Q-Q Опубликовано 3 марта, 2008 Жалоба Поделиться Опубликовано 3 марта, 2008 Принесли на флэшке. Прописывается прямо в корневом каталоге (на диске) в виде скрытого файла. Рядом создаёт AUTORUN.INI для своего автозапуска. При удалении вручную обоих файлов тут же возникают снова: сначала tel.xls.exe, а вслед за ним - .INI. Антивирус обнаруживает и удаляет, но они точно так же возникают снова. Как изничтожить эту гадость? Ссылка на комментарий Поделиться на другие сайты Поделиться
Old men Опубликовано 3 марта, 2008 Жалоба Поделиться Опубликовано 3 марта, 2008 Приобрел недавно флешку с точно такой гадостью, NOD начал кричать на весь экран монитора, а потом удалил без последствий. Правда, там был еще файл Корзины, его я оставил (на него не ругались) Ссылка на комментарий Поделиться на другие сайты Поделиться
Maikll Опубликовано 3 марта, 2008 Жалоба Поделиться Опубликовано 3 марта, 2008 Q-Q: вот нагуглил, попробуй Столкнулся тоже с такой проблемой. Однако, винду не спешил переустанавливать или чистить антивиром (который всё равно не справился бы). Просто решил изучит тело этой гадости. Как я понял - это видоизменённый и дополненный вирус neshta.a, т.к. он тоже использует для своих целей файл svchost.com, а в этой версии к тому ещё добавился tel.xls.exe, со множеством других исполняемых файлов. И в добавок внутри обнаружил такие строки:"Delphi-the best. Fuck off all the rest. Neshta 1.0 Made in Belarus. Прывiтанне усiм ~цiкавым~ беларус_кiм дзяучатам. Аляксандр Рыгоравiч, вам таксама С улыбкой Восень - кепская пара... Алiварыя - лепшае пiва! Best regards 2 Tommy Salo [Nov-2005] yours [Dziadulja Apanas]" - т.е. это доказывает исходность от нешты. В конце концов, вот вам 10 пунктов по удалению данной гадости, по которым действовал сам из собственных, так сказать расследований. Вот они: 1. В диспетчере задач (ctrl+alt+del) в разделе "Процессы" завершить процесс tel.xls.exe, если таковой будет выполняться. 2. Переименовать в папке C:\Documents and Settings\[ваш пользователь]\Local Settings\Temp\3582-490 файлы svchost.exe и tel.xls.exe в любые названия. Например из svchost.exe переименовать в авс.123 3. Запустить программу regedit.exe (Пуск\Выполнить\Regedit.exe\OK) и в разделе [HKEY_CLASSES_ROOT/exefile/shell/open/command] переименовать строку [C:\windows\svchost.com "%1"%*] на "%"1"%* 4. Безвозвратно удалить (shift+del) из папки C:\[windir]\ следующие файлы: session.exe svchost.com. svchost.exe filekan.exe backinf.tab ufdata2000.log 5. Безвозвратно удалить (shift+del) из папки C:\[windir]\system32\ следующие файлы: socksa.exe 6. Со всех локальных дисков безвозвратно удалить (shift+del) след файлы: AUTORUN.INI tel.xls.exe 7. Из автозагрузки удалить след строку: socksrv Asocks.exe 8. Опять открыть программу regedit.exe и в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] удалить параметр REG_SZ CheckedValue и создать новый параметр REG_DWORD под таким же названием CheckedValue и присвоить значение 00000001. 9. Перезагрузить компьютер. 10. Безвозвратно удалить вышеуказанную папку 3582-490. 11. Обязательно просканировать всю систему хорошим антивирусом в целях излечения исполняемых файлов от Neshta.A. Например я использовал Trend Micro PC-Cillin Internet Security 2007. Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 3 марта, 2008 Жалоба Поделиться Опубликовано 3 марта, 2008 (изменено) А лучше так - Cкачайте CureIT и запустите полную проверку всех дисков в безопасном режиме. Перезагрузитесь в обычный режим. - Скачайте AVZ и HijackThis и распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки. - Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer. - Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер. - Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты". - Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог. - Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip Сначала предотвратить заражение на стадии лечения и после него Отключить автозапуск с помощью TweakUI - установить, далее Пуск - Все программы - Powertools for Windows. Для отключения автозапуска найти: My Computer - 'Autoplay' - Drives (снять галочки где надо), Types (снять галочки где надо) или в AVZ выполнить скрипт procedure DisableAutorun;begin// Блокировка автозапуска (0x1 + 0x4 + 0x8 + 0x10 + 0x40 + 0x80 - отключили все типа, кроме CD)RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);// Блокировка автозапуска (0x4) - заблокировали автозапуск на C:RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveAutoRun', 4);end;beginDisableAutorun;end. Можно нарушить ассоциирование, связанное с запуском autrun.inf тут можно reg файлом REGEDIT4[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]@="@SYS:DoesNotExist" Включить показ скрытых папок и файлов можно так: см. ключ HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL Удалить параметр "CheckedValue" Щелкнуть правой кнопкой мыши в этом же окне и выбрать "создать параметр DWORD". Назвать его CheckedValue. Поставить значение 1, то же самое делаем с Hidden, в [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] в итоге д.б. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 Дополнительно можно пуск - выполнить - regsvr32 /i shell32.dll и выложить логи, чтобы добить заразу зы. Свою флешку можно попробовать защитить стареньким способом - создать на ней заранее файл или лучше каталог autorun.inf и поставить им атрибуты системный, чтение, только вот не знаю ещё, новые модификации зловредов смогут с такой защитой бороться или нет :) Изменено 3 марта, 2008 пользователем Pili Ссылка на комментарий Поделиться на другие сайты Поделиться
Q-Q Опубликовано 4 марта, 2008 Автор Жалоба Поделиться Опубликовано 4 марта, 2008 Maikll: Не проходит этот вариант. Очевидно, мне впарили другую модификацию этого паразита. Чисто физичечески не могу воспользоваться вариантом Pili, ибо эту гадость успели разнести на десяток компов (уже больше). Дома я бы и разбираться не стал - загрузочный диск - и через 6 мин девственно чистая система со всеми драйверами и программами. NOD32 выявляет и удаляет только в том случае, если он мониторит. Если же мониторинг был отключен, и этот червь уже запускался, то антивирус бессилен. Кстати, NOD определяет его как червь Win32/VB.EL. Буду искать какой-нибудь универсальный вариант... Ссылка на комментарий Поделиться на другие сайты Поделиться
студент_86 Опубликовано 4 марта, 2008 Жалоба Поделиться Опубликовано 4 марта, 2008 Если виден посторонний процесс в диспетчере задач, то процесс эксплорером смотрим где лежит исполняемый файл в avz пишем скрипт вида begin BC_DeleteFile('путь/имя_файла'); // Активация драйвера BC_Activate; // Перезагрузка RebootWindows(true); end. и выполняем. После этого в реестре ищем упоминания о файле по имени и удаляем. должно помочь Насчет варианта Pili - думаю вирь сидит в одном и том же месте, т.е. достаточно будет журнала проверки с одного компьютера, по журналу составится скрипт, который опять же подойдет для лечения всех машин - это правда мое имхо, но стоит попробовать Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 4 марта, 2008 Жалоба Поделиться Опубликовано 4 марта, 2008 Maikll: Чисто физичечески не могу воспользоваться вариантом Pili, ибо эту гадость успели разнести на десяток компов (уже больше). почему варинт не подходит? cureit не запускается или AVZ? Ещё вариант AVPTool если зловред новый и один и тот же на всех компах, лечим один комп, забираем(карантиним зловредов), через некоторое время (1 день обычно) каспер сможет лечить новый вариант зловреда :) Дрвеб чуть медленее реагирует Ссылка на комментарий Поделиться на другие сайты Поделиться
Q-Q Опубликовано 4 марта, 2008 Автор Жалоба Поделиться Опубликовано 4 марта, 2008 Потратил полдня, но в конце концов заломал этого паразита. Сначала пришлось срочно наваять батник, который отключал его автозагрузку (надо было в первую очередь приостановить распространение). Успокоившись, погуглил, но практически никто ничего кардинального не предлагал. Cнова запускаю NOD с последней базой - и он его уничтожает! (Отслеживают, однако!). Вот так просто всё разрешилось. Небольшое уточнение: NOD уничтожил все файлы этого гада, но при этом остались некоторые записи в автозагрузке. В принципе без файлов они безвредны, но для порядка лучше удалить. Для этого из секций Run веток HKLM и HKCU надо удалить лишние записи. Где-то видел сообщение, что Avira с последним обновлением с ним тоже расправилась. Про другие антивирусы - не знаю. Оставалась проблема с флэшками. Их же надо было все вычислить! В конце концов выстроил всех в затылок, затем каждый заползал в кабинет, держа в зубах флэшку. А с ними я не церемонился: вставлял, раскрывал, удалял два файлика, и как только они исчезали с экрана - тут же выдёргивал флэшку. Кое-кто упал в обморок: а как же безопасное выключение?! - А никак. Давно и постоянно пользуюсь флэшками и никогда этой рекомендацией не пользовался - никаких фокусов не было ни разу. После всех проверок обеззаразил компьютер. Аминь. Попутно учинил допрос с пристрастием и выяснил, что эту заразу подхватили в online игре. Кстати, любители проверять и лечить компьютер подручными средствами, могут полную версию курса прочитать здесь. Ссылка на комментарий Поделиться на другие сайты Поделиться
Yezhishe Опубликовано 4 марта, 2008 Жалоба Поделиться Опубликовано 4 марта, 2008 (изменено) Блин, поздно увидел тему... Несколько лет пользую вот эту программку по имени AnVir Task Manager - сильно рекомендую, особенно - последнюю версию. Спасала меня от множества всякой дряни, за что автору дюже благодарен. А в последних версиях ещё и с машиной стало удобнее обращаться. Изменено 4 марта, 2008 пользователем Yezhishe Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 4 марта, 2008 Жалоба Поделиться Опубликовано 4 марта, 2008 (изменено) Кое-кто упал в обморок: а как же безопасное выключение?! - А никак. Давно и постоянно пользуюсь флэшками и никогда этой рекомендацией не пользовался - никаких фокусов не было ни разу. Только не дeлай так на Win2K, а на ХР и далее можно. Я сам никогда не пользуюсь безопасным выключением. Кстати, любители проверять и лечить компьютер подручными средствами, могут полную версию курса прочитать здесь. Можно у нас тут еще посмотреть. Не специализированный, но тоже. Изменено 4 марта, 2008 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
Q-Q Опубликовано 5 марта, 2008 Автор Жалоба Поделиться Опубликовано 5 марта, 2008 Yezhishe: Тут и особенно там. Ссылка на комментарий Поделиться на другие сайты Поделиться
Yezhishe Опубликовано 5 марта, 2008 Жалоба Поделиться Опубликовано 5 марта, 2008 Спасибо! Увы, нет возможности просматривать все ветки форума... Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения