dl.exe (Hidrag)

[faiwer]

Уже 4 раз переставляю винду... в общем попорядку... умня 2 кампа, мой и мамин, мамин подключён к интернету... она умыдрилась каким то образом подхватить этот вирус... вирус не сразу работает в полнкю силу, первым делом он отключает msconfig, то есть заражает, программа при запуске выдаёт ошибку и вы получаете в процессах ещё 1 копию вируса... Вирус предпочитает носить те же имена что и у запущенных процессов, к примеру taskmgr, explorer, svchost etc... Иногда берёт названия с фонаря... например чтото типа доктор веб...

при запущенном вирусе:

1 гонит инет и большая часть прог

2 заражаюца все найденные проги.. а может быть и любые файлы

3 судя по всему последняя стадия - убить запуск винды... при любом запуске винды (кроме сейв модов) до загрузки логотипа винды с бегунком я видел только мигающий курсор... и всё, винда не грузилась...

Переставил маме винду и видать всё же както запустил вирус, оставил камп на 5 часов, прихожу и смотря в диспетчер задач умня падает челюсть.. ещё каким то образом вирус перебрался ко мне на комп.. я переставил винду и при запуске из папки с дистрибами установки партишн мейджика установил себе вирус повторно... переставил о5.. вот пялюсь в екран...

Вопрос: как вылечить заражённые ехетники наверняка???

Ах да, ещё 1 факт, при запущенном вирусе часто вылетал дос процесс dl.exe...

заранее спасибо, искренне надеюсь на помощь знатоков...

спец.автору - сдохни тварь

[torch777]

sco: Есть тема для этого!!!Помощь в лечении систем от нечести

Зачем мусорить, не понимаю, думаете удобно потом другим читать?

[faiwer]

sco: Есть тема для этого!!!Помощь в лечении систем от нечести

Зачем мусорить, не понимаю, думаете удобно потом другим читать?

в такой теме сложно следить за отдельно взятым вирусом... да и ваще одной темой больше одной меньше.. ты бы лучше не флудил а проблему решить помог

[torch777]

sco: 1.Сделай исследование системы AVZ:

• Скачай, если отсутствует AVZ
  

• Распаковываешь, открываешь....жмешь Файл > Исследование системы
  

• полученный протокол ПРИКРЕПЛЯЕШЬ
  

4. Так же выложи лог HijackThis:

Скачиваем HijackThis, распаковываем и запускаем (инсталляция для его работы не требуется).

Затем нажимаем на кнопку "Do a systemscan and save a logfile":

После чего программа автоматически выдаст свой лог, содержимое которого, нужно просто скопировать в своё сообщение.

Тогда может чем и помогу=)

[faiwer]

sco: 1.Сделай исследование системы AVZ:

• Скачай, если отсутствует AVZ

• Распаковываешь, открываешь....жмешь Файл > Исследование системы

• полученный протокол ПРИКРЕПЛЯЕШЬ

4. Так же выложи лог HijackThis:

Скачиваем HijackThis, распаковываем и запускаем (инсталляция для его работы не требуется).

Затем нажимаем на кнопку "Do a systemscan and save a logfile":

После чего программа автоматически выдаст свой лог, содержимое которого, нужно просто скопировать в своё сообщение.

Тогда может чем и помогу=)

если я правильно понял принцип работы етих программ то тебе ничего не дадут их логи ибо умня сейчас свежеустановленная винда на форматированном логическом диске...

[torch777]

Тогда, если так, то ставь System Safety Monitor!

Наверняка вылечить "ехе" Удалить=)

Я правильно понял, что на данный момен система не заражена?

[faiwer]

Тогда, если так, то ставь System Safety Monitor!

Наверняка вылечить "ехе" Удалить=)

Я правильно понял, что на данный момен система не заражена?

ога. я проставил обновлённого каспера и увидел примерно ето:

http://keep4u.ru/full/070616/6af1573428862304d5/jpg

запускать ети программы ещё не решился.. да и проверять ещё впереди 3 винта :(

[Sanitar]

sco: Есть тема для этого!!!Помощь в лечении систем от нечести

Зачем мусорить, не понимаю, думаете удобно потом другим читать?

Как раз и удобно, чем перелапачивать 81 страницу. Если бы sco не запостил бы в отдельную тему, я бы наверное и не узнал бы что есть такая зараза и что она творит, думаю многие такого же мнения.

ЗЫ. кстати половину сообщений там наверно можно удалить-за сроком давности.

[Saule]

ога. я проставил обновлённого каспера и увидел примерно ето:

Очень подробно об этом вирусе:

http://www.softboard.ru/index.php?s=&s...st&p=240893

Лечение:

http://www.softboard.ru/index.php?s=&s...st&p=283803

http://www.softboard.ru/index.php?showtopi...mp;#entry248024

Аналогичный файловый вирус (очень подробно описана сама логика):

http://www.softboard.ru/index.php?s=&s...st&p=310322

Как раз и удобно, чем перелапачивать 81 страницу. Если бы sco не запостил бы в отдельную тему, я бы наверное и не узнал бы что есть такая зараза и что она творит, думаю многие такого же мнения.

Большую часть таких тем всё равно переносила и буду переносить в общий топик, так как ничего кроме флейма в таких темах обычно нет + вирусов в природе встречается такое множество, то даже страшно подумать, что с тобой будет, если ты будешь узнавать подробности обо всех

[ser208]

то даже страшно подумать, что с тобой будет, если ты будешь узнавать подробности обо всех

:s(91)::)

За Sanitar санитары придут.

Изменено 16 июня, 2007 пользователем ser208

[Liao]

А у меня вылетает сразу после загрузки винды - ДОС-окно. при этом отрубается И-нет. При потытке запустить посл. версию Др.Веб предлагается как бы разархивировать архив (self-extractor)

можно вылечить систему без форматирования?

[Saule]

При потытке запустить посл. версию Др.Веб предлагается как бы разархивировать архив (self-extractor)

В этом случае на самом деле распаковывайте его (Dr.WEB'а) в папку и запускайте файл _start.exe

[Liao]

Да не распаковывается он никуда. такое ощущение, что эта вирусня ваще меняет логику запуска ЕХЕ-файлов...

Как же мне влечиться то? Никто не знает?

[_Leon_]

Да не распаковывается он никуда. такое ощущение, что эта вирусня ваще меняет логику запуска ЕХЕ-файлов...

Как же мне влечиться то? Никто не знает?

Другие названия

Virus.Win32.Hidrag.a («Лаборатория Касперского») также известен как: Win32.Hidrag («Лаборатория Касперского»), Virus.Win32.Hidrag («Лаборатория Касперского»), W32/Jeefo (McAfee), W32.Jeefo (Symantec), Win32.HLLP.Jeefo.36352 (Doctor Web), W32/Jeefo-A (Sophos), Win32/HLLP.Jeefo (RAV), PE_JEEFO.A (Trend Micro), W32/Jeefo (H+BEDV), W32/Jeefo.A (FRISK), Win32:Jeefo (ALWIL), Win32/Hidrag.A (Grisoft), Win32.Jeefo.A (SOFTWIN), W32.Jeefo (ClamAV), W32/Jeefo (Panda), Win32/Jeefo.A (Eset

От http://www.securitylab.ru/virus/262878.php

Технические детали

Компьютерный вирус. Инфицирует PE EXE файлы с сохранением их работоспособности. Имеет размер 36352 байта. Написан на языке C++.

Относится к классу HLLP-вирусов (High Level Language Parasitic Virus).

Инсталляция

При запуске зараженного файла вирус копирует себя в корневой каталог Windows с именем svchost.exe:

%WinDir%\svchost.exe

При этом тело вируса модифицируется так, что в конец файла добавляется ресурс VERSIONINFO, частично совпадающий с аналогичным ресурсом в оригинальном системном файле svchost.exe Windows XP, который расположен в %WinDir%\system32 (различие только в номерах версий — созданный файл имеет номер версии 5.1.0.0).

После этого вирус запускает созданный файл, передавая ему в качестве параметров командной строки имя запущенного инфицированного Exe-файла и его параметры командной строки.

Затем выполнение программы завершается. Это делается для лечения запустившегося инфицированного Exe-файла.

Запущенный вирусом файл svchost.exe проверяет тип операционной системы. Если это Windows NT, 2000 или XP, то он регистрирует себя в виде службы с именем «PowerManager» и описанием «Manages the power save features of the computer». Если тип операционной системы другой (Windows 95, 98), то запущенный процесс (svchost.exe) прячется из списка задач с помощью функции RegisterServiceProcess и регистрируется в системном реестре:

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]

"PowerManager"="%WinDir%\svchost.exe"

Запущенный файл svchost.exe анализирует параметры командной строки; если они есть, то вирус лечит указанный в них файл и запускает его с оригинальными параметрами командной строки. Затем, если одна копия вируса уже выполняется, процесс завершает свою работу.Деструктивная активность

В ходе фонового выполнения файла svchost.exe производится поиск и инфицирование других Exe-файлов. При поиске файлов просматриваются все несъёмные диски, начиная с диска C: до диска Z:. Для каждого диска просматривается дерево подкаталогов и производится поиск файлов с расширением Exe. Найденные файлы инфицируются.

При этом заражение файлов не происходит, если выполняется одно из следующих условий:

файл импортирует одну из функций: PackDDElParam или StartServiceCtrlDispatcher;

размер файла меньше 100 КБ;

тип пользовательского интерфейса — не GUI;

файл является защищённым (определяется посредством SfcIsFileProtected);

файл уже инфицирован этим вирусом (определяется путём нахождения строки; «Ijeefo!Esbhpo!wjsvt/!Cpso!jo!b!uspqjdbm!txbnq/» по смещению 610h от начала файла (данная строка является зашифрованной строкой «Hidden Dragon virus. Born in a tropical swamp.»).

Все строковые константы в теле вируса зашифрованы.

При заражении файлов у них на время инфицирования снимается атрибут «Только для чтения». Также не изменяются время создания, записи и последнего доступа к файлу. В ходе инфицирования файлов вирус шифрует и меняет местами некоторые данные файла.

Рекомендации по удалению

Удалить ключ реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]

"PowerManager"="%WinDir%\svchost.exe"

Остановить службу с именем PowerManager.

Удалить файл svchost.exe в каталоге %WinDir% (но не в %WinDir%\system32!).

Произвести полную проверку компьютера Антивирусом Касперского для удаления всех копий вирусов в Exe-файлах, которые невозможно обнаружить и вылечить вручную

Проверить подключаемые к компьютеру мп3-плееры,флэшки,фотоаппараты,мобильники ,дискеты-т.к. вирус копирует себя на все носители

Возможно обратное заражение

Изменено 3 июля, 2007 пользователем Saule

[Saule]

Да не распаковывается он никуда. такое ощущение, что эта вирусня ваще меняет логику запуска ЕХЕ-файлов...

Переименуйте расширение .exe в .com.

[golberg]

Народ, может и мне чем поможете? У меня был Jeefo, вроде удалил, но комп стал все равно после удаления тормозить... Протокол в аттаче!

hijackthis.log

hijackthis.log

[_Leon_]

Народ, может и мне чем поможете? У меня был Jeefo, вроде удалил, но комп стал все равно после удаления тормозить... Протокол в аттаче!

hijackthis.log

ну и служб у тебя )) Почисти Службы и автозагрузку. НОД32 и ДрВеб? вместе стоят ? гггг)

[golberg]

Не, доктора я уже удалил. В каком смысле почистить? Половину просто тупо поотключать что ли?

[_Leon_]

Не, доктора я уже удалил. В каком смысле почистить? Половину просто тупо поотключать что ли?

Да. Тупо отключить ненужное ) акробата явно стоит совсем удалить))

[golberg]

Поотлкючал много всего и автозагрузку почистил. Ровным счетом, ничего не дало. Все подтормаживает точно так же. :)

hijackthis.log

hijackthis.log

[Saule]

Народ, может и мне чем поможете? У меня был Jeefo, вроде удалил, но комп стал все равно после удаления тормозить... Протокол в аттаче!

После лечения от Jeefo некоторые восстановленные (т.е. вылеченные) .exe-файлы могут навсегда остаться немного подпорченными, что вполне влияет на общую производительность в системе.

Поэтому, если есть такая возможность, просто переустановите те программы. которые были заражены ранее. Единственное, если при этом будут использоваться какие-нибудь старые инсталляторы (т.е. сохраненные вами где-либо до этого) - обязательно проверяйте их перед тем, как запускать.

[_Leon_]

После лечения от Jeefo некоторые восстановленные (т.е. вылеченные) .exe-файлы могут навсегда остаться немного подпорченными, что вполне влияет на общую производительность в системе.

Поэтому, если есть такая возможность, просто переустановите те программы. которые были заражены ранее. Единственное, если при этом будут использоваться какие-нибудь старые инсталляторы (т.е. сохраненные вами где-либо до этого) - обязательно проверяйте их перед тем, как запускать.

Стоит проверить и системные файлы Пуск-Выполнить-sfc /scannow Возможно потребуется диск с ОС.

если было много зараженных файлов-то явно лучше переустановить систему. самое лучшее лечение вируса-это немедленно в морг)

[Saule]

самое лучшее лечение вируса-это немедленно в морг)

А лучшее средство от головной боли - это гильотина?..

golberg

В логе в любом случае ничего подозрительного не видно. Но если вдруг вам на самом деле кажется, что у вас что-то не так, то для более глубокого анализа можно также сделать исследование системы с помощью AVZ: распаковываем, запускаем, делаем сканирование системного диска, после чего нажимаем в верхнем меню программы:

Файл > Исследование системы

И присоединяем полученный лог к своему сообщению.

[_Leon_]

У меня был Jeefo, вроде удалил, но комп стал все равно после удаления тормозить...

hijackthis.log

Во -первых железо опиши ) , во-вторых,что понимаешь под словом "тормозить",в-третьих по каким параметрам определяешь "тормоза"

В случае с Jeefo скорее рано или поздно придется сносить систему )

А лучшее средство от головной боли - это гильотина?.. smile.gif

Нормальному человеку-таблеточка от головной боли. Преступнику -пуля в лоб .. и голова не болит ))