» Помогите вирус одолеть! virus

всем привет, у меня на одной из машин каким-то образом иконки логичеких дисков поменялись на улыбающиеся помидоры, два антивируса nod32 и kaspersky ничего не нашли
точнее нашли и убили, но намного раньше, а иконки почему-то остались
подозреваю наличие вируса или еще какой-то резидентной программы
может кто знает что это за фигня ?

В SAFE MODE прогнать машину с помощью AD-AWARE - возможно, какой-то троян сидит, потом sfc /scannow

Всем привет.
Есть проблема.
На компе завелось чёто.
UDP 123 time.windows.com
Гасит весь трафик в интернет - все просто уходят отдыхать.

Ставлю снифер и вижу трафик.
Ставлю NetLimiter - вижу процесс - c:\windows\system32\svchost,
т.е. самый рядовой процес.
Видимо чёрвяк в какойто библиотечке и заставляет ломиться в инет.
Ломиться не сразу - когда не понял.
Nod 32 - ничего не видит.
SpyBot - нифига.

У кого какие есть идеи ?
Спасибо.

slech

Цитата:

c:\windows\system32\svchost

Вполне нормальный трафик. Просто неправильно настроена служба Windows Time. ОТключи её и всё.

FreemanRU
Служба отключена.
И трафик ненормальный до 100 Мб за сутки.
У товарища такая же история вылилась в 4 Гб сверхтрифика за 50$. Вылечил переустановкой, а уменя там бухи сидят.

Может можно посмотреть кикие библиотеки подгружает svchost.exe и проверить что легальное, а что нет.

slech

Цитата:

Может можно посмотреть кикие библиотеки подгружает svchost.exe и

Можно, Process Explorer v10.2 c http://www.sysinternals.com/Utilities/ProcessExplorer.html

FreemanRU
Спасибо, буду пробовать.

Помогите советом. В локальной сети появился вирус, который печатает на принтере текущую дату. То есть выходит лист, а на нем только дата, например 2006/9/29.
Такая фигня несколько раз в день, причем на разных принтерах. Все принтеры расшарены в свободный доступ. Active Directory отсутствует, Netbios включен.

Цитата:

Has found specially for you

http://secreen-saver4u.info/screensavers/fun2007/beer_fun2007_screensaver.scr

никому не вестись вирус !!!

[more=Инструкция по удалению]
1.а скачиваем утилиту антивирусную от AVZ
http://dl1.rapidshare.ru/249904/81988/avz4.zip

1.б скачиваем autoruns.exe от Sysinternals
http://download.sysinternals.com/Files/Autoruns.zip


2.а AVZ.ru -- Сервис--Менеджер Winsock SPI--Поставщики транспортных протоколов TSP LSP
2.б Autoruns -- Winsock Provider

3. а,б ищем ссылки на наш %SystemRoot%\System32\rsvp322.dll - и валим

4. shutdown -r -t 0

5. на всякий случай ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe - проверяемся антивирусом

[/more]

После её запуска всем в ICQ уходит такое же сообщение - так он и распространяется.

Добрый день всем. Где-то подцепил вирус. Симптомы вот какие.
С загрузки системы во временной папке пользователя пытается создать файлы 1.ехе, 2.ехе, и так до 16.ехе, зараженные Trojan.PWS.Wsgame.1242 (согласно DrWeb-у). И при загрузке пропадает файл hosts. Не знаю, действия ли это одного вируса, или нескольких. Полное сканирование системы Вебом и антивирусом Зайцева Олега ничего даже подозрительного не нашло. Атозагрузка чистая. Запустил утилиту Filemon от Sysinternals, с ее помощью увидел что и hosts удаляет, и ехе-шники создает процесс C:\Windows\Explorer.exe
Проверял Explorer.exe он-лайн файл-сканнерами антивируса Касперского и ДрВеб-ничего подозрительного не находят. Сравнивал MD-5 суммы от своего файла и с другого компьютера, на котором подобных симптомов не наблюдается, все совпадает.
Что еще можно придумать, где зараза сидит? Систему переставлять не очень хочется.

PS И еще забыл сказать, при подключении флешки, вирус пытается ее заразить заразой Win32.HLLW.Autoruner

обнови DrWeb, загрузись с LiveCD и протестируй всю систему целиком с обновлённого веба

ruan
трафик никуда не ходит ?

taelas

Цитата:

обнови DrWeb, загрузись с LiveCD и протестируй всю систему целиком с обновлённого веба

Я загружался с WinPE. Ничего не находит.

slech

Цитата:

трафик никуда не ходит ?

Не следил. Но скорее всего ходит. Потому что ехе-шники ДрВеб находил только при подключенном сетевом кабеле, то есть если кабеля нет, то зараза сидит молча, а как только появилась сеть, сразу скачала эти файлы.


Добавлено:
В общем, проблема оказалась в fjOs0r.dll по адресу Program files/Common files и паре ключей реестра
[HKEY_CLASSES_ROOT\CLSID\{6C7596CB-31CC-BBA3-BE51-2EEA62F9C51D}\InProcServer32]
@="C:\\Program Files\\Common Files\\fjOs0r.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{C2626E66-D21B-E628-C1DF-1DACCFA36ED2}\InProcServer32]
@="C:\\Program Files\\Common Files\\fjOs0r.dll"
"ThreadingModel"="Apartment"

Еще раз напомню симптомы, может кому пригодится. Вирь удалял файл hosts, копировал с инета 17 (1-16.ехе и М1.ехе) файлов во временную директорию пользователя и при подключении новых накопительных устройств (флешек или винтов) заражал их Win32.HLLW.Autoruner. Удачи в борьбе с вирусами.

Приветствую.
Что-то часто стал сталкиваться с такой проблемой,а как бароться не знаю.
Начнем с того,что антивирус(например symantec)выдает одновременно большое количество окон о зараженных объектах(причем сам вылечить их не может).Весь экран заполоняет ими,пытается отсылать отсчеты.Копм при этом сильно тормозит.
Загружаюсь с LiveCD пролечиваю разными средствами(находит около 80 вирусей).Включаю комп все норм.,но вижу кто-то рвется по локалки в инет и ситуация повторяется.
Вот и все,но ситуация переодически меняется,например иногда symantec делает вид,что проверяет почту и потом все повторяется!Кто-нить сталкивался с подобным,посоветуйте как бороться!

была проблемка похожего характера.
Symantec материл что проблема в невозможности отослать письма.
Я так понимаю что какой то процесик занимался спамом т.е. пытался отсылать кучу почты.
Помоему вылечилось AVZ.
1. AVZ на живой системе. Логи сделайте, на форуме у нихвыложите в теме соответсвующей.
2. Live-CD + DrWeb CureIt.

Здравствуйте.
Прошу у вас очень помощи, я!

На новый год получился такой подарочек:
Внезапно в Новогоднюю Ночь (комп работал), точнее утром обнаружил, что комп завис. После перезагрузки выястнелось, что...
О УЖАС!!!!!!!!!!!!!!!!!!!!!!
Все файлы (кроме txt)... как бы правельнее сказать..? Не так, что бы совсем удалены. Они все попорченны! Каждый файл уменьшился в разы, расширения измененны, и конечно же не рабочии! Так на всем диске! А в Файлах DOC (от WORDа) нецензурные надписи от Хакера (чтоб его!) где он описывает:"х..... ты файлы востановишь!" и указывает номер своего ICQ - наглец.
Пробовал восстановить Easy Recovery, но не помогает!

Люди! Умоляю! Помогите мне подскажите, что делать... Прошу вас! Там же вся моя работа!
(Диск 160Гб Maxtor)
Пожалуйста помогите!
Заранее всем вам благодарен!

denisogloblin
Скорее тебе нужна информация типа "Восстановление данных после вируса penetrator" её и ищи, шансов мало, но может что и поднимешь:
http://forum.ixbt.com/topic.cgi?id=11:38722 вот цитата:

Цитата:

По информации в сети этот вирус переписывает файлы, просто затирая их или вставляя свои неприличные картинки/тексты. Подтверждаете это? Если да, то пробуйте EasyRecovery - RawRecovery, R-Studio - Scan + Extra search for known file types и т.д. (поиск по сигнатурам). Имен файлов не будет, структуры каталогов не будет, фрагментированные файлы не восстановятся. По-другому вроде никак (точнее как, но очень сложно и только если речь идет об инфе особой ценности, только продвинутая DR-фирма).

Спасибо. Попробую!

Симптомы:
1) нет доступа к сайтам malwarebytes.org, *kaspersky.com, *microsoft.com, virusinfo.info, myantispyware.com, .f-secure.com, bitdefender.com и чувствуется что еще каким то
т.е. имена не резловятся, пинг до их ip не ходит
2) в system32\drivers\etc\hosts - пусто
3) зараза была принесена на флэшке в файлике autorun.inf (размером ~50кб без MZ.. заголовка)
4) nod32 задетектил и подтёр Win32/Conficker.AA в %TEMP%/???.tmp
5) SpyBot и еще подобные утилиты ничего не обнаружили

Как от этого избавиться и восстановить доступ к майкрософту и прочим?

JetP1L0t

Цитата:

т.е. имена не резловятся,

а dns правильный при этом прописан?

Цитата:

а dns правильный при этом прописан?

да, правильный, всё остальное работает.
если не затруднит можно переложить актуальные версии http://download.bitdefender.com/resources/files/Download/en/anti-Downadup-EN.zip, CureIt и KAV Removal Tool на какойнить файлообменник ибо с оффсайтов выкачать не представляется возможным ввиду отсутствия незараженной системы

JetP1L0t

Цитата:

да, правильный, всё остальное работает.

при чем тут все остальное? все остальное может и выдаваться, а на данные адреса левый DNS не резолвит


Цитата:

на какойнить файлообменник ибо с оффсайтов выкачать не представляется возможным ввиду отсутствия незараженной системы

http://rapidshare.com/files/194388476/Tools.rar.html

Цитата:

Cheery

благодарю, тут товарищь один подсказал что это Kido по версии касперского и проще видну переустановить в оффлайне с полными обновлениями..

тулзы попробую и если что поможет - отпишусь

JetP1L0t

Цитата:

тут товарищь один подсказал что это Kido по версии касперского

Эпидемия Net-Worm.Win32.Kido.dz

http://slil.ru/26620928 - утилиты от ESET и BitDefender, на данный момент помогли без перезагрузки =) может пригодиться...

Неплохо бы в шапку добавить онлайн проверку инет-ссылок на вирусы, например http://online.us.drweb.com/?url=1

Доброго времени суток народ!!!
Кто сможет грамотно помочь мне с востановлением данных после вируса "Penetrator".
Конечно сам мудак. Дал жене внешник перекинуть фотки ее систре, а в прричине пропажи страых фоток не стали разбираться. Пришла жена домой, а там кашмарычь.

Далее описание работы вируса.

Цитата:

Происхождение вируса и этимология названия
Название вируса происходит от penetrate (англ.) – проникать внутрь, проходить сквозь, пронизывать; внедряться (куда-л.) со шпионскими целями.
О происхождении вируса ходят разные легенды. Якобы, российский студент-программист, отвергнутый своей девушкой, решил таким образом отомстить ей, а заодно – и всему цифровому миру…

Деструктивные действия вируса
Все .jpg-файлы (.jpg, .jpeg) заменяются .jpg-изображениями (размером 69х15 пикселей; «весом» 3,1КБ) со стилизованной надписью Penetrator (черный шрифт на серовато-белом фоне).

Файлы .bmp, .png, .tiff вирус «не трогает».

Аудиофайлы (.mp3, .wma), видеофайлы (.avi, .mpeg, .wmv), файлы Word (.doc, .rtf), Excel (.xls) и PowerPoint (.ppt) уничтожаются (как правило, просто удаляются, реже их содержимое подменяется другим содержимым, например, у текстовых файлов – матами).
То есть вирус портит всё самое дорогое, что есть у пользователя ПК!
В отличие от широко распространенной легенды, у вируса нет «привязки» к конкретной дате (например, 1 января, 23 февраля или 8 марта), – он начинает свои деструктивные действия сразу после запуска исполняемого файла.
Самая сильная волна эпидемии вируса прошлась по Дальнему Востоку, особенно пострадала Амурская область.

Классификация вируса
Антивирусы идентифицируют зловреда по-разному (как всегда!): например, Panda Antivirus называет его червем W32/Penetrator.A.worm; Антивирус Касперского считает его трояном Trojan-Downloader.Win32.VB…

Как происходит заражение
Средства распространения вируса – Интернет, flash-носители.
Заражение, как правило, происходит во время запуска файла, замаскированного под заставку *.scr, реже вирус «косит» под файлы .mp3.
При заражении во все открываемые папки (и на все подключаемые к зараженному ПК носители) копируется тело вируса в виде файлов имя_папки.scr или имя_папки.exe.

Вот такая беда братци случилось. Жена ревет, сам как на ватных ногах. Единствено что важно для нас это фото. Просто растет сынишка 1.5 года, и все фотки его были убиты этим вирусом. Я бэкапил на DVD фотки, но перед новым годом сынишка добрался до этих дисков, и разломал их, а создать архив заново руки не дошли. Автор вируса конечно мудак, поимал сам порвал как грелку. Но и как говориться все беда в них "В ЖЕНЩИНАХ".
Вот сижу пыхчу как и что.
Easy Recovery не как не востонавливает
R-Studio то же востанавливает толко 5%.
Кто уж грамотен в даном вопросе дайте совет что делать. Или нести куда нибудь винт на востановление.
Зарание благодарен!!!

newbies, учитывая, что содержимое файлов перезаписывается, боюсь, что восстановить их практически невозможно.

newbies
Срочно несите к спецам! Чем дольше Вы будете пытаться восстановить сами, тем больше вероятность, что и спецы не помогут. Связано это с тем, что ОС во время своей работы постоянно производит запись данных на диск и там, где были удалённые файлы - теперь будут располагаться новые, что сделает невозможным восстановление старых. В идеале Вы должны были сразу выключить комп(кнопкой или шнур из розетки выдернуть) после обнаружения пропажи, а диск вынуть и отнести на восстановление. Как вариант - подключить диск к другому компу ведомым (slave) и восстановить самому. Есть данные, что EasyRecovery в режиме RawRecovery много восстанавливает, попробуйте. Рецепт отсюда _http://icefin.livejournal.com/27555.html попробуйте.

да я сам спец, вирус удалил и погасил, хочу просто восстановить файлы.
а как я восстановление сделаю если по верх нормальных файлов, лежит вот эта херь то есть файлы переделанные пинетратором.

вот програмуля: http://forum.ru-board.com/topic.cgi/topic.cgi?forum=5&topic=10011&start=140