Вчера проверялся KAVtool и она мне сдала выдавать отчет о вирусе....все началась буквально в 2-3 ночи,до этого проверял все было отлично
Обычного касперского установить не удалось
Вчера проверялся KAVtool и она мне сдала выдавать отчет о вирусе....все началась буквально в 2-3 ночи,до этого проверял все было отлично
Обычного касперского установить не удалось
Virus.Win32.Hidrag.g
Безобидный резидентный Win32-вирус. Заражает приложения Win32 (PE EXE-файлы). При заражении шифрует часть заражаемого файла.
При запуске зараженного файла инсталлирует себя в систему: создаёт свою копию с именем "svchost.exe" (размером около 36K) в каталоге Windows и регистрирует этот файл в ключе автозапуска системного реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
PowerManager = %WindowsDir%\SVCHOST.EXE
Затем вирус остаётся в памяти Windows, рекурсивно ищет и заражает PE EXE-файлы на всех доступных дисках, начиная с диска C:.
Вирус никак не проявляет своего присутствия в системе.
Вирус содержит зашифрованные строки:
Hidden Dragon virus. Born in a tropical swamp.
PowerManagerMutant
Microsoft Most Valuable Professional in Consumer Security
Ну да я вчера в нете про это тоже нашел....Но средств борьбы я незнаю....
Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
И еще раз пройтись AVPTool и посмотреть насколько широко прошло заражениеКод:O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
Добавлено через 9 минут
AVZ удалила вирусный процесс %WindowsDir%\SVCHOST.EXE
По поводу лечения
Добавлено через 1 минутуНа момент создания данного описания антивирусные программы обнаруживают вирус под следующими номенклатурными названиями:
Антивирус Kaspersky AntiVirus: Virus.Win32.Hidrag.a (лечит зараженные файлы)
Антивирус BitDefender Professional: Win32.Jeefo.A (лечит зараженные файлы)
Антивирус DrWeb: Win32.HLLP.Jeefo.36352 (лечит зараженные файлы)
Следует отметить, что некоторое количество вирусных копий может присутствовать в файлах с расширениями "CHK" (последние являются файлами, резервируемыми некоторыми версиями ОС Windows в случаях обнаружения сбойных кластеров на жестком диске системным приложением Scandisk).
Поскольку для рядового пользователя осуществить процесс лечения вируса будет непросто, т.к. в процессе лечения под активной Windows вирус может поточно заражать уже вылеченные файлы (не говоря уже о том, что сам антивирусный сканер может оказаться инфицированным), самым оптимальным решением вирусной проблемы, на мой взгляд, является перенос винчестера на др. неинфицированную машину, его подключение к ней, как второстепенного, с последующим пролечиванием всей находящейся на нем информации. В процессе лечения файл svchost.exe вируса необходимо удалить (равно, как и прочий файл с активной копией вируса, если таковой имеет место).
Да если карантин в AVPTool Ваш смените пароли они могли уйти на "лево"
Последний раз редактировалось akoK; 10.01.2008 в 13:36. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Желательно все проверки для начала делать в защищ. режиме.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Так спасибо,доктор веб помог=))))
Удалось остановить все с помощью изменения маски поиска...Только ехе и в итоге довольно быстро все харды сканировались)
Вот логи,и еще если не сложно подскажите что сделать со службами...Домашний комп,запуск с сиди ненужен
активного заражения нет ....
если у вас нет локальной сети .... выполните такой скрипт ...
Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
Хммм ну я подключен к сети и все=)
И еще локальная сеть между моим компом и ноутбуком
тогда уберите в скрипте эти строки ....
Код:RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
Уважаемый(ая) no_cash, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.