ПравилаРегистрацияВход
НАВИГАЦИЯ

Вирусы

Модераторы: Izn, -=SCORPION=-, Tarkett
Список форумов » Компьютеры » Общие вопросыНа страницу 1, 2, 3 ... 136, 137, 138 
АВТОРСООБЩЕНИЕ
Lexacab87
Avatar
17 апреля 2008, 00:54
Комп начал сам создавать папки "winfile".че это.и вообще это вирус,или нет?
Брат
Avatar
17 апреля 2008, 16:46
Другие названия winfile:
Backdoor.Win32.Winfiles («Лаборатория Касперского») также известен как: Backdoor.Winfiles («Лаборатория Касперского»), BackDoor-CK (McAfee), Backdoor.Trojan (Symantec), BackDoor.Tkc (Doctor Web), Troj/Bdoor-CK (Sophos), Backdoor:Winfiles (RAV), BKDR_WINFILES (Trend Micro), BDS/Winfiles (H+BEDV), Win32:Trojan-gen. (ALWIL), BackDoor.Winfiles (Grisoft), Backdoor.Winfiles (SOFTWIN), Bck/Winfiles (Panda), Win32/Winfiles (Eset)
Поведение Backdoor, троянская программа удаленного администрирования
Брат
Avatar
17 апреля 2008, 16:48
Походил я по интернету и вот что нашел еще: - Программа червя написана на языке Microsoft VB версии 6. Для работоспособности червя в ОС Windows должна быть установлена техническая библиотека msvbvm60.dll. Червь копирует себя в системный каталог под следующими названиями:
%windir%\Mstray.exe
%windir%\MShelp.exe
и создает в корнях папок файлы:
- desktop.ini размером 72 байта;
- comment.htt размером 697 байт.
И тем, и др. файлам червь присваивает кроме прочих атрибуты "скрытый" и "системный", в результате чего файлы не видны пользователю при работе с Проводником. При обращении через Проводник к любому диску червь записывает в его корень свою копию под названием winfile.exe. При открытии пользователем какой-либо папки червь копирует в нее файл winfile.exe под именем этой папки. Примеры:
Program Files\Program Files.exe
Мои документы\Мои документы.exe
Чтобы пользователь Проводника ничего не заметил, червь присваивает создаваемому файлу атрибут "скрытый".
Брат
Avatar
20 апреля 2008, 00:50
Продолжение из той же серии вирусов.
В корне дисков появились файлы xpbkh.com autorun.inf. (возможно "amvo.exe" в процессах). Как их удалить?
Дали мне вчера флешку и вот что обнаружил в ней:
autorun.inf - сведения для установки;
BOOTEX.LOG - текстовый документ червя;
xpbkh.com - Приложение MS-DOC;
Поискал информацию в сети, нашел не так много:
=============
...Вчера пришлось долго и упорно повоевать с червями марки Worm.Win32.AutoRun.bdg - ошибка amvo.exe, xpbkh.com и т.п. К девушке, называется, с флешкой съездил...
-----
...про то, что флешку в чужую машину втыкал- ЗАБЫЛ...
-----
...можно избавиться так: 1.ctrl+alt+del - завершаем все подозрительные процессы (если вы точно не знаете, какой процесс для чего нужен - наберите поиск в "гугле" 2.Отключаемся от сети 3.Пуск - выполнить: msconfig - снимаем галочки со всего, что стоит во вкладке автозапуск (если не знаете, что эта строчка в автозапуске точно относится к той или иной проге, стоящей на компе - можете не снимать) 4.На вкладке "службы" отрубаем все службы с изготовителем, отличным от Microsoft 5.Перезагружаемся 6.Открываем диски через проводник (а желательно - вообще far manager или total comander) ("Мой компьюетер" не трогаем!!!), удаляем все указанные вами файлы, в.т.ч. и из корзины, перезагрузиться, но может не помочь...
-----
...Касперский обнаружил и удалил вирус xpbkh.com на всех дисках самостоятельно. Далее я вручную добил файл авторан. После этого у меня перестали нормально открываться диски через мой компьютер - после двойного клика на значке диска вылезало окошко с выбором программы для окрытия...
-----
...После удаления вируса не открываются диски в "Моем компьютере" В последнее время часто встречается Virus.VBS.Small.a и другие подобные ему, после удаления которых антивирусом перестают открываться диски в "Моем компьютере". Выдается сообщение о том, что не удается найти файл autorun.vbs (либо copy.exe, ms32dll.dll.vbs и т.п.). Для долечивания и устранения этих последствий необходимо сделать следующее:
1.Запустить проводник, включить показ скрытых и системных файлов: "Сервис" - "Свойства папки" - снять галку "Скрывать защищенные системные файлы" и отметить "Показывать скрытые файлы и папки". /не получится, червь уже скрыл или скрывает системные папки, необходимо ипользовать "total comander" /Брат//
2.Просмотреть корневые каталоги всех разделов на жестких дисках и всех имеющихся съемных дисков (вплоть до фотоаппаратов и мп3-плееров), а также папку Windows\System32 и удалить там все файлы с именем autorun и любым расширением. Важно: открывать указанные места исключительно щелчком в левой части окна проводника, в дереве каталогов, а не двойным по иконке диска, ибо в последнем случае, открывая зараженный диск, опять заражаете комп.
3.Запустить редактор реестра (Пуск - Выполнить - regedit) и сделать две вещи:
а) Раскрыть ключ
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/Current Version/Winlogon
и проверить значение параметра Userinit. В нем должно быть C:\WINDOWS\system32\userinit.exe, и ничего более.(Если система у вас установлена в другой раздел или папку, вместо C:\WINDOWS будет путь вашей системной папки)
б)Удалить целиком ключ
HKEY_CURRENT_USER/Software/Microsoft/Windows/Current Version/Explorer/MountPoints2.

Последний пункт повторить для всех пользователей системы, затем перезагрузиться...
-----------
...скорее всего на флешке притащил. Дело было так: я вставил, решил зайти на локальный диск, но содержимое диска открылось в новом окне, сразу понял, что сидит зараза. Доктор Веб молчал. Тотал командер показал на моих локальных дисках, mp3 плеере и флешке 2-файла xpbkh.com и autorun.inf. Командером они не удалялись.
Выводил так:
1.Скачал *** и с помощью нее убил процесс amvo.exe.
2.Удалил нечисть отсюда:
C:\WINDOWS\= system32\amvo.exe
C:\WINDOWS\system32\amvo1.dll
но может называться C:\WINDOWS\system32\amvo1.dll (удалял тотал командером)
3.Удалил с ветки реестра: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\amvo.exe
4.Использовал "anti_autorun"...
------------
...06.03.2008/Касперский с последними базами не определяет их как вирус. Пытался очистить их с помощью утилиты anti-autorun - синий экран и перезагрузка. Эти файлы у меня в корне всех дисков. Простым shift+del удалить невозможно, тк. после удаления они автоматически восстанавливаются...
------------
...нет ни одного антивируса, который бы очистил систему и устранил все последствия и злонамеренные изменения , вызванные нечистью (да и убитые системные файлы антивирус не родит)) и именно поэтому я с недавних пор таскаю с собой основные ветки реестра и системные файлы в архиве... /как это сделать? задавайте вопросы в теме "Реестр"/Брат//
==============
/записи отредактировал/ - Ну что ж, пробуйте, как написано, но рекомендую скачать комплект утилит о которых я писал выше и дал ссылку, там именно об этом, почитайте описания вирусов (html стр. в архиве). Как я поступил со своей флешкой? Были у меня подозрения, поэтому - Закрыл системное окно, которое предлагало открыть папку для просмотра файлов. Щелкнул по значку "Мой компьютер" (или по значку "Пуск") правой кнопкой мыши, открыл "Проводник" и как написано выше - "исключительно щелчком в левой части окна проводника" открыл "Съемный диск" и удалил все 3 файла, минуя корзину нажав Shift+Delete. BOOTEX.LOG и autorun.inf до удаления из любопытства просмотрел блокнотом, но не щелкайте по - xpbkh.com! Таким образом я не успел заразить свой компьютер. После чего проверил и флешку и комп. Все оказалось чисто. При испльзовании Anti_autorun ничего подобного не было (про "синий экран").
Брат
Avatar
20 апреля 2008, 01:15
После того как нашел crack под названием "crack.exe" к одной программе и щелкнул по нему, он волшебным образом изчез из папки, но появились в папке c:\windows 4 файла:
windowsupdates.exe
AutoUpdateWin31.dll
AutoUpdateWin32.exe
AutoUpdateWin33.exe
Вот что написал по этому поводу антивирус Spyware Doctor:
Backdoor.SDBot.XD - вpeдoнocнoe пpилoжeниe, кoтopoe paбoтaeт в фoнoвoм peжимe, пpeдocтaвляя злoyмышлeнникy yдaлeнныи дocтyп к вaшeй cиcтeмe и пoлный кoнтpoль нaд нeй.
Дaнныи вpeдoнocный объект также известен как: "Trojan-Downloader.Win32.Agent.aio" или "Bacdoor.Win32.SdBot.xt" (Kaspersky); "Bck/Sdbot.IPM (Panda)"; "W32/Sdbot.worm.gen.I" (McAfee).
Инфицированные объекты: C:\WINDOWS\WindowsUpdates.exe и
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,Secure=C:\WINDOWS\WindowsUpdates.exe
В это момент был в сети, скачивался файл, скорость упала в 3 раза. Зловредная программа сединялась в это время с китайским сервером. Избавился следующим образом: ctrl+alt+del, завершил процессы AutoUpdateWin32 и AutoUpdateWin33. Удалил эти файлы вручную из папки c:\windows. Проверил Касперским все диски. Обнаружилось много файлов зараженных вирусом "Virus.Win32.Hidrag.a", которые он успешно вылечил. Возможно, я их "попутно" подхватил.
!!!Внимание! Не удаляйте инфицированные файлы! Пытайтесь лечить! Ни в коем случае не удаляйте скрытые файлы с корня диска (С), такие как NTDETECT.COM; ntldr; boot.ini. После перезагрузки вы не сможете войти в систему. Они отвечают именно за загрузку операционной системы.
Читаем тему Антивирусы здесь
Читаем описание комплекта античервь и скачиваем здесь
Chaos
Avatar
21 апреля 2008, 07:32
Подскажите что за гадость Win32 jeefo? И как избавиться от нее, а то avast хочет все exe-шки удалить, я пока не удаляю
Брат
Avatar
21 апреля 2008, 17:58
"Win32:Jeefo" или "Virus.Win32.Hidrag.a" Описание опубликовано 04 июн 2003
Другие модификации: .b, .c, .d
Другие названия
Virus.Win32.Hidrag.a также известен как: Win32.Hidrag, Virus.Win32.Hidrag («Лаборатория Касперского»), W32/Jeefo (McAfee), W32.Jeefo (Symantec), Win32.HLLP.Jeefo.36352 (Doctor Web), W32/Jeefo-A (Sophos), Win32/HLLP.Jeefo (RAV), PE_JEEFO.A (Trend Micro), W32/Jeefo (H+BEDV), W32/Jeefo.A (FRISK), Win32:Jeefo (ALWIL), Win32/Hidrag.A (Grisoft), Win32.Jeefo.A (SOFTWIN), W32.Jeefo (ClamAV), W32/Jeefo (Panda), Win32/Jeefo.A (Eset)
Поведение: Virus, компьютерный вирус. Технические детали: Безобидный резидентный Win32-вирус. Заражает приложения Win32 (PE EXE-файлы). При заражении шифрует часть заражаемого файла.
При запуске зараженного файла инсталлирует себя в систему: создаёт свою копию с именем "svchost.exe" (размером около 36K) в каталоге Windows и регистрирует этот файл в ключе автозапуска системного реестра: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Прекрсно лечятся все exe-файлы Касперским.
Almaz
SuperMod
Avatar
Сейчас нет на сайте
Репутация: 22
Регистрация: 20.05.2006
Всего сообщений: 2298
Откуда: Пермская край
29 мая 2008, 06:47
Вирус подмены страниц
В последнее время в Рунете появилось вредоносное программное обеспечение нового типа – программы, созданные для искажения страниц в браузере пользователя. Поскольку нас интересует поиск, мы рассмотрим деятельность этих программ в контексте поисковых систем.
В строгом понимании термина «вирус» эти программы вирусами не являются, однако механизм их работы очень похож на деятельность вирусов, поэтому условимся называть такое ПО «вирусом подмены страниц». При обращении пользователя, компьютер которого заражен таким вирусом, к поисковой системе вирус изменяет один из результатов поиска. Таким образом, пользователь переходит не на сайт, найденный поисковой системой, а на какой-то другой.
Эта проблема существует для всех популярных в Рунете поисковиков – для Яндекса, Google, Рамблера, MSN (Live). Кроме того, вирус может подменять не только страницы с результатами поиска, а вообще любые сайты.
Вирус подмены страниц может попасть на компьютер вместе с какой-нибудь программой, загруженной из интернета. Например, вместе с бесплатным ускорителем закачки файлов BitAccelerator, который предоставляется файлообменным сервисом Letitbit.net. Вместе с этой программой пользователь скачивает скрытую библиотеку. Эта библиотека остается на компьютере пользователя и при удалении BitAccelerator.
Чаще всего на зараженном компьютере вирус ведет себя одним из двух способов:
Вирус подменяет html-код страницы с результатами поиска, подставляя вместо одного из результатов ссылку и описание другого сайта. Дизайн и общий вид подмененной позиции похожи на обычные результаты поиска, но сам сайт к заданному запросу отношения не имеет. Например, по запросу [самолет] выводится порносайт, или по запросу [Яндекс] – сайт другой компании. Если задать тот же самый запрос еще раз, нерелевантный сайт исчезнет из результатов поиска.
Другой вариант появился позднее, возможно, вследствие того, что пользователи меньше кликали по нерелевантным ответам. По запросу пользователя страница выдачи не изменяется, но при переходе по одному из первых результатов поиска вирус переадресовывает пользователя на другой сайт.
Вирус подмены страниц используется для воровства и продажи трафика – с его помощью можно получить, по самым скромным оценкам, несколько сот тысяч переходов в день. Переходы пользователей продаются рекламодателям как контекстная реклама.
Схема работы мошенников выглядит следующим образом:
Рекламодатель заказывает рекламу сайта по определенным ключевым словам. Эти слова передаются в программу, работающую на удаленном сервере злоумышленников.
Когда пользователь заходит с зараженного компьютера на сайт какой-нибудь поисковой системы и вводит запрос в строке поиска, вирус активизируется и передает запрос на сервер мошенников. Если этот запрос содержится в программе, в ответ приходит адрес сайта, который подставляется в выдачу поисковика.
Пользователь переходит по ложной ссылке и уходит, решив, что поисковая система дала ему нерелевантный ответ. При этом вирус модифицирует HTTP-запрос таким образом, что в логи посещенного сайта записывается переход с рекламной сети мошенников – поэтому рекламодатель заплатит за этот переход.
В результате проигрывают все – кроме авторов вируса, конечно. Пользователь не находит нужную информацию. Рекламодатель платит за нецелевой трафик. Поисковая система теряет репутацию – обнаружив последствия работы вируса подмены, некоторые пользователи обвиняют поисковики в продаже мест на первых страницах выдачи.
До недавнего времени антивирусные компании классифицировали вирусы подмены страниц просто как рекламный софт – не особо полезный, но вроде бы и не вредный. В результате совместных с нами обсуждений и исследований большинство антивирусных компаний пришло к выводу, что такие программы представляют несомненную угрозу. Сейчас большинство производителей антивирусов перевели вирусы подмены страниц в класс вредоносного и опасного ПО. Антивирусы компаний Dr.Web, «Лаборатория Касперского», ESET (NOD32), Panda Security обнаруживают и автоматически удаляют все известные версии вируса подмены страниц.
Кроме того, можно избавиться от вируса при помощи бесплатного приложения Я.Онлайн с антивирусом Касперского или утилиты CureIt от "Доктора Веба". Скачать Я.Онлайн можно по адресу online.yandex.ru, а утилиту CureIt – с сайта компании "Доктор Веб": freedrweb.com.
Мы рассчитываем на то, что вместе с антивирусными компаниями нам удастся остановить распространение вируса и появление его новых образцов.
Если вы подозреваете, что ваш компьютер заражен вирусом подмены страниц, пишите по адресу – safesearch@yandex-team.ru. Мы обязательно поможем.
Almaz
SuperMod
Avatar
Сейчас нет на сайте
Репутация: 22
Регистрация: 20.05.2006
Всего сообщений: 2298
Откуда: Пермская край
29 мая 2008, 06:56
Угрозы в ICQ
Еще одна статья
sergey-kld
Avatar
Имя: Серёга
Сейчас нет на сайте
Репутация: 26
Регистрация: 5.12.2007
Всего сообщений: 2229
Откуда: Калининград
11 июня 2008, 08:40
На днях в Интернет появился новый компьютерный вирус-червь Antrax (официальное название - VBS.VBSWG.AF), созданный вслед за случаями заражений сибирской язвой в США. Этот вирус распространяется по электронной почте и через чаты. Он приходит в письме с заголовком "Anthrax Info" (информация о сибирской язве), а в теле письма имеется текст на испанском или английском языке, где говорится, что в присоединенном файле, который называется Antraxinfo.vbs или Antraxjpg.vbs, демонстрируется фотография, иллюстрирующая побочные эффекты этого заболевания.

По-английски это выглядит так: "If you don't know what antrax is or what the results of it are, please see the attached picture so that you can see the results that it has. Note: the picture might be too strong", а по-испански вот так: "Si no sabes que es el antrax o cuales son sus efectos aqui te mando una foto para que veas los efectos que tiene. Nota: la foto esta un poco fuerte."

Если открыть этот файл, который на самом деле является скрипт-файлом .VBS, используемым для запуска вируса на исполнение, то вирус рассылает себя по всем адресам в адресной книге пользователя и пытается переписать системные файлы с расширениями .VBS и .VBE и файл Script.INI, используемый клиентскими чат-программами.

Однако, по сообщению "Лаборатории Касперского", код вируса содержит много ошибок, и поэтому никакого реального вреда он причинить не может. Тем не менее, специалисты советуют не расслабляться, так как новые версии этого вируса могут быть "правильными", поэтому пользователям рекомендуется удалять все подозрительные письма, не открывая их. Антивирусные программы ведущих производителей подобного рода ПО уже распознают вирус Anthrax, так что не забудьте обновить свой антивирус.
Список форумов » Общие вопросыНа страницу 1, 2, 3 ... 136, 137, 138 След.
 
стр.  
Страница 1 из 138
Часовой пояс: GMT + 4
Мобильный портал, Profi © 2005-2016
Время генерации страницы: 0.065 сек
Общая загрузка процессора: 4%
SQL-запросов: 4
Rambler's Top100