tel.xls.exe

[Q-Q]

Принесли на флэшке.

Прописывается прямо в корневом каталоге (на диске) в виде скрытого файла. Рядом создаёт AUTORUN.INI для своего автозапуска. При удалении вручную обоих файлов тут же возникают снова: сначала tel.xls.exe, а вслед за ним - .INI. Антивирус обнаруживает и удаляет, но они точно так же возникают снова.

Как изничтожить эту гадость?

[Old men]

Приобрел недавно флешку с точно такой гадостью, NOD начал кричать на весь экран монитора, а потом удалил без последствий. Правда, там был еще файл Корзины, его я оставил (на него не ругались)

[Maikll]

Q-Q: вот нагуглил, попробуй

Столкнулся тоже с такой проблемой. Однако, винду не спешил переустанавливать или чистить антивиром (который всё равно не справился бы). Просто решил изучит тело этой гадости. Как я понял - это видоизменённый и дополненный вирус neshta.a, т.к. он тоже использует для своих целей файл svchost.com, а в этой версии к тому ещё добавился tel.xls.exe, со множеством других исполняемых файлов. И в добавок внутри обнаружил такие строки:

"Delphi-the best. Fuck off all the rest. Neshta 1.0 Made in Belarus. Прывiтанне усiм ~цiкавым~ беларус_кiм дзяучатам. Аляксандр Рыгоравiч, вам таксама С улыбкой Восень - кепская пара... Алiварыя - лепшае пiва! Best regards 2 Tommy Salo [Nov-2005] yours [Dziadulja Apanas]" - т.е. это доказывает исходность от нешты. В конце концов, вот вам 10 пунктов по удалению данной гадости, по которым действовал сам из собственных, так сказать расследований. Вот они:

1. В диспетчере задач (ctrl+alt+del) в разделе "Процессы" завершить процесс tel.xls.exe, если таковой будет выполняться.

2. Переименовать в папке C:\Documents and Settings\[ваш пользователь]\Local Settings\Temp\3582-490 файлы svchost.exe и tel.xls.exe в любые названия. Например из svchost.exe переименовать в авс.123

3. Запустить программу regedit.exe (Пуск\Выполнить\Regedit.e­xe\OK) и в разделе [HKEY_CLASSES_ROOT/exefil­e/shell/open/command] переименовать строку [C:\windows\svchost.com "%1"%*] на "%"1"%*

4. Безвозвратно удалить (shift+del) из папки C:\[windir]\ следующие файлы:

session.exe

svchost.com.

svchost.exe

filekan.exe

backinf.tab

ufdata2000.log

5. Безвозвратно удалить (shift+del) из папки C:\[windir]\system32\ следующие файлы:

socksa.exe

6. Со всех локальных дисков безвозвратно удалить (shift+del) след файлы:

AUTORUN.INI

tel.xls.exe

7. Из автозагрузки удалить след строку:

socksrv Asocks.exe

8. Опять открыть программу regedit.exe и в разделе [HKEY_LOCAL_MACHINE\SOFTW­ARE\Microsoft\Windows\Cur­rentVersion\Explorer\Adva­nced\Folder\Hidden\SHOWAL­L] удалить параметр REG_SZ CheckedValue и создать новый параметр REG_DWORD под таким же названием CheckedValue и присвоить значение 00000001.

9. Перезагрузить компьютер.

10. Безвозвратно удалить вышеуказанную папку 3582-490.

11. Обязательно просканировать всю систему хорошим антивирусом в целях излечения исполняемых файлов от Neshta.A. Например я использовал Trend Micro PC-Cillin Internet Security 2007.

[Pili]

А лучше так

- Cкачайте CureIT и запустите полную проверку всех дисков в безопасном режиме. Перезагрузитесь в обычный режим.

- Скачайте AVZ и HijackThis и распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки.

- Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.

- Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.

- Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".

- Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог.

- Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip

Сначала предотвратить заражение на стадии лечения и после него

Отключить автозапуск с помощью TweakUI - установить, далее

Пуск - Все программы - Powertools for Windows. Для отключения автозапуска найти: My Computer - 'Autoplay' - Drives (снять галочки где надо), Types (снять галочки где надо)

или в AVZ выполнить скрипт

procedure DisableAutorun;begin// Блокировка автозапуска (0x1 + 0x4 + 0x8 + 0x10 + 0x40 + 0x80 - отключили все типа, кроме CD)RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);// Блокировка автозапуска (0x4) - заблокировали автозапуск на C:RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveAutoRun', 4);end;beginDisableAutorun;end.

Можно нарушить ассоциирование, связанное с запуском autrun.inf тут

можно reg файлом

REGEDIT4[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]@="@SYS:DoesNotExist"

Включить показ скрытых папок и файлов можно так:

см. ключ

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

Удалить параметр "CheckedValue"

Щелкнуть правой кнопкой мыши в этом же окне и выбрать "создать параметр DWORD". Назвать его CheckedValue. Поставить значение 1, то же самое делаем с Hidden, в

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

в итоге д.б.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"Hidden"=dword:00000001

Дополнительно можно пуск - выполнить - regsvr32 /i shell32.dll

и выложить логи, чтобы добить заразу

зы. Свою флешку можно попробовать защитить стареньким способом - создать на ней заранее файл или лучше каталог autorun.inf и поставить им атрибуты системный, чтение, только вот не знаю ещё, новые модификации зловредов смогут с такой защитой бороться или нет :)

Изменено 3 марта, 2008 пользователем Pili

[Q-Q]

Maikll:

Не проходит этот вариант. Очевидно, мне впарили другую модификацию этого паразита.

Чисто физичечески не могу воспользоваться вариантом Pili, ибо эту гадость успели разнести на десяток компов (уже больше). Дома я бы и разбираться не стал - загрузочный диск - и через 6 мин девственно чистая система со всеми драйверами и программами.

NOD32 выявляет и удаляет только в том случае, если он мониторит. Если же мониторинг был отключен, и этот червь уже запускался, то антивирус бессилен. Кстати, NOD определяет его как червь Win32/VB.EL.

Буду искать какой-нибудь универсальный вариант...

[студент_86]

Если виден посторонний процесс в диспетчере задач, то процесс эксплорером смотрим где лежит исполняемый файл

в avz пишем скрипт вида

begin

BC_DeleteFile('путь/имя_файла');

// Активация драйвера

BC_Activate;

// Перезагрузка

RebootWindows(true);

end.

и выполняем. После этого в реестре ищем упоминания о файле по имени и удаляем. должно помочь

Насчет варианта Pili - думаю вирь сидит в одном и том же месте, т.е. достаточно будет журнала проверки с одного компьютера, по журналу составится скрипт, который опять же подойдет для лечения всех машин - это правда мое имхо, но стоит попробовать

[Pili]

Maikll:

Чисто физичечески не могу воспользоваться вариантом Pili, ибо эту гадость успели разнести на десяток компов (уже больше).

почему варинт не подходит? cureit не запускается или AVZ? Ещё вариант AVPTool

если зловред новый и один и тот же на всех компах, лечим один комп, забираем(карантиним зловредов), через некоторое время (1 день обычно) каспер сможет лечить новый вариант зловреда :)

Дрвеб чуть медленее реагирует

[Q-Q]

Потратил полдня, но в конце концов заломал этого паразита. Сначала пришлось срочно наваять батник, который отключал его автозагрузку (надо было в первую очередь приостановить распространение). Успокоившись, погуглил, но практически никто ничего кардинального не предлагал. Cнова запускаю NOD с последней базой - и он его уничтожает! (Отслеживают, однако!). Вот так просто всё разрешилось. Небольшое уточнение: NOD уничтожил все файлы этого гада, но при этом остались некоторые записи в автозагрузке. В принципе без файлов они безвредны, но для порядка лучше удалить. Для этого из секций Run веток HKLM и HKCU надо удалить лишние записи. Где-то видел сообщение, что Avira с последним обновлением с ним тоже расправилась. Про другие антивирусы - не знаю.

Оставалась проблема с флэшками. Их же надо было все вычислить! В конце концов выстроил всех в затылок, затем каждый заползал в кабинет, держа в зубах флэшку. А с ними я не церемонился: вставлял, раскрывал, удалял два файлика, и как только они исчезали с экрана - тут же выдёргивал флэшку. Кое-кто упал в обморок: а как же безопасное выключение?! - А никак. Давно и постоянно пользуюсь флэшками и никогда этой рекомендацией не пользовался - никаких фокусов не было ни разу. После всех проверок обеззаразил компьютер. Аминь.

Попутно учинил допрос с пристрастием и выяснил, что эту заразу подхватили в online игре.

Кстати, любители проверять и лечить компьютер подручными средствами, могут полную версию курса прочитать здесь.

[Yezhishe]

Блин, поздно увидел тему...

Несколько лет пользую вот эту программку по имени AnVir Task Manager - сильно рекомендую, особенно - последнюю версию. Спасала меня от множества всякой дряни, за что автору дюже благодарен. А в последних версиях ещё и с машиной стало удобнее обращаться.

Изменено 4 марта, 2008 пользователем Yezhishe

[ser208]

Кое-кто упал в обморок: а как же безопасное выключение?! - А никак. Давно и постоянно пользуюсь флэшками и никогда этой рекомендацией не пользовался - никаких фокусов не было ни разу.

Только не дeлай так на Win2K, а на ХР и далее можно. Я сам никогда не пользуюсь безопасным выключением.

Кстати, любители проверять и лечить компьютер подручными средствами, могут полную версию курса прочитать здесь.

Можно у нас тут еще посмотреть. Не специализированный, но тоже.

Изменено 4 марта, 2008 пользователем ser208

[Q-Q]

Yezhishe:

Тут и особенно там.

[Yezhishe]

Спасибо!

Увы, нет возможности просматривать все ветки форума...