NewHeur_PE virus

afaffsd12

NewHeur_PE virus
Троянская программа, которая открывает ссылки в интернете без ведома пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 73728 байт. Написана на Visual Basic.
Размножение:
NewHeur_PE virus пытается заразить компьютер червем Win32.Stration.
Пример ссылок, которые приходят в ICQ от пользователей (рассылающиеся без их ведома):
http://0171.RXFF.NET/1/759/
http://0171.RXFF.NET/1/759/
http://9226.RXFF.NET/2/547/picture.pif
Открывает следующие ссылки без ведома пользователя:
www.amazon.com/exec/obidos/redirect-home/wwwgreedincco-20
service.bfast.com/bfast/click
service.bfast.com/bfast/click
service.bfast.com/bfast/click
service.bfast.com/bfast/click
service.bfast.com/bfast/click
service.bfast.com/bfast/click
service.bfast.com/bfast/click
service.bfast.com/bfast/click
service.bfast.com/bfast/click
www.qksrv.net/click-1348887-2202639
click.linksynergy.com/fs-bin/click
service.bfast.com/bfast/click
service.bfast.com/bfast/click
service.bfast.com/bfast/click
service.bfast.com/bfast/click
www.qksrv.net/click-1348887-1495778
service.bfast.com/bfast/click
service.bfast.com/bfast/click
service.bfast.com/bfast/click
www.qksrv.net/click-1348887-2202691
service.bfast.com/bfast/click
service.bfast.com/bfast/click
service.bfast.com/bfast/click
service.bfast.com/bfast/click
service.bfast.com/bfast/click
service.bfast.com/bfast/click
service.bfast.com/bfast/click
click.linksynergy.com/fs-bin/click
service.bfast.com/bfast/click
service.bfast.com/bfast/click
service.bfast.com/bfast/click
click.linksynergy.com/fs-bin/click
click.linksynergy.com/fs-bin/click
click.linksynergy.com/fs-bin/click
click.linksynergy.com/fs-bin/click
click.linksynergy.com/fs-bin/click
click.linksynergy.com/fs-bin/click
click.linksynergy.com/fs-bin/click
click.linksynergy.com/fs-bin/click
click.linksynergy.com/fs-bin/click
click.linksynergy.com/fs-bin/click
click.linksynergy.com/fs-bin/click
click.linksynergy.com/fs-bin/click
click.linksynergy.com/fs-bin/click
click.linksynergy.com/fs-bin/click
click.linksynergy.com/fs-bin/click
click.linksynergy.com/fs-bin/click
click.linksynergy.com/fs-bin/click
click.linksynergy.com/fs-bin/click
click.linksynergy.com/fs-bin/click
click.linksynergy.com/fs-bin/click
click.linksynergy.com/fs-bin/click
click.linksynergy.com/fs-bin/click
click.linksynergy.com/fs-bin/click
click.linksynergy.com/fs-bin/click
click.linksynergy.com/fs-bin/click
click.linksynergy.com/fs-bin/click
click.linksynergy.com/fs-bin/click
click.linksynergy.com/fs-bin/click
www.topshelfpussy.com/main.htm
www.bignaturals.com/main.htm
www.8thstreetlatinas.com/main.htm
www.streetblowjobs.com/main.htm
signups.triplexcash.com/hit.php
signups.triplexcash.com/hit.php
www.bigblackknockers.com
signups.triplexcash.com/hit.php
www.inthevip.com/main.htm
www.inthevip.com/main.htm
www.cumfiesta.com/main.htm
www.milfhunter.com/main.htm
www.captainstabbin.com/main.htm
track.oxcash.com
track.oxcash.com
track.oxcash.com
track.oxcash.com
track.oxcash.com
track.oxcash.com
track.oxcash.com
track.oxcash.com
track.oxcash.com
track.oxcash.com
www.interneteraser.com/enter.html
signups.triplexcash.com/hit.php
signups.triplexcash.com/hit.php
www.ucbill.com/click.php
www.allamateurmovies.com/main.htm
www.nastyfetish.org/main.htm
www.wivesinpantyhose.com/main.htm
www.megacockcravers.com/main.htm
www.boysfirsttime.com/main.htm
www.trannysurprise.com/main.htm
NewHeur_PE virus имеет функции, с помощью которых может изменять стартовую страницу Microsoft Internet Explorer, а также скачивать и запускать файлы из интернета.

http://stopvirus.ru/index.php?id=172
не хочет уходить с компа - и всё тут! :crazy:
что делать?

juliuzz

AVZ
в safemode

shustya08

поиск и удаление всех Файлов
размером 73728 байт
убиение автозагрузки процесса...
закрытие шар на полный доступ...

bestpilot8

Раз.
Два.
И где-то там у Симантека был worm removal tool... лень искать.
Авось поможет.

nas1234

где вы их берете, эти вирусы и трояны? :shocked:

bestpilot8

Вот, точно. Где вы их берёте? :confused:

afaffsd12

где вы их берете, эти вирусы и трояны?
у меня в первый раз в жизни такое :crazy:
NOD не знает, что с этим делать..
короче, господа, жду на чай! :D

feliks28

Попробуй Dr.Web CureIt! - оно установки не требует.

zlod

Ага, и нихера не лечит. Успел я с этой фигней познакомиться, использовать можно только если больше нечего.

afaffsd12

говорит мне следующее:
c:\windows\apppatch\acplugin.dll
инфицирован Trojan.NtRootKit.origin и не может быть исцелен.
переместить?

:crazy:

Anna83

перемещай

shustya08

убивай
это не какая-нибудь системная библиотека, у меня этого файла, скажем, нет

afaffsd12

ну и кто в итоге придет ко мне на чай? ;)

kruzer25

поиск и удаление всех Файлов
размером 73728 байт
C:\Windows\System32\ru-RU\GPOAdmin.dll.mui 

C:\Windows\winsxs\x86_microsoft-windows-g..licy-gpmc.resources_31bf3856ad364e35_6.0.6000.16386_ru-ru_4bf4f5f1f1ec42a3\GPOAdmin.dll.mui 

C:\Windows\assembly\GAC_MSIL\Microsoft.Build.Utilities\2.0.0.0__b03f5f7f11d50a3a\Microsoft.Build.Utilities.dll 

C:\Windows\Microsoft.NET\Framework\v2.0.50727\Microsoft.Build.Utilities.dll 

C:\Windows\winsxs\msil_microsoft.build.utilities_b03f5f7f11d50a3a_6.0.6000.16386_none_e234f396a4ad3545\Microsoft.Build.Utilities.dll 

C:\Windows\assembly\NativeImages_v2.0.50727_32\Microsoft.GroupPoli#\ad89af7a26eba79818f5f07b856c2416\Microsoft.GroupPolicy.GPOAdminGrid.ni.dll 

C:\Program Files\Reference Assemblies\Microsoft\Framework\v3.0\ru\System.IdentityModel.Resources.dll 

C:\Windows\assembly\GAC_MSIL\System.IdentityModel.resources\3.0.0.0_ru_b77a5c561934e089\System.IdentityModel.Resources.dll 

C:\Windows\winsxs\msil_system.identitymodel.resources_b77a5c561934e089_6.0.6000.16386_ru-ru_5260fdbab1271cf5\System.IdentityModel.Resources.dll 

C:\Windows\winsxs\x86_microsoft-windows-wcfcorecomp.resources_31bf3856ad364e35_6.0.6000.16386_ru-ru_e7b4b3a58d93208c\System.IdentityModel.Resources.dll 

C:\Windows\System32\ru-RU\VSSVC.exe.mui 

C:\Windows\winsxs\x86_microsoft-windows-vssservice.resources_31bf3856ad364e35_6.0.6000.16386_ru-ru_142713bfbf081883\VSSVC.exe.mui 

C:\Windows\System32\wbem\en-US\WMIC.exe.mui 

C:\Windows\winsxs\x86_microsoft-windows-w..e-utility.resources_31bf3856ad364e35_6.0.6000.16386_en-us_fd26643cc464176a\WMIC.exe.mui 

C:\Windows\System32\en-US\WinSAT.exe.mui 

C:\Windows\winsxs\x86_microsoft-windows-w..smenttool.resources_31bf3856ad364e35_6.0.6000.16386_en-us_967a32957dc17169\WinSAT.exe.mui 

C:\Windows\System32\ru-RU\cmdial32.dll.mui 

C:\Windows\winsxs\x86_microsoft-windows-rascmdial.resources_31bf3856ad364e35_6.0.6000.16386_ru-ru_180335353c5cde98\cmdial32.dll.mui 

C:\Windows\System32\ru-RU\dhcpsapi.dll.mui 

C:\Windows\winsxs\x86_microsoft-windows-d..serverapi.resources_31bf3856ad364e35_6.0.6000.16386_ru-ru_3881b86b5bf1751e\dhcpsapi.dll.mui 

C:\Windows\System32\ru-RU\filemgmt.dll.mui 

C:\Windows\winsxs\x86_microsoft-windows-s..foldersui.resources_31bf3856ad364e35_6.0.6000.16386_ru-ru_fdc8eb7e50b3cef2\filemgmt.dll.mui 

C:\Windows\System32\gpapi.dll 

C:\Windows\winsxs\x86_microsoft-windows-grouppolicy-base_31bf3856ad364e35_6.0.6000.16386_none_25ec9fe2ea179531\gpapi.dll 

C:\Windows\System32\ru-RU\localspl.dll.mui 

C:\Windows\winsxs\x86_microsoft-windows-p..-localspl.resources_31bf3856ad364e35_6.0.6000.16386_ru-ru_ae71da71ee5a025f\localspl.dll.mui 

C:\Program Files\Common Files\System\msadc\msadcf.dll 

C:\Windows\winsxs\x86_microsoft-windows-m..rds-datafactory-dll_31bf3856ad364e35_6.0.6000.16386_none_ed2af18639091150\msadcf.dll 

C:\Windows\System32\he-IL\msimsg.dll.mui 

C:\Windows\winsxs\x86_microsoft-windows-i..er-engine.resources_31bf3856ad364e35_6.0.6000.16386_he-il_2b8da8973b3d611d\msimsg.dll.mui 

C:\Windows\System32\ru-RU\netshell.dll.mui 

C:\Windows\winsxs\x86_microsoft-windows-netshell-mui.resources_31bf3856ad364e35_6.0.6000.16386_ru-ru_95e3ce568e950dd5\netshell.dll.mui 

C:\Windows\winsxs\x86_microsoft-windows-r..ntconsole.resources_31bf3856ad364e35_6.0.6000.16386_ru-ru_05065eb25719573c\ntmsmgr.dll.mui 

C:\Windows\System32\ru-RU\ntprint.dll.mui 

C:\Windows\winsxs\x86_microsoft-windows-p..i-ntprint.resources_31bf3856ad364e35_6.0.6000.16386_ru-ru_b9e8471a0a1828d4\ntprint.dll.mui 

C:\Program Files\Windows Media Player\ru-RU\setup_wm.exe.mui 

C:\Windows\winsxs\x86_microsoft-windows-m..yer-setup.resources_31bf3856ad364e35_6.0.6000.16386_ru-ru_25e6c29726dac59b\setup_wm.exe.mui 

C:\Program Files\Eclipse\configuration\org.eclipse.osgi\bundles\255\1\.cp\swt-gdip-win32-3232.dll 

C:\Windows\System32\vsstrace.dll 

C:\Windows\winsxs\x86_microsoft-windows-vssapi_31bf3856ad364e35_6.0.6000.16386_none_d2b01c5484d69a7a\vsstrace.dll 

C:\Windows\System32\ru-RU\wlancfg.dll.mui 

C:\Windows\winsxs\x86_microsoft-windows-w..sh-helper.resources_31bf3856ad364e35_6.0.6000.16386_ru-ru_07dbbe9b8e8ddeee\wlancfg.dll.mui 

C:\Windows\System32\wlanext.exe 

C:\Windows\winsxs\x86_microsoft-windows-wlan-extension_31bf3856ad364e35_6.0.6000.16386_none_f7ac6d32266e7828\wlanext.exe 

C:\Windows\winsxs\Backup\x86_microsoft-windows-grouppolicy-base_31bf3856ad364e35_6.0.6000.16386_none_25ec9fe2ea179531_gpapi.dll_868dd225 

C:\Windows\winsxs\Backup\x86_microsoft-windows-i..er-engine.resources_31bf3856ad364e35_6.0.6000.16386_he-il_2b8da8973b3d611d_msimsg.dll.mui_72e8994f 

C:\Windows\winsxs\Backup\x86_microsoft-windows-vssapi_31bf3856ad364e35_6.0.6000.16386_none_d2b01c5484d69a7a_vsstrace.dll_85c64e53

Все - размером ровно в 73728 байт :o

shustya08

фигасе :shocked:

kruzer25

Ну как бы легко прикинуть, что для десяти тысяч файлов объёмом от 0 до 100КБ, найти файл с какой-то заранее заданной длиной в пределах 100к можно с довольно большой вероятностью, порядка 10%. А если добавить ещё какое-нибудь ограничение, вроде того, что длина файла должна делиться на 512 (а для системных файлов, всяких там .exe и .dll так оно и есть, судя по содержимому system32) - то таких файлов у тебя будет в среднем полсотни.
Так что совет "найти все файлы с размером xxx и удалить" - очень глупый, глупее него может быть разве что "найти все файлы, чтобы третья буква имени была z, и удалить".
Оставить комментарий
Имя или ник:
Комментарий: