» Очень вредный вирус

Вирус под названием - "Win32.jLok"

*.doc файлы переименовывает в *.exe, добовляя в файлы свою запись - так же создает и запускает ntldrtr.exe и shellbit32.exe), и нацелена на удаление установленных принтеров.

Когда приступили к его убийству среагировали только KAV и Nod32 (остальные не находят ни SAV ни NAV ни Mcaffee, ни Avast, ни другое), и то KAV находит этот вирус если он в архиве, а Nod точно находит. Но они оба предлагают удалить, а некоторые файлы очень важные (ведь все .doc и) удялять их строго запрещяется. Как же быть.

Один знакомый создал утилиту для очистки этого вируса из .doc файла.

_http://delphius.sbn.bz/files/JLOKREM.ZIP

Но она чистит только у него в компе, а у других он не чистит

Вот сам вирус (в архиве):
_http://rapidshare.de/files-en/625159/documents_with_jLok_virus.zip.html
(осторожно, а то он гад, вам принтер сгадит)

Кто-нибудь помогите пожалуйста доработать эту утилиту, или сделать новую.

Всем заранее спасибо.



Информация об этом вирусе в Интернете очень мизерная.

Вот что пишет Eset об этом вирусе:


Цитата:

Jlok.A is a virus infecting files on a system and via removable medias. It can contain an attached Microsoft Word document. After its execution, it deletes itself from the executed file and only keeps the original document.
Infects other documents located in user's Desktop and My Documents. It may remove all installed printers from the system and cause shutdown of an infected computer.

Note: In the following text, %windir% denotes Windows directory (e.g. C:\WINDOWS) and %system% denotes Windows System directory (e.g. C:\WINDOWS\SYSTEM32) as they differ on various versions of Microsoft Windows.

Details

Spreads over infected system into:

%SysDir%\ntldrt.exe
%SysDir%\shellbit32.exe

These files are then executed automatically during system start-up from registry at

HKCU\Software\Microsoft\Windows\CurrentVersion\Run shell32 = C:\WINDOWS\System32\ntldrt.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run sysclx = C:\WINNT\System32\ntldrt.exe

It creates a mutex called "mylove" .

It can recursively delete the registry entry HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print and its subkey Printers, which will cause deletion of all installed printers. It can also initiate a system shutdown.

Spreading

It reads the location of Desktop and My Documents folder from registry and infects all documents within these folders and their subfolders. The file extension of those documents is changed from .doc to .exe. After eventual execution of an infected document, the virus removes itself from it and restores the original document. Such activity is performed on all removable media drives up to the drive N:

It also monitors all open windows and upon detecting one with the contents of 3.5" floppy drive, it starts the process of infection.

Precaution

While infecting the Microsoft Word documents, the virus turns them into executable files. The icon is identical to the document though. Therefore, if the "hide known file extensions" setting is turned on (it is by default), there is no way for users to tell whether they are dealing a real document or a disguised virus.

To disable the "hide known file extensions" feature, please do the following:

Click on Start menu -> Control panel -> Folder options.
Open the tab View.
Find the setting 'hide known file extensions' and uncheck it.
Detection using a sample is added since version 1.984.

Добавлено:

Видать никого это еще на затронула (и я очень надеюсь чтобы так было).

И никто не смог помочь.

myasorubka
В Pand'у пошли своего "зверя".

в Панду, ок, пошлю им тоже.

Я посылал Симантековцам (2 раза) - 0 внимания. Они наверное тоже удивляются сейчас.
Посылал Мкафу - тоже но респонс. И послал Касперскому, ну они крутые, сразу а где "золотой ключ" или скажи "пароль" Но все безуспешно. Надеюсь Панда заценят и помогут. Или можно массовое заражение по всему миру устроить и тогда ждать и надеятся что нормальную пилюлю выпустят.

GeMir спасибо за совет.

Но также надеюсь что будут новые предложения или уже конкретные решения от других.

myasorubka
На данный момент этот вирус знают(кроме KAV и NOD32) AntiVir,Dr.Web,F-prot,SAV.

myasorubka
SAV и DrWeb видят, тока проверил

Panda Antivirus cо свежими (обновлены сегодня) базами не видит в упор.

myasorubka
Заархивируй свои докуметы с паролем и отправь своему знакомому - пусть пролечит.

rayoflight SAV вообще не находил, может последние обновления находят (после моих писем. Но антивирусы предлагают только удалить. Просто некоторые документы важные. Нужна прога которая очишает. Представь, что будеш делать, если на работе или дома все твои документы заражены, ты же не будеш говорить да ну их и стирать все файлы.
pion отправил, но пока друг химичит, и его пилюля частично работает то есть не все зараженные файлы находит.

myasorubka

Цитата:

Просто некоторые документы важные. Нужна прога которая очишает. Представь, что будеш делать, если на работе или дома все твои документы заражены, ты же не будеш говорить да ну их и стирать все файлы.

Вот на такой случай и есть backup!..
У тех у кого он есть...

myasorubka
Между прочим, ты запостил не заражённый документ, а сам вирус. Поэтому он и не лечится. А заражённые документы лечатся, например DrWeb'ом.

мля, чешутся же у кого-то ручонки ...

myasorubka

Присоединяюсь к pion. Выложи где-нибудь несекретный doc-файл, чтобы можно было пробовать лечить, а то как-то неохота эту заразу у себя запускать, чтобы потом всем хором тут орать .
ЗЫ. AntiVir его действительно убил сразу.

Э! Народ, а никому не кажется, что это тема для Андерграунда?

Blackbox7
Сейчас проэкспериментирую в одном компьютере (учебный класс) и выложу вирус с документом.
vito333
Согласен, этот продукт от "редиски" так быстро заражается, я всех предупреждаю, но все равно слышу у многих людей то документы начали исчезать, то принтер не стал работал "исчез" (и установку нельзя делать, надо заново с системой с нуля).
biomednet
Мы же ничего не ломаем как "некоторые", а наоборот стараемся предостеречься от "эпидемии".

Добавлено:
Я извиняюсь что столько хлопот Вам составил, но один редиска который должен был мне документ с вирусом дать, принес мне сам вирус, а я тут мучался и думал почему я не смогу почистить. Но решил я сам пойти в этот учебный класс и взять экземпляр на проверку.

http://rapidshare.de/files/673434/Infected_documents_with_jLok.zip.html

Есть хорошая новость, (конечно мне пришлось "пожертвовать" одним компьютером, но он сейчас в отличном состоянии).

Ручной метод:

Значить запускаем этот зараженный документом (с .exe расширением). Вирус вытаскивает Вам ваш документ (чистый), вытаскивает один .bat (запускает ее), потом удаляет .exe и .bat, и у Вас остается чистый документ, вроде бы все почесному, но эта зараза также вытаскивает из .exe два файла, и копирует их в всем известную папку:

%SysDir%\ntldrt.exe
%SysDir%\shellbit32.exe

А также добавляет их в автозагрузку.

Но иногда бывает что вирус не может удалить свой .exe, и .bat.

Можно запустить сначала все зараженные файлы - потом до перезагрузки, удалить зараженные .exe и .bat (если они остались) и также удалить:

%SysDir%\ntldrt.exe
%SysDir%\shellbit32.exe

А также убрать ссылки на них из автозагрузки. Но если нечаянно перезагрузите, то тоже не проблема, можно вырезать эти:

%SysDir%\ntldrt.exe
%SysDir%\shellbit32.exe

и временно вставить в рабочий стол (потому что их нельзя удалить) и перезагрузиться еще раз, а потом удалить их из рабочего стола, плюс ссылки из автозагрузки.

Единственно одну вещь не смог проверить, если я запущу этот .exe то он мне принтер сразу удалит или после перезагрузки? Ну я надеюсь на этот вопрос кто-нибудь другой поможет нам ответить.

И был очень признателен если кто-нибудь сделает утилиту, которая автоматически извлекает .doc из этих .exe без ее запуска.

Добавлено:
Все равно этот зараженный вирус ни Nod32 (21/02/05) ни SAV (20/02/05) не может излечить только удалить или переименовать.

После опроса, и после проверки несколькими другими антивирусами, определили победителей среди антивирусов которые лечат этот вирус.
Первое место - DrWeb 4.32b (22.02.05 upd)
Второе место - KAV Personal Pro 5.0.20 (23.02.05 upd) - второе место потому что лечит только если зараженный документ в архиве (так что если вам нужно вылечить ваш зараженный документ, заархивируйте и потом проверяйте, а потом переименуйте .exe в .doc).

Опредили вес вируса Win32.jLok.A (также Win32.HLLP.Jook) - 50 кБ (средневесовой категории )

Надеюсь редиска-создатель не выпустит следующие версии.

Всем спасибо за внимание.

Добавлено:
Тестировались:

1. Еset Nod32 Standart 2.12.3 (update 22.02.05) - определил как Win32.jLok.A
2. Symantec Antivirus 9.0.1.1000 (update 21.02.05) - Trojan Horse
3. KAV Personal Pro 5.0.20 (update 23.02.05) - Virus.Win32.Jlok.a (2-ое место)
4. DrWeb 4.32b (22.02.05) - Win32.HLLP.Jook (1-ое место)
5. avast! Home 4.6.603 - не знает и не лечит
6. McAfee VirusScan Eterprise 8.0i - W32/Generic.Delphi.c
7. Bitdefender 8.0.137 Pro (22.02.05) - не знает и не лечит
8. Avert Stinger 2.4.7 - не помог (ну тоже McAfee вский)
9. Panda Antivirus (18.02.05) - не знает и но не лечит
10. F-Prot - знает но не лечит

Можно было еще проверить другими (штук 5-6 еще есть) но смысла уже практически нету.

Цитата:

Panda Antivirus (18.02.05) - не знает и не лечит

Знает,но не лечит.

Не хочу плодить похожие темы, поэтому задам свой вопрос здесь, если не возражаете...

После проверки диска С NIS 2003 выдал результат - на диске присутствует троян.
Я нашла на диске этот вирус в РАРе, перенесла его на диск D и снова проверила диск С.
На этот раз НИС ничего не обнаружил.
Проверила диск D - естественно, архив с трояном был обнаружен.

Но почему-то удалить его НИС не сумел :/
Спросил меня - карантинировать? ОК, сказала я.
Далее спросил - удалить? ОК, снова ответила я.
На что он мне выдал вот такую штуку:


Сам вирус вот такой:


Подскажите, пожалуйста, не похож ли он по названию на какой-нибудь системный файл,
и что будет, если я удалю его просто через Корзину?

Спасибо за ответ!
С уважением, Марина.

myasorubka


Цитата:

Но она чистит только у него в компе, а у других он не чистит

Это как?

Описание вируса: http://www.viruslist.com/ru/viruses/encyclopedia?virusid=69506

А что касетельно лечения то не знаю если честно, у меня раньше были заражены и доки и все подряд, и могу сказать что я тогда много сил положил чтоб восстановить все как надо..просто и ручонками тож надо работать там..просто кликнуть на кнопку мало..

Аналогичный случай:

http://www.kaspersky.ru/forum?rord=1&theme=148167242&thread=160016973


Цитата:

У меня в компе Вирус Win32.jlok что с ним делать?

Win32.Jlok это программа-вирус, заражающая документы Microsoft Word. Написана на Delphi 6.0. Копирует себя в системную директорию под именами ntldrt.exe и shellbit32.exe. Файлы имеют атрибуты «скрытый» и «системный».
Создает следующие ключи реестра для автозагрузки при старте Windows:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"shell32"="ntldrt.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"sysclx"="ntldrt.exe"
Ищет на жестком и гибком дисках файлы с расширением «doc», переименовывает их в «exe» и инфицирует. Метод заражения — дописывание себя перед началом doc-файла; заголовок документа при этом шифруется. При запуске зараженного файла первым отрабатывает вирус, который затем запускает оригинальный doc-файл, расшифровав его заголовок.
Virus.Win32.Parite.b это резидентный паразитический вирус. Вирус состоит из "носителя", написанного на ассемблере, и собственно вирусной компоненты, написанной на Borland C++. При запуске заражённого файла первым получает управление вирусный "носитель", он записывает во временную папку вирусный компонент и вызывает процедуру заражения. Вирус ищет Win32 PE EXE файлы с расширениями .exe и .scr на логических дисках компьютера, а также в ресурсах локальной сети, и заражает их. Создаёт свой ключ в системном реестре: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF]
Лечиться нужно консольным антивирусом через безопасный режим ОС и удалением указанных выше параметров из реестра.

nikolamor

Цитата:

не похож ли он по названию на какой-нибудь системный файл

Не похож... Он на вирус похож Удаляй...

Простите не знаю по теме ли..

Здравствуйте.
Прошу у вас очень помощи, я!

На новый год получился такой подарочек:
Внезапно в Новогоднюю Ночь (комп работал), точнее утром обнаружил, что комп завис. После перезагрузки выястнелось, что...
О УЖАС!!!!!!!!!!!!!!!!!!!!!!
Все файлы (кроме txt)... как бы правельнее сказать..? Не так, что бы совсем удалены. Они все попорченны! Каждый файл уменьшился в разы, расширения измененны, и конечно же не рабочии! Так на всем диске! А в Файлах DOC (от WORDа) нецензурные надписи от Хакера (чтоб его!) где он описывает:"х..... ты файлы востановишь!" и указывает номер своего ICQ - наглец.
Пробовал восстановить Easy Recovery, но не помогает!

Люди! Умоляю! Помогите мне подскажите, что делать... Прошу вас! Там же вся моя работа!
(Диск 160Гб Maxtor)
Пожалуйста помогите!
Заранее всем вам благодарен!

denisogloblin
Ну для начала я бы отсоединил винт и просканировал антивирусом его на другом компьютере(Чтобы не затирать информацию на этом в случае если придется восстанавливать). И в зависимости от результата уже думать, что делать дальше. Тут могут быть несколько вариантов, или файлы зашифрованы или тупо испорчены. Второе гораздо сложнее....

2STRAIKER, спасибо!
Комп еще как нить найду (хотя сейчас со старыми Айди уже напряг).
А вот с Файлами скорее
Цитата:

тупо испорчены

...
А почему они так мало весят? Можно хотя бы доки исправить???

Никто с таким не сталкивался?
http://clip2net.com/clip/m8350/1232950111-clip-1kb.png

названия DD1B63.exe и подобные
сидит в процессах, под учеткой SYSTEM

Dr.Web, AVZ, TrendMicro не находит ничего

Как с ним быть?

denisogloblin

А с каким расширением были файлы которые уменьшились?

Keklik, сейчас уже половину установил и вновь пользуюсь компом, а файлы что уменьшились кажется это были Mpeg, Avi, Vob, doc, Jpeg... Вобщем много.