution Potential: High

    --------------------------------------------------------------------------------

    Description:

    This worm arrives in an email message and is disguised as a screensaver program. It has a built-in SMTP engine, which it uses to spam itself to other users. It accesses different sources for its spam recipients.

    The email it sends out is HTML-formatted and can be either of the following:

    Subject: Melt the Heart of your Valentine with this beautiful Screen saver

    Message Body:

    <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

    This e-mail is never sent unsolicited. If you need to unsubscribe, follow the instructions at the bottom of the message.

    **************************************************

    Melt the Heart of your loved ones with these beautiful Screen saver from http://www.screensaverin.com

    * To remove yourself from this mailing list, point your browser to:

    http://screensaverin.com/remove?freescreensaver

    * Enter your email address (%EmailAddress%) in the field provided and click "Unsubscribe".

    OR...

    * Reply to this message with the word "remove" in the subjt line.

    This message was sent to address %EmailAddress%

    X-PMG-Recipient:

    <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

    Attachment: VALENTIN.SCR

    Subject: Fw: Melt the Heart of your Valentine with this beautiful Screen saver

    Message Body: Hi

    Check this screen saver

    Happy Valentines day

    See u

    ----- Original Message -----

    From: "Screen Saver"

    To:

    Sent: Friday, February 11, 2002 8:38 PM

    Subject: Melt the Heart of your Valentine with this beautiful Screen saver

    <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

    This e-mail is never sent unsolicited. If you need to unsubscribe, follow the instructions at the bottom of the message.

    **************************************************

    Melt the Heart of your loved ones with these beautiful Screen saver from http://www.screensaverin.com

    * To remove yourself from this mailing list, point your browser to:

    http://screensaverin.com/remove?freescreensaver

    * Enter your email address (%EmailAddress%) in the field provided and click "Unsubscribe".

    OR...

    * Reply to this message with the word "remove" in the subjt line.

    This message was sent to address %EmailAddress%

    X-PMG-Recipient: <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

    Attachment: VALENTIN.SCR

    Solution (лечение):

    Click Start>Run.

    In the Open: input box, type:

    command /c copy %WinDir%\regedit.exe regedit.com | regedit.com

    *where %WinDir% is the Windows directory, usually C:\Windows or C:\Winnt.

    Hit the Enter key.

    Open Registry Editor. Click Start>Run, type REGEDIT.COM then hit the Enter key.

    In the left panel, double click the following:

    HKEY_CLASSES_ROOT>exefile>shell>open>command

    In the right panel, locate the registry entry, Default, and check whether its value is the path and filename of the malware file.

    If the value is the file, right-click Default and select Modify to change its value.

    In the Value data: input box, delete the existing value and type the default value:

    "%1" %*

    Close Registry Editor.

    Click Start>Run.

    In the Open: input box, type:

    command /c del %WinDir%\regedit.com

    Hit the Enter key.

    Scan your system with Trend Micro antivirus and delete all files detected as WORM_YAHA.F. To do this Trend Micro customers must download the latest pattern file and scan their system. Other email users may use HouseCall, Trend Micro's free online virus scanner.

    ------------------------------------------------------------------------------------

    Ссылка на оригинал: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_YAHA.F

    ------------------------------------------------------------------------------------

    Вот, вроде и все... И описание, и лечение... Пользуйся!

  • SergioK Apple Team
    офлайн
    SergioK Apple Team

    395

    21 год на сайте
    пользователь #595

    Профиль
    Написать сообщение

    395
    # 27 мая 2003 16:20

    Самое верное средство подрубить зараженный винт к другой машине и вылечить его, это будет быстрее и эффективнее.:super: Сам кучу раз так делал!

  • Rus Senior Member
    офлайн
    Rus Senior Member

    1595

    21 год на сайте
    пользователь #273

    Профиль
    Написать сообщение

    1595
    # 27 мая 2003 16:31

    SergioK, сказано же, по каким-то причинам так сделать нельзя :(

  • Rhezus Клуб Самоделкиных
    офлайн
    Rhezus Клуб Самоделкиных

    25842

    20 лет на сайте
    пользователь #5127

    Профиль
    Написать сообщение

    25842
    # 9 марта 2006 16:43

    Короче, предыстория такова - прошелся дрвэбом и полечил процесс svhost.com зараженный чем-то типа Win32 (ну или что-то вроде)... После этого ни один экзешник не запускается, выскакивает ошибка типа "программа не является приложением Win32"

    Как побороть проблему? Винду переставлять, блин, лениво... Может есть какие решения?

    Если проблему можно решить за деньги, то это не проблема - это расходы.
  • Rhezus Клуб Самоделкиных
    офлайн
    Rhezus Клуб Самоделкиных

    25842

    20 лет на сайте
    пользователь #5127

    Профиль
    Написать сообщение

    25842
    # 9 марта 2006 18:17

    вот что нашел про эту дрянь...

    код выделить все
    Win32.HLLP.Neshta
    &#40;PE_NESHTA.A, Virus.Win32.Neshta.a, W32.Neshuta, W32/Generic.Delphi.c&#41;
    Добавлен в вирусную базу Dr.Web®&#58; 2005-12-01 18&#58;25&#58;00

    Описание

    Win32.HLLP.Neshta - файловый вирус. Написан в среде программирования Borland Delphi. Размер вируса 41472 байта.

    Распространение

    Заражает файлы EXE PE, размер которых не меньше 41472 байт.
    При заражении пишет себя в начало жертвы, а оригинальное начало переносит в конец файла. Часть перенесенного блока &#40;первые 1000 байт&#41; шифрует.

    Копирует себя в папку windows под именем svchost.com.

    Содержит строчку&#58;
    Neshta 1.0 Made in Belarus.

    оказывается, дрянь то родная, беларуская...:molotok:

    временное решение вроде нашел (кому интересно - читать тут http://forum.drweb.ru/index.php?showtopic=39461&st=0 ), поиск продолжаю...

    Если проблему можно решить за деньги, то это не проблема - это расходы.
  • RED_Y_ Левша Team
    офлайн
    RED_Y_ Левша Team

    11900

    18 лет на сайте
    пользователь #17682

    Профиль
    Написать сообщение

    11900
    # 9 марта 2006 18:56

    Rhezus, Был у одного товрасича такой-exe подохли все. :(

    Трудно найти чёрную кошку в тёмной комнате особенно если её там нет.
  • Rhezus Клуб Самоделкиных
    офлайн
    Rhezus Клуб Самоделкиных

    25842

    20 лет на сайте
    пользователь #5127

    Профиль
    Написать сообщение

    25842
    # 9 марта 2006 19:02

    RED (Y), так этот гад вроде как сами экзешники не портит, вносит свою строку

    код выделить все
    Delphi-the best. цветочки-лютики off all the rest. Neshta 1.0 Made in Belarus. Прывiтанне усiм ~цiкавым~ беларус_кiм дзяучатам. Аляксандр Рыгоравiч, вам таксама &#58;&#41; Восень - кепская пара... Алiварыя - лепшае пiва! Best regards 2 Tommy Salo. &#91;Nov-2005&#93; yours &#91;Dziadulja Apanas&#93;

    в тело файла и все... После лечения они остаются рабочими... До кучи немного гадит в реестре, после чего запуск экзешников становится (условно) невозможным... Т.е. сам по себе вирус ничем особо не опасен, но большинство неопытных пользователей приводит в ужаснах и заставляет переставлять винду :)

    Если проблему можно решить за деньги, то это не проблема - это расходы.
  • Miksin Nokia Team
    офлайн
    Miksin Nokia Team

    1203

    20 лет на сайте
    пользователь #5807

    Профиль
    Написать сообщение

    1203
    # 9 марта 2006 23:37

    после того, как этот neshta полечишь дрвебом в safe mode, в интернете найдешь файлик правки реестра, запустишь его, и все .ехе начинают запускаться как и полагается без проблем.:znaika:

    Лень - двигатель прогресса... :znaika:
  • Rhezus Клуб Самоделкиных
    офлайн
    Rhezus Клуб Самоделкиных

    25842

    20 лет на сайте
    пользователь #5127

    Профиль
    Написать сообщение

    25842
    # 9 марта 2006 23:48

    Miksin, дык я уже полечился:) нашел и reg-файлик, и ini... короче, все ОК:wink:

    Если проблему можно решить за деньги, то это не проблема - это расходы.
  • HeadHunter Senior Member
    офлайн
    HeadHunter Senior Member

    2175

    19 лет на сайте
    пользователь #13006

    Профиль
    Написать сообщение

    2175
    # 29 марта 2006 14:46

    Автор Neshta - ущербный "умник"

    Как и большинство вирусмейкеров

    Стыдно за таких "земляков"

  • RED_Y_ Левша Team
    офлайн
    RED_Y_ Левша Team

    11900

    18 лет на сайте
    пользователь #17682

    Профиль
    Написать сообщение

    11900
    # 6 апреля 2006 13:51

    HeadHunter, Каждый выдрючиваеться как может,видно из того что пишет вирус в тело файла.

    Трудно найти чёрную кошку в тёмной комнате особенно если её там нет.
  • HeadHunter Senior Member
    офлайн
    HeadHunter Senior Member

    2175

    19 лет на сайте
    пользователь #13006

    Профиль
    Написать сообщение

    2175
    # 6 апреля 2006 14:04

    RED (Y), Лучше бы он ту энергию, которая ушла на написание вируса, потратил бы на зарабатывание денег на нормальное пиво, а не на Алiварыю. Или на ~цiкавых~ беларус_кiх дзяучат.

    Скольким людям геморроя в жизни добавил. Пусть немного, но и без него проблем хватает.

    Интересно, а отдел по борьбе с правонарушениями в комп. сфере может таким ""гением"" заинтересоваться?

    (Когда искал противоядие, вычитал в нете, что на какой-то Минской ТЭЦ сеть легла после неудачного лечения. Это могло быть серъезным вредом.)

  • Sammy Senior Member
    офлайн
    Sammy Senior Member

    10784

    21 год на сайте
    пользователь #100

    Профиль
    Написать сообщение

    10784
    # 22 июня 2006 19:00

    посоветуйте как вывести Bloodhound.NsAnti. сидит в c:\windows\system32\1sass.exe. Norton Antivirus видит, ругается, но не может починить этот файл. что делать?

  • Lior Паяльник & Отвертка TEAM
    офлайн
    Lior Паяльник & Отвертка TEAM

    1631

    19 лет на сайте
    пользователь #9931

    Профиль
    Написать сообщение

    1631
    # 22 июня 2006 19:25

    посоветуйте как вывести Bloodhound.NsAnti. сидит в c:\windows\system32\1sass.exe. Norton Antivirus видит, ругается, но не может починить этот файл. что делать?

    Есть компакты с которых можно загрузиться и полечиться. типа Hiren's BootCD, UTILCD, miniPE и т.д.

    если файл называется lsass.exe, то файл для винды нужный, желательно иметь незараженный из дистрибутива на случай если антивирус удалит зараженный или лечить, а потом винду поверху, но в любом случае, дистриб своей винды иметь желательно.

    Коhито эрго сум!
  • tco Senior Member
    офлайн
    tco Senior Member

    16807

    19 лет на сайте
    пользователь #9086

    Профиль
    Написать сообщение

    16807
    # 22 июня 2006 21:11

    Sammy, давайте обсуждать в одной ветке все же ;)

    [censored, п.п. 3.3.3]
Тема закрыта