Ru-Board.club
← Вернуться в раздел «Microsoft Windows»

» Новый вирус под названием

Автор: HDD
Дата сообщения: 04.07.2008 22:07
Собственно кто сталкивался? Уже в двух конторах словил. Появляется такая гадость, внутри 5 или 6 папок, внутри exe файлы. Вирусы. Что делает, из того что увидел, если интернет расшарен, на остальные компы перестаёт раздаваться. Чего нарыл в нете.


Цитата:
Вирус который размножает себя в папках типа "= ПОРНО - ВИДЕО ="
Сам червяк сидит в файле C:\Program Files\Windows Media Player\Agent\wmplayer.exe, размер 249344 байт

Инструкции по лечению:
В диспетчере задач убить процесс wmplayer.exe

Удалить папки:
C:\Program Files\Windows Media Player\Agent\
C:\Program Files\Common Files\Net Shared\IPC\

из инкаминга у себя удалить папку "= ПОРНО - ЗАПРЕЩЕННОЕ ВИДЕО ="

Из папки "C:\Documents and Settings\All Users\Документы\" удалить папку с названием "= ПОРНО - ЗАПРЕЩЕННОЕ ВИДЕО ="


из ветки реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
удалить запись с именем
"Windows Media Player Agent"
и значением
"C:\Program Files\Windows Media Player\Agent\wmplayer.exe /service"

из ветки реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
удалить запись с именем
"C:\Program Files\Windows Media Player\Agent\wmplayer.exe"

вот и все... теперь главное не запускать опять эти екзешки в порнушных папках





Добавлено:
Kav7 and Kis 7 с проблемой до конца не справляются. Т.е. удаляют, но через время вирь снова появляется.
Автор: Gena1971
Дата сообщения: 05.07.2008 01:14
Где то уже писал, и и читал. Перед чисткой можно попробовать отключить восстановление системы. А после чистки опять включить. По-видимому к этим файлам каспер не имеет доступа. А они там и остаются. Сам с несколькими вирями сталкивался, которые в восстановление системы попадали. От туда и восстаналиваются.
Автор: HDD
Дата сообщения: 05.07.2008 17:38
Gena1971
Настолько банальные решения не предлагать))))))))
У меня на всех компах отключенна система восстановления))))
Автор: rodrigo f
Дата сообщения: 05.07.2008 19:18
HDD

К вам вопрос(может он и поможет в вашем случае).
У меня файловая система NTFS. Отключенна система восстановления в виндах(у меня их четыре ХР). Но все равно, в папках System Volume Information на логических дисках скапливается куча разной "гадости". И, соответственно, периодически, я эту "гадость" удаляю, делая к ним доступ. Несколько раз там "сидел" вирус.
Вопрос этот на эту тему на данном форуме обсуждался. Даже говорилось о NTFS-потоках... Поднимать это не будем.
Здесь другой вопрос? А если файловая система будет FAT32, будет ли скапливаться разная "гадость" в папках System Volume Information?
И может вам попробовать "перебить" файловую систему в FAT32....(если она у вас NTFS)
Автор: Gena1971
Дата сообщения: 06.07.2008 00:40

Цитата:
Т.е. удаляют, но через время вирь снова появляется.

Через время - понятие растяжимое. 10 минут или пару дней? Потому как человек может опять на сайт с заразой пойти. А в правилах файера сидит уже разрешение на установку.
Сам наблюдал ситуацию, когда шеф у меня (сидя в интернете) на выскочившее окошко киса не читая клацнул разрешить. Я даже рот открыть не успел. Даже не успел заметить стояла ли галка создать правило.
Ну и потом не стоит забывать о флешках с их автозапуском.
Все это конечно относится к случаю - через пару дней.
Ну и если это все не то, то по-видимому где то он все таки сидит. нужна боле глубокая проверка - через LiveCD какой нибудь. Не забыть и о проверке на руткиты (в кис отдельно есть).
Ну и потом рекомендации - рекомендациями, а вири могут и сами модифицироваться, и авторы их меняют. И искать надо везде.
И еще такое может ставиться от вроде даже нормального хрен-летит-акселератора. На сам установщик кис не реагирует, а во время установки - сразу визжит. И letit далеко не единственный сайт с подобной гадостью.
Автор: HDD
Дата сообщения: 06.07.2008 17:05

Цитата:
И letit далеко не единственный сайт с подобной гадостью.

Это да.
Вирь появляется через пару часов. В понедельник посмотрим, подробнее.

Так же посмотрю насколь работает, то что нашёл в интернете. С чисткой реестра.
Автор: HDD
Дата сообщения: 07.07.2008 22:07
Разобрался. Этот вирус назывался по KAV Win32.PornRun.b
А был ещё один вирус под названием Win32.Sality.z Этот помрачнее, заразил почти все exe файлы. Лечится прекрасно из под WinPE CureIt. И одно и второе)
Однако, через пару часов позвонили сказали, что снова появился PornRun. За машиной ни кто не работал, от куда вылез хз.
Автор: Gena1971
Дата сообщения: 08.07.2008 20:43
HDD
Видать сам инсталлятор этой гадости не находится. И на него не реагирует каспер. Как и в случае с летитакселератором. Тут только одна рекомендация. Поставить все таки КИС, если стоит, то стереть все правила по разрешениям и заново все почистить. Когда начнет появляться эта ерунда просто посмотреть какой процесс пытается ее затарить заново.
Автор: HDD
Дата сообщения: 08.07.2008 22:41
Разобрался. Вирус лез из внешней локалки. В Kis поставил режим невидимости. Пока всё гуд
Автор: nailgal
Дата сообщения: 28.07.2008 11:45
HDD
CureIT лечит или удаляет экзешники зараженные Win32.Sality.z ?
Автор: HDD
Дата сообщения: 28.07.2008 23:26
nailgal
Лечит. ТОлько грузись с WinPE.

Страницы: 1

Предыдущая тема: Проблемы с IE7 после установки SP3 (на XP)


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.