Trojan.Win32.KillDisk.f
Очень опасный "троянец". Устанавливается в систему в виде драйверов и после 26-го апреля уничтожает данные на жестком диске.
В Windows 9x устанавливает драйвер "MSGBS1.VXD", в Windows NT/2000/XP и последующих - драйвер "ACPI89.SYS".
Также "троянец" создает файлы:
C:\Program Files\Internet Explorer\fileproc.txt
C:\Program Files\Internet Explorer\filepath.txt
location=\'http://www.viruslist.com/ru/viruslist.html?id=144910789\'script>');" title='http://www.viruslist.com/ru/viruslist.html?id=144910789'>http://www.viruslist.com/ru/viruslist.html?id=144910789
Virus.Win32.Hidrag.a
Другие названия
Virus.Win32.Hidrag.a («Лаборатория Касперского») также известен как: Win32.Hidrag («Лаборатория Касперского»), Virus.Win32.Hidrag («Лаборатория Касперского»), W32/Jeefo (McAfee), W32.Jeefo (Symantec), Win32.HLLP.Jeefo.36352 (Doctor Web), W32/Jeefo-A (Sophos), Win32/HLLP.Jeefo (RAV), PE_JEEFO.A (Trend Micro), W32/Jeefo (H+BEDV), W32/Jeefo.A (FRISK), Win32:Jeefo (ALWIL), Win32/Hidrag.A (Grisoft), Win32.Jeefo.A (SOFTWIN), W32.Jeefo (ClamAV), W32/Jeefo (Panda), Win32/Jeefo.A (Eset)
Безобидный резидентный Win32-вирус. Заражает приложения Win32 (PE EXE-файлы). При заражении шифрует часть заражаемого файла.
При запуске зараженного файла инсталлирует себя в систему: создаёт свою копию с именем "svchost.exe" (размером около 36K) в каталоге Windows и регистрирует этот файл в ключе автозапуска системного реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
PowerManager = %WindowsDir%\SVCHOST.EXE
Затем вирус остаётся в памяти Windows, рекурсивно ищет и заражает PE EXE-файлы на всех доступных дисках, начиная с диска C:.
Вирус никак не проявляет своего присутствия в системе.
Вирус содержит зашифрованные строки:
Hidden Dragon virus. Born in a tropical swamp.
PowerManagerMutant
Win32.Parite.2
Добавлен в вирусную базу Dr.Web:
08.12.2002, 12:00 MSK - дополнение к вирусной базе версии 4.29
Другие названия:
W32/Pate.b, W32.Pinfi, PE_PARITE.A, W32/Parite-B, W32/Pate-B, W95/Parite.B, Win32.Parite.b, W32/Parite.B, W32/Parite.B, W32/Pate.b.tmp
Тип:
сетевой червь
Уязвимые операционные системы:
Windows 95/98/Me/NT/2000/XP
Признаки инфицирования:
наличие во временной директории Windows исполняемого файла с расширением .tmp и названием, состоящим из набора буквенных и цифровых символов
наличие в реестре следующего ключа
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF
Описание вируса:
Win32.Parite.2 - полиморфный вирус, поражающий компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Основной исполняемый компонент вируса написан на языке программирования Borland C++ и упакован упаковщиком UPX. Размер червя 176128 байт.
Вирус обладает способностью распространяться по доступным для совместного пользования дискам локальной сети.
Заражает файлы с расширениями .exe и .scr как на пораженном компьютере, так и в рамках локальной сети, дописывая к ним свой код и увеличивая, таким образом, их размер на 176128 байт.
Инфицирование системы:
Будучи запущенным на пораженном компьютере, вирус помещает во временную директорию Windows файл-библиотеку динамической компоновки со случайным названием, состоящим из набора буквенных символов и шестнадцатеричных цифр и расширением .tmp. Именно этот файл и содержит основные функцие, используемые червем.
Для обозначения своего присутствия в системе с целью избежать повторного инфицирования вирус создает семафор "RESIDENTED".
В системном реестре Windows червь вносит данные
PINF
в реестровую запись
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Процесс инфицирования файлов начинается с создания дополнительной секции в конце файла с последующей записью в эту секцию вирусного кода, в результате чего размер файл увеличивается на 176128 байт.
Червь инфицирует исполняемые файлы на зараженной машине, а также распространяется по всем доступным для совместного использования сетевым ресурсам, доступным для записи. В результате на таких ресурсах за короткое время могут быть заражены практически все исполняемые файлы.
Процедура лечения
Внимание! после лечения могут оказаться испорчены *.exe файлы на инфицированном компьютере.
Это связано с тем, что в некоторых случаях заражённые данным вирусом исполняемые файлы восстановить в исходном виде практически невозможно любым антивирусом. Соответственно, приложения, содержащие в себе контроль целостности своих исполняемых файлов, перестают запускаться.
Закройте общий доступ к ресурсам на зараженной машине, и отключите все сетевые диски.
Загрузитесь в безопасном режиме(safe mode).
В реестре HKEY_CURRENT_USER/Software/Microsoft/Windows/Explorer Удалите в левом окне параметр PINF.
Во временной паке, например C:\Documents and Settings\***USER***\Local Settings\Temp удалите все файлы.
Запустите Dr.Web. (вирус заражает файлы *.exe, *.tmp, *.scr)
Попробуй-Меню"Пуск"-Выполнить-regedit-Правка-Найти-набираешь ЕXPLORER и смотришь сколько их засветит и где они находятся.По идее должен высветится один адрес:C:\Program files\Internet Explorer\iexplore.exe Если больше то скинь их сюда посмотрю что за БЯКА
Добавлено в: [mergetime]1123772455[/mergetime]
Да перед баловством с реестром сохрани все данные создай контрольную точку!
Такое ощущение что кто служил в в\ч 2335 наглухо отсутствует интернет.Даже на сайте Псковского ПОГО нет вообще упоминаний.Может я служил в граде Китеж с призраками или в Сумеречной Зоне.