[Butunin Klim]

Цитата:

net ya proveril registr tam net sovpadayushie kompanenti etoqo virusa eto nee tooo

Инетестно как это ты сделал

Что нужно делать что бы не подхватить Дядю джефа.
1. Кончать Лазать по порно сайтом - это рассадник червей и тому подобной "прелести"
2. Ставить Антивирус и не отключать его если вдруг он Вам мешает играть или лазать по сайтам.
3. Качать обнавление для ОС.
4. Поставить Оперу или Лисицу. Експлорер - это зло.

[drag_eko]

waooo uje v nashem qorode pachti u vsex klubax takaya problemaa oy daaa chto nam delaaat pachti 43 int klubov v nashem qorode i vse zarajeni ot etoqo vot nevezuxa naam

[Butunin Klim]

Лечится просто.
1. Выключи сначало все компьютеры из сети что бы обмена пакетами между ними небыло.
2. Запускай систему с windows PE с установленым антивирем. если такого нет то .... хмм... безапастный режим устанавливай Antivirus Symantec сканируй систему.
3. Поставь Ad Aware просканируй систему.

Все. Играйте и общайтесь!

[drag_eko]

vot chert a seychas qovorat lyudi chto eto problema nasheqo ATS-a nu provaydera virusi tam i cheres set zarajaetsa. cherrrt poberi " mojet li bit eto iz za etoqo ?

[Butunin Klim]

Все из-за порно сайтов!

если вирус подцепили Вы, а Вы его подцепили что кто-то из Вас его сказали и запустили.
Можно сделать еще так.
1. Установить На ЧИСТЫЙ компьютер систему заного, поставить на него Антивирус + фаер вол.
2. Запихивать туда зараженные диски и лечит.
3. вылечили установить антивирь на них и уже другие Диски лечить так будет быстрее

[XXXler]

может drag_eko наконец-то озвучит имя зверя? тогда можно уже будет выяснять как его порешить
еще можно попробывать в безопастном режиме воспользоватся DrWeb CureIT распаковав и записав содержимое sfx-архива на болванку (или любой read-only носитель), на зараженном компе надо запустить _start.exe, а потом в зависимости от обнаруженного вируса поставить фаер или заплатку от M$

[Butunin Klim]

Цитата:

вирь называется W32/Jeefo.x (Hidrag),

[Vladimir aka West]

Цитата:

вирь называется W32/Jeefo.x (Hidrag),

- если это действительно этот вирус...то "
1) Virus.Win32.Hidrag.a...Безобидный резидентный Win32-вирус. Заражает приложения Win32 (PE EXE-файлы). При заражении шифрует часть заражаемого файла.
При запуске зараженного файла инсталлирует себя в систему: создаёт свою копию с именем "svchost.exe" (размером около 36K) в каталоге Windows и регистрирует этот файл в ключе автозапуска системного реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
PowerManager = %WindowsDir%\SVCHOST.EXE
Затем вирус остаётся в памяти Windows, рекурсивно ищет и заражает PE EXE-файлы на всех доступных дисках, начиная с диска C:.
Вирус никак не проявляет своего присутствия в системе. - //разве что ошибочки вылетают
Вирус содержит зашифрованные строки:
Hidden Dragon virus. Born in a tropical swamp.//стоит проверить
PowerManagerMutant"

2)Virus.Win32.Hidrag.b
Резидентный паразитический вирус. Заражает приложения Win32 (PE EXE-файлы). По своим функциям полностью идентичен варианту Virus.Win32.Hidrag.a.

3)Virus.Win32.Hidrag.с
После запуска вирус копирует себя в корневой каталог Windows с именем "svchost.exe":
%WinDir%\svchost.exe
Затем вирус регистрирует этот файл в ключе автозапуска системного реестра:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"PowerManager" = "%Windir%\svchost.exe"
Вирус ищет Win32 PE EXE файлы с расширениями .exe на логических дисках компьютера и заражает их. Зараженные файлы увеличиваются в размере на 36352 байт.

4)Virus.Win32.Hidrag.d
!Технические детали
Компьютерный вирус. Инфицирует PE EXE файлы с сохранением их работоспособности. Имеет размер 36352 байта. Написан на языке C++.
Относится к классу HLLP-вирусов (High Level Language Parasitic Virus).

!Инсталляция
При запуске зараженного файла вирус копирует себя в корневой каталог Windows с именем svchost.exe:
%WinDir%\svchost.exe
При этом тело вируса модифицируется так, что в конец файла добавляется ресурс VERSIONINFO, частично совпадающий с аналогичным ресурсом в оригинальном системном файле svchost.exe Windows XP, который расположен в %WinDir%\system32 (различие только в номерах версий — созданный файл имеет номер версии 5.1.0.0).
После этого вирус запускает созданный файл, передавая ему в качестве параметров командной строки имя запущенного инфицированного Exe-файла и его параметры командной строки.
Затем выполнение программы завершается. Это делается для лечения запустившегося инфицированного Exe-файла.
Запущенный вирусом файл svchost.exe проверяет тип операционной системы. Если это Windows NT, 2000 или XP, то он регистрирует себя в виде службы с именем «PowerManager» и описанием «Manages the power save features of the computer». Если тип операционной системы другой (Windows 95, 98), то запущенный процесс (svchost.exe) прячется из списка задач с помощью функции RegisterServiceProcess и регистрируется в системном реестре:
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"PowerManager"="%WinDir%\svchost.exe"
Запущенный файл svchost.exe анализирует параметры командной строки; если они есть, то вирус лечит указанный в них файл и запускает его с оригинальными параметрами командной строки. Затем, если одна копия вируса уже выполняется, процесс завершает свою работу.

Деструктивная активность
В ходе фонового выполнения файла svchost.exe производится поиск и инфицирование других Exe-файлов. При поиске файлов просматриваются все несъёмные диски, начиная с диска C: до диска Z:. Для каждого диска просматривается дерево подкаталогов и производится поиск файлов с расширением Exe. Найденные файлы инфицируются.
При этом заражение файлов не происходит, если выполняется одно из следующих условий:
файл импортирует одну из функций: PackDDElParam или StartServiceCtrlDispatcher;
размер файла меньше 100 КБ;
тип пользовательского интерфейса — не GUI;
файл является защищённым (определяется посредством SfcIsFileProtected);
файл уже инфицирован этим вирусом (определяется путём нахождения строки; «Ijeefo!Esbhpo!wjsvt/!Cpso!jo!b!uspqjdbm!txbnq/» по смещению 610h от начала файла (данная строка является зашифрованной строкой «Hidden Dragon virus. Born in a tropical swamp.»).
Все строковые константы в теле вируса зашифрованы.
При заражении файлов у них на время инфицирования снимается атрибут «Только для чтения». Также не изменяются время создания, записи и последнего доступа к файлу. В ходе инфицирования файлов вирус шифрует и меняет местами некоторые данные файла.

Итог:

Произвести полную проверку компьютера: kasper и avast его по - любому ловят(удаляют)...точно знаю потому что ими пользуюсь...(на работе каспером, дома avast'ом).

или как альтернатива(если не доверяешь антивирусам):

1) Проверить %WinDir% aka x:\Windows\svchost.exe - при случае удалить
2) Реестр Windows
3) Остановить службу PowerManager
3) Думаю стоит проверить в HEX'е наличие строчки "Hidden Dragon virus..." или зашифрованной "Ijeefo!Esbhpo!wjsvt/!Cpso!jo!b!uspqjdbm!txbnq/" (ну это чисто из любопытства (я бы проверил HEX Rulez)
4)Форматировать полностью все диски, если выполнять п.1, п.2 и п.3 (по желанию) неохота\некогда и т.п.
4.1 Переустанавливать Windows (да, кстати почему Windows, причем ХР??? - я бы на крайний случай Win Server 2003 поставил\настроил, а в идеале Linux (личные предпочтения: Fedorа Core, или FreeBSD - сутки\двое мучений(настройки) и будет тебе счастье))
4.2 :beer: после успешного выполнения п.4.1

[XXXler]

Vladimir aka West, угу только лечил в свое время его каспером - все файлы после оказались битые...
Butunin Klim

Цитата:

вирь называется W32/Jeefo.x (Hidrag),

это лишь мое предположение, я не уверен что во всех интернет-клубах запустили один и тот-же exe`шник с древнючим вирусом

[Vladimir aka West]

Цитата:

угу только лечил в свое время его каспером - все файлы после оказались битые... это лишь мое предположение, я не уверен что во всех интернет-клубах запустили один и тот-же exe`шник с древнючим вирусом

Я же написал "ловят(удаляют)", а не лечат, имея ввиду весь зараженный файл, а не эти 36 КВ внедренные в файл
Кстати, также сомневаюсь что это Jeefo - ошибки такие у многих файлов бы вылетели, скорее червь, хотя троянцевв тоже сейчас качественных делают, поэтому не стоит сбрасывать со счетов их...автор выслал бы на mail сий файл(файлы) - например, все svchost'ы которые найдет на компьютере, я бы ради интереса погдядел, что за зверь, если действительно зверь(только в архивчике запароленном, а то вдруг mail-сервер спалит что там гадость какая и он до меня kill_am_all-west@mail.ru не дойдет)...И интересно на этом сервере вообще ничего для мониторинга небыло??? Хотя бы проверить может кто-то (файл какой - нибудь) в интернет долбиться! по какому - нибудь 31789 порту, например??? Если нет денег на Outpost, так можно Kerio использовать!!!
советую также при случае поставить Lavasoft Ad-Aware (для тех. кто не знает - шпионов всяких ловит, даже червяки в базе есть) в свое время помог мне: "персоналка"-бесплатна, её минус язык Eng(хотя для админа клуба английский не должен быть в тягость), в "проф" версии есть RusLang, но $ (могу поделиться бесплатно)...
А антивирь: так avast Home бесплатно распространяется...коль каспера неохота покупать
А может drag_eko - любитель сайтов типа crack...(названия умышленно недописаны, ничего не имею против cracklab'a и других цивильных) или еще чего в этом роде...так там троян, на трояне - за бесплатно - надо платить ...Парадокс прямо
В любом случае : в идеале проверить все, удалить все что нашел антивирь...
нужную информацию скопировать на другой винт и...
форматирование всех primary и logical разделов...