Вирус на почте...
Модификация Win32.HLLM.Perf от 06.09.2006
Распространяется в виде письма с вложением в виде .hta файла
При запуске .hta в корневом каталоге создаётся .EXE-файл (21 262 байта который запускается на исполнение.
Копирует себя в системную папку с именем %systemroot%\csrss.exe (настоящий csrss.exe находится в %systemroot%\system32\csrss.exe)
Свою автозагрузку при старте системы обеспечивает записью в реестре:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
Debugger = "C:\WINDOWS\csrss.exe"
Запускает дополнительные процессы services.exe и svchost.exe. В них он внедряет код, который поддерживает запись автозагрузки в реестре и целостность своего носителя csrss.exe.
Если тело вируса будет удалено, то тут же будет восстановлено из копии, которая хранится в памяти инфицированного процесса services.exe. При этом имитируется срабатывание "Защиты файлов Windows".
Имя вложения может быть следующим:
Message
File
Document
README
Passwords
Readme
Important
New
COOL
Archive
Fotos
private
confidential
secret
images
your_documents
backup
Распространяется в виде письма с вложением в виде .hta файла
При запуске .hta в корневом каталоге создаётся .EXE-файл (21 262 байта который запускается на исполнение.
Копирует себя в системную папку с именем %systemroot%\csrss.exe (настоящий csrss.exe находится в %systemroot%\system32\csrss.exe)
Свою автозагрузку при старте системы обеспечивает записью в реестре:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
Debugger = "C:\WINDOWS\csrss.exe"
Запускает дополнительные процессы services.exe и svchost.exe. В них он внедряет код, который поддерживает запись автозагрузки в реестре и целостность своего носителя csrss.exe.
Если тело вируса будет удалено, то тут же будет восстановлено из копии, которая хранится в памяти инфицированного процесса services.exe. При этом имитируется срабатывание "Защиты файлов Windows".
Имя вложения может быть следующим:
Message
File
Document
README
Passwords
Readme
Important
New
COOL
Archive
Fotos
private
confidential
secret
images
your_documents
backup
Главный вопрос походу такой:
Где этот вирус успел покопаться, коль скоро он знает твой e-mail
В твоей адресной книги
или в адресной книге кого-то, у кого ты записан как аддрессат
Где этот вирус успел покопаться, коль скоро он знает твой e-mail
В твоей адресной книги
или в адресной книге кого-то, у кого ты записан как аддрессат
В твоей адресной книгиВо-во. Я же говорю, что тех адресов, присланных мне, я не знаю, и там, в частности, был е-мейл Котобра.
или в адресной книге кого-то, у кого ты записан как аддрессат
Покопался в компе. Все симптомы наличия вируса налицо. И куда смотрел мой антивирус?
а какой у тебя антивирус?
Norton
я его,по совету обитателей этого треда,слава Богу, своевременно снесла... 
Ну что ж... Сейчас Касперский громит мой компьютер, снёс уже более 150 файлов, в т.ч. и explorer.exe
А в своё время было лень разбивать жесткий диск на два логических... Сейчас кого-нить порошу скинуть на болванки все важные данные и... format c:
Может, кто-нибудь посоветует, как эксплорер восстановить?
Диспетчер задач работает, через него, в принципе, смог оперу открыть. На команду explorer ругается, не знаю, говорит такой, запускать c:\windows\explorer.exe не хочет по тем же причинам...
А в своё время было лень разбивать жесткий диск на два логических... Сейчас кого-нить порошу скинуть на болванки все важные данные и... format c:
Может, кто-нибудь посоветует, как эксплорер восстановить?
Диспетчер задач работает, через него, в принципе, смог оперу открыть. На команду explorer ругается, не знаю, говорит такой, запускать c:\windows\explorer.exe не хочет по тем же причинам...
на болванки-то зачем?
по сети кому-нить залей да и всё
по сети кому-нить залей да и всё
Оставить комментарий
Lyuba
Вот что мне сегоднячко пришло:Далее следует длинный список адресов, которые я впервые в глаза вижу, но они явно относятся к МГУ, потому как находятся на серверах sectorb.msk.ru и mexmat.net
и дальше прикреплённый файл secret.hta
Чует моя душа, что это вирус...
Кто-нибудь может мне что-нибудь объяснить?
Было ли у кого-нибудь что-то подобное?