/* вирь поражает *.exe файлы! */

[misfits]

вот уже второй раз мой комп поражает странный вирус, который поражает *.ехе файлы и приводит их в негодность.

каспер его хавает, но после перезагрузки он появляется снова, причем вначале в *.ехе файлах в скрытой папке System Volume Information, а со временем распространяется по системе.

в первый раз под раздачу попала папка windows и program files, пришлось восстанавливать систему из образа, а сейчас - папка с дистрибутивами (благо все важные ехе-шники в архивах).

название эта зараза носит очень оригинальное - Virus (Virus.Win32.Tenga.a и Virus.Win32.Porex.b).

следует логичный вопрос - как ЭТО ЗЛО искоренить?

на компе также стоит firewall (c повышенными мерами безопасности) и Ad-aware

[Wu-Tang]

misfits:

Вообщем слушай:

Скачай вот это и это и чтоб я провалился, именно этот вирь ты должен вылечить!!!

И все эти ссылки я нашел на нашем форуме.

На будущее учись юзать поиск!

Изменено 18 февраля, 2006 пользователем Wu-Tang

[Saule]

Wu-Tang
К сожалению ты не прав. Во-первых, это совсем разные вирусы, а во-вторых, проблемы тут из-за того, что антивирусу не удается вылечить какие-то зараженные файлы в папке System Volume Information. Именно эту проблему и нужно решать, так как с остальным антивирус справляеться.

misfits
Когда вы производите лечение, вы отключаете функцию System Restore?

[Wu-Tang]

Ну тогда все еще проще, грохни эту папку, отключив и удолив точки восстановления, а потом опять включи, если оно тебе надо...

[Stolik]

misfits

Вот топик, висит в шапке форуме. Почитай на досуге. Одна из первых рекомендаций - отключить функцию восстановления системы.

[Delphi]

У меня была такаяже фигня с вирусом Win32.Mkar.e

Я просто тупо начал екзехи убивать и получается гдето убил "ядро" вируса и он исчез из моего компа

[Jmd]

не совсем по правилам форума, но советую поменять антивирус. Я пересел на Avast после того как касперский нашел, но отказался лечить вирус. Теперь успешно пережил несколлько болезней.

Попробуй просканировать комп утилитками.

Попробуй, например эту

И отключи восстановление системы, когда будешь лечиться.

[Wu-Tang]

Jmd:

А она не будет конфликтовать с моим Доктором?

[misfits]

Вот что по этому поводу нашел:

Virus.Win32.Porex.b - компьютерный вирус. Является РЕ ЕXE-файлом. Инфицирует EXE-файлы без повреждения их работоспособности с добавлением вредоносного тела. Создает и маскирует выполнимые тела вирусов под существующие на локальной машине DOC-файлы. Сохраняет введенные пользователем строки в окнах, содержащих слова: «password», «mail», «ftp», «telnet» и периодически отправляет их по email автору вируса.

Вирус имеет размер 36 КБ. Написан на языке C++.

При запуске зараженного файла:

вирус создает скрытый файл с таким же именем, присваивая ему расширение RNT и сохраняет туда свое тело. Запускает созданный файл на выполнение (см. пункт 2). В случае неудачи (например, если файл не был создан) производится инсталляция вируса в систему и запуск его фоновой работы.

В ходе выполнения RNT-файла вирус лечит и запускает исходный зараженный файл, после его выполнения — вновь инфицирует. После этого производится инсталляция вируса в систему и запуск его фоновой работы.

При выполнении тела вируса, он копирует себя в корневой каталог Windows с именем poserv.exe:

%WinDir%\poserv.exe

Для автоматического запуска при загрузке ОС, вирус определяет тип операционной системы. Если это Windows NT/2000/XP, то файл poserv.exe регистрируется как служба с именем «PO system service» и автоматическим запуском при каждой загрузке системы. Если тип операционной системы Windows 95/98, то файл poserv.exe регистрируется в ключе автозапуска системного реестра:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"PO system service"="%WinDir%\poserv.exe"

Каждые 4 дня вирус отсылает электронное письмо своему «хозяину». В теле письма содержится следующая информация: имя компьютера, имя текущего пользователя, тип процессора, тип и версия ОС, установленный ServicePack и сохраненные нажатия клавиш из файла %WinDir%\logger.bin.

К письму прикрепляются данные из программы ICQ в том случае, если они присутствуют на компьютере.

Максимальный размер отправляемого письма — 2,5 МБ.

Поиск и инфицирование файлов происходит на протяжении всего срока фоновой работы вируса. Вирус находит файлы с расширениями EXE и DOC. При этом EXE-файлы заражаются. При обнаружении DOC-файла в том же каталоге создаётся файл с тем же именем и расширением EXE, куда записывается тело вируса, изменённое так, что файлу соответствует значок такой же, как и у документов MS Word 2000. Если такой файл уже существовал, он не изменяется.

При поиске файлов просматриваются все диски компьютера, начиная с последнего доступного для записи (напр. Z:, Y:, X: :C:) до диска C: включительно. Для каждого диска просматривается дерево каталогов до 12 уровня и в каждом каталоге ищутся файлы с расширениями DOC и EXE, размером между 10 КБ и 2 МБ включительно.

Поиск очередного файла для инфицирования осуществляется примерно через каждые 0,666 секунды.

При инфицировании EXE-файла вирус записывает своё тело (вместе со всеми заголовками) в начало файла. При этом тело вируса изменяется так, что полученному файлу соответствует тот же значок, что и оригинальному.

Не заражаются файлы при выполнении одного из условий:

- файл расположен в корневом каталоге Windows («%WinDir%»);

- размер файла делится на 100 без остатка;

- файл расположен в корневом каталоге;

- длина имени файла (без пути и расширения) меньше 3-х символов;

- файл создан менее часа назад;

- флаги в заголовке *.exe файла указывают, что это *.dll или системный файл. (2 байта со смещением 12h от начала PE заголовка (без сигнатуры 'PE',0,0) имеют одно из значений 1000h или 2000h);

- файл уже заражён этим вирусом (определяется по наличию сигнатуры 'MZ' на смещении в 36КБ от начала файла).

Рекомендации по удалению

1. Остановить службу с именем «PO system service» или завершить процесс с именем poserv.exe.

2. Удалить следующий ключ системного реестра:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"PO system service"="%WinDir%\poserv.exe"

3. Удалить файл poserv.exe из корневого каталога Windows (%WinDir%).

4. Удалить EXE-файлы (вирус), при наличии одноименных файлов с расширением DOC (оригинал). При этом исключая EXE-файлы, созданные самим пользователем.

5. Удалить RNT-файлы (вирус), при наличии одноименных файлов с расширением EXE (инфицированный оригинал). При этом исключая RNT-файлы, созданные самим пользователем.

Нашел эту пресловутую службу PO system service отключил ее и в безопасном режиме проверил каждый диск в отдельности. Да, перед этим отключил восстановление системы и удалил все контрольные точки восстановления. Вроде уничтожил заразу.

Всем спасибо за помощь!!! (:

[Jmd]

Jmd:

А она не будет конфликтовать с моим Доктором?

Да вроде не должна, она же ничего не добаляет, толко сканирует и мочит... я запускал у себя подобную утилиту Нортана, с моим Авастом не конфликтовала

Изменено 20 февраля, 2006 пользователем Jmd

[Saule]

У меня была такаяже еруда с вирусом Hidrag если это она то вылечеть ее можно с помощью касперского а EXE с помощью bad copy pro желаю удаче в борбе с нечестью

Рассказываю для тех, кому интересно.

Win32.Hidrag, Win32.Tenga, Win32.Porex, Win32.Mkar - это 4 совершенно разных вируса (их детальное описание можно найти, нажав на название каждого). Единственное, что у них общее, это среда распостранения (Win32 обозначает, что вирус поражает ОС Windows 95,98,ME,2000,XP,2003) и то, что они инфицируют программные файлы с расширением ЕХЕ. Всё, на этом их похожесть заканчиваеться.

Вирусов с подобными характеристиками тысячи, поэтому советы типа: "у меня была такаяже фигня с вирусом Win32.Mkar.e", я извиняюсь, тут не уместны.

Проблема с лечением была только лишь из-за того, что при уничтожении червей в Windows XP/ME нужно обязательно отключать функцию восстановления системы (System Restore), так как если этого не сделать, то, скорее всего, лечение не будет успешным.

Либо же на компьютере до сих пор нету вот этой заплатки, так как Win32.Tenga для своего распостранения использует уязвимость MS03-026 в Microsoft Windows DCOM RPC Interface, и после лечения мог просто атаковать этот компьютер повторно.

А она не будет конфликтовать с моим Доктором?

Если это просто сканер, то конфликтовать они между собой не будут.

Конфликт появляеться только лишь в том случае, если включить одновременно два антивирусных резидентных монитора (постоянную защиту).

Изменено 27 февраля, 2007 пользователем Saule

[Wu-Tang]

misfits:

Попутно, а как удалить контрольные точки восстановления? Это к слову!

[Loader]

Если не ошибаюсь то что написал Saule это не вирусы а семейсва вирусов. Более месяца спокойно просуществовал у меня один Hydrag

Он только заражал файлы и убивал тотал коммандер. Другие же рассказывают что от этого вируса у них система полетела с молотка.

[Saule]

Если не ошибаюсь то что написал Saule это не вирусы а семейсва вирусов. Более месяца спокойно просуществовал у меня один Hydrag

Он только заражал файлы и убивал тотал коммандер. Другие же рассказывают что от этого вируса у них система полетела с молотка.

При заражении Hydrag файлы (и тем более система) свою работоспособность утрачивать не могут, так как этот вирус их просто не повреждает (т. е. в коде вируса отсутствуют какие-либо деструктивные процедуры).

Такое случаеться в результате заражения несколькими вирусами одновременно.

Например, в данном случае компьютер тоже был заражен именно двумя вирусами, а не одним.

Если разбирать эту ситуацию чуть более подробно, то она (ситуация) будет выглядеть примерно следующим образом:

 

Hydrag в зараженном файле прописывается в его начало, затем перетусовывает секции и некоторые из них шифрует, сохраняя в своем теле соответствующую информацию о произведенных изменениях в оригинальном программном коде. Если в последствии какой-нибудь другой вирус допишет свое тело в конец этого файла и откорректирует заголовок (который к этому моменту является уже заголовком прописавшегося там вируса Hydrag), то Hydrag уже не сможет нормально отреставрировать и вернуть к исходному виду зараженный файл (т.к. в хвостовой части файла появился чужеродный код, о котором по имеющимся у вируса данным касательно всех изменений, произведенных им в оригинальном программном коде, ничего не сказано). Более того, при запуске такого файла Hydrag при попытке воссоздать оригинальный файл безвозвратно его испортит (и не только его, но и также код второго вируса).

Причем хочу заметить, что антивирусы также будут не в состоянии вылечить такую "кашу" .

Поэтому не нужно сразу винить свой антивирус в том, что он не смог вам помочь, так как реальной причиной неработоспособности файлов, "вырубания" системы и потери нужных программ является сам пользователь, который по каким-либо причинам вовремя не вылечил свой компьютер от электронной заразы.

P.S.

Если не ошибаюсь то что написал Saule это не вирусы а семейсва вирусов.

Сорри, но написала... я девушка

[Jmd]

misfits:

Попутно, а как удалить контрольные точки восстановления? Это к слову!

Мой компьютер - Свойства - Восстановление системы - Отключить на всех дисках.

Включать можно по вкусу тамже, но в Параметрах

[misfits]

Мой компьютер - Свойства - Восстановление системы - Отключить на всех дисках.

Включать можно по вкусу тамже, но в Параметрах

неет, это вы просто отключаете восстановление в будущем, а контрольные точки то остались.

чтобы их сбрить окончательно, надо (это в ХР):

пуск - программы - стандартные - служебные - очистка диска (выбираете диск) - вкладка "дополнительно" - раздел восстановление системы...

и так для каждого диска.

у меня после этих манипуляций осободилось около 4 Гб на ХДД (:

[Jmd]

неет, это вы просто отключаете восстановление в будущем, а контрольные точки то остались.

чтобы их сбрить окончательно, надо (это в ХР):

пуск - программы - стандартные - служебные - очистка диска (выбираете диск) - вкладка "дополнительно" - раздел восстановление системы...

и так для каждого диска.

у меня после этих манипуляций осободилось около 4 Гб на ХДД (:

Ну после отключения диски можно и почистить.

А так, мне кажется, если отключаешь, то обратно эти точки уже восстановить нельзя, хотя физически на диске они и есть.

[Wu-Tang]

misfits:

неет, это вы просто отключаете восстановление в будущем, а контрольные точки то остались.

чтобы их сбрить окончательно, надо (это в ХР):

пуск - программы - стандартные - служебные - очистка диска (выбираете диск) - вкладка "дополнительно" - раздел восстановление системы...

и так для каждого диска.

у меня после этих манипуляций осободилось около 4 Гб на ХДД (:

В точку, я просто вспомнить не мог.

Спасибо.

[vinylskillah]

Мой комп поразил Тенга.

Два вопроса.

1. Я вроде бы вылечил все екзе файлы с помощью вышеописанной Аваста. (кстати диск C вообще форматнул).

А экзе файлы все остались всё равно переименованными и неработающими. Как восстановить работаспособность программ?

2. Что за заплата для Винды. Чтобы впредь такого не было надо что то скачать и поставить?

[Wu-Tang]

vinylskillah:

Как восстановить работаспособность программ?

Уже не восстановишь, только переустанавливать!

[Saule]

Мой комп поразил Тенга.

Что за заплата для Винды. Чтобы впредь такого не было надо что то скачать и поставить?

Да, но она вам поможет только в том случае, если вирус будет атаковать вас из сети:

http://www.microsoft.com/technet/security/...n/MS03-026.mspx

Если же вы запустите его в систему из зараженного файла, то заплатка вам уже не поможет.