http://www.uinc.ru
07.10.2004

Symantec предупреждает о появлении очередной модификации червя Mydoom. Вариант Mydoom.AD распространяется по электронной почте в виде вложений с различными именами, через популярные файлообменные сети, а также через каналы IRC. После проникновения на компьютер-жертву вредоносная программа регистрируется в ключе автозапуска системного реестра, завершает ряд процессов, связанных со службами безопасности, и пытается запретить доступ к сайтам антивирусных компаний. Далее червь осуществляет сканирование жестких дисков в поисках адресов электронной почты, по которым затем отправляются копии вредоносного кода. При организации массовых рассылок Mydoom.AD применяет встроенный SMTP-сервер.
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]

В сентябре появилось 8 новых разновидностей MyDoom, причем одна из разновидностей научилась распространятся через ICQ (http://www.viruslist.com/viruslist.html?id=145865731). В общем MyDoom штурмует новые высоты !!!

В сети обнаружен новый Beagle. В классификации лаборатории Касперского он получил название I-Worm.Bagle.as. В червя заложены BackDoor функции: при заражении он открывает 81 порт. Распространяется по почте и P2P сетям. Подробнее смотрите на http://www.viruslist.com/viruslist.html?id=145990369.

Сотрудники антивирусных компаний обнаружили очередную модификацию известного сетевого вируса MyDoom, в которой содержатся угрозы в адрес специализирующихся на компьютерной безопасности фирм F-Secure, Symantec, Trend Micro и McAfee, а также высмеивается автор "конкурирующего" вируса NetSky. Как сообщает CNET News, авторы запустили новый вирус в минувшие выходные. Он содержит стандартные средства для несанкционированного проникновения в системы семейства Windows и саморепликации. Эксперты ожидают в ближайшее время новой волны распространения вируса среди незащищенных компьютеров. Вирус содержит текстовое сообщение, где высмеивается ожидающий суда немецкий подросток Свен Яшан (Sven Jaschan), признавшийся в авторстве широко распространившихся вирусов Sasser и NetSky, обладающих функциональностью, схожей с MyDoom. Авторы MyDoom (за информацию об их местонахождении обещана награда в 250 тысяч долларов) заявляют, что после поимки Яшана они "выиграли вирусную войну" и теперь намерены "атаковать" антивирусные компании и продолжать свою вредоносную деятельность. Вместе с тем, специалисты компаний отмечают, что не понимают, каким именно образом их собираются атаковать. В теле вируса не обнаружено каких-либо специальных средств для этого, остается лишь возможность организованной DDOS-атаки на серверы упомянутых фирм, однако компании такого профиля обычно хорошо подготовлены к таким инцидентам.
unic.ru (http://unic.ru)

Сотрудники компании Trend Micro зафиксировали появление в интернете новой вредоносной программы, получившей название Wootbot. Этот червь заражает компьютеры через дыру в локальной подсистеме аутентификации пользователей операционных систем Windows (LSASS).

После проникновения на машину вирус создает на жестком диске свою копию с именем Serviced.exe и регистрируется в реестре с целью обеспечения собственного автозапуска при старте ОС. Кроме того, червь пытается украсть регистрационные ключи к популярным компьютерным играм, таким как Command and Conquer: Generals: Zero Hour, Need For Speed: Underground, Unreal Tournament 2004 и Shogun: Total War: Warlord Edition.
http://compulenta.ru/

Компания Panda Software предупреждает о появлении в интернете новой вредоносной программы Swash. Этот червь распространяется по электронной почте в виде файлов-вложений с различными именами и расширениями ZIP, EXE или SCR, а также через популярные пиринговые сети, в том числе KaZaA, eDonkey, iMesh и LimeWire. После запуска вирус создает в системной директории Windows свою копию с именем Lsasrv.exe и регистрирует данный файл в ключе автоматического запуска реестра. Далее вредоносная программа пытается завершить процессы, связанные со службами безопасности, и, кроме того, закрывает доступ к веб-сайтам производителей антивирусов.
Подробное описание червя Swash можно найти http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?lst=det&idvirus=53716
security.compulenta.ru/2004/10/28/51343/

Появилась новая версия червя Sober, Sober.i

Появилась новая версия червя Sober, Sober.i

Да, его поймали авторы "ВирусБлокАда" - вероятно, дело закончится эпидемией. Сам вирус имеет размер 56808 байт, сжат UPX, распакованный размер 87161. При запуске прописывает себя на автозапуск через ключик Run в реестре.
Вирус написан на VBA. Работает только при наличие MSVBVM60.DLL на поражаемом ПК (в Win98 его по умолчанию нет). В момент первого запуска вирус создает в папке System32 два файла с именами, которые явно генерируются по некоему списку/алгоритму Один из созданных в System32 файлов запускается с ключом - %srun%.

Набирает обороты эпидемия Zafi.D (http://www.viruslist.com/viruslist.html?id=146428586). Червь распространяет себя по электронной почте, а также через файлообменные сети.

Как сообщает www.theregister.co.uk (http://www.theregister.co.uk/2005/01/17/mydoom_returns/) в менувшие выходные, после трехмесячного перерыва, была зафиксирована рассылка новой версии MyDoom. В письме сообщается, что в приложенном файле находятся пароли к "клубничным" сайтам, на деле же оказывается, что вместо паролей вы получаете MyDoom-AI, который отключает некоторые антивирусы и firewall и зомбирует компьютер. Рассылка не отличалась большим размахом, однако появление новых мадификаций старого "друга" не предвещает ничего хорошего.

Новый "червь" атакует через MSN Messenger
Компании F-Secure и Symantec, которые занимаются разработкой антивирусных программ, сообщили сегодня об обнаружении нового "червя", который атакует пользователей интернет-пейджера MSN Messenger.

Новый Brobia.A написан с использованием исходного кода вируса Rbot, который можно применить, например, для атаки с целью сбора системной информации, чтения нажатий клавиш и распространения спама.

После поражения компьютера "червем" система перестает реагировать на нажатия правой кнопки мыши.

Программа копирует себя в корень диска С под одним из следующих имен: drunk_lol.pif, webcam_004.pif и других. А затем пытается переслать созданный файл при помощи MSN Messenger всем активным пользователям в списке контактов. Для успешного распространения на пораженном компьютере должно быть открыто окно MSN Messenger.

gazeta.ru

Свежачёк, набирает обороты, таким темпом часа через 3 станет хитом недели.

This is a report processed by VirusTotal on 09/13/2005 at 07:52:21 (CET) after scanning the file "newprice.zip" file.

Antivirus Version Update Result
AntiVir 6.31.1.0 09.12.2005 DR/Bagle.P
Avast 4.6.695.0 09.12.2005 Win32:Mitglieder-BK
AVG 718 09.12.2005 I-Worm/Bagle.gen
Avira 6.31.1.0 09.12.2005 DR/Bagle.P
BitDefender 7.0 09.02.2005 no virus found
CAT-QuickHeal 8.00 09.12.2005 no virus found
ClamAV devel-20050725 09.13.2005 Worm.Bagle.BB-gen
DrWeb 4.32b 09.13.2005 Win32.HLLM.Beagle.12288
eTrust-Iris 7.1.194.0 09.13.2005 no virus found
eTrust-Vet 11.9.1.0 09.12.2005 no virus found
Fortinet 2.41.0.0 09.07.2005 suspicious
F-Prot 3.16c 09.13.2005 security risk named W32/Mitglieder.FB
Ikarus 0.2.59.0 09.12.2005 no virus found
Kaspersky 4.0.2.24 09.13.2005 Email-Worm.Win32.Bagle.ct
McAfee 4579 09.12.2005 no virus found
NOD32v2 1.1214 09.12.2005 no virus found
Norman 5.70.10 09.12.2005 no virus found
Panda 8.02.00 09.12.2005 W32/Bagle.EK.worm
Sophos 3.97.0 09.13.2005 Troj/Dropper-BD
Symantec 8.0 09.13.2005 Trojan.Tooso.N
TheHacker 5.8.2.105 09.12.2005 W32/Bagle.cs
VBA32 3.10.4 09.12.2005 no virus found

Предыдущая модификация (заловлен вчера вечером):
Antivirus Version Update Result
AntiVir 6.31.1.0 09.13.2005 DR/Bagle.P
Avast 4.6.695.0 09.12.2005 Win32:Mitglieder-BK
AVG 718 09.12.2005 no virus found
Avira 6.31.1.0 09.13.2005 no virus found
BitDefender 7.0 09.02.2005 no virus found
CAT-QuickHeal 8.00 09.12.2005 no virus found
ClamAV devel-20050725 09.13.2005 Worm.Bagle.BB-gen
DrWeb 4.32b 09.13.2005 Win32.HLLM.Beagle.12288
eTrust-Iris 7.1.194.0 09.13.2005 no virus found
eTrust-Vet 11.9.1.0 09.13.2005 Win32.Glieder.BG!ZIP
Fortinet 2.41.0.0 09.07.2005 suspicious
F-Prot 3.16c 09.13.2005 security risk named W32/Mitglieder.FB
Ikarus 0.2.59.0 09.12.2005 no virus found
Kaspersky 4.0.2.24 09.13.2005 Email-Worm.Win32.Bagle.cs
McAfee 4579 09.12.2005 no virus found
NOD32v2 1.1214 09.12.2005 Win32/Bagle.BI
Norman 5.70.10 09.12.2005 W32/Bagle.CS
Panda 8.02.00 09.12.2005 W32/Bagle.EK.worm
Sophos 3.97.0 09.13.2005 Troj/Dropper-BC
Symantec 8.0 09.13.2005 no virus found
TheHacker 5.8.2.105 09.12.2005 no virus found
VBA32 3.10.4 09.12.2005 no virus found

W32.Iberio
обнаружен 16 сентября.
Тип: червь.
Длина кода: 6 кб.
Уязвимые системы: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP.

Технические детали:
Добавляет значение "MSPRO32" = "[PATH TO WORM FILE]" в реестр
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun

Загружает файлы:
VfProtect.exe с [http://]strtt.interfree.it/[REMOVED]/VfProtect.exe
Hiberium.rar с [http://]strtt.interfree.it/[REMOVED]/Hiberium.rar
VfProtect2.exe с [http://]utenti.lycos.it/[REMOVED]/VfProtect2.exe
Hiberium2.rar с [http://]utenti.lycos.it/[REMOVED]/Hiberium2.rar

Выполняет VfProtect.exe и VfProtect2.exe, которые распознаются как Keylogger.Trojan.
Червь эксплуатирует уязвимость Microsoft Windows Plug and Play Buffer Overflow Vulnerability (Microsoft Security Bulletin MS05-039).

Распространяется по случайным ip адресам, избегая:
0.*.*.*
10.*.*.*
127.*.*.*
224.*.*.* through 255.*.*.*
172.16.*.* through 172.31.*.*
192.168.*.*

Пришло письмо. Зверь не свежий - Worm.Win32.Eyeveg.l, его даже Dr.Web 4.31b с базами двухмесячной давности знает. Но письмо не ловится, поскольку в нём только ссылка - хттп://africaplc.com/readme.zip
Осторожно, ссылка живая!

P.S. Пока отвлекался, нарисовалось ещё одно, с похожей ссылкой. Этот africaplc.com, видимо, гнездо для зверья.

Вот еще зеркала africaplc.com:
www.neptuncaffe.com scheduleconsult.com www.sismodular.com.

Complete scanning result of "_sv__1089", received in VirusTotal at 08.08.2006, 09:43:13 (CET).

Antivirus Version Update Result
AntiVir 6.35.1.0 08.08.2006 HEUR/Crypted.Modified
Authentium 4.93.8 08.08.2006 no virus found
Avast 4.7.844.0 08.04.2006 no virus found
AVG 386 08.07.2006 no virus found
BitDefender 7.2 08.08.2006 no virus found
CAT-QuickHeal 8.00 08.07.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 08.08.2006 no virus found
DrWeb 4.33 08.08.2006 Trojan.PWS.LDPinch.1026
eTrust-InoculateIT 23.72.89 08.08.2006 no virus found
eTrust-Vet 12.6.2329 08.08.2006 no virus found
Ewido 4.0 08.07.2006 no virus found
Fortinet 2.77.0.0 08.08.2006 suspicious
F-Prot 3.16f 08.06.2006 no virus found
F-Prot4 4.2.1.29 08.06.2006 no virus found
Ikarus 0.2.65.0 08.08.2006 no virus found
Kaspersky 4.0.2.24 08.08.2006 no virus found
McAfee 4823 08.07.2006 no virus found
Microsoft 1.1508 08.04.2006 no virus found
NOD32v2 1.1696 08.07.2006 a variant of Win32/PSW.LdPinch
Norman 5.90.23 08.07.2006 no virus found
Panda 9.0.0.4 08.07.2006 Suspicious file
Sophos 4.08.0 08.07.2006 no virus found
Symantec 8.0 08.08.2006 no virus found
TheHacker 5.9.8.187 08.07.2006 no virus found
UNA 1.83 08.07.2006 no virus found
VBA32 3.11.0 08.07.2006 suspected of Trojan-PSW.PdPinch.1
VirusBuster 4.3.7:9 08.07.2006 no virus found

Aditional Information
File size: 20930 bytes
MD5: 682e61d78500b5308b7977ef6e3ed9ce
SHA1: 35ec558f16c35fd726f38c93a59688b961d4a921
packers: FSG
-------------
ОБЫДНО ЗА НОД. На антивирусной базе сборки 1.1694 сканер не распознал вирус, прописанный в автозагрузку, и только на версии 1.1696 распознал как вариант LdPinch.

Есть Trojan program Trojan.Win32.Agent.py
и Worm.Win32.Rahak.a в живом виде.
Идут в комплекте.
VirusTotal не определяет.
Вольготно чуствует себя в провайдерских подсетках.

Есть Trojan program Trojan.Win32.Agent.py
и Worm.Win32.Rahak.a в живом виде.
Идут в комплекте.
VirusTotal не определяет.

ну если ни один антивирус на VirusTotal не определяет, то откуда же вам известны их имена? :-)

ну если ни один антивирус на VirusTotal не определяет, то откуда же вам известны их имена? :-)
Каспер их видит Ж) с последними базами. Больше ничем не проверял...

Каспер их видит Ж) с последними базами. Больше ничем не проверял...
ну а зачем тогда дезинформацию писать?

Есть Trojan program Trojan.Win32.Agent.py
и Worm.Win32.Rahak.a в живом виде.
Идут в комплекте.
VirusTotal не определяет.
Вольготно чуствует себя в провайдерских подсетках.

Как же так?:? VirusTotal не определяет, а Вы пишете их название. Значит все же определяет!:P

ну а зачем тогда дезинформацию писать?
где здесь дезинформация прошу прощенья
каспер ясно определил и назвал, а то что VirusTotal не определяет так это ахтунг для тех кто им пользуется.
Сомневающимся могу живых выслать.
Добавлю еще: каспер 6 с последними базами - оказался единственный из тех что под руками были, кто видит их вообще; пока по крайней мере...
Каспер 5 с немножко прокисшими (2-3 недели) базами - пропустил, NOD32, DRWEB тоже.

где здесь дезинформация прошу прощенья
каспер ясно определил и назвал, а то что VirusTotal не определяет так это ахтунг для тех кто им пользуется.

VirusTotal - это сайт, который проверяет присланный файл почти тремя десятками антивирусов. Касперский среди этих антивирусов тоже присутствует. Если Касперский детектирует - значит на VirusTotal файлы тоже будут названы троянцами/вирусами.



Сомневающимся могу живых выслать.

ждем. закачивайте через форму тут: https://virusinfo.info/upload_virus.php
указав в поле "Ссылка на тему" ссылку на эту тему.

ждем. закачивайте через форму тут: https://virusinfo.info/upload_virus.php
указав в поле "Ссылка на тему" ссылку на эту тему.
Указав ее (ссылку), в таком виде - http://virusinfo.info/showthread.php?t=1339

Результат загрузки
Файл сохранён как VIR_44edd5c31afde.rar
Размер файла 96835
MD5 9c94fcae87ead619a81042335c80519f
Пароль на архив - VIRUS

Срочно внесите его в свою базу! авз не находит его!

так пришлите его автору

Неоднократно получал по почте ссылку на инсталлятор "бесплатного" IE7. Достали, решил скачать. Развитие современных алгоритмов сжатия приятно поразило. :) Осел поместился в 200 с небольшим килобайт. :) Понятно - троян. Решил попробовать выпотрошить. Инсталлятор копирует себя во временную папку, затем "рожает" там же 1.ехе, запускает его.
Глубоко ковырять побоялся. Но это что-то не новое, т.к. Аутпост орал на файл диким голосом.
Да, кстати, письмо со ссылкой приходит от admin[at]windows.com. :)
Если заинтересует кого - могу прислать, но боюсь, что это не ново.

... Решил попробовать выпотрошить. ..

А не боитесь стать клиентом темы "Помогите" ? ;)

отсылайте антивирусным компаниям..

А не боитесь стать клиентом темы "Помогите" ? ;)
Нет, не боюсь. :) Трояна бояться - в инет не ходить. Если серьезно, то есть небольшой опыт. Ну будет больше... :)

отсылайте антивирусным компаниям..
Сомневаюсь, что это им нужно. :(

что значить сомневаетесь что это им нужно, нужно ещё как, а то будет бродить по сети нехороший вирус..
как вариант можно проверить сначало на
http://virusscan.jotti.org/
http://www.virustotal.com/en/indexf.html

На вирусскане джотти определился вирус.
File: IE7_Setup.exe
Status:
INFECTED/MALWARE
MD5 acdfc6fa29db443f136579875d99ebff
Packers detected:
FSG
Scanner results
Scan taken on 22 Jan 2007 12:16:08 (GMT)
AntiVir
Found DR/Delphi.Gen dropper
Avast
Found Win32:Joiner-H
BitDefender
Found Dropped:Trojan.Downloader.Zlob.BKE
Dr.Web
Found MULDROP.Trojan, Trojan.Spambot, Trojan.MulDrop.4525 (probable variant)
F-Secure Anti-Virus
Found Trojan-Spy.Win32.Goldun.nq
Fortinet
Found Spy/Goldun
Kaspersky Anti-Virus
Found Trojan-Spy.Win32.Goldun.nq
Остальные ничего не нашли.

То есть антивирусные фирмы его давно знают. :( Скажут - еще один проснулся... :) Касперский знает, Доктор Веб знает. А еще кому?...

Остальные ничего не нашли.

Вот и надо остальным выслать.


То есть антивирусные фирмы его давно знают.
Как видно не все, не противоречьте сами себе. ;)


Скажут - еще один проснулся... :)
Не скажут. А если где и встретится "скучающий дурачок", то вам с ним детей не крестить.


Касперский знает, Доктор Веб знает. А еще кому?...
Отправляйте на [email protected] в zip-архиве с паролем "infected", получат многие антивирусы мира.

Ну ладно вам, устыдили... Выслал по указанному адресу.

прошу прощения. не разбераю сь я сильно в компах. но у меня авира находит зверюшку BDS/Hupigon.Gen. И оно уже давно у меня. Удаляю его но оно опять приходит. Последний раз нашёл его в папке ....\Temp\avz_2859rav.tmp может это и не зверь...помогите! Ща оно в карантиен у меня. Устал его удалять))

прошу прощения. не разбераю сь я сильно в компах. но у меня авира находит зверюшку BDS/Hupigon.Gen. И оно уже давно у меня. Удаляю его но оно опять приходит. Последний раз нашёл его в папке ....\Temp\avz_2859rav.tmp может это и не зверь...помогите! Ща оно в карантиен у меня. Устал его удалять))
http://virusinfo.info/showthread.php?t=1235

DR/Delphi.Gen Это вирус? И если да, то что делать?

Регистрироваться, и идти сюда - http://virusinfo.info/forumdisplay.php?f=46

А я вот на нашем местном форуме сегодня модифицированный Win32/Stration.XJ выловил,один из участников жаловался на проблеммы с аськой и выложил адрес с которого ему предложили скачать файл.Я его скачал в сотовый а когда пытался перекинуть на компьютер он был тут же убит Нодом.

вот рассылочка пришла с такими вложениями
Update-KB3796-x86 (1).zip\Update-KB3796-x86.exe infected with Win32.HLLM.Limar
Update-KB4125-x86.zip\Update-KB4125-x86.exe infected with Win32.HLLM.Limar
DRWEB их опознал, только с обновой за вторник

Получил по E-mail сообщение:
Hi. Friend has sent you a postcard.
See your card as often as you wish during the next 15 days.
SEEING YOUR CARD
If your email software creates links to Web pages, click on your
card's direct www address below while you are connected to the Internet:
http://72.47.115.34/?911e6c36a4bc955099675c50080d0
Or copy and paste it into your browser's "Location" box (where Internet
addresses go).
We hope you enjoy your awesome card.
Wishing you the best,
Postmaster,
2000greetings.com
Прошел по ссылке ... и поймал в конце концов вирус W32/Nurech.AN.worm, причем Panda Titanium уго сразу не опознал. (Послал подозрительный файл в Panda SOS, через день получил ответ:
The file C:\Downloads\I?ia?aiiu\ecard.exe belongs to the worm W32/Nurech.AN.worm, due to the nature of the file, it can
only be deleted.
Ссылки:
Visit our web page with information about the malware:
http://www.pandasoftware.com/com/virus_info/encyclopedia/overview.aspx?idvirus=168512
Follow the instructions on how to eliminate the malware:
http://www.pandasoftware.com/com/virus_info/encyclopedia/overview.aspx?lst=sol&idvirus=168512
!!! Письмо в Панду отправил 17.07.2007, первое обнаружение 18.07.2007, похоже, из моего подозрительного файла, и лекарства в Panda от него пока нет, рекомендуют TruPrevent Technologies.

Поломали сайт знакомого книготорговца :(
Причём автоматически.
И взломал сайт именно вирус. Я уже с таким сталкивался -
http://www.virustotal.com/ru/resultado.html?27fabf812fec99bafd37c3e8cc68f284
- вариант Pinch, вирус сам выискивает на компьютере имена и пароли к FTP.
http://www.cwsandbox.org/?page=details&id=17811&password=yastj
И отдаёт их своей системе изменения страниц - http://prostreet.info/gate/gate.php. А там уже и производится изменение всех страничек сайта. Скорее всего, сломанна именно индексная первая страница, остальное они вроде не трогали до последнего времени..

MedvedD
вы хотя бы бред не пишите а то людей напугаете
пинчег сам по себе никакие сайты не ломает а просто пароли тырит
а это http://prostreet.info/gate/gate.php то через чего он их хозяину отсылает

[500mhz], я бред не пишу.
"отдаёт их своей системе изменения страниц".

уважаемый!
вы видели код гейта от пинча?
вы знаете принцип работы пинча? (варианты отправки данных)

Зараженная страница
http://www.floranimal.ru/pages/animal/m/64.html

Зараженная страница
hxxp://www.floranimal.ru/pages/animal/m/64.html
Файл 64.html получен 2007.11.17 12:31:12 (CET)
Антивирус Версия Обновление Результат
DrWeb 4.44.0.09170 2007.11.17 Worm.Sifiliz
Sophos 4.23.0 2007.11.17 Mal/ObfJS-R

Дополнительная информация
File size: 24347 bytes
MD5: 1fdfc99a21b89a9270512762615c504b
SHA1: c9ab1776ad8bbf5e3402b8184d5baf030c24dada

Вопрос, наверно, к DVi :
Ikarus T3.1.1.12 2007.11.18 Trojan-Downloader.JS.Remora.ao
Kaspersky 7.0.0.125 2007.11.18 Trojan-Downloader.JS.Remora.ao

И это уже давно, воруют сигнатуры ? :)
Поскольку вчера этого небыло, были только дрвэб и софос

Да, Икарус ворует сигнатуры. Давно. И все свои детекты называет по классификации ЛК.

Да, Икарус ворует сигнатуры. Пока воск на крыльях не растает, сможет держаться в воздухе... ))) Paul

Да, Икарус ворует сигнатуры. Давно.
А если их програмные модули добавить в базы Касперского как троян, Ikarus сам себя удалит? ;)

Вероятность есть :)
Т.к. похоже, что Икарус добавляет в свои базы вообще все, на что пискнул хоть один антивирус из вирустотала.

делаем акцию по самоликвидации икаруса ))

хотелось бы знать, каким образом происходит переадресация с поддомена mail.ru на заражённую фишинговую страничку?
Вот адрес :http:r.mail.ru/cln1234/www.porcunadebenito.com/download/flash//index.html

Просто форвард. Напишите после :http:r.mail.ru/cln1234/ любой адрес без http, хотя бы так: :http:r.mail.ru/cln1234/virusinfo.info/

Очередной пинчег, удивляюсь как много народу на такое ведутся =))

r.mail.ru/cln1234/indiasoftwareworld.com/download/flash/index.html - предыдущая версия.

OMFG, они пишут на делпхи, этот мир скоро будет в аду =))

Очередной пинчег, удивляюсь как много народу на такое ведутся =))

r.mail.ru/cln1234/indiasoftwareworld.com/download/flash/index.html - предыдущая версия.

OMFG, они пишут на делпхи, этот мир скоро будет в аду =))

ну а чего? Свежий Outpost 2008 молчит как рыба под лед
Конечно ведутся..

В смысле при запуске пинчега ?
Я пробовал запускать, сначала каспер орёт что инвадер, потом что отсылка персональных данных, если всё это разрешать, то комод спрашивает разрешить ли выйти в инет svchost.exe =))

При проверке молчит.

Касперский их видит нормально.
У NOD32 и Outpost SS проблемы с Пинчами всю дорогу.

korova.ru/humor/cyborg.php - мне сказали что там зловред какой-то в activex, др.веб и аутпость орут.
Кто-нибудь может его вытащить оттуда ? У меня не получилось.

Добавлено через 11 минут

Сказали что др.веб тоже на что-то кричал, проверил через http://online.drweb.com/?url=1 - чисто.

Зловред называется Exploit.HTML.Agent.x (ЛК).

Если фрейм расшифровать, то увидим ссылку. Но в ней ничего вредоносного не видно ..
Только if(success){document.write('');}
else{document.write('');}

Antivirus Version Last Update Result
AhnLab-V3 2008.1.5.11 2008.01.05 -
AntiVir 7.6.0.46 2008.01.04 -
Authentium 4.93.8 2008.01.04 -
Avast 4.7.1098.0 2008.01.04 -
AVG 7.5.0.516 2008.01.05 -
BitDefender 7.2 2008.01.05 -
CAT-QuickHeal 9.00 2008.01.05 -
ClamAV 0.91.2 2008.01.05 -
DrWeb 4.44.0.09170 2008.01.05 -
eSafe 7.0.15.0 2008.01.03 -
eTrust-Vet 31.3.5432 2008.01.04 -
Ewido 4.0 2008.01.05 -
FileAdvisor 1 2008.01.05 -
Fortinet 3.14.0.0 2008.01.05 -
F-Prot 4.4.2.54 2008.01.04 -
F-Secure 6.70.13030.0 2008.01.04 Exploit.HTML.Agent.x
Ikarus T3.1.1.15 2008.01.05 -
Kaspersky 7.0.0.125 2008.01.05 Exploit.HTML.Agent.x
McAfee 5200 2008.01.04 -
Microsoft 1.3109 2008.01.05 -
NOD32v2 2766 2008.01.04 -
Norman 5.80.02 2008.01.04 -
Panda 9.0.0.4 2008.01.05 -
Prevx1 V2 2008.01.05 -
Rising 20.25.52.00 2008.01.05 -
Sophos 4.24.0 2008.01.05 -
Sunbelt 2.2.907.0 2008.01.05 -
Symantec 10 2008.01.05 -
TheHacker 6.2.9.180 2008.01.04 -
VBA32 3.12.2.5 2008.01.02 -
VirusBuster 4.3.26:9 2008.01.05 -
Webwasher-Gateway 6.6.2 2008.01.04 -
Additional information
File size: 1925 bytes
MD5: 87204bb9284a03b4efc3f377647ef0a0
SHA1: 54803e3e62267fbb22000dd86972eab44ad07ca5
PEiD: -

Ложняк ? =)

нет, все правильно.. спасибо Alexey P.

В общем разослал по вендорам, подождём реакции :)

Что разослали?

AhnLab-V3 2008.1.7.11 2008.01.07 -
AntiVir 7.6.0.46 2008.01.07 Exp/HTML.Agent.X.1
Authentium 4.93.8 2008.01.06 -
Avast 4.7.1098.0 2008.01.06 -
AVG 7.5.0.516 2008.01.07 -
BitDefender 7.2 2008.01.07 -
CAT-QuickHeal 9.00 2008.01.05 -
ClamAV 0.91.2 2008.01.07 -
DrWeb 4.44.0.09170 2008.01.07 -
eSafe 7.0.15.0 2008.01.06 -
eTrust-Vet 31.3.5438 2008.01.07 -
Ewido 4.0 2008.01.06 -
FileAdvisor 1 2008.01.07 -
Fortinet 3.14.0.0 2008.01.06 -
F-Prot 4.4.2.54 2008.01.06 -
F-Secure 6.70.13030.0 2008.01.07 Exploit.HTML.Agent.x
Ikarus T3.1.1.15 2008.01.07 Exploit.HTML.Agent.x
Kaspersky 7.0.0.125 2008.01.07 Exploit.HTML.Agent.x
McAfee 5200 2008.01.04 -
Microsoft 1.3109 2008.01.07 -
NOD32v2 2769 2008.01.07 -
Norman 5.80.02 2008.01.04 -
Panda 9.0.0.4 2008.01.07 -
Prevx1 V2 2008.01.07 -
Rising 20.26.02.00 2008.01.07 -
Sophos 4.24.0 2008.01.07 -
Sunbelt 2.2.907.0 2008.01.05 -
Symantec 10 2008.01.07 -
TheHacker 6.2.9.183 2008.01.07 -
VBA32 3.12.2.5 2008.01.06 -
VirusBuster 4.3.26:9 2008.01.06 -
Webwasher-Gateway 6.6.2 2008.01.07 BlockReason.0

Медленно как-то реагируют :)

Медленно как-то реагируют :)
Ну, у нас праздники еще не кончились, но у них-то что? :wink_3:

Медленно как-то реагируют :)На *.html зарубежные вендоры почти ни как не реагируют. Например вир. лаб авиры такое даже не рассматривает.

Авира как раз рассматривает, php, js, html - всё что я посылал добавляют.

AntiVir 7.6.0.46 2008.01.07 Exp/HTML.Agent.X.1

VBS.Packform - Это вирус?
Сайт вскрыли похоже и он предлагал установить: ANTIVIRUSPROINSTALLER.EXE
Скачал, кликнул... Он только обои поменял и исчез!
По названию поиском выловил файл и удалил.
Название мои форумчане узнали от DrWeb при входе на сайт.
Теперь не пойму, что делать...
NOD32 и Outpost Firewall Pro 2008 ничего не видят!

Вам сюда (http://helpme.virusinfo.info/).

Всем привет!
я -ЧАЙНИК! у меня вирус Win32.banwarum.o, не могу найти как его удалить! стоит windows XP. нашла у касперского только описание модификатора Win32.banwarum.a. что делать? как его удалить????

Natalka, вам надо в раздел Помогите.
Правила для обращения туда тут:
http://helpme.virusinfo.info/

спасибо)

Здравствуйте!

Хочу поблагодарить Ваш сайт за то, что он есть ) Только благодаря ему я сумел победить какой-то новый штам Bagle, который я подцепил запуская кряку к Painter IX.5. NOD не только промолчал, но и благополучно сдох. Развитие сюжета схоже с http://virusinfo.info/showthread.php?t=17027&highlight=Bagle. Только он у меня еще и IceSword не давал запустить, и CureIT. "Танцы-бубны" помогли ) Очень много почерпнул из тредов этого форума.

Судя по сообщениям об этом вирусе, все датируются январем этого года (не только на этом форуме). Это что полный свежак? Вот мне свезло-то )
И судя по всему, его запуску такими дураками как я, не противостоит ни один антивирус? Или уже научили? Лучше бы научили, уж больно он изворотливый )

Worm.Win32.AutoRun.cuw - ужасная весч, не один AV не помогает. AVZ тухнет .
Win32.HLLW.MyBot так Dr.Web его обзывает

Worm.Win32.AutoRun.cuw - ужасная весч, не один AV не помогает. AVZ тухнет .
Win32.HLLW.MyBot так Dr.Web его обзывает
Вы ничего не путаете? Странная комбинация имён...

В полне нормально, ведь просмотрев червя в иде хорошо видно что там и бэкдор сидит

Сегодня после обновления KIS компьютеры на работе и дома заверещали и нашли вот это:
вирус Worm.Win32.Dianyz.b Файл: C:\WINDOWS\system32\notepad.exe
Винда установлена была Zver (знаете, конечно) - там стандартный нотепад был заменен, а теперь в нем вирус...
Хотелось бы прислать файлик Вам для диагностики.
если не туда запостил - извините. Модераторы переместят, я думаю, куда нужно.
Заранее благодарен за ответ!

Вам сюда http://virusinfo.info/forumdisplay.php?f=46

Иногда находится Майкрософтом как

TrojanDownloader:Win32/Renos.gen!AH

Больше ничто его не видит.

Как правило появляется на компьютере вследствии загрузки псевдо-кодека из порно-сайта.
Кодек имеет имя вида "sysa***.exe".

После запуска для установки показывается сообщение "Operation system not supported".
При этом в папку %WinDIR% копируются пять файлов с назвами вида "sysa**********.exe". Два из них имеют иконку щита с изображением лого ХР. (Как во время обновления Винды). Плюс все эти файлы запускаются и записываются в реестр на автозапуск текущего пользователя. (...\Run)
Через примерно 10 минут выскакивает сообщение в правом нижнем углу экрана над иконкой обновления ОС типа "на вашем компьютере обнаружено шпионское ПО. Кликните на это сообщение чтобы установить необходимые обновления". После клика программа заходит на сайт откуда можно скачать PC Protector - чет типа АВЗ (не имеет никакого отношения к Майрософту). Если не зайти на сайт а кликнуть по крестику вверху сообщения, то Оно исчезает и через 10 сек. появляется опять.

Кроме того заменяет фон рабочего стола на синий экран с надписью "все ваши действия могут быть увидены другими" (примерный перевод) и еще много текста.

Мне приятель прислал по аське ссылку на "прикольный клип", скачанный с сайта Fishki Net,
:http:www.gbhltd.com/img/editor/top/
Там можно скачать этот файл (осторожно, может быть вирус!)

В архиве файл с расширением .scr (вроде как программа-заставка), но он у меня не запукается (то есть по дабл-клику указатель мыши превращается в указатель занятости системы на пару секунд, и больше ничего не происходит), что вызвало подозрения. Проверка на вирустотале дала положительный или сомнительный результат от несколькиз антивирей, но многие самые авторитетные антивири (дрвеб, касперыч, НОД, БД) промолчали. Как еще проверить, что это было? Может, мне уже надо комп лечить? Прошу прощения, если не в ту тему пишу.

Кстати, ситуация осложнилась тем, что этот приятель сообщил, что он ничего никому не посылал, а теперь ему сыпятся по аське претензии о том, что, якобы, он присылал им ссылки (похоже ,либо кто-то в его компе сидит, либо аську его увел).

Мне приятель прислал по аське ссылку на "прикольный клип", скачанный с сайта Fishki Net,
http://www.gbhltd.com/img/editor/top/
Там можно скачать этот файл, прямая ссылка на файл (осторожно, может быть вирус!)

Очень странный файл... :O

Очень странный файл... :O
Спросил у других приятелей, которым приходило это сообщение - некоторые пытались запускать - запуск также не удался. У одного ругнулся 3-й NOD у меня блин второй =(

Да и сайт-то это не фишковский, а поддельный.
Некоторые уже попались по тому же сценарию, об этом написано вот тут
http://forum.sources.ru/index.php?showtopic=230224

Похоже, мне придется в помогите обращаться =(

Очень странный файл...
AVZ сигнатурно детектирует: PSW.Ldpinch.11.BM
http://www.virustotal.com/ru/analisis/0a49616adc6214b36f259cecb66d1b06
Так что, всем, кто запускал советую поменять все пароли, используя чистый компьютер и не пользоваться зараженным пока не выличите.

AVZ сигнатурно детектирует: PSW.Ldpinch.11.BM
http://www.virustotal.com/ru/analisis/0a49616adc6214b36f259cecb66d1b06

Хотя Nod32 на virustotal не реагирует, на компьютере выдаёт - Win32/Statik

Paul

А если фаер все это время в режиме блокировки стоял - не страшно?

Касперский с последним обновлением находит Trojan-PSW.Win32.LdPinch.sez

Блин, установил новую версию НОДа (третью), проверил ею файл - результат нулевой - как он у вас чето видит в этом файле? Как может один и тот же антивирь у одних видеть, а у других - нет? o_O

Блин, установил новую версию НОДа (третью), проверил ею файл - результат нулевой - как он у вас чето видит в этом файле? Как может один и тот же антивирь у одних видеть, а у других - нет? o_O
Настройки?

Все, что нашел, поставил на максимум ,мог конечно и пропустить что-нибудь, так как эту версию только что поставил. Может, руткиты? Но, по идее, НОД и антируткит тоже. Ниче не пойму.

Может версии на серваке разные в разное время лежали?

А если фаер все это время в режиме блокировки стоял - не страшно?
Нет. Только если модуль HIPS в файрволе ловил бы процесс или подозрительный .exe, то тогда он его остановил бы (Комодо это умеет без сигнатур). Но Пинч для файрвола законная часть того, что вы скачаете через разрешённый (не дай Бог ещё 'доверенный') браузер...

Paul

Может версии на серваке разные в разное время лежали?

Может, однако, онлайн-сканнер файлов на сайте Касперского показывает, что именно мой файл заражен, онлайн-сканнер дрВеба пишет ОК. Самое фиговое, что сам-то файл я удалю, а где он чего напакостил - это пока непонятно, так как антивирь ниче не определяет. Наверное, еще AdAware проверю.

Видимо, придется мне в "помогите" все же обращаться.:(

Сегодня в 19:02 архив BestMarch.zip был обновлен. В настоящее время Каспер его не детектирует, но будет со следующего обновления как
Trojan-PSW.Win32.LdPinch.sfb
Возможно, из-за обновления трояна, его и не детектит NOD32. И вообще, если они будут обновлять свой пинчик каждые два часа, то антивирусы просто не успеют со своими сигнатурами...

а где он чего напакостил - это пока непонятно, так как антивирь ниче не определяет.
Судя по LdPinch, он первым делом попытался стырить пароли.

Да уж, завтра придется обращаться за помощью, может, к тому времени поспеет что-нибудь. Удалить-то лезущие в инет множественные файлы TheBestMarch.scr я поудалял, но вот не инсталлировали ли они в систему каких-то еще файлов - вот это вопрос, который завтра мне придется решать (и просить помощи у вас). Сегодня а то поздновато уже.

Кстати, только что пришло еще одно обновление сигнатур НОДа - так и не ловит. Видать, на моем компе что-то мешает ему ловить эту заразу, если у Вас определяет. Файлик-то скачан днем был еще.

Размер такой большой потому, что после окончания программы в файл записано много-много нуликов. В оригинале файл занимает 64 кб.
ставь себе F-Secure либо Avira.
Они прекрасно все видят.

Архивчик снова обновили. Каспер, Доктор, Нод, Симантек и прочие известные не детектируют. AVG и Авире респект.
http://www.virustotal.com/analisis/1a4f3a6c79d6b9ee5229bef2f6788b80
Касперскому файл уже отправлен.

А он, похоже, обновлялся не один раз. Вчера в 19-30 был другой MD5
http://www.virustotal.com/ru/analisis/ffd78d64e6bbd8435c03bfa65f96fd79

А он, похоже, обновлялся не один раз. Вчера в 19-30 был другой MD5
http://www.virustotal.com/ru/analisis/ffd78d64e6bbd8435c03bfa65f96fd79
По классификации Касперского:
вчерашний дневной- Trojan-PSW.Win32.LdPinch.sez
вчерашний вечерний (обновлен в 19 часов)- Trojan-PSW.Win32.LdPinch.sfb
сегодняшний (обновлен в 12 часов)- Trojan-PSW.Win32.LdPinch.sfh (детектирование будет со следующего обновления Каспера)
И пока кто-нибудь не отошлет им в лабораторию новую версию, ловить не будет. А некоторые версии его предшественника (TheBestFebruary.zip) определялись тем же КАВом как Heur.Trojan.Generic.
Но пользователям KIS этот новый троян не страшен, т.к. при запуске появляется предупреждение сетевого экрана о попытке отправки данных и срабатывает защита конфиденциальных данных-ловит попытку Private Data Sending.

Но пользователям KIS этот новый троян не страшен, т.к. при запуске появляется предупреждение сетевого экрана о попытке отправки данных и срабатывает защита конфиденциальных данных-ловит попытку Private Data Sending.
Да ну? Так уж и не страшен?

Да ну? Так уж и не страшен?
Ну троян конечно ничего хорошего не сделает, если его запустить. Но если включен KIS, который отреагирует на запуск программы, и пользователь последует здравому смыслу и нажмет "Запретить", то ничего плохого не произойдет. Ведь понятно, что для видеоролика обращение к паролям и соединение с интернетом-весьма странное поведение.
А вот простой KAV этот пинч не словит, если в базах его еще нет. И это не радует. Авторы могут изменять свой троян чаще, чем касперовцы добавляют сигнатуры и выпускают обновления. А выявлять модификации пинча без баз, как делают некоторые антивирусы (тот же AVG вылавливал все вариации этого bestmarch сразу по единой сигнатуре), Каспер, к сожалению, не может.

Люди спасите помогите нубу.
пришло в аську такое сообщение

Привет, смотри :)
:http:aaario.eu/ru/top/
( :http:aaario.eu/ru/top/TheBestMarch.zip )
Классная вещь :-)

Ну я взял и клацнул, оно скачалось, запустил, эфекта ноль. Тут я и понял что наверное это что-то не хорошее. Поиск в гугле вывел на этот форум. Касперский не детектит эту заразу, скачал триальный AVG он тоже ничего не нашел только придрался к какомуто доисторическому краку и инсталах. Скачал триальный Avir он тоже ничего не нашел...
Что мне делать как действовать? Может так получиться что вирус не сработал и сканы не находят его потому что его нет?
Понимаю что вопрос скорее всего глупый, но если бы знал что делать то не спрашивал.

Уберите активные ссылки!Этот пинч самоуничтожается.

Т.е. не прягтись, все ок? Это у меня паранойя...
Я не понимаю что такое пинч((

Я не понимаю что такое пинч((
Вкратце, семейство троянов, которые воруют пароли (и не только)

Все плохо,в архиве есть заставка или видеоролик,но они не совсем обычные,в них вклеен пинч-троянская программа,которая ворует пароли,после запуска этих файлов он активируется,собирает все ваши пароли,отправляет их своему владельцу по средствам Email или ICQ а затем самоуничтожается,то есть искать его в системе безполезно.

Вот этого я и не хочу что бы у меня увели пароли. Что мне делать? Поменять их везде?

Да смените все пароли,как можно быстрее,другого решения здесь нет.

Спасибо. Будем надеяться что все обойдется)

Вышел новый червь, название пока не знаю.

Симптомы: зависает Internet Explorer, сетевой канал забит паразтным трафиком, сетевые службы работают нестабильно. Сильно жрёт Интернет.

Файлы червя:
C:\WINDOWS\system32\Drivers\SDN44.SYS
C:\WINDOWS\system32\WLCTRL32.DLL
C:\WINDOWS\system32\9 (невидим)

Описание:
Червь создаёт службу Sdn44 и прописывает загрузку этой службы в любом режиме (минимальная загрузка, безопасный режим, нормальная работа). Ветвь реестра соответсвтующая данной службе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Snd44, служба ссылается на файл SDN44.SYS. Паралельно этой службе в системе создаётся объект уведомления который ссылается на файл WLCTRL32.DLL. Ветвь реестра соответствующая объекту уведомления HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cu rrentVersion\Winlogon\Notify\WLCtrl32.
Червь создаёт исходящие подключения на разные адреса в интернете пытаясь имитировать DoS атаку.
Назначение файла "9" мне не ясно, думаю это вспомогательный объект червя.

Удаление:
Для удаления мне понадобилось загрузить машину в MSDOS и удалить описанные выше файлы. Удаление из работающей ОС осложняется невозможностью выгрузки файла SDN44.SYS, т.к. он является модулем ядра. Будучи запущеным сервис Sdn44 не позволяет удалить соответсвующие ключи реестра для обезвреживания что и создаёт трудности.

Заключение:
В заключение выкладываю архив с файлами для ознакомления.

{moderated: если хотите поделиться, присылайте в соответствии с приложением 3 раздела помогите}

И, насколько понял, создаёт устройсво Rntm31

И чего здесь здесь нового?это типичный булкнет.

Добрый вечер! у меня вот такая проблема, может конечно не по теме, но тогда расскажите куда писать.
у меня стоит доктор веб, с сегодняшнего дня, вот уже 12 раз за несколько часов он отсекает некоего WoRm.Sifiliz что это за зверь такой, может кто знает?Доктор просто запрещает ему допуск

Не пользуйтесь IE, используйте Опера или Firefox
Worm.Sifiliz - это скрипт на зараженном сайте, через который Вы можете получить довольно большую пачку троянов. Это действительно опасная вещь.

у меня стоит макстон и опера ими и пользуюсь, спасибо! а куда этот зверек хочет залезть и что он впервую очередь поражает?

Макстон - это IE в особой шкуре.

Вот очевидно этот в особой шкуре меня и подвел! По традиции запускаю два скана,
Доктор Веб ничего не нашел, а Spyware Terminator обнаружил вот такую штучку -
Backdoor.W32.Hupigon.BOO определил как угрозу! Но угроза ли это???

Вот очевидно этот в особой шкуре меня и подвел! По традиции запускаю два скана,
Доктор Веб ничего не нашел, а Spyware Terminator обнаружил вот такую штучку -
Backdoor.W32.Hupigon.BOO определил как угрозу! Но угроза ли это???

1.Чтоб больше не подводил вас некто рекомендуется прочитать книгу http://security-advisory.virusinfo.info/

2.Скорее всего вам в раздел помогите (правила внимательно прочтите (http://virusinfo.info/showthread.php?t=1235))

Добрый вечер! Ничего не нашёл о трояне под названием win32.sality.ak - известно только что он из Китая... поделитес ьпожалуйста сведениями! он блокирует запуск exe-файлов и самораспространяется, нод и каспер не может найти... возможно, новый, найден оаупостом...

Добрый вечер! Ничего не нашёл о трояне под названием win32.sality.ak - известно только что он из Китая... поделитес ьпожалуйста сведениями! он блокирует запуск exe-файлов и самораспространяется, нод и каспер не может найти... возможно, новый, найден оаупостом...

http://www.threatexpert.com/threats/win32-sality-ak.html

Кстати может вам пора в раздел "Помогите" по правилам (http://virusinfo.info/showthread.php?t=1235)?

От знакомого человека в аське пришло:

привет
:http:feels-energy.com/01505/
посмотри, классная вещь!

По ссылке опять поддельный сайт приколов, предложение скачать супер "видеоролик".
Heur.Trojan.Generic
Опять пинч, наверное.

там еще с 79,135,167,18/ццц/ццц/файл.екзе грузится..

обнаружено: троянская программа Trojan-Downloader.Win32.Kset.h URL: http://79,135,167,18/www/www/bin/file.exe//#

а то, что скачивается под видом картинки действительно пинч..
http://www.virustotal.com/ru/analisis/d89498f58ab87430f31def652c6ea4fa

что за разновидность такая wigon.cl ??????
гугля молчит про него

Спамбот,от модификации там почти ничего не зависит...

оригинальная модификация,
пару драйверов, и еще winnt32, winnt64
а привычного winctrl32 небыло

Разница только в названии :) а цель одна,это библиотека рассылает спам а драйвера ее прикрывают...

а еще на днях попался win32.Trojan.Cacha
а про этот можешь рассказать чтонибуть??
к сожалению закарантинеть неудалось, его Cureit прибил

Неа,такого не знаю :)

что за разновидность такая wigon.cl ??????
гугля молчит про него

аналогичный вопрос
Нод и CureIt бессильны

аналогичный ответ


Разница только в названии :) а цель одна,это библиотека рассылает спам а драйвера ее прикрывают...

архив уберите из темы - не по правилам...

червячек свежий.. (http://www.virustotal.com/ru/analisis/706ccd9393b12086363ae88a4e01d162)

Уф... я тут еле поборол один комп был заражен 18.02.09... поудалял туеву кучу вирусов и троянов... я стока ещё не видел... штук 50 видов..и комп даже работал!!! NOD32 Smart Internet Security не справился того же 18.02.09 он впоследний раз обновлялся и помер... прогонял с загрузочного CD CureIt! от 26.02.09, AVPTool 27.02.09 и умудрился AntiVir поставить, обновить и просканить... каждый находил и удалял что-то... но куча всего оставалось (например файлы 0.exe, 1.exe .... в папках Windows, в drivers, system, system 32, Windows\intel, Windows\system32\Sony... вобщем 0.exe, 3.exe, 5.exe, 7.exe... были удалены разными антивирусами (тоесть один антивирь все такие файлы не удалял каждый по одному) а оставшиеся я грохал вручную.... после загрузки с помощью AVZ ещё с десяток удалил.... ну и проверив все папки на предмет наличия файлов от 18.02.09... просканил их на VirusTotal обнаружил ещё несколько которые не определяются практически ничем... но вроде и не активные были.. уже...

куда посылать зверей (к сожелению только те что сканил на вирустотал мож тока ошмётки)
moderated
пароль: virus