Если кто знает что это за вирус

@SashaRasha · Регистрация: 08.10.2008

Author24 — интернет-сервис помощи студентам

Всем привет! Поднимаю данную тему т.к. считаю ее актуальной. На данный момент ни лабараторией Касперского ни др. известными мне антивирусными системами не выпущено никаких обновлений решающих данную проблему! Я до сих пор встречаю этот вирус при работающих антивирусах. Помогает только вырезание его из автозагрузки утилитой Hijackthis и последующего ручного удаления тела вируса, при чем встречается и повторное заражение. Если кто знает что это за вирус и как можно предотвратить его попадание на компьютер, то пожалуйста поделитесь опытом!
P.S. Возможно я могу ошибаться по поводу бессилия всех антивирусов, но каспер точно не помогает!

@~~Katharsis~~ · 13.10.2011, 08:46

Сообщение от SashaRasha

Если кто знает что это за вирус

Все должны сами догадаться, что вы имеете ввиду? Магов и ясновидящих нет.

@SashaRasha · 13.10.2011, 08:52 **[ТС]**

Сообщение от Katharsis

Все должны сами догадаться, что вы имеете ввиду?

А тему с начала прочитать слабо? Там все есть и даже скрины!
P.S. Я не имею ввиду отдельный комп, а этот вирус вообще! Или вам с каждого компа логи скинуть?

@~~Katharsis~~ · 13.10.2011, 09:11

SashaRasha, доогрызаетесь сейчас. Пост вынес в отдельную тему, т к к тому случаю он уже не относится.

Если у вас по сети с тех самых пор гуляет этот вирь, значит вы такой админ (даже если сеть домашняя).
Что это за вирус - в той теме есть внизу метка.

win32.hllw.autoruner

Кроме автозагрузки, если вы внимательно читали свою старую тему, обратите внимание, этот вирь создает автораны:

Код

 DeleteFile('C:\AUTORUN.INF');
 DeleteFile('F:\autorun.inf');

Это один из способов его распространения. Про желательное отключение автозапуска, своевременную установку обновлений каспера, системы и уязвимого софта и защиту флешек вам тоже было сказано - Комп. засыпает "флехи" ярлыками

Как предотвратить попадание этого вируса - точно так же, как и всех остальных. Тем же каспером (в базах есть) проверяйте перед запуском неизвестные файлы , которые собираетесь открыть или скачать и ссылки, по которым собираетесь переходить (линкчекер от Dr.Web не плохо с этим справляется). А если вы все таки запустили виря вручную, то ни каспер, ни что другое не поможет (в плане предотвратить).

@SashaRasha · 13.10.2011, 11:33 **[ТС]**

он не гуляет по сети, просто я встречаю его в разных местах, и с работающими антивирусами с актуальными базами. на многие вирусы есть заплатки майкрософт и др., вот я и спросил мож по этому что есть? а на счет отключения автозагрузки и удаления авторанов мне все понятно, просто проблема все таки не маленькая, и уже 4 месяца я встречаю этот вирус, и ни каспер ни док. вэб не помогают, только ручное удаление из автозагрузки утилитой Hijackthis и последующей чистки папки document end settings/user и корневой дериктории флешек.
P.S. проблема то решаема, но нужно делать кучу манипуляций, а централизованного решения так и нет.

@~~Katharsis~~ · 13.10.2011, 12:01

Против этого специфических заплаток нет. И у каспра и у веба в базах он давно уже есть. Одно дело, если они его находят, но удалить не могут, или другое - если пользователь, сидя под админской учеткой, отключает проактивку чтобы не мешала посмотреть, к примеру, что там ему на мыло прислали.

4 месяца подряд вы встречаете этот вирус у себя? Если не у себя, то пользователь просто скорей всего пренебрегает правилами безопасности, если заражается повторно.

Сообщение от SashaRasha

и ни каспер ни док. вэб не помогают, только ручное удаление из автозагрузки утилитой Hijackthis и последующей чистки папки document end settings/user и корневой дериктории флешек.

Не охото вручную ковыряться - Malwarebytes' Anti-Malware хорошо распознает этого виря и его ключи в т ч и на флешках. Запускаете полную проверку, потом просто отмечаете что удалить. Единственный момент - не удалите лишнего, всегда перепроверяйте что удаляете.

Сообщение от SashaRasha

и уже 4 месяца я встречаю этот вирус

Не по теме:

а я к примеру полгода встречаю каждый день mayachok1\cidox по нескольку штук, мутит уже от них, в базах есть уже у всех, способами избавления (адекватными и не очень) весь инет завален, поток нескончаемый и тем не менее многие предпочитают снос системы, чем прибить эту тварь за 5 минут.

тему перенесу в безопасность

@SashaRasha · 30.11.2011, 09:44 **[ТС]**

Информация из наблюдений за данным вирусом: вирус так называемый win32.hllw.autoruner находится на зараженном компьютере в папке C:\Documents and Settings\user. user - это имя учетной записи под которой загружен "експлоер". Файл вируса имеет случайное имя и расширение *.exe, а так же имеет атрибут скрытого системного файла. При активном заражении данным вирусом в проводнике не отображается(не фиксируется) опция отображения системных файлов.
Главное действие работы вируса заключается в скрытии информации на флеш-накопителях и последующей невозможности получить доступ к данным обычными средствами проводника. С флешек ничего не удаляется за исключением некоторых случаев(были случаи удаления установочных файлов антивируса Касперского из корневой директории)
Распространяется вирус через те же флеш-накопители по средствам автозапуска файла AUTORUN.INF
продолжение следует.....

@~~Katharsis~~ · 30.11.2011, 10:32

Здесь можно почитать полностью. семейство win32.hllw.autoruner

Информация по восстановлению системы от dr.web

1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер, а также flash-накопители Dr.Web CureIt! . Для найденных объектов применить действие "Лечить".
4. При необходимости, восстановить отображение скрытых файлов в Проводнике, присвоив значание "1" параметру реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\F older\Hidden\SHOWALL\CheckedValue
Рекомендации по восстановлению системы

Загрузить ОС Windows в Безопасном режиме (Safe Mode).
Воспользоваться дисковым сканером Dr.Web® либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Для всех найденных инфицированных файлов необходимо применить действие «Лечить».
Восстановить реестр из резервной копии.
Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом: Ящик — Свойства почтового ящика — Файлы и каталоги — Хранить присоединенные файлы в отдельном каталоге (Account — Properties — Files & Directories — Keep attachment files — Separately in a special directory).

@SashaRasha · 30.11.2011, 16:40 **[ТС]**

Информация из наблюдений за данным вирусом: часть 2: При подключении "флешки" к зараженному компьютеру на ней создается файл AUTORUN.INF все файлы и каталоги получают атрибут системный и исчезают из поля зрения, а вместо них появляются *.ехе файлы с идентичными названиями истинных файлов и папок и др. именами типа sexy.exe, porn.exe, secret.exe, а так же другие файлы(бесполезные файлы для отвода глаз и файл значка папки)
При подключении зараженной "флешки" к компьютеру происходит заражение по средствам файла AUTORUN.INF, который активирует файл с расширением *.exe(обычно 252КБ), который и приводит в действие вирус. В реестре создаются ключи автозапуска вируса при включении компьютера.
Обычно если на компьютере установлено антивирусное ПО, файл AUTORUN.INF удаляется и автоматического заражения не происходит, но пользователь обычно сам приводит в действие вирус запустив файл *.ехе думая что это нужный ему файл... Кто-то может со мной не согласиться, но, ни Доктор веб, ни Касперский при ручной активации ни как не реагируют, даже при включенной проактивной защите Касперский выдает что-то про создание ключей в реестре , но заражение все равно происходит даже если запретить.

@SashaRasha · 02.12.2011, 06:42 **[ТС]**

Удаление: Удалить вирус не сложно, достаточно удалить файл *.ехе в директории C:\Documents and Settings\user. user - это имя учетной записи под которой загружен "експлоер". Обычным удалением он не удаляется! Можно воспользоваться программой типа Unlocker. Также можно пофиксить утилитой Hijackthis. Но как защитить компьютер от повторного заражения мне не известно, поэтому прошу если кто знает как можно закрыть данную уязвимость напишите пожалуйста!

P.S. Если кому надо, могу выложить экзешник.

@~~Katharsis~~ · 02.12.2011, 11:12

Сообщение от SashaRasha

Также можно пофиксить утилитой Hijackthis.

файлы не удаляет.

Сообщение от SashaRasha

P.S. Если кому надо, могу выложить экзешник.

Нельзя. Тема сразу же будет закрыта.

А чтобы не писать бесполезную чушь, SashaRasha, попробуйте поискать информацию об этом зловреде в достоверных источниках, т е на сайтах антивирусных компаний. Инфы - вагон. Одну из ссылок я привел.

@SashaRasha · 05.12.2011, 11:52 **[ТС]**

Сообщение от Katharsis

файлы не удаляет.

Это деактивирует вирус!(после перезагрузки)

Сообщение от Katharsis

Нельзя. Тема сразу же будет закрыта.

Могу прислать в личку, если надо.

Сообщение от Katharsis

А чтобы не писать бесполезную чушь, SashaRasha, попробуйте поискать информацию об этом зловреде в достоверных источниках, т е на сайтах антивирусных компаний. Инфы - вагон. Одну из ссылок я привел.

Ваша ссылка от другого вируса!(этот регистрируется в curent user) А вирус удалить действительно не сложно! Сложно его не подцепить!

Комментарий модератора

Хватит писать чушь. Разберитесь сначала в вопросе, потом пишите

@SashaRasha · 24.12.2011, 10:42 **[ТС]**

Всем привет! Доведу до конца начатое в этой теме . добавить особо нечего так, я считаю все уже было разжевано! Осталось только сообщить, что вирус наконец-то добавлен в базы антивируса Касперского и произошло это только лишь в декабре, а не очень давно как тут некоторые отписовали(да простят меня админы). Вирус получил название "Worm.Win32.WBNA.bqi" Всем удачи! Обновляйте во время базы

P.S. если и это чушь то тогда я уже не знаю какие тут гении сидят

@SashaRasha 90 / 46 / 8 Регистрация: 08.10.2008 Сообщений: 437
		1
	Если кто знает что это за вирус 13.10.2011, 08:41. Показов 7708. Ответов 12 Метки нет (Все метки) Всем привет! Поднимаю данную тему т.к. считаю ее актуальной. На данный момент ни лабараторией Касперского ни др. известными мне антивирусными системами не выпущено никаких обновлений решающих данную проблему! Я до сих пор встречаю этот вирус при работающих антивирусах. Помогает только вырезание его из автозагрузки утилитой Hijackthis и последующего ручного удаления тела вируса, при чем встречается и повторное заражение. Если кто знает что это за вирус и как можно предотвратить его попадание на компьютер, то пожалуйста поделитесь опытом! P.S. Возможно я могу ошибаться по поводу бессилия всех антивирусов, но каспер точно не помогает! 0

@~~Katharsis~~ Заблокирован
	13.10.2011, 08:46	2
	Сообщение от SashaRasha Если кто знает что это за вирус Все должны сами догадаться, что вы имеете ввиду? Магов и ясновидящих нет. 0

@SashaRasha 90 / 46 / 8 Регистрация: 08.10.2008 Сообщений: 437
	13.10.2011, 08:52 [ТС]	3
	Сообщение от Katharsis Все должны сами догадаться, что вы имеете ввиду? А тему с начала прочитать слабо? Там все есть и даже скрины! P.S. Я не имею ввиду отдельный комп, а этот вирус вообще! Или вам с каждого компа логи скинуть? 0

@~~Katharsis~~ Заблокирован
	13.10.2011, 09:11	4
	SashaRasha, доогрызаетесь сейчас. Пост вынес в отдельную тему, т к к тому случаю он уже не относится. Если у вас по сети с тех самых пор гуляет этот вирь, значит вы такой админ (даже если сеть домашняя). Что это за вирус - в той теме есть внизу метка. win32.hllw.autoruner Кроме автозагрузки, если вы внимательно читали свою старую тему, обратите внимание, этот вирь создает автораны: Код DeleteFile('C:\AUTORUN.INF'); DeleteFile('F:\autorun.inf'); Это один из способов его распространения. Про желательное отключение автозапуска, своевременную установку обновлений каспера, системы и уязвимого софта и защиту флешек вам тоже было сказано - Комп. засыпает "флехи" ярлыками Как предотвратить попадание этого вируса - точно так же, как и всех остальных. Тем же каспером (в базах есть) проверяйте перед запуском неизвестные файлы , которые собираетесь открыть или скачать и ссылки, по которым собираетесь переходить (линкчекер от Dr.Web не плохо с этим справляется). А если вы все таки запустили виря вручную, то ни каспер, ни что другое не поможет (в плане предотвратить). 0

@SashaRasha 90 / 46 / 8 Регистрация: 08.10.2008 Сообщений: 437
	13.10.2011, 11:33 [ТС]	5
	он не гуляет по сети, просто я встречаю его в разных местах, и с работающими антивирусами с актуальными базами. на многие вирусы есть заплатки майкрософт и др., вот я и спросил мож по этому что есть? а на счет отключения автозагрузки и удаления авторанов мне все понятно, просто проблема все таки не маленькая, и уже 4 месяца я встречаю этот вирус, и ни каспер ни док. вэб не помогают, только ручное удаление из автозагрузки утилитой Hijackthis и последующей чистки папки document end settings/user и корневой дериктории флешек. P.S. проблема то решаема, но нужно делать кучу манипуляций, а централизованного решения так и нет. 0

@~~Katharsis~~ Заблокирован
	13.10.2011, 12:01	6
	Против этого специфических заплаток нет. И у каспра и у веба в базах он давно уже есть. Одно дело, если они его находят, но удалить не могут, или другое - если пользователь, сидя под админской учеткой, отключает проактивку чтобы не мешала посмотреть, к примеру, что там ему на мыло прислали. 4 месяца подряд вы встречаете этот вирус у себя? Если не у себя, то пользователь просто скорей всего пренебрегает правилами безопасности, если заражается повторно. Сообщение от SashaRasha и ни каспер ни док. вэб не помогают, только ручное удаление из автозагрузки утилитой Hijackthis и последующей чистки папки document end settings/user и корневой дериктории флешек. Не охото вручную ковыряться - Malwarebytes' Anti-Malware хорошо распознает этого виря и его ключи в т ч и на флешках. Запускаете полную проверку, потом просто отмечаете что удалить. Единственный момент - не удалите лишнего, всегда перепроверяйте что удаляете. Сообщение от SashaRasha и уже 4 месяца я встречаю этот вирус Не по теме: а я к примеру полгода встречаю каждый день mayachok1\cidox по нескольку штук, мутит уже от них, в базах есть уже у всех, способами избавления (адекватными и не очень) весь инет завален, поток нескончаемый и тем не менее многие предпочитают снос системы, чем прибить эту тварь за 5 минут. тему перенесу в безопасность 0

@SashaRasha 90 / 46 / 8 Регистрация: 08.10.2008 Сообщений: 437
	30.11.2011, 09:44 [ТС]	7
	*Информация из наблюдений за данным вирусом: вирус так называемый win32.hllw.autoruner* находится на зараженном компьютере в папке C:\Documents and Settings\user. user - это имя учетной записи под которой загружен "експлоер". Файл вируса имеет случайное имя и расширение *.exe, а так же имеет атрибут скрытого системного файла. При активном заражении данным вирусом в проводнике не отображается(не фиксируется) опция отображения системных файлов. Главное действие работы вируса заключается в скрытии информации на флеш-накопителях и последующей невозможности получить доступ к данным обычными средствами проводника. С флешек ничего не удаляется за исключением некоторых случаев(были случаи удаления установочных файлов антивируса Касперского из корневой директории) Распространяется вирус через те же флеш-накопители по средствам автозапуска файла AUTORUN.INF продолжение следует..... 0

@~~Katharsis~~ Заблокирован
	30.11.2011, 10:32	8
	Здесь можно почитать полностью. семейство win32.hllw.autoruner *Информация по восстановлению системы от dr.web* 1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы. 2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель. 3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер, а также flash-накопители Dr.Web CureIt! . Для найденных объектов применить действие "Лечить". 4. При необходимости, восстановить отображение скрытых файлов в Проводнике, присвоив значание "1" параметру реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\F older\Hidden\SHOWALL\CheckedValue Рекомендации по восстановлению системы Загрузить ОС Windows в Безопасном режиме (Safe Mode). Воспользоваться дисковым сканером Dr.Web® либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Для всех найденных инфицированных файлов необходимо применить действие «Лечить». Восстановить реестр из резервной копии. Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом: Ящик — Свойства почтового ящика — Файлы и каталоги — Хранить присоединенные файлы в отдельном каталоге (Account — Properties — Files & Directories — Keep attachment files — Separately in a special directory). 0

@SashaRasha 90 / 46 / 8 Регистрация: 08.10.2008 Сообщений: 437
	30.11.2011, 16:40 [ТС]	9
	*Информация из наблюдений за данным вирусом: часть 2:* При подключении "флешки" к зараженному компьютеру на ней создается файл AUTORUN.INF все файлы и каталоги получают атрибут системный и исчезают из поля зрения, а вместо них появляются .ехе файлы с идентичными названиями истинных файлов и папок и др. именами типа sexy.exe, porn.exe, secret.exe, а так же другие файлы(бесполезные файлы для отвода глаз и файл значка папки) При подключении зараженной "флешки" к компьютеру происходит заражение по средствам файла AUTORUN.INF, который активирует файл с расширением .exe(обычно 252КБ), который и приводит в действие вирус. В реестре создаются ключи автозапуска вируса при включении компьютера. Обычно если на компьютере установлено антивирусное ПО, файл AUTORUN.INF удаляется и автоматического заражения не происходит, но пользователь обычно сам приводит в действие вирус запустив файл .ехе думая что это нужный ему файл... Кто-то может со мной не согласиться, но, ни Доктор веб, ни Касперский* при ручной активации ни как не реагируют, даже при включенной проактивной защите Касперский выдает что-то про создание ключей в реестре , но заражение все равно происходит даже если запретить. Миниатюры 0

@SashaRasha 90 / 46 / 8 Регистрация: 08.10.2008 Сообщений: 437
	02.12.2011, 06:42 [ТС]	10
	Удаление: Удалить вирус не сложно, достаточно удалить файл *.ехе в директории C:\Documents and Settings\user. user - это имя учетной записи под которой загружен "експлоер". Обычным удалением он не удаляется! Можно воспользоваться программой типа Unlocker. Также можно пофиксить утилитой Hijackthis. Но как защитить компьютер от повторного заражения мне не известно, поэтому прошу если кто знает как можно закрыть данную уязвимость напишите пожалуйста! P.S. Если кому надо, могу выложить экзешник. 0

	24.12.2011, 10:42

@~~Katharsis~~ Заблокирован
	02.12.2011, 11:12	11
	Сообщение от SashaRasha Также можно пофиксить утилитой Hijackthis. файлы не удаляет. Сообщение от SashaRasha P.S. Если кому надо, могу выложить экзешник. Нельзя. Тема сразу же будет закрыта. А чтобы не писать бесполезную чушь, SashaRasha, попробуйте поискать информацию об этом зловреде в достоверных источниках, т е на сайтах антивирусных компаний. Инфы - вагон. Одну из ссылок я привел. 0

@SashaRasha 90 / 46 / 8 Регистрация: 08.10.2008 Сообщений: 437
	24.12.2011, 10:42 [ТС]	13
	Всем привет! Доведу до конца начатое в этой теме . добавить особо нечего так, я считаю все уже было разжевано! Осталось только сообщить, что вирус наконец-то добавлен в базы антивируса Касперского и произошло это только лишь в декабре, а не очень давно как тут некоторые отписовали(да простят меня админы). Вирус получил название "Worm.Win32.WBNA.bqi" Всем удачи! Обновляйте во время базы P.S. если и это чушь то тогда я уже не знаю какие тут гении сидят 0