Добрый день!

последнее время все чаще и чаще можно услышать обсуждения по поводу вирусов которые выглядят в виде ссылки на картинку

например как эта (ПРЕДУПРЕЖДАЮ !!!! ЗАХОДИТЬ по ссылке не рекомендую, так как там вирус)
_hxxp://rolef.ru/img/foto18.gif cvtkmxfrb rfnjhst [jnzn смельчаки которые хотят рискнуть и попробовать свою систему на прочность могут зайти по ссылки изменив hxxp на http

обычно этот вирус рассылают по ICQ...



кто знаком с этим вирусом? как его лечить если комп уже заразился?

AACC, Выполните рекомендации (http://www.forum.oszone.net/post-717373-2.html) и прикрепите к следующему сообщению полученные логи.

например как эта »
Переадресовывает на заставку *.scr, ссылка *.gif - для того чтобы вы думали что это картинка, плюс иконка как у файла, ассоциированного ACDSee - плохо они "маскируют" вирусы :biggrin:

Грузимся с LiveCD и удаляем/переименовывать svchost.exe и exxplorer.exe (в папке %windir%)
В разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] нужно найти параметр REG_DWORD DisableTaskMgr и установить его значение 0 (или совсем удалить этот параметр).
В разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] нужно найти параметр REG_SZ Shell и заменить svchost.exe на explorer.exe.

как я понял пока антивирусы его не лечат и не находят

AACC, отправил файл на анализ в ESET :)
Вирус по ссылке в шапке - модификация одного из этих (http://www.eset.eu/search?page_id=178&submited=1&textfield=LockScreen&subButton=Search&12239=on&other=on)

как я понял пока антивирусы его не лечат и не находят »Проверил касперским и NOD Eset результат нулевой...

Попробовал... Вылезло "Ваша Windows заблокирована".. »Я кстати тоже попробовал на виртуальной машине запустил, (Windows XP (SP3) Eng)


http://s56.radikal.ru/i153/0909/66/ae69964011b3t.jpg (http://radikal.ru/F/s56.radikal.ru/i153/0909/66/ae69964011b3.png.html)

И выдало сообщение, "Ошибка svchost.exe", хочу ли я отправить отчёт об ошибке в MS ? И всё, я отказался - и файл сам пропал. :gigi: Последствий правда никаких не увидел, перезагрузка прошла нормально...
[hr]
А вообще против таких разновидностей можно попробовать следующие рецепты.
Воспользуйтесь On-Line формой (http://news.drweb.com/show/?i=304) для разблокировки системы. Или скачайте Off-Line версию (http://forum.oszone.net/thread-148188.html) для разблокирования системы от трояна WinLock.
Так же можно поискать определённые файлы, удалить их - Рецепт против sms-вымогателя (http://www.virusnet.info/forum/showthread.php?t=1231). А можно загрузиться с LiveCD - LiveCD (http://www.virusnet.info/forum/showpost.php?p=305&postcount=2). Как записать .iso файл - как записать ISO-Windows (http://forum.oszone.net/thread-100367.html).

Картинку показало »
Она остается в %windir% под названием 43.gif :biggrin:
И выдало сообщение, "Ошибка svchost.exe" »
Это ошибка %windir%\svchost.exe - главной части этого вируса, а не %windir%\system32\svchost.exe - одной из главных частей Windows :biggrin:

кстати, первый раз когда столкнулся с этим вирусом, под рукой не было LiveCD
смог запустить систему выбрав запуск систему с более раннего последнего "хорошего" состояния

Она остается в %windir% под названием 43.gif »У меня 43.jpg.

Это ошибка %windir%\svchost.exe - главной части этого вируса »Увы, такого файла svchost.exe в %windir% нету... :unsure:

P.S. Завтра пройдусь всякими утилитами на вредоносность. :)

_hxxp://rolef.ru/img/foto18.gif »
Скачал, менял расширения (txt - тоже) , все равно определяется как программа. Отправил в ESET. Ответ завтра сообщу.

Решил посмотреть на сегодняшний день, что, где и как определяется. :)

1. Проверка на VirusTotal.com - foto18.scr (http://www.virustotal.com/analisis/d5689bf467d82f0ae096949caed322685d0e31615420ac39a743cb1a79e70ddb-1252902640)
2. Проверка на VirScan.org - foto18.scr (http://www.virscan.org/report/cb248e9269cf77107e3b416ae7bf4bb9.html)
3. Проверка на Virusscan.jotti.org - foto18.scr (http://virusscan.jotti.org/ru/scanresult/d2893589d2c42a70cdc120cb06975c8aaec35082)

Решил посмотреть на сегодняшний день, что, где и как определяется.
1. Проверка на VirusTotal.com - foto18.scr
2. Проверка на VirScan.org - foto18.scr
3. Проверка на Virusscan.jotti.org - foto18.scr »

получается что его пока могут определить:
AVG
DrWeb
Kaspersky
VirusBuster

получается что его пока могут определить: »Ну, почему, вот ребята отослали в ESET возможно и они научат лечить.

В ESET дошел отчет! :clapping:
http://s48.radikal.ru/i121/0909/59/68256aa71af6.png
Упоминание о добавлении вируса в базу можно увидеть тут: Update 4425 (20090914) (http://www.eset.eu/podpora/aktualizacia-4425?lng=en)

Ответ завтра сообщу. »
получилось только сегодня Здравствуйте.
Присланный Вами вирус определяется с версией базы данных сигнатур вирусов № 4432

Спасибо за помощь в борьбе с вирусами. Хотя начал определяться уже 15-го, как Habetdin и показал.