Новая разновидность -Win32.HLLM.Beagle.38912?

Printable View

10.11.2006, 08:46
kayman

Вложений: 2

Новая разновидность -Win32.HLLM.Beagle.38912?

Подхватил с другого компа вместе с инсталяцией программы. Работает примерно так же как Win32.HLLM.Beagle.38912 - то есть подменяет собой exe-файлы, переименовывая их в exe.exe и скрывая (появляеться в скрытом виде практически после только запуска программы) Все ярлыки и значки приобретают один вид (ярлыки - виндовские окна, документы -как не определенные) Причем ищет и заражает соседние exe-файлы (но только на том диске с которого запущена программа и на диске С) Существено подвешивает систему хотя в диспечере задач не отображает ее загрузку -особено сильно тормозит графика - вплоть до отказа загрузки системы.

Ключи в реестре
[I]HKLM\Software\Microsoft\Windows\CurrentVersion\Run[/I]
[I]HKCU\Software\Microsoft\Windows\CurrentVersion\Run[/I]
“auto__hloader__key” = C:\WINDOWS\System32\hloader_exe.exe
отсутсвуют

антивирусниками не определяется (если они сами поражены то и восе не запускаються) пробывал проверить через Нет файл на страничке Dr.Web - результат Вирусов нет. К сожелению правила не смог выполнить до конца - комп окончательно сдох поэтому присылаю два файла и файл с зараженым exe.

Систему пришлось перустановить -однако осталось много зараженых exe. файлов различных программ на других дисках.

Пожалуста помогите.
10.11.2006, 08:49
anton_dr

Не нужно прикреплять файлы к сообщениям. Их следует присылать согласно правилам.

Файл сохранён как 061110_005340_123_455413e495ce3.zip
Размер файла 185690
MD5 f9df1f7dc3a14faaa5a6effa8f5e7d2e
10.11.2006, 09:20
MOCT

в присланном Вами файле находится недетектируемый ни одним антивирусом паразитический вирус написанный на языке Delphi.
только три антивирусы пишут подозрения:
Fortinet 2.82.0.0 11.10.2006 suspicious
NOD32v2 1860 11.09.2006 probably unknown NewHeur_PE virus
Panda 9.0.0.4 11.09.2006 Suspicious file

пришлите по правилам форума файлы:
C:\DOCUME~1\OEM~1.UNA\LOCALS~1\Temp\apm6B.tmp
C:\Documents and Settings\OEM\Шаблоны\Brengkolang.com

если такой файл есть, то удалить его отложенным удалением в AVZ:
C:\Documents and Settings\OEM\Шаблоны\Brengkolang.com
10.11.2006, 09:35
MOCT

вот мое описание нового вируса (на правах первооткрывателя):

Вирус Win32.HLLP.Zorg.a
Паразитический вирус написанный на языке Delphi. Размер вируса - 116224 байта, увеличивает размер заражаемых exe-файлов на 118784 байта. Не упакован, не зашифрован. Содержит в себе doc-файл размером 19968 байт с текстом "Привет кафедре от выпускников!" (документ создан 21.03.2005 пользователем с именем ZoRG).
Через реестр отключает защиту файлов Windows для маскировки заражения системных файлов.
10.11.2006, 09:52
MOCT

лечилка от Win32.HLLP.Zorg.a раздается в привате ;-)

p.s. ну хоть какое-то развлечение в день милиции ;)