Что за вирусы такие?, Заражены почти все файлы .exe расширением Опции

[-shooter-]

Кто знает, опасны ли они? Однажды у меня такое было, тогда я все вылечил Каспером,а ща думаю, может они безвредны и удалять их не имеет смысла? (Все вирусы называются одинаково , что-то типа Win32....)

[-flank]

всяко бывает, некоторые имеют свойство просто внедрятся в во ВСЕ .ехе и тем самым занимать кучу диского места...
причем некоторые .ехе могут потом еще и не работать...

Сообщение отредактировал -flank - Jul 19 2006, 19:19

[Dark Spyder]

Кто знает, опасны ли они? Однажды у меня такое было, тогда я все вылечил Каспером,а ща думаю, может они безвредны и удалять их не имеет смысла? (Все вирусы называются одинаково , что-то типа Win32....)

У меня тож такие вирусы! как с ними бороться? и как защищаться! (я эти вирусы скачал случайно в ДС++) эти тупые вирусы у меня заразили все .exe файлы!!! Помогите подскажите!!!

[-shooter-]

Я тоже вроде в DC скачал
Каспер их находит сразу и хочет удалить!! Это же комшмар! Все заново устанавливать!!
НО когда делаешь полную проверку, он все исправляет!

[Sonik]

У кого скачали не помните?

[Dark Spyder]

Я тоже вроде в DC скачал
Каспер их находит сразу и хочет удалить!! Это же комшмар! Все заново устанавливать!!
НО когда делаешь полную проверку, он все исправляет!

Да если делаешь полную проверку то он их либо лечит либо удаляет!

[-shooter-]

Надо другим антивирем проверить?
Какой лучше?? Вроде AVP нормальный или типа такого какой-то.

[Гость_OldFornit_*]

Надо другим антивирем проверить?
Какой лучше?? Вроде AVP нормальный или типа такого какой-то.

Если что, то Win32 - это все вирусы под платформу виндовоза.
Антивириев очень много, и каспер - не самый лучший.
Я например юзаю AVAST, пересадил на него весь офис. Жалоб и нареканий нет.

[config]

В прошлом году, был подобный вирус...Win32Jeefo (или что-то в этом роде), как здесь уже указал OldFornit, win32 это означает что под окошки. Значит название вируса Jeefo. Что он делал у меня: заражал все .exe фалы, после этого программы просто не запускались. В процессах он маскировался как svchost.exe и, по ходу, ставился на автозагрузку...Northon Antivirus мне помог не полность...так как не вылечивал файлы, а просто их сносил...Больше половины программного архива как не бывало! На офф сайте Northona есть инструкция как его снести "руками". А вообще, введи название вируса в google и найдёшь по теме как сделать (в смысле - снести) этот вирус. Вообще это довольно безобидная "игрушка". :)

З.Ы. Я не профи во всяких выражениях, так что если что чуть-чуть неправильно указал - не судите.

[-shooter-]

У меня большинство вирусов называются Win32.Hibrag.a или типа того.

[config]

тогда вводи в google

Win32.Hibrag

:)

Сообщение отредактировал s0s - Jul 20 2006, 10:09

[Jacks]

Virus.Win32.Hidrag.a

Технические детали
Безобидный резидентный Win32-вирус. Заражает приложения Win32 (PE EXE-файлы). При заражении шифрует часть заражаемого файла.

При запуске зараженного файла инсталлирует себя в систему: создаёт свою копию с именем "svchost.exe" (размером около 36K) в каталоге Windows и регистрирует этот файл в ключе автозапуска системного реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
PowerManager = %WindowsDir%\SVCHOST.EXE

Затем вирус остаётся в памяти Windows, рекурсивно ищет и заражает PE EXE-файлы на всех доступных дисках, начиная с диска C:.

Вирус никак не проявляет своего присутствия в системе.

Сообщение отредактировал Jacks - Jul 20 2006, 12:22

[config]

Win32.Jeefo выполняет те же функции и делает то же самое.
Возможно это одно и то же.

[St0rmX]

одно и тоже
касперский определяет его как hidrag, а McAfee как Jeefo

[-shooter-]

Я удалил его в корневом каталоге(тот который 36 кб) Терь он больше не будет ничо заражать? И если он безобидный, пускай себе торчит у меня, а то Каспер удаляет их вместе с запускательными файлами

[Гость_Маршрутизатор SmartAX MT800 ADSL_*]

А сколько svchost.exe должно быть запущено в нормальном компе?
У меня 7

[Гость_axiz_*]

А сколько svchost.exe должно быть запущено в нормальном компе?
У меня 7

у меня ни одного svchost.exe нет

Код

[axiz@nix ~]$ ps ax | grep svchost.exe | grep -v grep | wc -l
0

[Гость_Маршрутизатор SmartAX MT800 ADSL_*]

у меня ни одного svchost.exe нет

Код

[axiz@nix ~]$ ps ax | grep svchost.exe | grep -v grep | wc -l
0

Ну выключили один - так комп перестал работать

[St0rmX]

А сколько svchost.exe должно быть запущено в нормальном компе?
У меня 7

в процесах незнаю сколько точно, но когда у меня этот вирус, то в папке windows лежит файл svchost.exe, а так его нет, значит и вируса нет

[-flank]

ну ща народ начнет процесс svchost убивать до посинения

[-shooter-]

Да, надо тока в корневом каталоге Windows его удалить вроде бы

[Гость_Маршрутизатор SmartAX MT800 ADSL_*]

Да не, вы что-то путаете...

[AntoX]

У моего другана этот вирус был все ЕХЕ заразил. Каспер не мог личить, а он взял и удалил свои ЕХЕ. Виндоузкие ЕХЕ не заражоные были!

[-shooter-]

Каспер лечит их, только со второго раза, сразу после проверки чистку делать не стоит, снесет все..

[DruGsy]

Да не, вы что-то путаете...

Это точно....

[Гость_wort_*]

у меня ни одного svchost.exe нет

Код

[axiz@nix ~]$ ps ax | grep svchost.exe | grep -v grep | wc -l
0

и даже так:

Код

wort@cadm:~$ sudo find / -iname svchost.exe | wc -l
0
wort@cadm:~$

Сообщение отредактировал wort - Apr 8 2007, 13:06

[Гость_KARLOSON_*]

У меня было подобное. Мне помог dr.web. он сразу все вылечил, ну и кое что грохнул, а так все потом работало стабильно.

[stepka]

Кто знает, опасны ли они? Однажды у меня такое было, тогда я все вылечил Каспером,а ща думаю, может они безвредны и удалять их не имеет смысла? (Все вирусы называются одинаково , что-то типа Win32....)

ето наверна старый добрый Jeefo

[Sandro]

не хидраг ли?

[dimka999]

Были такие, по всему диску C в миг расплодились, заметил когда некоторые проги перестали запускаться.... Каспер их всех грохнул... и выличил...

[knight19]

У мя тож вирь сразу заражает системные файлы в винде, создает троян, там идет процесс ctfmon.exe есле иво не вырубитьви в инет зайти то траф страшна идти будет, за час - мегов 40 так...
Было у кого нить ещё такое?

[HotRabbit]

У мя тож вирь сразу заражает системные файлы в винде, создает троян, там идет процесс ctfmon.exe есле иво не вырубитьви в инет зайти то траф страшна идти будет, за час - мегов 40 так...
Было у кого нить ещё такое?

Не было... и спасибо, но НЕ НАДО!!!
Грохай винду, ставь чистую, пропатч как следует (все заплатки - чем новее, тем лучшее), авось избавишься от этого (думается троянчик там обитает)
Антивирусник, кстати, неплохо бы поставить (советовать не буду, меня мой устраивает)

[AndrewDragon]

а не лечге просто антивирь поставить и фаер вдогонку?

[Deniskins]

у меня была подобная шняга, что екзешники заражает, но каспер их вылечивал. А толку небыло, после вылечивания они все переставали работать. Да и ваабще, прежде чем чето запустить после скачки всегда проверяйте антивиром. Всегда так делаю и проблем с Вирами уже порядка года не имею. А если хоть одного обнаружу, так винду сношу и новую ставлю. Нах мне винда такая, хоть и вылеченная. Безопастность - превыше всего

Сообщение отредактировал Deniskins - Jun 4 2007, 15:47

[xmass]

< Miserie > Как-то ко мне на комп виндовый попался один троянчик. т. к. с виндоусом я особо не дружу, то файл svShost.exe удалил ручками, и на его месте создал папочку с таким же именем, чтоб его больше там не видеть. На следующий день у меня в списке процессов оказался файл shchhosst.exe, и с ним я поступил так же. после недельной борьбы и бесконечного сопротивления интеллекта интеллекту, я узрел у себя на компе файл с именем zaebal.exe... Мне даже немножко стыдно стало... Вот так уходят талантливые хакеры...

Хехе, Avast, BitDefender или ESET (если есть деньги) помогут Вам избежать таких неприятных моментов.

[Deniskins]

ппц, такое впервые слышу)))

[traktor]

это не вирус, это эпидемя, вся россия мучается от тупизны ламеров, которые не могут поставить антивирус)
короч это вирус бывает слудующих модификафий
win32\Jeefo
win32\Jeefa
Win32\Jeefb

имел дело со всеми, специально сидел ковырял, коро разницы я не заметил, заражают все EXE файлы, которые вы закрываете... Грохнуть можно и ручками, посавив антивир, крохнув %windows%/svchost.exe и просканировав систему, удалять а не лечить что найдёт - после лечения всё равно работать не будет. Капер почему то он же типо впереди планеты всей, тут как всегда, определяет токль один из этиз 3, при этом неправильно, называя его Hidrag или что то подобное, нод32 справляется отлично.....
мой совет - чащще ходите к ламерам с винтом, лазьте на порносайтах, сайтах халявы всякой, никога не ставьет файрвол, зачем он нужен, и вообще пускайте за комп кого попало..... тогда на вашем компе этот вир точно поселится.. Когад то этот вир мне влетел в круглую сумму.... а теперь уже 2 года как без него живу и не мучаюсь....

[-=Sm()kE=-]

это не вирус, это эпидемя, вся россия мучается от тупизны ламеров, которые не могут поставить антивирус)
короч это вирус бывает слудующих модификафий
win32\Jeefo
win32\Jeefa
Win32\Jeefb

имел дело со всеми, специально сидел ковырял, коро разницы я не заметил, заражают все EXE файлы, которые вы закрываете... Грохнуть можно и ручками, посавив антивир, крохнув %windows%/svchost.exe и просканировав систему, удалять а не лечить что найдёт - после лечения всё равно работать не будет. Капер почему то он же типо впереди планеты всей, тут как всегда, определяет токль один из этиз 3, при этом неправильно, называя его Hidrag или что то подобное, нод32 справляется отлично.....
мой совет - чащще ходите к ламерам с винтом, лазьте на порносайтах, сайтах халявы всякой, никога не ставьет файрвол, зачем он нужен, и вообще пускайте за комп кого попало..... тогда на вашем компе этот вир точно поселится.. Когад то этот вир мне влетел в круглую сумму.... а теперь уже 2 года как без него живу и не мучаюсь....

Я тоже имел дело со всеми. Вернее- заражен был всеми. Сразу Так вот, все 3 модификации определяются касперычем соответственно win32.Hidrag.a, win32.Hidrag.b, win32.Hidrag.c. От всех 3-х модификаций 6-ой каспер с обновленными базами лечил ехе-шники, причем умирали только инстальники (CRC-то изменилась) и пара тройка прог (Light Alloy, GTA:VC...) А вот нод исправно сносит все подряд вместе с пандой и авастом. Без шансов на лечение. (Ффсэх раструлирт! Партызанэн- пуф-пуф! Шнеля, шнеля, швайнен!)

[Bjorndalen]

У меня недавно появились вирусы тоже .ЕХЕ, но названия непонятные и длинные(просто набор каких-то букв), потом система тормознула и пришлось переставлять... Это случайно не черви?

[КАНДУКТОР]

А у меня вообще был WIN32Mrak

[КАНДУКТОР]

и все выше перечисленые а NortonAntivirus их просто не видел ща стоит каспер7

[SiMM]

Сестрёнка недавно подцепила заразу:

Этот вирус никаким файрволом и никакой проактивной защитой не определяется.
Приходит письмо следующего содержания:
Код
Здравствуйте, на Ваше имя отправлена открытка. Отправитель открытки: Вася Пупкин. Открытка ждёт Вас по адресу: http://Scrensaverscard.narod.ru/46549gdfgd...vh5/SCardDR.scr Для просмотра перейдите по ссылке или скопируйте ее в адресную строку интернет-браузера. Открытка будет дожидаться Вас в течение 90 дней.

Отправитель - ваш друг, адреса берутся из МАгента.
На деле файл не скринсейвер, а просто самораспаковывающийся зип-архив, который молча извлекается в папку Windows и запускает на выполнение по-очереди 4 скрипта VBScript. Скрипты слегка закодированы, весь код прописан в виде символьных констант вида "chr(79)" (первый скрипт начинается символами "a=chr(79)&chr(110)&chr(32)&chr(69)&chr(114)&chr(114)"), т.е. нечитаем напрямую. Скрипты рассылают копии вашим друзьям, прописывают файл one.exe в автозапуск (файл в папке Windows). Далее они рекурсивно на всех дисках заменяют файлы форматов mp3, avi, ogg, mpg, vob, wmv, wma, aac, aif, aiff, amr, wav и wave на первый прикрепленный к посту файл, файлы jpg, bmp, gif и png - на второй, и txt, xls, doc, htm и xl - на третий. При работе используется файл C:\DR.dr. Также вирус в реестре записывает параметры для блокировки диспетчера задач и редактора реестра. В любом случае, писали это откровенные сволочи и извращенцы, но, как оказалось, операционная система и средства защиты ничего подозрительного не заметили.

Любите открытки? А вот не стоит.
(Я вот тоже в ЖЖ писать не люблю, однако пришлось.)

Вот не стоит любить открытки, приходящие по электронной почте.
Даже если они от знакомых.
Из последних:
1) приходит открытка от кого-то знакомого
2) запускаете (там файлик с расширение SCR - то бишь скринсейвер)
3) ничего не происходит
И всё.
А на самом деле - ВСЕ картинки (джпг, гиф, пнг), вся музыка (мп3, вав, вма), все документы (док, кслс) заменяются на однотипное сообщение "Деструктивная реклама. Хотите поучаствовать во второй волне - пишите нам". И адрес.
Без резервной копии документы восстановлению не подлежат.
Картинки все становятся размером в 25 килобайт (500 на 400 точек), аудиофайлы - 278 килобайт (исполнитель - destruktivnaya, год 2007, альбом 1), доки и эксель-таблицы - 104 байта.

Увы, это не слух. Проверено моими клиентами.

UPD.: Файлик (по крайней мере один из вариантов) называется SCardDR.scr
Обращается к сайту (или загружается с сайта?) scrensaverscard точка narod точка ru
(пишу через точки, чтобы никто нечаянно не нажал)
Именно через одно "e" в первом слоге.

UPD.2: Зараза сидит в файле ScardDR.scr. Надо грохнуть его (тщательно поискать по всему винчестеру). Заодно грохнуть и файл one.exe (живёт скорее всего в папке Windows).
Выгрузить из памяти wsсriрt.exe.
Снести все файлы с расширением .dr и файл dr.vbs (валяются в корне диска C:).
Найти файлы 01.vbs, 02.vbs, 03.vbs - и их тоже удалить.

Ни у кого файлик этот не залежался? Ибо NOD32 его не определял (и хз, определяет ли теперь), а сохранить копию я не догадался - надо бы ESET'у его отправить.
PS: может кому пригодится - Kaspersky Lab Forum

[Atlika]

У мя NOD32 находит их регулярно. Пыталась вышибать касперским,не вышло. До сих пор живой зараза. И вообще у меня он пишит что это троян и червь.

[Гость_GeMB!RD_*]

у меня 2 месяца назад был такой вирус в дс++ скачал ф1 после етого комп тормозил файлы незапускалиь
касперский все находил кроме главного вируса вощем я лечил удалял непомогло помогло тока после полного форматирования винчестера и зброса биоса

[Гость_Aligarx_*]

сцуко, тож такая уйня была, вылечил всё drveb-ом и каспером начисто

[sox]

ИСПОЛЬЗУЙТЕ ЭТО ПОМОГАЕТ http://afanet.org.ru/showthread.php?t=175 ВНУТР ТРАФ ПО ЧР

[Siplyj]

было такое... Касперыч вылечил, буквально 2 программы пришлось переустановить и всё

[SERfer]

У меня вирус neshta win32 заразил все .ехе , NOD32 видит, но вылечить не может, предлагает все снести
у кого встречался подобный зверь? как вылечить? и по подробней плз

Сообщение отредактировал SERfer - Sep 8 2007, 15:56

[SERfer]

У меня вирус neshta win32 заразил все .ехе , NOD32 видит, но вылечить не может, предлагает все снести
у кого встречался подобный зверь? как вылечить? и по подробней плз

касперский 7.0 решил

[Dizza]

касперский 7.0 решил

У меня тоже поблемы исчезли...

[Гость_Ася_*]

у меня такое было Касперский не помог, винду переустанавливали

[Гость_anudril_*]

Эти виды вирусов были выведены в США, одним програмистом.. Я сам не раз заражал свой компьютер подобными тварями. Самый лёгкий способ их снести это Касперский 7 или NOD 32, можно поставить фаерволл не ниже классом ZoneAlarm, то есть ConSeal PC FIREWALL или Agnitum Outpost Firewall не первый раз спасают мою систему.. А так этот вирус поражает тока .exe, мне недавно друг принёс флэшку с вирусом Neshta( точнее червём), но вот именно ConSeal PC FIREWALL сразу его видит и бъёт по макушке, чтоб он вылез и убивает( но фаил остаётся целым)... И тем более минусы Каспера и НОДА видны не вооружённым глазом ... у Каспера не первый раз у меня и моих друзей вирусы тупо вылезали из хранилища и продолжали свой дело. У Нода другое в нём есть много чего интересного, но лучше этой прогой не пользоваться т.к. она получила широкое распространение и под нее написано много exploit'ов, самый часто взламываемый анвир

[Гость_anudril_*]

Есть вариант восстановить систему до даты её заражения и всё червя нет

[MAGnym]

А мне всё равно на вирусы!, я ща на висте сижу и здесь вирус ехел не запускается хотя мне и до него всё равно!

[SiMM]

у Каспера не первый раз у меня и моих друзей вирусы тупо вылезали из хранилища и продолжали свой дело.

С чего, интересно, Вы взяли, что они вылезали из хранилища?

[FeNikS]

Кто знает, опасны ли они? Однажды у меня такое было, тогда я все вылечил Каспером,а ща думаю, может они безвредны и удалять их не имеет смысла? (Все вирусы называются одинаково , что-то типа Win32....)

У меня таких вирусов куча.Но я их всех вылечил с антивирусом сумантек.
У меня ещо какой-то вирус был, который exe файлы удаляет и делает exe.exe.,
и так пока я невылечил.

[..::KraN::..]

Надо ставить хороший антивирус (Каспер или лучше NOD), хорошенько его настроить и всё... Я уже года 3-4 как поставил NOD32 - вирусов пока не подцеплял... И ещё желательно файрволл и проверять комп спец программами для определённых вирусов (для троянов: TrojanRemover, Adware, SpyWare: Lavasoft Adaware SE). И всё будет ОК!

[Гость_anudril_*]

Я чуть ошибся, в том что написал, что вирус был создан в США..
В теле вируса содержатся следующие строки:
Delphi-the best.
**** off all the rest.
Neshta 1.0
Made in Belarus.
Есть способ отрубить его через программы по автозапуску например AnVir TaskManager. Там надо запретить запуск файла svohost.com( вирусное тело) или в системном реестре изменить значение следующего ключа:
[HKCR\exefile\shell\open\command]
c
%WINDIR%\svchost.com "%1" %*
на
"%1" %*

Далее удаляем фаил%WINDIR%\svchost.com

А насчёт побега из хранилища, так это бывает када у тебя в хранилище более 10 заражённых файлов и тел. Метод побега прост: при перезагрузке вы можете не досчитатся какого-нить заражённого файла(ток если сразу же среагировать и провести проверку компьютера, то анвир скажет мол фаил там-то там-то)