imho.ws
IMHO.WS  

Вернуться   IMHO.WS > Программы и Операционные системы > Обсуждение программ
Опции темы
Старый 19.11.2003, 10:48     # 1
maxximik
ಠ..ಠ
 
Аватар для maxximik
 
Регистрация: 22.09.2003
Адрес: Moscow
Пол: Male
Сообщения: 1 941

maxximik Гурее всех гурых :-)
maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)
Как удалить вирус/троян?

Стоит Win2000 SP3, и вылетает ошибка следующего вида:

F3E9CD64 base at F3E98000
Beginning dump of phisical memory
Dumping physical memory to disk и начинает считать от 0-100
После чего комп перезагружается....
После этой ошибки, при попытке logoff или reboot, вылетает сведение о незаконченной программе Programm 1649, что это такое??? Неирзвестно, в автозапуске её нет, через Диспечер задач её невидно...Отрубить её неизвесно как.
Также в Event Viewer - Application вылетел Event следующего вида:
Event ID: 4124
Source: Ci
Content index on f:\system volume information\catalog.wci is corrupt...

Что делать-то? Помогите плз.....

ВСЕ вопросы по борьбе с вирусами/троянами и прочей нечистью решаем здесь и в этой теме.
Прежде, чем постить вопрос, просьба внимательно прочитать обе темы целиком - с вероятностью 99,9% ответы на эти вопросы уже есть.
Постящие вопросы, ответы на которые уже даны и повторы ответов будут получать ШТРАФЫ.
Dixi.

Borland.
__________________
Зерна отольются в пули
Пули отольются в гири
Таким Ударным инструментом
Мы пробьем все стены в мире

Последний раз редактировалось Borland; 30.08.2005 в 15:27.
maxximik вне форума  
Старый 21.11.2006, 21:50     # 201
dim99
Junior Member
 
Регистрация: 23.03.2006
Пол: Male
Сообщения: 192

dim99 Нимб уже пробиваетсяdim99 Нимб уже пробивается
Нашел, точнее - помогли.

Цитата:
: ctrl-alt-del - Диспетчер задач - Новая задача - regedit

Ищем и УДАЛЯЕМ:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/explorer.exe

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/iexplorer.exe

(второго ключа может не быть)
Перегружаемся.
Спасибо SavageNoName - администратору форума forum.windowsfaq.ru
Второго ключа у меня и не было.
В моем случае зависания XP не было, просто не грузился Рабочий стол. В безопасном режиме - та же картина. А есть случаи, когда в безопасном режиме все OK, в этих случаях происходит зависание какого то сервиса. Если этому событию (Нет ничего на Рабочем столе) предшествовало удаление вируса, то может помочь -следующее:
Цитата:
ctrl-alt-del - Диспетчер задач - Новая задача -запускаем services.msc, остановливаем и переключаем режим запуска Отключено все сервисы антивируса, перезагружаемся
Если не помогло, то можно Остановить сторонний firewall например Agnitum Outpost - его продвинутые вирусы любят портить.
dim99 вне форума  
Старый 27.11.2006, 23:11     # 202
dim99
Junior Member
 
Регистрация: 23.03.2006
Пол: Male
Сообщения: 192

dim99 Нимб уже пробиваетсяdim99 Нимб уже пробивается
Нужна Инфа по вирусу Email-Worm.Win32.Sceno.ay (так его называет KAV 5.0 225) . В энциклопедии Касперского его - не нашел. И вообще в сети не нашел.

Последний раз редактировалось dim99; 06.12.2006 в 20:41.
dim99 вне форума  
Старый 29.11.2006, 19:43     # 203
Panzer2
Junior Member
 
Регистрация: 09.02.2006
Сообщения: 90

Panzer2 Нимб уже пробиваетсяPanzer2 Нимб уже пробивается
Цитата:
Сообщение от dim99
Нужна Инфа по вирусу Email-Worm.Win32.Sceno.ay (так его называет KAV 5.0 712) . В энциклопедии Касперского его - не нашел. И вообще в сети не нашел.
Говори конкретно. Не лечится система от этого вируса? Он попортил файлы, которые надо восстановить?
Panzer2 вне форума  
Старый 29.11.2006, 20:32     # 204
Hoger
::VIP::
 
Аватар для Hoger
 
Регистрация: 18.06.2004
Сообщения: 2 025

Hoger Гурее всех гурых :-)
Hoger Гурее всех гурых :-)Hoger Гурее всех гурых :-)Hoger Гурее всех гурых :-)Hoger Гурее всех гурых :-)Hoger Гурее всех гурых :-)Hoger Гурее всех гурых :-)Hoger Гурее всех гурых :-)Hoger Гурее всех гурых :-)Hoger Гурее всех гурых :-)Hoger Гурее всех гурых :-)Hoger Гурее всех гурых :-)Hoger Гурее всех гурых :-)
Цитата:
Сообщение от dim99
Нужна Инфа по вирусу Email-Worm.Win32.Sceno.ay (так его называет KAV 5.0 712) . В энциклопедии Касперского его - не нашел. И вообще в сети не нашел.
1. Email-Worm.Win32.Scano!
2. http://www.z-oleg.com/secur/virlist/email-worm.php
3. http://www.z-oleg.com/secur/avz/index.php
4. RemoveIT Pro XT2 - SE http://www.incodesolutions.com/removeit.php
5. Spybot - Search & Destroy http://www.safer-networking.org/ru/index.html

Также подходит для лечения и удаления большинства известных бяк!
Hoger вне форума  
Старый 29.11.2006, 20:44     # 205
Borland
СуперМод
IMHO Консультант 2005-2009
 
Аватар для Borland
 
Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отсек
Пол: Male
Сообщения: 13 354

Borland - Гад и сволочь
Цитата:
dim99:
В энциклопедии Касперского его - не нашел.
А больше инфы по конкретно этому вирусу нигде и быть не может, по определению...
Под таким именем он классифицируется ТОЛЬКО Касперским. И соответствующее описание может (и должно!) исходить непосредственно от разработчиков AVP (авторы вируса тоже могли бы помочь, но уверен - не будут)... Т.е. в первую очередь инфа появится (если вообще появится) именно на viruslist...

Цитата:
Hoger:
Email-Worm.Win32.Scano!
Далеко не факт, что это тот же самый вирь...
Хотя, возможно, dim99 просто ошибся в написании...
__________________
Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила!
Распространенье наше по планете
Особенно заметно вдалеке:
В общественном парижском туалете
Есть надписи на русском языке

В. Высоцкий

Borland вне форума  
Старый 29.11.2006, 21:10     # 206
dim99
Junior Member
 
Регистрация: 23.03.2006
Пол: Male
Сообщения: 192

dim99 Нимб уже пробиваетсяdim99 Нимб уже пробивается
Цитата:
Borland:
Хотя, возможно, dim99 просто ошибся в написании...
Точно - не ошибся. Я его удалил. KAV 5.0 225 с новыми базами его убивает, но после удаления его файлов - остаются вопросы. Мне интересно - не осталось ли следов еще в реестре? И что он делает плохого. Из того что было замечено моим пользователем - при подключении по выделенке - серьезный трафик, примерно сколько в одну сторону- столько же и в другую. Интересно, что он так борзо прокачивет, он ведь не троян, а Email червь...


Цитата:
Panzer2:
Говори конкретно. Не лечится система от этого вируса? Он попортил файлы, которые надо восстановить?
Мне нужна инфа - что он делает и какие следы в системе оставляет.

Hoger
Нужна инфа, а не средства удаления. Название вируса - без ошибок.

Последний раз редактировалось dim99; 06.12.2006 в 20:45.
dim99 вне форума  
Старый 30.11.2006, 13:59     # 207
Panzer2
Junior Member
 
Регистрация: 09.02.2006
Сообщения: 90

Panzer2 Нимб уже пробиваетсяPanzer2 Нимб уже пробивается
Цитата:
Сообщение от dim99
Точно - не ошибся. По нему уже есть тема, но в другом ракурсе, тоже моя http://www.imho.ws/showthread.php?t=111475
Я его удалил. KAV 5.0 712 с новыми базами его убивает, но после удаления его файлов - остаются вопросы. Они в теме, которую упоминал.
Мне интересно - не осталось ли следов еще в реестре? И что он делает плохого.
Идешь на http://helpme.virusinfo.info/, и делаешь логи AVZ и HijackThis как там написано. По этим логам с большой степенью уверенности можно судить, остался ли вирус (следы вируса) в системе. Если сам не сможешь разобраться, выложи эти 3 лога куда-нибудь для скачивания.
Panzer2 вне форума  
Старый 30.11.2006, 14:46     # 208
dim99
Junior Member
 
Регистрация: 23.03.2006
Пол: Male
Сообщения: 192

dim99 Нимб уже пробиваетсяdim99 Нимб уже пробивается
Panzer2
Этот вирус создает ветку реестра : HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/explorer.exe
я не видел ее (HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options) в контрольных точках HijackThis. Т.е. я не верю свято в какую то определенную прогу типа HijackThis.
Странно, ведь это не трой. Чего он так загружает трафик?

Последний раз редактировалось dim99; 06.12.2006 в 20:48.
dim99 вне форума  
Старый 30.11.2006, 15:23     # 209
Panzer2
Junior Member
 
Регистрация: 09.02.2006
Сообщения: 90

Panzer2 Нимб уже пробиваетсяPanzer2 Нимб уже пробивается
Цитата:
Сообщение от dim99
Panzer2
Этот вирус создает ветку реестра : HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/explorer.exe
я не видел ее (HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options) в контрольных точках HijackThis. Т.е. я не верю свято в какую то определенную прогу типа HijackThis.
В самом факте наличия ветки HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/explorer.exe
ничего плохого нет, если там не установлен отладчик для explorer. А в логах AVZ отладчик обязательно будет отражен.
Конечно панацеи нет. Но имхо просьба о помощи в нахождении/удалении вируса с компьютера должна начинаться с логов AVZ и HijackThis. Только после анализа этих логов можно двигаться дальше и давать конкретные советы по лечению конкретной машины.

Цитата:
Сообщение от dim99
А теперь - почему меня этот вирус так заинтересовал. При подключении к провайдеру Воля Кабель по выделенке - у людей появляются какие то вирусы, которые обеспечивают прокачку больших объемов инфы. Один из этих вирусов - Email-Worm.Win32.Sceno.ay (по Касперу). Странно, ведь это не трой. Чего он так загружает трафик?
он мог притащить за собой другой вирус. Сюда посмотри, как уже советовали: http://www.z-oleg.com/secur/virlist/vir1155.php

Последний раз редактировалось Panzer2; 30.11.2006 в 15:35.
Panzer2 вне форума  
Старый 30.11.2006, 21:53     # 210
dim99
Junior Member
 
Регистрация: 23.03.2006
Пол: Male
Сообщения: 192

dim99 Нимб уже пробиваетсяdim99 Нимб уже пробивается
Цитата:
Panzer2:
он мог притащить за собой другой вирус
Исключено. Как только Kav50 удалил вирус , именно этот, второго не было, исчез серьезный трафик, собственно он и был самым неприятным проявлением этой гадости.
Цитата:
Panzer2:
просьба о помощи в нахождении/удалении вируса
А кто-то в этой теме просил о помощи в удалении?
Цитата:
Panzer2:
давать конкретные советы по лечению конкретной машины
а советы по лечению я тоже не просил. Я просил инфу по вирусу!

Последний раз редактировалось dim99; 06.12.2006 в 20:51.
dim99 вне форума  
Старый 01.12.2006, 15:46     # 211
Panzer2
Junior Member
 
Регистрация: 09.02.2006
Сообщения: 90

Panzer2 Нимб уже пробиваетсяPanzer2 Нимб уже пробивается
Цитата:
Сообщение от dim99
Исключено. Как только Kav50 удалил вирус , именно этот, второго не было, исчез серьезный трафик, собственно он и был самым неприятным проявлением этой гадости.
А ты уверен, что Kav50 полностью удалил всех зловредов и вылечил систему? логи AVZ и HijackThis очень помогают такой уверенности.

Цитата:
Сообщение от dim99
А кто то в этой теме просил о помощи в удалении? Я происил в другой(она тут указывалась) и сам себе помог.

а советы по лечению я тоже не просил, ты читай тему -то. Я просил инфу по вирусу!
А это что было:
Цитата:
Мне интересно - не осталось ли следов еще в реестре?
Лечат не вирусы, лечат систему.
Panzer2 вне форума  
Старый 01.12.2006, 16:26     # 212
igortver
Newbie
 
Регистрация: 18.04.2005
Сообщения: 10

igortver Путь к славе только начался
Исчезла вкладка "Свойства папки"

подцепил какой-то вирус, когда, даже не заметил. Увидел, что пропали расширения файлов в проводнике. В Total Cmd видны. Полез в меню проводника СЕРВИС - СВОЙСТВА ПАПКИ, думал галочка стоит в настройках, а вкладки свойств папки нет! Нет её и в панеле управления. Проверил всё DrWeb потом AVAST. аваст перед загрузкой много чего нашёл, но вкладка не появилась в меню проводника. Вручную нашёл каталоги Bron-Spizaetus и Tok-Cirrhatus, файл bronstab.exe и еще всякую всячину. Удалил всё из реестра, но ничего не помогло.
У кого такое было - поделитесь опытом.
igortver вне форума  
Старый 01.12.2006, 16:31     # 213
compulimb
Banned
 
Аватар для compulimb
 
Регистрация: 14.08.2003
Адрес: Moscow
Сообщения: 301

compulimb Имеются все основания чтобы гордиться собойcompulimb Имеются все основания чтобы гордиться собойcompulimb Имеются все основания чтобы гордиться собойcompulimb Имеются все основания чтобы гордиться собойcompulimb Имеются все основания чтобы гордиться собойcompulimb Имеются все основания чтобы гордиться собойcompulimb Имеются все основания чтобы гордиться собойcompulimb Имеются все основания чтобы гордиться собой
А какие права на компьютере ?
Случайно админ не слетел ?
compulimb вне форума  
Старый 01.12.2006, 17:08     # 214
KomatoZo
::VIP::
 
Аватар для KomatoZo
 
Регистрация: 14.05.2005
Сообщения: 939

KomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собой
ОС какая?
__________________
"Поживем - увидим" - сказал слепой, больной СПИДом...
Телепаты в отпуске. Все поголовно. Навсегда.
И кому я что должен - всем простил.
KomatoZo вне форума  
Старый 01.12.2006, 19:50     # 215
dim99
Junior Member
 
Регистрация: 23.03.2006
Пол: Male
Сообщения: 192

dim99 Нимб уже пробиваетсяdim99 Нимб уже пробивается
Цитата:
Panzer2:
А ты уверен, что Kav50 полностью удалил всех зловредов и вылечил систему? логи AVZ и HijackThis очень помогают такой уверенности.
Нет не уверен. Но симптомов заражения - пока не видно. Непонятного Трафика - нет. Вроде все спокойно. HijackThis(ом) - смотрел, до правки реестра, т.е. - подстановку дебагера для explorer - не видно было через него. Но то, что видел - беспокойства не вызвало.
Цитата:
Panzer2:
Лечат не вирусы, лечат систему.
Согласен. И согласен с тем, что просил помощи в обнаружении следов вредителя в реестре... Но машина сейчас - недоступна. Она дома у начальника. Так что только информация по вирусу.

Последний раз редактировалось dim99; 05.12.2006 в 14:49.
dim99 вне форума  
Старый 03.12.2006, 11:47     # 216
igortver
Newbie
 
Регистрация: 18.04.2005
Сообщения: 10

igortver Путь к славе только начался
Права администратора не слетели. Сижу в домене, вхожу в комп и с правами админа и под своим паролем (тоже с правами админа). Установлена Win XP SP2 En лицензионная.
При загрузке всегда запускается проводник C:\Windows.

Переустановил Service Pack 2 - не помогло
igortver вне форума  
Старый 03.12.2006, 14:15     # 217
Borland
СуперМод
IMHO Консультант 2005-2009
 
Аватар для Borland
 
Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отсек
Пол: Male
Сообщения: 13 354

Borland - Гад и сволочь
igortver
_http://www.bleepingcomputer.com/forums/lofiversion/index.php/t33568.html
_http://www.securitywonks.net/site/forums/archive/index.php/thread-430.html
Если с английским проблемы - _http://www.viruslist.com/ru/viruses/encyclopedia?virusid=121383

Тема про борьбу с вирусами у нас ТУТ - клею.
__________________
Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила!
Распространенье наше по планете
Особенно заметно вдалеке:
В общественном парижском туалете
Есть надписи на русском языке

В. Высоцкий

Borland вне форума  
Старый 19.12.2006, 20:49     # 218
dim99
Junior Member
 
Регистрация: 23.03.2006
Пол: Male
Сообщения: 192

dim99 Нимб уже пробиваетсяdim99 Нимб уже пробивается
По вирусу Email-Worm.Win32.Sceno.ay (так его называет KAV 5.0 712) есть ответ от Касперского:
Цитата:
У данного вируса пока нет описания, оно появится в ближайше время, в данный момент ознакомьтесь с описанием модификации:
viruslist.com/ru/viruses/encyclopedia?virusid=118908
От себя добавлю - похоже. Тот же ключ в реестре
Цитата:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]
"Debugger"="%Windir%\csrss.exe"
и тот же файл %Windir%\csrss.exe

Последний раз редактировалось dim99; 19.12.2006 в 20:52.
dim99 вне форума  
Старый 21.12.2006, 20:07     # 219
dim99
Junior Member
 
Регистрация: 23.03.2006
Пол: Male
Сообщения: 192

dim99 Нимб уже пробиваетсяdim99 Нимб уже пробивается
Ответ от Касперского, точнее от его партнера, у которого мы покупаем KAV.
Специально по Вашему запросу было подготовлено описание запрошенного вируса:
Email-Worm.Win32.Scano.ay
Программа-червь, которая распространяет себя по электронной почте. Программа
является приложением Windows (PE EXE-файл). Имеет размер 21 570 байт.
Упакована WinUpack. Распакованный размер около 83 килобайт. Написана на C++.

Инсталляция
Заражение происходит при открытии и запуске зараженного файла вложения из
письма электронной почты.
Червь не работает под ОС Win9x.
При запуске копирует свой исполняемый файл в папку Windows с именем:
%WinDir%\csrss.exe

Создает ключ реестра :
[HKLM\Sоftware\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\explorer.exe] "Debugger"="%WinDir%\csrss.exe"
или, в случае неудачи создания такого ключа, добавляет ссылку на свой
исполняемый файл в ключ автозапуска системного реестра:
[HKCU\Sоftware\Microsoft\Windows\CurrentVersion\Run]
"Application" = "%WinDir%\csrss.exe"

После этого исполняемый файл червя будет автоматически запускаться при
каждом следующем старте Windows

Деструктивная активность
Червь запускает процесс services.exe и внедряет в его адресное пространство
свой код, который выполняет следующие действия:
1. Проверяет значение указанного ниже ключа реестра и восстанавливает его
значение в случае его отсутствия :
[HKLM\Sоftware\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\explorer.exe] "Debugger"="%WinDir%\csrss.exe"
2. Восстанавливает свой исполняемый файл из копии в оперативной памяти в
случае его удаления с жесткого диска.
Червь запускает процесс svchost.exe и внедряет в его адресное пространство
свой код, который выполняет следующие действия:
1. Пытается установить соединение с Интернет
2. Запускает поток, который ищет в системе окна класса "AVP.AlertDialog" и
имитирует в них нажатия на кнопку <Разрешить> или "Allow"
3. Создает файл во временной папке Windows:
%Temp%\Message.hta
Этот файл содержит тело вируса в зашифрованном виде и VBS скрипт, который
производит расшифровку тела вируса, сохраняет его в корневой каталог диска
C: под произвольно сгенерированным именем и его последующий запуск.
4. Запускает поток, который производит рассылку зараженных писем с
вложенными файлами, которые содержат тело червя. Рассылка производится
используя встроенный в червя почтовый клиент.
Заголовок письма выбирается случайным образом из списка:
Hi, what's up?
He, where are you?
Hi, drop me a line!!!
Hi! Please write to me urgently!
Hi! I'm waiting you online today!
Will you be online today?
When you're gonna answer me?
Re: write to me!
Re: Call me!
Re: Where are you?
Re: When you're gonna answer me?
Hi!!! How's the mood?
Re: How's the mood?
Re: Where have you been?

Текст письма выбирается случайным образом из списка :
Hi!!!!! You haven't been writing for a long time. I began to worry) Where
have you been? You remember, you've asked a progy from me? I've finally
found it, so here it is. Check it out if this is what you've been looking
for... bye

Hi, what's up? Will you show up online today?
Drop me a line in ICQ, ok? Btw, I'm sending you the docs you've been looking
for, find them attached. Check them out, ok?

Hi! I'm coming to you tomorrow, ok? When you are going to be home?
You remember, you've asked some docs. Please find them attached. Check and
see what's inside. That's it. Bye, till tomorrow...

Hi! You disappeared again. If you come online, drop me a line, ok?
Btw, I sent you those docs that you've been looking for. Check them out.
Bye!

Hi, give me a call just when you got the message! I'm tired of waiting. Btw,
I'm sending that program that you've been looking for. Check it out. Appears
to be that one. Bye!

Hi, what's up? If you have time tomorrow, please come over. After midday. By
the way, don't forget to check the enclosed documents. Bye. See you
tomorrow.

Hi, I got a free day tomorrow, and I'm waiting for you. Please come after
midday. By the way, I'm sending you the documents that you've been asking
for. Read them out... Bye!

Hi, how are you? What are your plans today? If you have time, please come
over, and don't forget to check the program attached. Bye!

Hi, what's you gonna do today? I'll come over tonight! By the way, don't
give anyone this funny program I'm sending. Check it out. Bye!

Hi, I found that program you asked for. Find it attached. Bye.

Hi, I saw you around today, but you didn't noticed me ( If you're gonna be
at home, give a call, ok? By the way, check this file I'm sending. A very
interesting program...

What's up! You haven't been writing for a long time: I got news. I've
finally that program you needed: I'm sending it out. Use it. Bye!

Hi, drop me a line today, ok? And see the program I'm sending. Bye!

Hi, drop me a line if you can. Btw, I have a new ICQ. Please don't forget to
check the attached documents. Bye.

Hi! How are you? Drop me a line if you can. I found your documents and I'm
emailing them to you. Bye.

Файл-вложение назван одним из следующих имен:
Message
File
Document
README
Passwords
Readme
Important
New
COOL
Archive
Fotos
private
confidential
secret
images
your_documents
backup

5. Червь получает зашифрованный URL для загрузки файла из Интернет по
следующей ссылке:


Файл скачивается в рабочую папку с исполняемым файлом червя и сохраняется с
именем 1.exe после чего запускается.

6. Червь копирует свой исполняемый файл на все разделы жесткого диска в
папки, имена которых содержат в себе следующие строки.

bear
donkey
download
ftp
htdocs
http
icq
kazaa
lime
morpheus
mule
shar
source
upload
pub
log
Имя файла червя выбирается произвольно из следующего списка:

1001 Sex and more.rtf
3D Studio Max 6 3dsmax
ACDSee 10 full
Adobe Photoshop 10 full
Adobe Premiere 10
Ahead Nero 8
Altkins Diet.doc
American Idol.doc
Arnold Schwarzenegger.jpg
Best Matrix Screensaver new
Britney sex xxx.jpg
Britney Spears and Eminem porn.jpg
Britney Spears blowjob.jpg
Britney Spears cumshot.jpg
Britney Spears fuck.jpg
Britney Spears full album.mp3
Britney Spears porn.jpg
Britney Spears Sexy archive.doc
Britney Spears Song text archive.doc
Britney Spears.jpg
Britney Spears.mp3
Clone DVD 6
Cloning.doc
Cracks & Warez Archiv
Dark Angels new
Dictionary English 2004 - France.doc
DivX 8.0 final
Doom 3 release 2
E-Book Archive2.rtf
Eminem blowjob.jpg
Eminem full album.mp3
Eminem Poster.jpg
Eminem sex xxx.jpg
Eminem Sexy archive.doc
Eminem Spears porn.jpg
Eminem.mp3
Full album all.mp3
Gimp 1.8 Full with Key
Harry Potter 1-6 book.txt
Harry Potter 5.mpg
Harry Potter all e.book.doc
Harry Potter e book.doc
Harry Potter game
Harry Potter.doc
Harry Potter and the Sorcerer's Stone game
How to hack new.doc
Internet Explorer 9 setup
Kaspersky Internet Security 6.1 KeyALL
Kaspersky`s Pub 6.0 Ultimate
Kazaa Lite 4.0 new
Kazaa new
Keygen 4 all new
Learn Programming 2004.doc
Lightwave 9 Update
Magix Video Deluxe 5 beta
Matrix 3 .mpg
Microsoft Office 2003 Crack best
Microsoft WinXP Crack full
MS Service Pack 6
source code
Norton Antivirus 2005 beta
Opera 11 free
Partitionsmagic 10 beta
Porno Screensaver britney
RFC compilation.doc
Ringtones.doc
Nostradamus.doc
From me with love
World Trade Center last video.mpeg
anthrax.doc
Osama Bin Laden.jpg
Taliban
Osama bin Laden.mpg
Yellow Pages
Ringtones.mp3
Saddam Hussein.jpg
Screensaver2
Serials edition.txt
Smashing the stack full.rtf
Star Office 9
Teen Porn 15.jpg
The Sims 4 beta
Ulead Keygen 2004
Visual Studio Net Crack all
Vista review.doc
WinAmp 13 full with sources
Windows Vista Sourcecode.doc
Windows 2003 crack
Windows XP crack
WinXP eBook newest.doc
XXX hardcore pics.jpg

и одного из расширений:

.exe
.pif
.scr

7. Червь производит поиск на всех жестких дисках файлов имеющих следующие
расширения :

.adb
.asp
.cfg
.cgi
.mra
.dbx
.dhtm
.eml
.htm
.html
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
.dhtml
При нахождении таких файлов червь производит поиск в этих файлах адресов
электронной почты и рассылает по этим адресам зараженные письма. Письма не
рассылаются по адресам содержащим ниже перечисленные строки :


@example.
2003
2004
2005
2006
@microsoft
rating@
f-secur
news
update
.qmail
.gif
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
0000
Mailer-Daemon@
@subscribe
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
torvalds@
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
spm111@
.00
---
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@0
.1
.2
.3
.4
.5
.6
.7
.8
.9

Рекомендации по удалению
1. При помощи <Диспетчера задач> завершить зараженные процессы services.exe
и svchost.exe.
2. Удалить все копии червя на жестком диске
3. В редакторе реестра удалить ключи реестра:
[HKLM\Sоftware\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\explorer.exe]

[HKCU\Sоftware\Microsoft\Windows\CurrentVersion\Run\Application]

4. Произвести полную проверку компьютера Антивирусом Касперского с
обновленными антивирусными базами (<a
href="http://www.kaspersky.ru/trials">скачать пробную версию</a>).

Последний раз редактировалось dim99; 21.12.2006 в 20:15.
dim99 вне форума  
Старый 11.01.2007, 01:43     # 220
gvalentin
Guest
 
Сообщения: n/a

Как удалить вирус Gael (Tenga) в сети?
Сетка одноранговая, ВинХР.
Все компы одновременно от сети отключить нельзя.
 

Опции темы

Ваши права в разделе
Вы НЕ можете создавать новые темы
Вы не можете отвечать в темах.
Вы НЕ можете прикреплять вложения
Вы НЕ можете редактировать свои сообщения

BB код Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Часовой пояс GMT +4, время: 00:02.




Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.