-
Junior Member
- Вес репутации
- 56
Вирус laumep.exe
15 февраля 2009 г (15.02.2009)
(Пишу здесь, т.к. не нашёл ничего по поиску в гугле.)
Обнаружил на компьютере вирус с названием laumep.exe
Обнаружил его касперский, выдал такую запись в логе:
Обнаружено: троянская программа Packed.Win32.Klone.bj
Путь: C:\Video\laumep.exe//PE_Patch.UPX//
Имя: UPX
Вирус тут же был убит. (удалён).
Начал делать просмотр файлов в папке C:\Windows\System32\
(боролся уже с другим вирусом).
И вдруг вижу два странных файла:
C:\WINDOWS\System32\autorun.i
C:\WINDOWS\System32\autorun.in
Никакой автозапуск в системной папке ни кому не нужен, подумал я. А сами расширения так и говорят "вирус здесь".
Привожу текстовое содержимое файлов.
Файл autorun.i
Код:
;pcjJVdlwnTjqIBvRqZLSMLBhr
;ptrwqykzFozlYdkNdtggLraYESylMWDZQJaVdAwIuPiDsvKzVounAViC
;egaqjWrCqzfwA
;pgQRHChaxmyEVjWnaNLqrnBdRLvDCHgihUIoEZbSFRsaKZprHrxtbsHpY
;kxOXcyWBsOAOtAoaUwNDbewoizgglhtuGSCfmSMwdDQKQeQYCWwkruNbUwA
[AutoRun]
open=laumep.exe
;uVVj
;45F27A231FB7BAE1D96C002D0846BEDA8E820EEDB727D2C7BFC81571
;pEmHhsEVButStKmRmeYLFDwLCHowKp
;iBZnGquyMlfLKRebpdwGMQyuMpAFWfJifQBRprYfzrwUW
;mCwXaEAvyjbSvbCSOEuAzshdTsLNHl
Icon=%system%\shell32.dll,7
UseAutoPlay=1
action=Open Drive
action= @laumep.exe
;mIdOpEWUvpjxfeCwPOxivzjwW
shell\open\Command=laumep.exe
;lrWJqyDVprprLScTtVoVQmAQPdvwZhsuTCHCLxdPgmKZRYFsWsvrUZdQgng
shell\open\Default=1
;MFHxtyRFBJnFKZohhHPoBXVhjxjeoOlKciijvQSqatRoRdnyMtXMJfPTAqZKtJ
shell\explore\Command=laumep.exe
;OEpCMLwlYEpMkrhnatIFBGmmbkyuad
Файл autorun.in
Код:
;BahZHIINfQuClomtwIegDjxguoyJcCsAXTGvibcssSvAditxUDgoZSLSHBBMMRgKtozzZXnedFKa
;CRgEFQoByswIcNISsPYWpwATHHOrrYNtSUGRgVCgUkCUzQS
;tODUmzqCWZTzvqEeeUuAUBilkgJsylZwovGCavcbxPVWihFgFhVRtuiSwrzsDVlRiGNlKRA
[AutoRun]
open=laumep.exe
;cNzulfxRGSvweydYvScbwdPapiJiSyTRRHrmKzPcGch
;Icon=%system%\shell32.dll,7
;ZJnondBodgsmfSoIMgeLCiNJwSqr
;45F27A231FB7BAE1D96C002D0846BEDA8E820EEDB727D2C7BFC81571
;HHNhYLYSlNTaBHbPDHnRgmVWMHPdZIXIWcYzPhYSgcNclaMlDxipsqYJBHRzDnhcEwuBblW
;vhuvhoYVowCncoWqbqkvVROhnLRiadSM
;vmittDkBamOgnNulyAVMYxEdaqZFVuXA
;zvtnBikBjxdObhplPFzMHxCxPlxseksZPuph
UseAutoPlay=1
;iZViFhrmnTlDVoK
;AqDPMiwiWQmapIDs
;VZmisupEDYKqvjRjWdZSNykrknnsmCZc
;OgnyEIPeIQwMdkuGx
;JCihZKVmwhggIpLqnxIrSxeuUfhA
action=Open Drive
;lcmPLPrGFFgaZEzuwNslZNChxHsuPwdfmtLNSrA
action= @laumep.exe
;bGSZaECdiffygYQOwundqwEFQVvExqMevXlXfnzJSbIOzNMiyaulYCLeyDiSkMlGROAuZ
shell\open\Command=laumep.exe
shell\open\Default=1
;mJGJDvGrnCJZhzxWEjqnlsxrTEgetKAjdVvhSaefZrvvmFarKkzlbOApkXXczKRQbcMO
;zAXlqQbojXOdCaepOGVuKLPjCrkCldQHkfcxshZErPtwVLlaNRhHwiU
;dJYeibiQpHHSeqZOiiAvmYOhhCDyHXxnZTsqKqNbYVkqlcPGgONA
;yXnPvblAAnYwGLwkIfmpJGnmjvCOvZeUbdwVAYZKLkZjvegjFks
;WvyIAapJRKFWtYEgGpngfZRpjdiTAOCGGnCRoKZGyljlIkqjZPclHljwogRhBYufdupODqNardZqKHYS
;isRYrKTTuTZnsjyTjtNYFpgwFYTfGhNdsTRXNfYKNLAHjuVYYZHqdhmVVTCMlSnwJETyoWAoDn
;ZnbotBkINVvluMfxYmMfiYsFJJnQrPANNylfcbLsLMszFex
;zWk
shell\explore\Command=laumep.exe
;vvyxMxkDCyhBcSZtMTUXVeiKjgdJWpEEelRjlHlZmxVhIJNWAJ
Расчитанная сумма MD5
Код:
d1984e24839a5e7b8309c2cdc697bf50 *autorun.i
3aca66b2530ae9499557a9f3d9182760 *autorun.in
Не могу сказать, на сколько полезно знать MD5, ведь текстовый файл может быть исправлен (программой).
Что вы можете сказать об этом вирусе и этих файлах?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Без карантина- это тыкать пальцем в небо.
Советую пройти лечение в разделе "Помогите". Но перед этим выполните правила http://virusinfo.info/showthread.php?t=1235
Добавлено через 2 минуты
Но я понял это как при открытии диска (или автозапуске с флешки) запускается этот экзешник.
Код:
[AutoRun]
open=laumep.exe
UseAutoPlay=1
action=Open Drive
action= @laumep.exe
shell\open\Command=laumep.exe
shell\open\Default=1
shell\explore\Command=laumep.exe
Последний раз редактировалось light59; 16.02.2009 в 17:42.
Причина: Добавлено
-
-
Это обычный авторан, скорее всего, с ворованием паролей. Прилетел с флешек.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-