[RAT]

обнаружил у себя эту дрянь, появилась видимо за последние 30 дней, каспер и avz не могут вылечить полностью, и похоже эту хрень я занес на ноут с вистой(не желательно сносить)

что может мне помочь , не считая форматирования?

[MichaeL]

Насколько пишут в интернете, штука поганая. При заражении портит файлы безвозвратно. А обнаружить и убить этого гада можно Касперским или НОД-ом, в безопасном режиме.

От себя: думаю, поможет связка Drweb CureIt! и Ad-Aware. Разумеется, тоже в безопаске.

Upd. Кое-что про вирус.

Безобидный резидентный Win32-вирус. Заражает приложения Win32 (PE EXE-файлы). При заражении шифрует часть заражаемого файла.

При запуске зараженного файла инсталлирует себя в систему: создаёт свою копию с именем "svchost.exe" (размером около 36K) в каталоге Windows и регистрирует этот файл в ключе автозапуска системного реестра:


HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
PowerManager = %WindowsDir%\SVCHOST.EXE

(От себя добавлю - оригинальный svchost.exe лежит в Windows\system32, остальные можно мочить сразу)

Затем вирус остаётся в памяти Windows, рекурсивно ищет и заражает PE EXE-файлы на всех доступных дисках, начиная с диска C:.

Вирус никак не проявляет своего присутствия в системе.

Вирус содержит зашифрованные строки:


Hidden Dragon virus. Born in a tropical swamp.
PowerManagerMutant

Сообщение отредактировал MichaeL - 9.11.2007, 22:24

[Lexus77]

Цитата: (RAT @ 9.11.2007, 22:10) обнаружил у себя эту дрянь, появилась видимо за последние 30 дней, каспер и avz не могут вылечить полностью, и похоже эту хрень я занес на ноут с вистой(не желательно сносить) что может мне помочь , не считая форматирования?

Я обычно с такой заразой борюся из под DOS с помощью Hiren's BootCD (посленяя версия 9.3). Там есть антивири F-Prot Antivirus и McAfee Antivirus - удалял с помощью них то,что не мог удалить ни каспер ни AVZ (точно не помню какой именно вирь (троян,червь-я стока уже их повычистил у людей,всех и не упомнишь! недавно у одного вычестил 275вирей-трояноф-червей,а у другова было около 70 - и все разные)) И вообще всем системщикам советую всегда иметь этот диск при себе

Сообщение отредактировал Lexus77 - 9.11.2007, 22:36

[Bob]

Сам Hiren CD 9.3 + Русское меню

ftp://10.0.2.100/sorted_upload/other/Hire...9.3_Russian.iso

[Lexus77]

Цитата: (Bob @ 9.11.2007, 22:45) Сам Hiren CD 9.3 + Русское меню ftp://10.0.2.100/sorted_upload/other/Hire...9.3_Russian.iso

Спасибо за ссылку! ЗЫ: Да кстати! из под ДОС эти антивирусы все равно не смогут полностью вычистить жесткий диск от вирусни(они удаляют только ту заразу,которая из под винды не вычищается)! Из под виндовс советую пользоваться Avira AntiVir PersonalEdition Premium - по моим "тестам" лучший на данный момент - не так грузит систему как Каспер,а по эффективности даже лучше(имхо) - как раз им я недавно чистил системы после НОД32 (2.7.39)

Сообщение отредактировал Lexus77 - 9.11.2007, 23:08

[MichaeL]

Могу, конечно, ошибаться, но у Авиры эвристик плохой. Что касается НОД-а - уже вышла третья версия, монстр тот еще. Однозначный выбор на сегодняшний день, если бы не тот факт, что под него нет фиксы...

[Lexus77]

Цитата: (MichaeL @ 9.11.2007, 23:21) Могу, конечно, ошибаться, но у Авиры эвристик плохой. Что касается НОД-а - уже вышла третья версия, монстр тот еще. Однозначный выбор на сегодняшний день, если бы не тот факт, что под него нет фиксы...

Как раз наоборот! У Авиры один из лучших эвристик-анализаторов(правда на максимальном уровне эвристики часто ложно срабатывает ). Вот например один из тестов http://www.av-comparatives.org/seiten/ergebnisse_2007_05.php (я конешн мало доверяю таким тестам - но всетаки!). Да,НОД32 3ей версии стал намного "продвинутей" - сейчас как раз тестю ESET Smart Security 3.0.560.0 (правда в боевых условиях я его пока что не проверял-как будет инфа - отпишусь)

Сообщение отредактировал Lexus77 - 9.11.2007, 23:35

[RAT]

Цитата: (MichaeL @ 9.11.2007, 23:16) HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices PowerManager = %WindowsDir%\SVCHOST.EXE

э, мб в HKEY , и тогда в каком именно?

[MichaeL]

Инфа взята из инета, проверить по понятным причинам не могу. А что, в local machine его нет?

[RAT]

Цитата: (MichaeL @ 10.11.2007, 1:35) Инфа взята из инета, проверить по понятным причинам не могу. А что, в local machine его нет?

там вообще нет папки RunServices, есть Run, но там нет, хотя мб был, я просто сначало в безопасном режиме все лечил, щас в нормальном поврежденные файлы ищу\лечу\удаляю

интересно , если в памяти не висит процесс, то распостранение вируса прекращено?

[White]

RAT, скачай AVZ ( антивирус зайцева ) http://www.z-oleg.com/secur/avz/download.php , сделай дамп и скинь в пм
Кстати насчет описания вируса глянь на лабораторию касперского, там расписаны пути отхода и тп
p.s дамп , в авз это исследование системы

Сообщение отредактировал Dark - 10.11.2007, 1:03

[Lexus77]

Цитата: (RAT @ 10.11.2007, 0:45) там вообще нет папки RunServices, есть Run, но там нет, хотя мб был, я просто сначало в безопасном режиме все лечил, щас в нормальном поврежденные файлы ищу\лечу\удаляю интересно , если в памяти не висит процесс, то распостранение вируса прекращено?

Ребят,не забывайте,что RAT говорит про ВИСТУ а не ХП ЗЫ: советую еще попробовать бесплатную утилитку RemoveIT Pro 4 http://www.softpedia.com/get/Antivirus/RemoveIT-Pro.shtml

[KAA]

removeit pro лежит и на нашем сайте в архиве
однако известен случай, когда cureit от drweb вычищал после avz, который ничего не нашел и после removeit pro, который нашел, но не смог удалить
http://forum.beirel.ru/index.php?showtopic=3735

[RAT]

Цитата: (Lexus77 @ 10.11.2007, 12:02) Ребят,не забывайте,что RAT говорит про ВИСТУ а не ХП ЗЫ: советую еще попробовать бесплатную утилитку RemoveIT Pro 4 http://www.softpedia.com/get/Antivirus/RemoveIT-Pro.shtml

На 1м компе ХРшном все заражено

на 2м , где Виста пока хз

[RAT]

Dr. Web вроде спас ХР , но он не хочет работать на висте, что с ней делать?

[RAT]

ХР не спасся, все опять появляется


пришло время большой макрухи на компах

[Lexus77]

Цитата: (RAT @ 11.11.2007, 15:02) ХР не спасся, все опять появляется пришло время большой макрухи на компах

Ты из под винды лечил ДрВебом?

[RAT]

Цитата: (Lexus77 @ 11.11.2007, 16:52) Ты из под винды лечил ДрВебом?

есть загрузочный диск с ним, но он там не работает-типо лицензия кончилась

впринципе на комп с ХР пох , у меня были планы сноса винды в этом месяце, просто жаль кое-какую инфу, которую не успел заархивировать

жаль комп с вистой, так как там ничего толком не поставишь , чтоб проверить и там я создавал дополнительные архивы информации которую видимо тоже надо будет сносить, но думаю тот редкий музон который я собрал можно будет без вреда перенести флешкой , юзая антивирус

З.Ы : виста та еще дрянь, практически не жрет старые проги, а когда антивирус ставил, то увидел экран смерти , так же полно всяких косяков типо обязательного закрывания окна со съемным носителем, иначе устройство нормально не извлечется

Сообщение отредактировал RAT - 11.11.2007, 17:03

[Lexus77]

Цитата: (RAT @ 11.11.2007, 17:00) есть загрузочный диск с ним, но он там не работает-типо лицензия кончилась впринципе на комп с ХР пох , у меня были планы сноса винды в этом месяце, просто жаль кое-какую инфу, которую не успел заархивировать жаль комп с вистой, так как там ничего толком не поставишь , чтоб проверить и там я создавал дополнительные архивы информации которую видимо тоже надо будет сносить, но думаю тот редкий музон который я собрал можно будет без вреда перенести флешкой , юзая антивирус

Млин! Это штож за такая за инфа,на которую покусился этот вирус! Воопщето,насколько я знаю,вирусы еще не научились заражать MP3,JPG,AVI и т.д НЕ системные (исполняемые EXE) файлы! Не делай из мухи СЛОНА! Или ты думаешь,чтобы переставить винду начисто надо обязательно форматировать диск С? ЗЫ: еще раз повторю - под вистой советую попользовать AVIRA (если не знаешь где все этой найти-обращайся в личку). Если ты просто хочешь сохранить свои фотки-музыку-фильмы ты их просто можешь записать на болванку(чистую флешку) без риска перенести заразу на другой комп!!

Сообщение отредактировал Lexus77 - 11.11.2007, 17:16

[RAT]

Цитата: (Lexus77 @ 11.11.2007, 18:15) Млин! Это штож за такая за инфа,на которую покусился этот вирус! Воопщето,насколько я знаю,вирусы еще не научились заражать MP3,JPG,AVI и т.д НЕ системные (исполняемые EXE) файлы! Не делай из мухи СЛОНА! Или ты думаешь,чтобы переставить винду начисто надо обязательно форматировать диск С? ЗЫ: еще раз повторю - под вистой советую попользовать AVIRA (если не знаешь где все этой найти-обращайся в личку). Если ты просто хочешь сохранить свои фотки-музыку-фильмы ты их просто можешь записать на болванку(чистую флешку) без риска перенести заразу на другой комп!!

да не только музыку, это я случайно упомянул, ее я могу всю спасти , просто есть куча других типов файлов которые нужных сохранить (нужные проги и тд.) , вирус изменил програмный код ехе шникам, так что хз, я в этом не разбираюсь

а форматировать я хочу из-за того , что разделы засорены мусором в космических масштабах