Вернуться   Другой Форум - Антивирусы, Программы, Norton, Касперский, ESET, Windows > Безопасность системы > Обсуждение антивирусов и файерволов
Войти через профиль в соц. сети
Регистрация Справка Правила Пользователи Календарь Статистика Все разделы прочитаны
Обсуждение антивирусов и файерволов Обсуждения и сравнения антивирусных программ и файерволов, раздел допускает наличие флуда и свободного общения в рамках приличия

Ответ
Старый 02.09.2010, 00:45   #1
G-Data, Malwarebytes.
 
Аватар для sirys

 
Регистрация: 01.09.2010
Адрес: Valencia
Сообщений: 194

sirys вне форума

Противный и очень надоедливый вирус win32.jeefo


Я очень надеюсь,что людей которые как и я подцепили эту заразу немного, и собравшись духом, я все же решил потратить время, и поделиться лекарством, т.к. вирус этот Dr.Web, Касперский, Norton, Мальваре, AVG и еще пару тройку других - взять так и не смогли. (проверено на собственном опыте) видят но не лечат.
Кстати как потом выяснилось, его берет Panda, но об этом позже.

Симптомы такие:
Компьютер виснет, тормозит, вылетает,пропадает изображение,всё на экране становиться статичным, даже мышь не двигается порой. Скорость соединения падает. Некоторые *exe вообще не открываются. В общем, премилое существо, которое окончательно подпортит и без того расшатанную психику.
Как я уже говорил, dr.web и иже с ним видит его, и даже пишут что "вылечено" но реально лечить накотрез отказывается, считает зараженные файлы неизлечимыми и переименовывает. А вирус этот не много не мало заражает все exe-шники на дисках весом выше 100 кб от диска "С" и ниже "D" и т.д.. Да и если удается удалить тело вируса (svhost.exe) он самовозраждается при перезагрузке вашей машинки. В общем, жуть.

И так потраив как то день, на устранение этой заразы, в прямом смысле весь день, выяснил вот что:

win32.jeefo, аналогичный: Virus.Win32.Hidrag.a
Другие версии: .b, .c

Другие названия:
Virus.Win32.Hidrag.a («Лаборатория Касперского») также известен как: Win32.Hidrag («Лаборатория Касперского»), Virus.Win32.Hidrag («Лаборатория Касперского»), W32/Jeefo (McAfee), W32.Jeefo (Symantec), Win32.HLLP.Jeefo.36352 (Doctor Web), W32/Jeefo-A (Sophos), Win32/HLLP.Jeefo (RAV), PE_JEEFO.A (Trend Micro), W32/Jeefo (H+BEDV), W32/Jeefo.A (FRISK), Win32:Jeefo (ALWIL), Win32/Hidrag.A (Grisoft), Win32.Jeefo.A (SOFTWIN), W32.Jeefo (ClamAV), W32/Jeefo (Panda), Win32/Jeefo.A (Eset)

Технические детали:
Безобидный резидентный Win32-вирус. Заражает приложения Win32 (PE EXE-файлы). При заражении шифрует часть заражаемого файла.

При запуске зараженного файла инсталлирует себя в систему: создаёт свою копию с именем "svchost.exe" (размером около 36K) в каталоге Windows и регистрирует этот файл в ключе автозапуска системного реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
PowerManager = %WindowsDir%\SVCHOST.EXE

Затем вирус остаётся в памяти Windows, рекурсивно ищет и заражает PE EXE-файлы на всех доступных дисках, начиная с диска C:.
Вирус никак не проявляет своего присутствия в системе.
Вирус содержит зашифрованные строки: Hidden Dragon virus. Born in a tropical swamp. PowerManagerMutant.

Virus.Win32.Hidrag.b
Другие версии: .a, .c

Другие названия:
Virus.Win32.Hidrag.b («Лаборатория Касперского») также известен как: W32.Jeefo (Symantec), Win32.HLLP.Jeefo.36352 (Doctor Web), W32/Jeefo (H+BEDV), Win32/Hidrag.A (Grisoft), Win32.Jeefo.A (SOFTWIN), W32.Jeefo (ClamAV)

Технические детали:
Резидентный паразитический вирус. Заражает приложения Win32 (PE EXE-файлы). По своим функциям полностью идентичен варианту Virus.Win32.Hidrag.a.

Virus.Win32.Hidrag.c
Другие версии: .a, .b

Другие названия:
Virus.Win32.Hidrag.c («Лаборатория Касперского») также известен как: Virus.Win32.Jeefo.a («Лаборатория Касперского»), W32/Jeefo (McAfee), W32.Jeefo (Symantec), Win32.HLLP.Jeefo.36352 (Doctor Web), W32/Jeefo (H+BEDV), W32/Jeefo.A (FRISK), Win32/Hidrag.A (Grisoft), Win32.Jeefo.A (SOFTWIN), W32.Jeefo (ClamAV)

Технические детали:
Резидентный паразитический вирус.
После запуска вирус копирует себя в корневой каталог Windows с именем "svchost.exe":

%WinDir%\svchost.exe

Затем вирус регистрирует этот файл в ключе автозапуска системного реестра:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices]
"PowerManager" = "%Windir%\svchost.exe"

Вирус ищет Win32 PE EXE файлы с расширениями .exe на логических дисках компьютера и заражает их. Зараженные файлы увеличиваются в размере на 36352 байт.

Лекарство:
1. Им находите и убиваете:

[Ссылки могут видеть только зарегистрированные пользователи. ]
2. Закрепляете убийство контрольным выстрелом в голову:
[Ссылки могут видеть только зарегистрированные пользователи. ]

Все ссылки рабочие, и ни каких вирусов по ним нет. То предупреждение которое выдает, это стандартное предупреждение сервиса Ucoz/.
п.с. данные програмы бьют только его, т.к сканируют только файлы с расширением exe/.
  Ответить с цитированием
69 пользователя(ей) сказали cпасибо:
0spa, =asd=, albert1907, Alexander, arbuzishe, avatar-8, Blair, bubble, Chepelev, chikolik, deft66, dmi, eldar34, emelya05, Eugen Karver, Extreem1, Fugro, Half, Hollywood, Innga, ira, jafar, Jason, KDrew, kibalthish, krudu-v, Ksanka, military, mpest21, Muntze, N-ski, naliva, Nemo, niroman, podrug63, Rockingbone, Rusya, salamadr, segat, Shempi, skydiver15, sniper, Tamila, Teka-n, Trepa, vlad2495, xonda, Zarikc, Александр Галюк, Влад Павлов, Владис, Грихаст, Даниил Мисиров, Дикан, Екатерина Витюгова, Игорь Волков, Игорь Марк, ИскНаИск, Навуходоносор, настеныш, Равиль, Салават Шамсутдинов, сева98, сержжж, Стас25-17, Таня, Тутифрути, Филипп Малышев, Шариот
Re: Противный и очень надоедливый вирус win32.jeefo
Старый 31.07.2011, 13:57   #2
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 65 728

Markiza вне форума
По умолчанию Re: Противный и очень надоедливый вирус win32.jeefo

решила писать тут,чтобы не создавать новую тему.по ходу с флешки висусом заразилась.там музыка и ещё какие то 2 файла были.один появился визуально и исчез в никуда.систему только переустановила,антивирус ещё не поставила,встроенная защита во втором файле обнаружила угрозу и удалила.тот который пропал,видимо внедрился в систему
Названия файла я и рассмотреть не успела,но в в окне защитника было описано,что это загрузчик троянов.
и началось,смотрите сами.только название файла теперь было другим.нортон его удаляет,а толку нет.он тут как тут,снова и снова.как его уничтожить ума не приложу.пробовала DitDefender,сообщает,что есть в системе 1 заражённый файл,но почему то его не удаляет
Миниатюры
Нажмите на изображение для увеличения
Название: 1.jpg
Просмотров: 31
Размер:	161.9 Кб
ID:	4435  Нажмите на изображение для увеличения
Название: 2.jpg
Просмотров: 9
Размер:	21.2 Кб
ID:	4436  Нажмите на изображение для увеличения
Название: 3.jpg
Просмотров: 10
Размер:	124.3 Кб
ID:	4437  

__________________

  Ответить с цитированием
Re: Противный и очень надоедливый вирус win32.jeefo
Старый 31.07.2011, 14:35   #3
Не олигарх
 
Аватар для Igorjany4

 
Регистрация: 22.02.2009
Сообщений: 3 982

Igorjany4 вне форума
По умолчанию Re: Противный и очень надоедливый вирус win32.jeefo

пробуй MBAM и Hitman
__________________
...а вам никогда не приходило в голову ... копьё?..
  Ответить с цитированием
Re: Противный и очень надоедливый вирус win32.jeefo
Старый 31.07.2011, 16:16   #4
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 65 728

Markiza вне форума
По умолчанию Re: Противный и очень надоедливый вирус win32.jeefo

надо скачать,сегодня сделаю.
как только выхожу в нет,атаки одна за одной,за час-до десяти раз
в основном срабатывает автоматическая защита
__________________

  Ответить с цитированием
Re: Противный и очень надоедливый вирус win32.jeefo
Старый 31.07.2011, 17:58   #5
Форумчанин
 
Аватар для Навуходоносор

 
Регистрация: 26.05.2010
Адрес: Россия
Сообщений: 2 950

Навуходоносор вне форума
По умолчанию Re: Противный и очень надоедливый вирус win32.jeefo

Цитата:
Сообщение от Markiza Посмотреть сообщение
как его уничтожить ума не приложу
Попробуй сделать восстановление системы, также просканировать в безопасном режиме, если не удалятся, то попробуй вручную в безопасном режиме, но перед тем, как удалять просмотри автозагрузку:

Пуск->выполнить->msconfig.exe->Автозагрузка...

Там отключи подозрительные программы, также там можно отключить ненужные службы...

Если это всё не поможет попробуй просканировать AVZ разок...
  Ответить с цитированием
Re: Противный и очень надоедливый вирус win32.jeefo
Старый 31.07.2011, 18:39   #6
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 65 728

Markiza вне форума
По умолчанию Re: Противный и очень надоедливый вирус win32.jeefo

вот что я нашла в нете:
W32.Virut!html
Описание:
W32.Virut!html, из семейства вирусов W32.Virut, заражает *.HTML файлы. Он может содержать функцию для перенаправления пользователей на вредоносные веб-сайты, которые могут эксплуатировать браузеры.

Тип вредоносной программы:
Вирус

ОС подверженные заражению:
Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000

Уровень опасности:
средний

Размер:
251 байт

Технические детали:
После запуска вирус скачивает вредоносные файлы на компьютере из следующих удаленных местах:
* [[Ссылки могут видеть только зарегистрированные пользователи. ][???]
* [[Ссылки могут видеть только зарегистрированные пользователи. ][EXPLOI[???]
* [[Ссылки могут видеть только зарегистрированные пользователи. ][???]
* [[Ссылки могут видеть только зарегистрированные пользователи. ][???]
* [[Ссылки могут видеть только зарегистрированные пользователи. ].[???]


Как удалить W32.Virut!html:
#1 Отключить функцию "Восстановление системы"
#2 Полностью проверить систему антивирусом с обновлённой базой сигнатур
#3 Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Если при попытке запустить Редактор реестра, Командную строку и/или Диспетчер задач (любым способом) появляется окно с сообщением «Редактирование реестра запрещено администратором системы», «Приглашение командной строки отключено вашим администратором» и/или «Диспетчер задач отключён администратором», рекомендуем использовать бесплатно скачать и использовать бесплатную программу, RegComTas EnableR с помощью которой возможно восстановить прав пользователя на запуск системных утилит.

отключила восстановление,сейчас сканирую,комп почти не тянет уже,часто виснет,скачивать что либо бесполезно,скорость почти на нулях
пока вот скан.ещё не законченный,помоему ещё хуже,чем представляла
говорят,что лечить его практически бесполезно,так как он начинает гулять по всем системным папкам,не удалять же их.сейчас досканирую и попробую запустить в безопасном режиме,я смогу восстановить реестр?
Миниатюры
Нажмите на изображение для увеличения
Название: 1.jpg
Просмотров: 11
Размер:	115.4 Кб
ID:	4438  
__________________

  Ответить с цитированием
Re: Противный и очень надоедливый вирус win32.jeefo
Старый 31.07.2011, 19:02   #7
Форумчанин
 
Аватар для military

 
Регистрация: 02.03.2011
Сообщений: 772

military вне форума
По умолчанию Re: Противный и очень надоедливый вирус win32.jeefo

видимо в таком случае нужны антивирусы хорошо лечащие, каспер или др. веб. их утилиты.
  Ответить с цитированием
Пользователь сказал cпасибо:
Re: Противный и очень надоедливый вирус win32.jeefo
Старый 31.07.2011, 19:06   #8
Я - Вася Федотов - народный герой!
 
Аватар для GalkaAS

 
Регистрация: 25.08.2010
Сообщений: 2 073

GalkaAS вне форума
По умолчанию Re: Противный и очень надоедливый вирус win32.jeefo

и в безопасном сможешь и с ERD Commander'а сможешь и ..., только вот чего ты там восстанавливать собралась?
конечно могу тебе сейчас кучу софта насоветовать для отлова и лечения, но не буду, считаю это пустой тратой времени, ИМХО
ежели заранее не побеспокоилась о своевременном бэкапе — пиши пропало
переустанавливай систему
  Ответить с цитированием
2 пользователя(ей) сказали cпасибо:
Re: Противный и очень надоедливый вирус win32.jeefo
Старый 31.07.2011, 19:19   #9
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 65 728

Markiza вне форума
По умолчанию Re: Противный и очень надоедливый вирус win32.jeefo

уверен,что поможет?я уже столько за второй начиталась-W32.Virut.CF,что совсем руки опустились,типа и после переустановки начинается тоже самое.
кстати в автозагрузке,как посоветовал Syn,отключила оuc.exe,который ранее антивирус признал опасным и удалил якобы в карантин.


3.ы.я того маму знаю,кто мне эту флешку дал и попросил посмотреть,что там!!!!
__________________

  Ответить с цитированием
Re: Противный и очень надоедливый вирус win32.jeefo
Старый 31.07.2011, 19:41   #10
Я - Вася Федотов - народный герой!
 
Аватар для GalkaAS

 
Регистрация: 25.08.2010
Сообщений: 2 073

GalkaAS вне форума
По умолчанию Re: Противный и очень надоедливый вирус win32.jeefo

Цитата:
Сообщение от Markiza Посмотреть сообщение
уверен,что поможет?
в принципе да
я другого выхода не вижу, вирь, у тебя системные файлы жрёт
конечно перед установкой ОС неплохо было бы проверить все локальные диски на наличие заразы
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
  Ответить с цитированием
2 пользователя(ей) сказали cпасибо:
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Выкл.
Pingbacks are Выкл.
Refbacks are Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Активное заражение памяти (Win32/Corkow.AE) xyligan Обсуждение антивирусов и файерволов 6 10.02.2016 15:01
Как убить файловый вирус Win32.Sector. 12. ? Mario_ Помощь / Help 24 28.06.2015 01:19
Интересный вирус.. или? sirys Обсуждение антивирусов и файерволов 18 27.10.2014 21:23
Новый вирус OSHIT joinmax Обсуждение антивирусов и файерволов 0 29.11.2013 16:26
Вирус Trojan.Win32.Inject.aohy Навуходоносор Обсуждение антивирусов и файерволов 14 30.07.2011 08:15


Часовой пояс GMT +3, время: 06:53.




Яндекс.Метрика