Вирус Win32.Xorer, ничем не бьется, гад Опции

[Hellbomb]

Краткое описание
При запуске создает несколько своих копий, прописывает себя в автозапуск.
Записывает на диск несколько вредоносных файлов, таких как:
Virus.Win32.Xorer.dd
Virus.Win32.Xorer.df
Virus.Win32.Xorer.dp
Копирует себя на съемные диски, прописывая в автозапуск через файл AUTORUN.INF
Судя по наличию в его файле строк с названиями антивирусов, Virus.Win32.Xorer.dr пытается активно противодействовать им.

Файлы на диске
c:\pagefile.pif
C:\NetApi00.sys
C:\037589.log
C:\AUTORUN.INF
C:\lsass.exe.48247687.exe
C:\WINDOWS\system32\com\smss.exe
C:\WINDOWS\system32\com\netcfg.000
C:\WINDOWS\system32\com\netcfg.dll
C:\WINDOWS\system32\com\lsass.exe
C:\WINDOWS\system32\dnsq.dll
Некоторые имена случайны.

НОД 32 2.7 с последними базами находит его, но не бьет. Антивирус Кошмарского Касперского - аналогичная ситуация. Доктор Вебовский CureIt делает вид что бьет, на самом деле ничерта не бьет. Если завирусовалась Винда, то вылечить удается гарантированно только форматом системного раздела

[raincat]

зашибись… ща у себя покопаю…

не, пока не подцепил…

[Hellbomb]

А я только вот пост наваял, а тут принесли комп на ремонт… я туда нода, базы обновил, ребутнул, а после ребута монитор НОДа автоматом не запустился. Подозрительно. Ладно, думаю, запущу вручную. Запустил, и тут же НОД завопил… на вирусы. И модификации этого Хорера тоже имеются. Видимо, эта зараза как-то блокирует антивиры, потому-то НОД автоматом и не запустился после ребута.

[Stirlitz]

C:\WINDOWS\system32\com\smss.exe
C:\WINDOWS\system32\com\lsass.exe

Стандартные службы Windows.

[Hellbomb]

А вот нате вам и скриншоты свежие Как видим, и вправду вирусяка (и его сотоварищи-модификации) не прибиваются…

C:\WINDOWS\system32\com\smss.exe
C:\WINDOWS\system32\com\lsass.exe

Стандартные службы Windows.

Это УЖЕ не стандартные службы Виндовс. В данном случае это клон файла стандартной службы Виндовс, только с вирусом внутри

[Aleks]

Попробуй винду в защитном режиме стартани и там погоняй. В защитке вирусы не грузятся.

[Stirlitz]

ХР — отстой, 2000 — круто

[ManCar]

2000 - мертв, или вы, товарищ Исаев, и компы только "ретро" признаете, с незначительными, так сказать, переделками?

[Stirlitz]

В смысле мёртв? На моём уже 5 лет живёт без переустановок.

[Hellbomb]

Попробуй винду в защитном режиме стартани и там поганяй. В защитке вирусы не грузятся.

Антивирь не пашет в защитке нормально. Да уже клиенту зачистил винт и винду переставил

В смысле мёртв? На моём уже 5 лет живёт без переустановок.

generic Host Process win32.trojan downloader видимо про твой комп еще не знает

[ManCar]

В смысле мёртв? На моём уже 5 лет живёт без переустановок.

Точно "ретро"

Когда более года назад купил новый комп, пришлось нежно распрощаться с двушкой. Ну не дружит она с новым железом - глючит ее. Старенькая, на покой давно уж пора

[Stirlitz]

generic Host Process win32.trojan downloader видимо про твой комп еще не знает

А даже если и узнает. У меня межсетевой экран есть.

[Солнечный Мак]

А что, LINUX & UNIX уже отменили? хе-хе-хе… (смешком Мефистофеля) Попробуйте туды ентот вирусняк пихнуть… гы-ыгы-гы…

[ADK-XXI С-Пб]

А я только вот пост наваял, а тут принесли комп на ремонт… я туда нода, базы обновил, ребутнул, а после ребута монитор НОДа автоматом не запустился. Подозрительно. Ладно, думаю, запущу вручную. Запустил, и тут же НОД завопил… на вирусы. И модификации этого Хорера тоже имеются. Видимо, эта зараза как-то блокирует антивиры, потому-то НОД автоматом и не запустился после ребута.

А что с патчами на самой системе? Мелкомягкие не отреагировали на проблему? унас по корпоративной политике безопасности на всех машинах автоматом ставится все. Следов вируса не найдено. Системщики утверждают, что проблемы с этим вирусом пока не обнаружено.

[Hellbomb]

А я только вот пост наваял, а тут принесли комп на ремонт… я туда нода, базы обновил, ребутнул, а после ребута монитор НОДа автоматом не запустился. Подозрительно. Ладно, думаю, запущу вручную. Запустил, и тут же НОД завопил… на вирусы. И модификации этого Хорера тоже имеются. Видимо, эта зараза как-то блокирует антивиры, потому-то НОД автоматом и не запустился после ребута.

А что с патчами на самой системе? Мелкомягкие не отреагировали на проблему? унас по корпоративной политике безопасности на всех машинах автоматом ставится все. Следов вируса не найдено. Системщики утверждают, что проблемы с этим вирусом пока не обнаружено.

Тут ведь как - просто приносят клиенті свои компі, на них антивирус и не ночевал. Ставишь, апдейтишь его, а потом опа - на компе уже зверинец целій, оказівается. По поводу Мелкософта - віпустили они сервис пак третий на ХР, залатали дыру, по которой лез вышеупомненный мною троян даунлоадер. И реально помогло (а это при наличии хренового фаерволла у провайдера довольно важная вещь). Что касается Хорера, то на новый сервис пак он плевать хотел, но обвинять в этом мелкософт по крайней мере неправльно. Ведь если бы все проблемы решались на уровне операционки, то никто бы не придумывал антивирусов, файерволлов, всяческих интернет сикуритей и прочей фигни.

[ADK-XXI С-Пб]

Все это понятно. Но, дело в том, что сильнее всего бьют вирусы, работающие через обнаруженные их авторами дыры в защите. И лечится это не только антивирью, но и прикрытием дыры. Иногда мелкософтовцы реагируют достаточно оперативно с заштопыванием дыр. Особенно при вирусной пандемии. Одно другое не исключает.

[Hellbomb]

C:\WINDOWS\system32\com\smss.exe
C:\WINDOWS\system32\com\lsass.exe

Стандартные службы Windows.

Кстати должен сказать - эсть вирусяка, который создает файл, маскирующийся под службу Виндовс - Csrcs.exe (не путать с csrss.exe - реально службой Виндовс). Запускается, значит и творит свои черные делишки. Вирусняк как правило определяется тем же нодом или Кошмарским, только не бьеться. Ухлопать можно только через реестр. Удаляется параметр csrcs, а потомича все прекрасно бьется антивирем.

Кстати давеча изменил ESET, точнее, ее продукту НОД32 2.7. Установил покамест Касперский Интернет смекьюрити 8. Ибо НОД 2.7 устарел, а НОД3.0 нормально не крекается. Работает косо. Посему покамест работаю с Кошмарским, а там, я слышал, вскоре НОД 4.0 собирается выйти в свет… Посмотрим-с)))

[Солнечный Мак]

Почему это НОД-3 не крякается? Намана крякается… Время от времени меняй логин и пароль, бери его туточки
http://www.for-ever.cn/nod32/
Там они постоянно обновляется… А сменить раз в неделю логин и пароль - не проблема!

[Hellbomb]

Может, оно и так - только это уже будет похоже на цирковой номер… Хэлл бегающий по офису и меняющий ключи. Тем более что денёг мне за сей момент не платют.

[Михаил]

Гм… А за что платют?