Пожалуйста подождите

ВНИМАНИЕ!!! Найден новый очень интерестный вирус!!

11 июня 02:52
Рейтинг 0 - +    Эмоции
комментариев: 21
Всем привет, надавно нашёл очень интерестный вирус на компьютере под операционкой Windows XP SP2. Этот вирус спокойно обошел Антивирусную программу НОД32 с последними обновлениями и спокойно поселился в папке System32 в безобидном файлике "MicroSoft.exe". После этого, при следующем запуске системы - вся защита компа и НОД32 перестали работать, а файлик прописался в автозагрузке


При любой попытке отключить его из автозагрузки - он автоматически проверяет каждую минуту - загружен ли файл! Если нет, то моментально его загружает.
Кроме этого он создаёт в реестре целый раздел - "Image File Execution Options" по этому адресу - "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options". Вот в этом разделе он и хранит все свои настройки и варианты того, что он может делать.

Вот такой вот очень таки хитрый вирус! Его не опознаёт ни одна антивирусная программа или утилита! Пытались ему подрезать жизнь утилиткой - "Autorans" но и она не помогла! Так как он каждую секунду или две смотрит - загружен ли файл, если нет то загружает его.
Сам файлик, "MicroSoft.exe" который живёт в папке "System32" и являеться домиком этой сволочи удалить тоже нельзя! Так как он загружен в системе. Была попытка - удалить фал спец програмой для удаления файлов, но он опять появился....
Так же этот вирус превосходно чувствует себя в безопастном режиме!
А проблема решилась хитрым путём - Каждую секунду эта гадость проверяет - загружен ли файл, но не проверяет его содержимое, так что в реестре мы исправили запись которая загружала этот файл и поставили чтоб она пыталась загрузить файл - "MicroSoft2.exe" в место "MicroSoft.exe". Программа тут же ругнулась - что мол "MicroSoft2.exe" - так что при перезагрузке теперь пыталась загрузиться "MicroSoft2.exe" а файл "MicroSoft.exe" оставался незадействованным, и его можно было удалить! Правда странная штука случилась - теперь в ту ветку реестра вообще нет доступа!!! Но файл вроде удалён и всё стало работать нормально!
Вот такая вот загагулина!
Надеюсь что всем интерестно было почитать и сама информация тоже )) Если написал по ламерскому, строго несудите!! ))


(вышеизложенное взято с http://blogs.mail.ru/community/compi/2160A62C57F5708.html?reply=1)

Сегодня же пришлось столкнуться с ним. Решением проблемы стала загрузка операционной системы с мультизагрузочного CD-диска и удаления этого файла (*:/windows/system32/MicroSoft.exe) вручную. Затем подчистил за ним реестр (HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options). Аккуратнее люди с флешками обращайтесь. Желательно убрать с них автозапуск и вообще не стоит запускать через проводник)
Автозапуск флешки можно убрать следующим образом.
Пуск->Выполнить набираем команду "gpedit.msc". Слева в появившемся окне выбираем "Политика "Локальный компьтер""->"Конфигурация компьютера"->"Административные шаблоны"->"Система" в правой части выбираем пункт "Отключить автозапуск", заходим в его свойства, выбираем "Включен" и "Для всех дисков"... Думаю кому-нибудь да пригодиться эта инфа)
Метки меток нет

комментарии

К первому непрочитанному 
  • 11 июня 2008 | 03:51 (ссылка #432787)
    0 - + Сообщить модератору
    аватара
    Круто, чувак. Спасибо за информацию
  • 11 июня 2008 | 07:05 (ссылка #432778)
    0 - + Сообщить модератору
    защищен
    Цитата:
    Сегодня же пришлось столкнуться с ним
    не сохранил случаем на память??
  • 11 июня 2008 | 10:05 (ссылка #432781)
    0 - + Сообщить модератору
    аватара
    по ссылке на первоисточник пройди( blogs.mail.ru/community/compi/2160A62C57F5708.html?reply=1 ). Там в каментах ссылки есть. А я не особо люблю такие вещи хранить)
  • 11 июня 2008 | 10:45 (ссылка #432779)
    0 - + Сообщить модератору
    защищен
    Цитата:
    Да когда мы всё таки этот вирус удалили в корзину, то НОД32 раздуплился и выдал что у вас в корзине мол троян ... какой то там модификации, но изначально то он через НОД32 - просочился, и вырубил его ВАЩЕ! Что НОД32 даже не запускался! Так что вот такая загагулинка!
    :lol: нод форэва
  • 11 июня 2008 | 11:44 (ссылка #432782)
    0 - + Сообщить модератору
    аватара
    у меня как раз НОД))
  • 11 июня 2008 | 14:12 (ссылка #432784)
    0 - + Сообщить модератору
    аватара
    Тоже сталкивался недавно) избавлялся по этой же инструкции) правда у мя каспер, которого он ваще обходит как два пальца обо**ать)
  • 18 июня 2008 | 22:17 (ссылка #432780)
    0 - + Сообщить модератору
    защищен
    ща столкнулся с этой ерундой -- вставляю флэшку а мне каспер говорит вот такую фразу


    после этого захожу на саму флэху а там сабж


    в комментах на майл.ру видел что хто-то жаловался мол каспер эту парашу пропустил -- вывод -- если руки кривые тут и каспер не поможет
  • побряцал оружием
    18 июня 2008 | 23:09 (ссылка #432785)
    0 - + Сообщить модератору
    Born To Frag
    дайте вируса погонять а, ну хоть посмотреть...
  • 19 июня 2008 | 13:58 (ссылка #432789)
    0 - + Сообщить модератору
    аватара
    За неделю естественно этот вирус во все антивирусные базы попал
  • Гость_
    19 июня 2008 | 22:21 (ссылка #432769)
    Аватара не загружена
    у себя удалил вирус следующим образом: просканировал комп перечисленными ниже сканерами в заданной последовательности (ради эксперимента начните с последнего. Ним же и пробуйте отключить процесс с автозапуска) После чего вручную удалите файл MicroSoft.exe и ветку реестра HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options Spybot - Search & Destroy ATF-Cleaner RemoveIT Pro v4 – SE Advanced WindowsCare V2 Personal Удачи;)
  • Гость_
    20 июня 2008 | 15:33 (ссылка #432770)
    Аватара не загружена
    ps. проверено: с автозапуска процесс удаляется прогой Advanced WindowsCare V2 Personal
  • Гость_
    20 июля 2008 | 02:55 (ссылка #432771)
    Аватара не загружена
    встречался с MicrSoft.exe в дополнение к описанию: эта штука умеет перехватывать обращения в памяти, и через это блокирует поиск в редакторе реестра. плюс, каким-то образом, видимо, функционируя через какой-то драйвер - а поскольку новых подозрительных я не обнаружил, то через какой-то заражённый "родной" - при попытках запуститься в безопасном режиме выкидывала в "синий экран". я, если честно, всё ещё сомневаюсь, не было ли у вируса механизма самоуничтожения?.. избавился от него в полдень по московскому времени, и честно говоря, не совсем понял как. сначала переустановил драйвер клавиатуры на всякий случай (на заражённом ПК была Oklik M320, у ней есть программный фильтр) при удалении пользовался RemoveIT Pro v4 SE Process Explorer v.11.20. причём первой - чтобы проверить, есть оно или нет. PE же дала мне возможность манипулировать процессами с отладочным приоритетом, и удостовериться, что все "нехорошие" потоки "убиты". Что касается подобного типа вирусов, победа далась слишком легко. Я даже перезагружаться в безопасном режиме не стал, чтобы не расстраиваться.
  • Гость_
    15 августа 2008 | 16:29 (ссылка #432772)
    Аватара не загружена
    Удаляется благодаря Avz или Cureit
  • 25 августа 2008 | 15:07 (ссылка #432788)
    0 - + Сообщить модератору
    вот так вот! люди, послушайте! NOD 32 ШНЯГА ПОЛНАЯ!!!! я не хочу делать антирекламу но блин лично я видел на 11 компьютерах на которых стоял NOD и постоянно обновлялся, после проверки каспером на них была найдена Х**ва туча вирусов! вот вам и нод))))
  • 25 августа 2008 | 15:16 (ссылка #432783)
    0 - + Сообщить модератору
    у меня ваще антивиря нету... как-то пох... ни фаервола, ни антивиря..
  • Гость_
    3 ноября 2008 | 22:24 (ссылка #432773)
    Аватара не загружена
    XoftSpySE убил без всяких проблем,так что ставте прогу и все
  • Гость_
    25 ноября 2008 | 03:47 (ссылка #432774)
    Аватара не загружена
    кстати этот вирус блокирует запуск касперского запрос идет но запуска программы нет зато его спокойно можно удалить с помощью доктор веб
  • Гость_
    3 декабря 2008 | 03:03 (ссылка #432775)
    Аватара не загружена
    Всем привет! Скажу больше Вам товариши и дорогому Гость_женя, Эта дрянь калечит 8.exe файлы так что они перестают работать, причём на флешках, даже в момент отключения той от компа. У меня из-за этой дряни попортилась вся информация на флешке OCZ Rally2 - 16GGB. Да что самое обидное не дожался полной поверки флешки на вирусы, выключил проверку, флешка отлично функционировала, несколько раз её подключал и отключал от компа. На следующий день подключаю к компу флешку, она инсталится как неизвестное устройство!!! Походу эта дрянь испортила код микро контройлера флешки самой!!! Поднять флешку не получилось пришлось менять по гарантии. Так что по аккуратнее с этой дрянью! Хорошо её мочит доктор веб. Если подхватили эту гадость то лучше просканируйте сначала все жёсткие диски и флешки с загрузочного диска доктор веба, а потом уже делайти какието тело движения. Вот отсюда грузите образ.
  • Гость_
    11 декабря 2008 | 17:54 (ссылка #432776)
    Аватара не загружена
    У меня флєшку пришлось лечить. И на компе єта дрянь прописалась. сейчас попробую єтот XoftSpySE спасибо за инфу. Уже несколько месяцев не могу от єтой дряни избавиться, ещё и на диски музікальніе прописалась и каждій раз заражает, когда я их запускаю. как быть?
  • побряцал оружием
    11 декабря 2008 | 19:13 (ссылка #432786)
    0 - + Сообщить модератору
    Born To Frag
    мой сынуля через день на флэхе из школы приносит printer.exe - убиваю
  • Гость_
    25 января 2009 | 10:59 (ссылка #432777)
    Аватара не загружена
    Видимо вирус периодически обновляется, теперь у него в списке есть и доктор веб и авторанс. Вылечил следующим образом: разлочил процесс microsoft.exe программой unlocker. прибил процесс, удалил сам файл запустил авторанс, переименовав его в autoruns1.exe, убрал его из автозагрузки и из раздела реестра HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options. ВСЕ.
  • Подписаться