не могли бы вы помочь с удалением вируса? у меня позавчера (23) было день рождение и кто то дорвался до компа. естественно в пьяном виде и в папку "вирусы" ну и конечно же виртуальная машина была изобретена не для них. вообщем: кто может помочь с исследованием данных фалов? я не уверен в своих силах, посему прошу не кидать в этой проблеме - фаервол настроен только на пропуска на трафика на ачат и на гугль с несколькими исключениями, что очень неприятно. вообщем все что на пока удалось накопать - это то что вирус заражает только не пакованные файлы (увы тут проверить сейчас просто не могу просто по памяти прикинул что примерно из программ у меня не пакованно), создает в папке содержащей текущие зараженное приложение файл с таким же именем и расширением *.exe.exe, также создает в папке windows файл с именем Logo1_.exe и иконкой последнего зараженного файла, ломиться в адресное пространство explorer.exe, завершает незараженные "крекерские" процессы peid, DeDE, cff, etc (ольку просто заражает xD) пишется в автозагрузку, ..., вообщем список можно продолжать но не буду. ссылки найденные на viruslist.com http://www.viruslist.com/ru/viruses/encyclopedia?virusid=69620 http://www.viruslist.com/ru/viruses/encyclopedia?virusid=73406 http://www.viruslist.com/ru/viruses/encyclopedia?virusid=151648 по описанию действий больше похож на последний, но действует скорее как второй. я думаю возможно в данном случае я имею дело с конструктором. конечно я могу ошибаться но не обессуйте. вот собственно и сама просьба: не могли бы вы подсказать мне адрес перехода на код вируса в зараженном приложении и ключи автозагрузки? ну и еще как можно написать утилку которая рекурсивно перебирает зараженные файлики на харде в поисках вира и занопливает джампы на его код? )) ссылка на файл с вирусом (зараженный файл, сгенерированный файл, и Logo1_.exe) http://atomx.ru/5482220 (доступен до 2008-03-25, вес пол метра (извиняюсь что не нашел меньше))
я что ты написал не читал но может попробуй отослать в лабораторию к касперскому пусть он с ним чёнить сделает а потом обновлятся базы и всё будт ок (^^)
мдя, товарищ! если бы вы не поленились пройти по ссылке, то бы вы увидели что на viruslist стоят копирайты касперского! и вообще ставить антивирь, качество которого очень сомнительно, себе на комп я не спешу. к тому же, метод лечения там - это простое удаление ВСЕГО что не понравилось, а зараженного как я думаю, у меня не мало, от чего мне потом еще долго и тупо все придеться переставлять.
по твоему описанию, обы4ный Hllw-вирус. зарази им дефолтный калькулятор или блокнот винды и выкладывай сюда, поглядим и по возможности сделаем парсер-ле4илку, имея пару оригинальных файлов и заинфек4еных вирем можно сделать вывод об алго заражения и сделать реверс-алгоритм для ле4ения
Если есть описание на вирус лис и копирайты каспера то паставь касперского... А так сделай как сказал ProTeuS. Для определения от куда он грузится можно попробывать прогу AScontrol она показывает очень много мест авто загрузки и что от туда грузится.
Те важно самому разобраться на будущие в этой проблеме! Делай как сказал ProTeuS,впоследствии когда столкнёшся с нечьто подобным,будеш знать что делать,если конечьно разьберёшся на примерах,что те предоставит ProTeuS. А вообще делай бекап системы,или те файлы,что заражены не имеют аналогов?
ТС: выложите экзе блокнота/калькулятора зараженное. или же зараженное и с оригиналом. когда вам точно известно что это оригинал. *если этот вопрос вас еще волнует
блин, я непонимию, почему нельзя обойтись антивирусом? Тем же самым каспером. Почему бы и нет? А что тогда хорошего качества? Чем он тебе не нравится? полный бред.
Да он всем млин не нравится!И вы до сих пор всё надеетесь на антервери?А хорошего качества могут быть только руки!
2 proteus: сделаю это несколько попозже на vm (думаю через денек), так как я пока обхожусь тем что собрал все что заражено dr.web'ом в одну папку, отсеял все лишние оставив только exe и переправил все ep. 2 midas если мои слова бред, то как тогда он лечит? (думаю мне не приснилось наблюдать это у моего друга - он тупо удалял все что по его мнению было заражено этим же самым виром) 2 lamia бекап есть. уже научен горьким опытом. просто как я могу посмотреть вам в глаза если не справился с какойто мелко живностью и общаться с вами на форуме? xD ps а почему так долго тянули с ответом?
ну почему же? первые сутки я тут почти безвылазно сидел. а ответил мне только один человек и то поленившись прочесть то что я написал.
вот ссылочка на зараженный блокнот (100 кубов) http://atomx.ru/5544943 а вот сам вирус без примбамбасов (чуть меньше чем 40) http://atomx.ru/5545016
чистый Hllp - лечить его лёгко))) находишь конец вируса.. после него до конца файла идёт неизменённый файл))) в общем, лечилку могу написать как два пальца об асфальт...
нужно отрезать первые 33.949 байт у инфицированного файла, пофиксить заголовок, коли4есво секций етц. и самое важное - найти оригинальную (потертую вирем) то4ку входа, к которй должен быть переходник после отработки упаковщика виря. если будет время завтра мож гляну стаб и мож напишу генерился если будет актуально...
Зверь оказался ещё тупей.. Он не меняет точку входа у жертвы, он просто пишет жертву в конец, а себе ставит её первую иконку, т.о. размер виря может немного меняться (в зависимости от иконки).. короче проще всего всего делать так: 1) ищем все ехе 2) расшариваем их на предмет сигнатуры конца виря.. (она всегда одинакоавая..) 3)если находим.. копируем с текущей позиции весь оставшийся файл в буфер, далее обнуляем файл и пишем в новый файл содержимое буфера, 4)вот и всё лечение...
Скачал я твой блокнот и каспер его запалил как Worm.Win32/Viking.bb описание есть только для викинга а оно тут http://www.viruslist.com/ru/viruses/encyclopedia?virusid=73406 Тест заразил 9 файлов Касперский 7 с последними базами их выличил без проблем =) так что не надо говарить что антивирусы только удолять умеют. =)
Гы.. Невероятный тебе респект)).. Я уже начал писать антивирь)) Хорошо что ты остановил)) Но вообще каспер действительно умеет лечить делеко не все файловые вири.. такие тупые как этот конечно запросто, а вот что-то сложней (например вирусы моего генератора вирусов - GVDG), он предлагает удалить)) Так это не самое смешное.. Как-то я чисто в обучающих целях нашкрябал простенький вирус, руганью в адрес каспера "подбил" их добавить вирус в базы, как излечимый.. После этого я упаковал вирус UPX-ом, попробывал заразить и вылечить.. Вышло имено то чего я и ожидал.. каспер, канечно же определил вирус упаканый upx-ом, радостно предложил лечить)) (наивный албанец).. Благополучно сообщил мне что лечение прошло просто супер)) КОРОЧЕ КАСПЕР ОТРЕЗАЛ ОТ НЕСЧАСТНЫХ ЖЕРТВ ИЗ НАЧАЛА КУСОК РАЗМЕРОМ РАВНЫМ РАЗНИЦЕ МЕЖДУ НЕПАКАНЫМ И ПАКАНЫМ ВИРЁМ - ТЕМ САМЫМ СДЕЛАВ ФАЙЛЫ, ДАЖЕ ТЕОРЕТИЧЕСКИ НЕИЗЛЕЧИМЫМИ))) Вот такой вот каспер - злобный умнеГ))
