Меня тут друг позвал помочь, мышь тормозит.

← →
Ringo © (2007-01-07 16:28) [0]

Оказалось жуткий вирус!
Выводит на рабочий стол первый стих Книги Бытия
на японском языке и на английском.
Я в японском ни ьум-бум, но по-англ. понял.
Тормозит комп по страшному.
Создает папку Winfile на дискете, на флешке, даже на мобильном
телефоне (если на кабель посадить). Папка не открывается в ХР.
Поглядел на дискету в DOSe.
Файл winfile.exe 49152 байта. 05.12.2004. Не лечится Касперским.
(Странно это. 2004 год).
Пришлось переустанавливать XP с предварительным потиранием
разделов, созданием по новому и форматированием.
Первый раз вижу такую вредоносную фигню.
Кто-нибудь сталкивался?

← →
Ringo © (2007-01-07 16:37) [1]

А может, и на китайском?

← →
Чапаев © (2007-01-07 16:38) [2]

> [0] Ringo © (07.01.07 16:28)
Тю, проблема... Создаёшь файл winfile, делаешь его read-only (а лучше -- запретить всем доступ). Вирь с попыткой создания каталога обломается...

← →
Ringo © (2007-01-07 16:44) [3]

Чапаев ©
А Книгу бытия как на рабочий стол вывести?
:)
Дело не в том, что "папка", фиг с ней.
Размножается гад на все носители и тормозит.
А почему зарегестрированный Касперский не лечит?
Тоже тормозит.

← →
sniknik © (2007-01-07 16:46) [4]

> А почему зарегестрированный Касперский не лечит?
странный вопрос, обычно удивление вызывает противоположное... "почему KAV хоть что то да лечит?... а не только вредит." ;о))

← →
Чапаев © (2007-01-07 16:47) [5]

> А Книгу бытия как на рабочий стол вывести?
Вырвать страницы из хард-копи и наклеить на монитор.

> Дело не в том, что "папка", фиг с ней.
> Размножается гад на все носители и тормозит.
Так я и советую, как ему размножалку прищемить.

> А почему зарегестрированный Касперский не лечит?
Я б сказал, да модеры забанят.

← →
Ringo © (2007-01-07 16:49) [6]

Короче, снести винду - дело нехитрое, хотя жалко всех установленных программ.
Что? Этот загадочный winfile так удачно создан для того, чтобы комп
по новой устанавливать? Я и спросил от того, а есть ли противоядие,
антивирусное? Вдобавок, на том компе был NTFS. Традиционный FDISK не работал
(120 Гб), пришлось разделы удалять по мере установки ХР.
Вот так вот.

← →
Чапаев © (2007-01-07 16:51) [7]

> Короче, снести винду - дело нехитрое
Золотые слова.

> Я и спросил от того, а есть ли противоядие,
> антивирусное?
Нортон антивирус? А вообще судя по симптомам, можно и без антивиря обойтись.

← →
Ringo © (2007-01-07 16:53) [8]

Все шутишь? Вот столкнешься, вспомнишь меня. Я симптомы болезни указал.
И предупредил, что есть такая фигня. 2004 год, не фига себе? И никто, что,
кроме меня не сталкивался? Я - первооткрыватель?

← →
X9 © (2007-01-07 16:53) [9]

С winfile когда-то сталкивался, но вышеописаных симптомов вроде не было.

Скорее всего, это поделка студента ближайшего ВУЗа, недовольного отметкой по программированию.

← →
Чапаев © (2007-01-07 16:56) [10]

> [8] Ringo © (07.01.07 16:53)
Слушай, у меня полно куда более уместных объектов для шуток... Ты смайлы там видишь?

> 2004 год
За 25 центов я тебе и 1950 год укажу.

← →
Anatoly Podgoretsky © (2007-01-07 16:58) [11]

> Ringo (07.01.2007 16:44:03) [3]

> А почему зарегестрированный Касперский не лечит?

Неужели он начал работать, странно.

← →
vidiv © (2007-01-07 16:58) [12]

легко вы винду сносите... антивирями никогда не пользовался... не носился как торба с обновлениями, но до переустановки не помню что бы доходило...

← →
Anatoly Podgoretsky © (2007-01-07 16:58) [13]

> Чапаев (07.01.2007 16:47:05) [5]

> Я б сказал, да модеры забанят.

Не надо, мы и так догадаемся.

← →
sniknik © (2007-01-07 17:00) [14]

вот тут сказано (woodpeckerrr 27.12.2006, 17:43) сказано что и каспером лечится, только из процессов его убрать надо
http://www.softboard.ru/lofiversion/index.php/t25942.html

правда ниже по этим рекомедация ничего не получилось...

← →
Anatoly Podgoretsky © (2007-01-07 17:00) [15]

> Ringo (07.01.2007 16:49:06) [6]

> Короче, снести винду - дело нехитрое, хотя жалко всех установленных программ.

Не жалей, это самый действенный антивирус, ни один другой такой гарантии не дает.
А на FDISK не надо бочку катить, с ним полный порядок, чего нельзя сказать про тебя.

← →
sniknik © (2007-01-07 17:02) [16]

> А на FDISK не надо бочку катить, с ним полный порядок, чего нельзя сказать про тебя.
по описанию червь блокирует открытие и запуск системных файлов/прог.

← →
vrem (2007-01-07 17:02) [17]

Самый действенный антивирус это восстановление из образа и работает быстрее.

← →
Anatoly Podgoretsky © (2007-01-07 17:03) [18]

> Чапаев (07.01.2007 16:56:10) [10]

Конечно, это попроще, чем об сложных материях спамить.

← →
Ringo © (2007-01-07 17:04) [19]

Ладно, извиняюсь. Я вижу что сдесь Касперского не очень. Ну и я тоже.
Дело в том, что этот вирус даже после простой (без форматирования диска)
переустановки не исчезает. Только после форматирования.
А вирт. диск D: после загрузочной дискеты не видит (NTFS).
А программа format на этом d: сидит
Ну вобщем проблемы.

← →
ANTPro © (2007-01-07 17:04) [20]

> [0] Ringo © (07.01.07 16:28)
> Файл winfile.exe 49152 байта. 05.12.2004.

При выделении в проводнике не показывается доп. инфа о файле? Только что это приложение?

← →
Anatoly Podgoretsky © (2007-01-07 17:05) [21]

> vidiv (07.01.2007 16:58:12) [12]

Плохо ты понимаешь в администрировании. Особенно когда компьютер чужой, но и своим надо также, поскольку явно уровня знаний не достаточно, что бы сказать - все система гарантирована чистая, особенно когда дело имеешь с Кашперским.

← →
Ringo © (2007-01-07 17:08) [22]

ANTPro ©
Какой проводник? Ты чего?
DOS и Нортон Коммандер. Только там и видно, что почем.

← →
Ringo © (2007-01-07 17:10) [23]

ANTPro ©
+ 90% гарантия, что не заразишь комп, когда на размерчик и на дату поглядишь

← →
ANTPro © (2007-01-07 17:12) [24]

> [22] Ringo © (07.01.07 17:08)

Поподалось что-то похожее, только без "Книги Бытия", без проблем лечилось Каспером...

← →
Ringo © (2007-01-07 17:20) [25]

ANTPro ©
Хочешь, могу zipануть и прислать для коллекции?
Там именно с книгой на двух языках. Возьми комп, которого не жалко
и любуйся. У меня на дискете, когда я пытался ее открыть в ХР остался.

← →
Anatoly Podgoretsky © (2007-01-07 17:23) [26]

> sniknik (07.01.2007 17:02:16) [16]

Червь не работает на уровне запуска дос с дискеты и далее запуска FDISK

← →
ANTPro © (2007-01-07 17:23) [27]

> [25] Ringo © (07.01.07 17:20)
> Хочешь, могу zipануть и прислать для коллекции?

Давай

← →
ANTPro © (2007-01-07 17:24) [28]

> [25] Ringo © (07.01.07 17:20)
> Возьми комп, которого не жалко
> и любуйся. У меня на дискете, когда я пытался ее открыть
> в ХР остался.

На это есть эмулятор...

← →
Anatoly Podgoretsky © (2007-01-07 17:24) [29]

> ANTPro (07.01.2007 17:12:24) [24]

Книгу Бытия распространяют японцы

← →
Anatoly Podgoretsky © (2007-01-07 17:26) [30]

> Anatoly Podgoretsky (07.01.2007 17:24:29) [29]

Что сегодня в России бесплатный Интернет?
Как прорвало.

← →
Ringo © (2007-01-07 17:39) [31]

ANTPro © (07.01.07 17:23) [27]
> [25] Ringo © (07.01.07 17:20)
> Хочешь, могу zipануть и прислать для коллекции?
>Давай

Отправил, даже похоже, 2 раза.
Запакован был нортоновским зипом.Он где угодно раскрывается.
Но не дай тебе бог открыть его в ХР.
Я предупредил, дружище.

← →
DrPass © (2007-01-07 17:44) [32]

Была эта зараза, за сутки по всей конторе распространилась, и нашим партнерам/клиентам еще досталась :)
Не сочтите за рекламу - но Symantec Antivirus Corporate 10, даже несмотря на то, что ставился на "грязнуе" машины, снес ее подчистую без всяких проблем

← →
Чапаев © (2007-01-07 17:48) [33]

> [32] DrPass © (07.01.07 17:44)
Симантек/Нортон -- эт да... Заграница. %-)

← →
Ringo © (2007-01-07 17:52) [34]

Вот спасибо, а! А то я, дурак думал, что только мне досталось
достижение японско-английское. Записал антивирус. Спасибо.

← →
Ringo © (2007-01-07 18:11) [35]

О происхождении: китайцы пишут по-горизонтали, а японцы, наоборот, по вертикали.
Там по-китайски написано.

← →
Ringo © (2007-01-07 18:14) [36]

И ANTPro © наверное распаковал, потому что затих.

← →
TUser © (2007-01-07 18:39) [37]

> О происхождении: китайцы пишут по-горизонтали, а японцы, наоборот, по вертикали.

Япошки пишут по-разному.

← →
Ringo © (2007-01-07 18:48) [38]

TUser © Вот так раз!
(Пока ANTPro © в который раз форматирует жесткий диск)
А я думал, что только по-вертикали?
Ибо, пиши они по-диагонали, согласиссь, такая фигня выйдет?
Никакой лингвист не разберется.

← →
TUser © (2007-01-07 18:55) [39]

Тридиционное письмо - вертикальное. В газетах, по-моему, тоже. А в книгах, журналах (и уж молчу про интернет) - чаще по-горизонтали. По техническим причинам этот способ приобретает все большее распространение.

А вообще, японское письмо от китайского легко отличить на глаз по обилию знаков слоговых азбук. Короче, если некоторые простые значки часто повторяются, - скорее всего, японское.

← →
vrem (2007-01-07 18:58) [41]

Китай это Япония Lite. (c) я
:)

Всех червей надо давить руками. В конце концов, надо получать из сложившейся ситуации моральное удовлетворение(ROOT\LEGACY_..., правда, пока проблема). :)

Ладно. Отправил еще раз. Получи фашист гранату называется:)

> [44] Ringo © (07.01.07 22:01)

Я не фашист, но получил : )
Каспер легко обнаружил и снес :) Тот же что и мне попадался лечится, да же установкой Каспера на зараженную машину легко...
Немного о вире:
http://www.viruslist.com/ru/search?VN=Email-Worm.Win32.Rays

> [45] ANTPro © (07.01.07 23:06)
Хех... Ну что ж, судя по описанию, описанный мной способ борьбы вполне действен. И зря автор топика нервничал.

ну не 2004 год... летом этот вирус появился. а всего делов-то. накрыть в диспетчере его процесс, потом удалить все exe-файлы размером между 43 и 45 килобайт (это можно через TC, он так искать позволяет).
Ringo © (07.01.07 17:20) [25]
Хочешь, могу zipануть и прислать для коллекции?
и мне пришли(мыло в анкете). я уже 2к под виртуальником валял, хочу ещё. )

а насчёт вирусов... есть один интересный, чем он вредит не знаю, но копируется в корневой каталог съёмных носителей и таскает с собой msvcp71.dll в виде скрытого файла )) а сам выглядит как RavMon.exe. это ж надо так написать, чтобы он с собой таскал бибилотечку. ))

> удалить все exe-файлы размером между 43 и 45 килобайт
Жесть!

У меня обнаружилось на одном только диске С: 19 таких файлов, в том числе ftp.exe, ipsec6.exe, tscupgrd.exe и extrac32.exe...

> [48] Vendict © (08.01.07 00:53)
> удалить все exe-файлы размером между 43 и 45 килобайт

Каспер после проверки сам прибьет...

> Чапаев (08.01.2007 01:00:50) [50]

Все удаляй, а поздравления автору

> Anatoly Podgoretsky © (08.01.07 02:02) [52]
>
> > Чапаев (08.01.2007 01:00:50) [50]
>
> Все удаляй, а поздравления автору
>

То, что нужно передать автору действительно начинается на "п" и, вдобавок, содержит буквы "з","д","л" и "и". :)

> [0] Ringo © (07.01.07 16:28)

wukill? В свое время на работе не заметил, чтобы пакостил. Сносится свежим (на тот момент - больше года назад) вебом и каспером. А также руками - удаляются все winfile.exe, лежащие рядом htt вроде и %SYSTEM%/mstray.exe. Но возможно это другая версия уже.
Кстати, это ехе, а не папка. Просто с иконой папки. Та версия - с иконой из 98 винды. Или 2к.
Да, кстати - этот mstray.exe сперва убить надо в менеджере процессов.

> [9] X9 © (07.01.07 16:53)

Похож на китайский wukill, писан на VB.

> [35] Ringo © (07.01.07 18:11)

Гы, не так просто различить, японцы всяко пишут, бывает и по горизонтали. Да и алфавит у них с китайцами один (у китайцев и стырили).
И книги они иногда справа налево, иногда слева направо листают...

> [38] Ringo © (07.01.07 18:48)

Сильно ошибаешься...

> [48] Vendict © (08.01.07 00:53)

Опасный совет... Я вебом после обезвреживания прогнал... Можно кстати любой экземпляр поисковику одинаковых файлов скормить и натравить поисковик на диски.

Vendict © (08.01.07 0:53) [48]
Ringo © (07.01.07 17:20) [25]
Хочешь, могу zipануть и прислать для коллекции?
и мне пришли(мыло в анкете). я уже 2к под виртуальником валял, хочу ещё. )
повторю просьбу...

Меня тут друг позвал помочь, мышь тормозит. Найти похожие ветки