Список форумов Шадринский форум -> Отдел игрушек (мягких и твёрдых) -> Программное обеспечение -> червечок Sohanad.NAK
Начать новую тему   Ответить на тему   вывод темы на печать

червечок Sohanad.NAK

Предыдущая тема :: Следующая тема  
Автор
Сообщение
Bkmzzzz
Запомнил кнопки...


Пол: Пол:Муж.
Зарегистрирован: 26.01.2006
Сообщения: 192
Откуда: Шадринск родимый

Статус: Offline
СообщениеДобавлено: 2008.04.14 13:19.34
Ответить с цитатой
кто нибуть сталкивался с таким зверем?

Добавлено спустя 2 часа 36 минут 1 секунду:

Что удолось выяснить .... на данный момент (инет молчит, ya.ru выдал всего 4 ссылки не помогло):

это похоже разновидность вируса autorun
те он создает в корне диска autorun.inf
содержимое этого файла
--------------------------
[AutoRun]
open=sal.xls.exe
shellexecute=sal.xls.exe
shell\Auto\command=sal.xls.exe
shell=Auto
[VVflagRun]
aabb=kdkfjdkfk11
--------------------------
sal.xls.exe после выполнения
закидывает в папку Windows файл ssvichosst.exe это по ходу есть сам вирус или "отманивалка" так назавем...

он блокирует антивирь (Nod32 заблокировал на одной машине) и диспетчер задач ...., далее начинет делать копии себя в папках файлы с именами /название_папки/.exe причем размножается быстро

nod32 его видит убивает, через мин 5 комп в том же состоянии что и был до лечения..., т.е. везде /название_папки/.exe

распростроняется по сети, на данный момент пало 5 машин у меня в сети...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение ICQ Number
Димитрий
Запомнил кнопки...


Пол: Пол:Муж.
Зарегистрирован: 06.10.2007
Сообщения: 227


Статус: Offline
СообщениеДобавлено: 2008.04.14 13:39.34
Ответить с цитатой
В автозагрузке попробуй найти скорее всего там прописывается
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Bkmzzzz
Запомнил кнопки...


Пол: Пол:Муж.
Зарегистрирован: 26.01.2006
Сообщения: 192
Откуда: Шадринск родимый

Статус: Offline
СообщениеДобавлено: 2008.04.16 08:01.02
Ответить с цитатой
Полсе 2 дней борьбы победа осталась за нами.

Лечил практически в ручную.

Методика лечения

После перезагрузки компа первым делам запускал Фар (иначе червь начинал разнизатся и грузил проц на 100%)
Там запускал список процессов и удалял процессы ssvichosst.exe (бывало до 3х штук)
Там же убивал процессы типа автозагрузка.exe , программы.exe (это тоже он же), если сделать LCtrl+6 то в описании он будет как, точно не помню последниее im или mi точно такое же как у ssvichosst.exe
Далее удалял в корне диска autorun.inf, sal.xls.exe (эти файлы скрытые)
Затем удалял ssvichosst.exe в папке Windows и Windows\system\ (Тут он скрытый).
Затем запускал нод32 с расширеноой эвристикой и действиями лечение , если лечение не возможно удалять (без копирования в карантин)


Как попал? Принесли на флешке. Там он был как new folder.exe, но из проводника виделся как обычная папка.

Запускается очень просто в реестре запуск explorera был с ключем ssvichosst.exe ( "explorer.exe ssvichosst.exe") т.е любое открытие окна запускало его.

Блокирует: антивирус (точнее делает срытым процесс), диспетчер задач(в ХР, в 98 ме д/з работал но завершить процесс ssvichosst.exe не удовалось ), и редактор реестра (выяснилось немного позже)

ну как бы все. если будут вопросы спрашивайте, отвечу.

ps тему можно закрыть.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение ICQ Number
Страница 1 из 1
Начать новую тему   Ответить на тему   вывод темы на печать
Показать сообщения:   
Список форумов Шадринский форум -> Отдел игрушек (мягких и твёрдых) -> Программное обеспечение -> червечок Sohanad.NAK

 
Перейти: 
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете вкладывать файлы
Вы можете скачивать файлы