Что за вирусы такие?, Заражены почти все файлы .exe расширением Опции

[-shooter-]

Кто знает, опасны ли они? Однажды у меня такое было, тогда я все вылечил Каспером,а ща думаю, может они безвредны и удалять их не имеет смысла? (Все вирусы называются одинаково , что-то типа Win32....)

[КАНДУКТОР]

и все выше перечисленые а NortonAntivirus их просто не видел ща стоит каспер7

[SiMM]

Сестрёнка недавно подцепила заразу:

Этот вирус никаким файрволом и никакой проактивной защитой не определяется.
Приходит письмо следующего содержания:
Код
Здравствуйте, на Ваше имя отправлена открытка. Отправитель открытки: Вася Пупкин. Открытка ждёт Вас по адресу: http://Scrensaverscard.narod.ru/46549gdfgd...vh5/SCardDR.scr Для просмотра перейдите по ссылке или скопируйте ее в адресную строку интернет-браузера. Открытка будет дожидаться Вас в течение 90 дней.

Отправитель - ваш друг, адреса берутся из МАгента.
На деле файл не скринсейвер, а просто самораспаковывающийся зип-архив, который молча извлекается в папку Windows и запускает на выполнение по-очереди 4 скрипта VBScript. Скрипты слегка закодированы, весь код прописан в виде символьных констант вида "chr(79)" (первый скрипт начинается символами "a=chr(79)&chr(110)&chr(32)&chr(69)&chr(114)&chr(114)"), т.е. нечитаем напрямую. Скрипты рассылают копии вашим друзьям, прописывают файл one.exe в автозапуск (файл в папке Windows). Далее они рекурсивно на всех дисках заменяют файлы форматов mp3, avi, ogg, mpg, vob, wmv, wma, aac, aif, aiff, amr, wav и wave на первый прикрепленный к посту файл, файлы jpg, bmp, gif и png - на второй, и txt, xls, doc, htm и xl - на третий. При работе используется файл C:\DR.dr. Также вирус в реестре записывает параметры для блокировки диспетчера задач и редактора реестра. В любом случае, писали это откровенные сволочи и извращенцы, но, как оказалось, операционная система и средства защиты ничего подозрительного не заметили.

Любите открытки? А вот не стоит.
(Я вот тоже в ЖЖ писать не люблю, однако пришлось.)

Вот не стоит любить открытки, приходящие по электронной почте.
Даже если они от знакомых.
Из последних:
1) приходит открытка от кого-то знакомого
2) запускаете (там файлик с расширение SCR - то бишь скринсейвер)
3) ничего не происходит
И всё.
А на самом деле - ВСЕ картинки (джпг, гиф, пнг), вся музыка (мп3, вав, вма), все документы (док, кслс) заменяются на однотипное сообщение "Деструктивная реклама. Хотите поучаствовать во второй волне - пишите нам". И адрес.
Без резервной копии документы восстановлению не подлежат.
Картинки все становятся размером в 25 килобайт (500 на 400 точек), аудиофайлы - 278 килобайт (исполнитель - destruktivnaya, год 2007, альбом 1), доки и эксель-таблицы - 104 байта.

Увы, это не слух. Проверено моими клиентами.

UPD.: Файлик (по крайней мере один из вариантов) называется SCardDR.scr
Обращается к сайту (или загружается с сайта?) scrensaverscard точка narod точка ru
(пишу через точки, чтобы никто нечаянно не нажал)
Именно через одно "e" в первом слоге.

UPD.2: Зараза сидит в файле ScardDR.scr. Надо грохнуть его (тщательно поискать по всему винчестеру). Заодно грохнуть и файл one.exe (живёт скорее всего в папке Windows).
Выгрузить из памяти wsсriрt.exe.
Снести все файлы с расширением .dr и файл dr.vbs (валяются в корне диска C:).
Найти файлы 01.vbs, 02.vbs, 03.vbs - и их тоже удалить.

Ни у кого файлик этот не залежался? Ибо NOD32 его не определял (и хз, определяет ли теперь), а сохранить копию я не догадался - надо бы ESET'у его отправить.
PS: может кому пригодится - Kaspersky Lab Forum

[Atlika]

У мя NOD32 находит их регулярно. Пыталась вышибать касперским,не вышло. До сих пор живой зараза. И вообще у меня он пишит что это троян и червь.

[Гость_GeMB!RD_*]

у меня 2 месяца назад был такой вирус в дс++ скачал ф1 после етого комп тормозил файлы незапускалиь
касперский все находил кроме главного вируса вощем я лечил удалял непомогло помогло тока после полного форматирования винчестера и зброса биоса

[Гость_Aligarx_*]

сцуко, тож такая уйня была, вылечил всё drveb-ом и каспером начисто

[sox]

ИСПОЛЬЗУЙТЕ ЭТО ПОМОГАЕТ http://afanet.org.ru/showthread.php?t=175 ВНУТР ТРАФ ПО ЧР

[Siplyj]

было такое... Касперыч вылечил, буквально 2 программы пришлось переустановить и всё

[SERfer]

У меня вирус neshta win32 заразил все .ехе , NOD32 видит, но вылечить не может, предлагает все снести
у кого встречался подобный зверь? как вылечить? и по подробней плз

Сообщение отредактировал SERfer - Sep 8 2007, 15:56

[SERfer]

У меня вирус neshta win32 заразил все .ехе , NOD32 видит, но вылечить не может, предлагает все снести
у кого встречался подобный зверь? как вылечить? и по подробней плз

касперский 7.0 решил

[Dizza]

касперский 7.0 решил

У меня тоже поблемы исчезли...

[Гость_Ася_*]

у меня такое было Касперский не помог, винду переустанавливали

[Гость_anudril_*]

Эти виды вирусов были выведены в США, одним програмистом.. Я сам не раз заражал свой компьютер подобными тварями. Самый лёгкий способ их снести это Касперский 7 или NOD 32, можно поставить фаерволл не ниже классом ZoneAlarm, то есть ConSeal PC FIREWALL или Agnitum Outpost Firewall не первый раз спасают мою систему.. А так этот вирус поражает тока .exe, мне недавно друг принёс флэшку с вирусом Neshta( точнее червём), но вот именно ConSeal PC FIREWALL сразу его видит и бъёт по макушке, чтоб он вылез и убивает( но фаил остаётся целым)... И тем более минусы Каспера и НОДА видны не вооружённым глазом ... у Каспера не первый раз у меня и моих друзей вирусы тупо вылезали из хранилища и продолжали свой дело. У Нода другое в нём есть много чего интересного, но лучше этой прогой не пользоваться т.к. она получила широкое распространение и под нее написано много exploit'ов, самый часто взламываемый анвир

[Гость_anudril_*]

Есть вариант восстановить систему до даты её заражения и всё червя нет

[MAGnym]

А мне всё равно на вирусы!, я ща на висте сижу и здесь вирус ехел не запускается хотя мне и до него всё равно!

[SiMM]

у Каспера не первый раз у меня и моих друзей вирусы тупо вылезали из хранилища и продолжали свой дело.

С чего, интересно, Вы взяли, что они вылезали из хранилища?

[FeNikS]

Кто знает, опасны ли они? Однажды у меня такое было, тогда я все вылечил Каспером,а ща думаю, может они безвредны и удалять их не имеет смысла? (Все вирусы называются одинаково , что-то типа Win32....)

У меня таких вирусов куча.Но я их всех вылечил с антивирусом сумантек.
У меня ещо какой-то вирус был, который exe файлы удаляет и делает exe.exe.,
и так пока я невылечил.

[..::KraN::..]

Надо ставить хороший антивирус (Каспер или лучше NOD), хорошенько его настроить и всё... Я уже года 3-4 как поставил NOD32 - вирусов пока не подцеплял... И ещё желательно файрволл и проверять комп спец программами для определённых вирусов (для троянов: TrojanRemover, Adware, SpyWare: Lavasoft Adaware SE). И всё будет ОК!

[Гость_anudril_*]

Я чуть ошибся, в том что написал, что вирус был создан в США..
В теле вируса содержатся следующие строки:
Delphi-the best.
**** off all the rest.
Neshta 1.0
Made in Belarus.
Есть способ отрубить его через программы по автозапуску например AnVir TaskManager. Там надо запретить запуск файла svohost.com( вирусное тело) или в системном реестре изменить значение следующего ключа:
[HKCR\exefile\shell\open\command]
c
%WINDIR%\svchost.com "%1" %*
на
"%1" %*

Далее удаляем фаил%WINDIR%\svchost.com

А насчёт побега из хранилища, так это бывает када у тебя в хранилище более 10 заражённых файлов и тел. Метод побега прост: при перезагрузке вы можете не досчитатся какого-нить заражённого файла(ток если сразу же среагировать и провести проверку компьютера, то анвир скажет мол фаил там-то там-то)