Ага червь. Тебе нужно поставить Заплатки против Sasser FxSasser 1.0.4

Извини, но то что ты описываешь это проявления именно сассера. Так что понял я тебя правильно, а в нашей сетке сассера выхватить нефик делать.

То на что я дал тебе ссылку не проверка, а заплатка против сассера.

Конечно, не совсем так... черви притом только старые не будут тревожить, но без антивируса нельзя! вирусы отымеют твой комп, и ты не заметишь... с антивирусом ты это хотя бы заметишь... если повезет %))))
может, этого и не видно, но зоопарк-лепразорий на компах тех, кто не юзает антивири - это угроза всем. "Да нет, все нормально - Я живу спокойно" - слышим мы от них в ответ

уже есть 9-ая версия. по ощущениям работает помягче 8-ки, и наконец-то устранилось "замирание" сразу после логина в систему.

у меня честный (купленный) ключик от 8-ой версии, девятую накатил - всё пучком, работает.

Будь добр, скажи, как покупал, где и во сколько тебе это обошлось (и на какой срок ключик) ?

Не Email-Worm.Win32.Nyxem.e случаем? Сегодня его день

Вот алерт: http://www.viruslist.com/ru/alerts?alertid=178432582

А здесь специализированные "лекарства":

линк
http://securityresponse.symantec.com/avcenter/FixBmalE.exe
http://www.f-secure.com/tools/f-force.zip + http://www.f-secure.com/download-purchase/latest.zip

Email-Worm.Win32.Nyxem.e
Другие версии: .a

Детектирование добавлено 17 янв 2006
Описание опубликовано 20 янв 2006
Поведение Email-Worm, почтовый червь

* Технические детали
* Рекомендации по удалению

Технические детали

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по открытым сетевым ресурсам.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде — около 95 КБ, размер в распакованном виде — около 176 КБ.
Инсталляция

После запуска, скрывая свою основную функциональность, червь создает в системном каталоге Windows и затем открывает ZIP-архив с тем же именем, что и запускаемый файл. Например:

%System%\Sample.zip

При инсталляции червь копирует себя в корневой и системный каталоги Windows и каталог автозагруски со следующими именами:

%System%\New WinZip File.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe
%System%\WINZIP_TMP.EXE
%User Profile%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
%Windir%\rundll16.exe

После чего червь регистрирует себя в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry"="scanregw.exe /scan"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь изменяет следующие ключи реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"WebView"="0"
"ShowSuperHidden"="0"

Распространение через email

Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:

dbx
eml
htm
imh
mbx
msf
msg
nws
oft
txt
vc

Червь также сканирует файлы, имеющие в своем имени следующие подстроки:

content
temporary

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Тема письма:

* *Hot Movie*
* A Great Video
* Arab sex DSC-00465.jpg
* eBook.pdf
* Fuckin Kama Sutra pics
* Fw:
* Fw: DSC-00465.jpg
* Fw: Funny
* Fw: Picturs
* Fw: Real show
* Fw: SeX.mpg
* Fw: Sexy
* Fwd: Crazy illegal Sex!
* Fwd: image.jpg
* Fwd: Photo
* give me a kiss
* Miss Lebanon 2006
* My photos
* Part 1 of 6 Video clipe
* Photos
* Re:
* Re: Sex Video
* School girl fantasies gone bad
* The Best Videoclip Ever
* You Must View This Videoclipe!

Текст письма:

* ----- forwarded message -----
* >> forwarded message
* forwarded message attached.
* Fuckin Kama Sutra pics
* hello, i send the file. Bye
* Hot XXX Yahoo Groups
* how are you? i send the details.
* i attached the details. Thank you.
* i just any one see my photos. It's Free
* Note: forwarded message attached. You Must View This Videoclip!
* Please see the file.
* Re: Sex Video
* ready to be FUCKED
* The Best Videoclip Ever
* VIDEOS! FREE! (US$ 0,00)
* What?

Имя файла-вложения:

* 007.pif
* 04.pif
* 3.92315089702606E02.UUE
* 677.pif
* Attachments[001].B64
* document.pif
* DSC-00465.Pif
* DSC-00465.pIf
* eBook.PIF
* eBook.Uu
* image04.pif
* New_Document_file.pif
* Original Message.B64
* photo.pif
* School.pif
* SeX.mim
* WinZip.BHX
* Word_Document.hqx
* Word_Document.uu

Распространение через открытые сетевые ресурсы

Червь копирует себя в следующие доступные сетевые ресурсы с именем Winzip_TMP.exe:

ADMIN$
C$

Прочее

В случае обнаружения на зараженном компьютере червь удаляет следующие записи в системном реестре:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"APVXDWIN"
"avast!"
"AVG_CC"
"AVG7_CC"
"AVG7_EMC"
"AVG7_Run"
"Avgserv9.exe"
"AVGW"
"BearShare"
"ccApp"
"CleanUp"
"defwatch"
"DownloadAccelerator"
"kaspersky"
"KAVPersonal50"
"McAfeeVirusScanService"
"MCAgentExe"
"McRegWiz"
"MCUpdateExe"
"McVsRte"
"MPFExe"
"MSKAGENTEXE"
"MSKDetectorExe"
"NAV Agent"
"NPROTECT"
"OfficeScanNT Monitor"
"PCCClient.exe"
"pccguide.exe"
"PCCIOMON.exe"
"PccPfw"
"Pop3trap.exe"
"rtvscn95"
"ScanInicio"
"ScriptBlocking"
"SSDPSRV"
"TM Outbreak Agent"
"tmproxy"
"Vet Alert"
"VetTray"
"VirusScan Online"
"vptray"
"VSOCheckTask"

Также червь выгружает из системы запущенные приложения, в именах которых присутствуют следующие строки:

fix
kaspersky
mcafee
norton
removal
scan
symantec
trend micro
virus

Червь удаляет все найденные файлы из следующих папок:
%ProgramFiles%\Alwil Software\Avast4\*.exe %ProgramFiles%\BearShare\*.dll
%ProgramFiles%\DAP\*.dll
%ProgramFiles%\Grisoft\AVG7\*.dll
%ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
%ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
%ProgramFiles%\LimeWire\LimeWire 4.2.6\LimeWire.jar
%ProgramFiles%\McAfee.com\Agent\*.*
%ProgramFiles%\McAfee.com\shared\*.*
%ProgramFiles%\McAfee.com\VSO\*.exe
%ProgramFiles%\Morpheus\*.dll
%ProgramFiles%\NavNT\*.exe
%ProgramFiles%\Norton AntiVirus\*.exe
%ProgramFiles%\Symantec\Common Files\Symantec Shared\*.*
%ProgramFiles%\Symantec\LiveUpdate\*.*
%ProgramFiles%\Trend Micro\Internet Security\*.exe
%ProgramFiles%\Trend Micro\OfficeScan Client\*.exe
%ProgramFiles%\TREND MICRO\OfficeScan\*.dll
%ProgramFiles%\Trend Micro\PC-cillin 2002\*.exe
%ProgramFiles%\Trend Micro\PC-cillin 2003\*.exe

Все перечисленные действия червя делают систему более уязвимой для последующих атак.

Также червь может загружать из интернета свои обновления без ведома пользователя.

Также на зараженном компьютере червь может блокировать работу мыши и клавиатуры.

Третьего числа каждого месяца через 30 минут после загрузки зараженного компьютера червь перезаписывает файлы, имеющие следующие расширения:

dmp
doc
mdb
mde
pdf
pps
ppt
psd
rar
xls
zip

Испорченные файлы содержат следующий текст:

DATA Error [47 0F 94 93 F4 F5]

Рекомендации по удалению

1. Перезагрузите компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажмите и удерживайте F8, а затем выберите пункт Safe Mode в меню загрузки Windows).
2. В диспетчере задач найдите процесс с одним из следующих имен:

New WinZip File.exe
rundll16.exe
scanregw.exe
Update.exe
Winzip.exe
WINZIP_TMP.EXE
WinZip Quick Pick.exe

Если обнаружите такой процесс — завершите его.
3. Вручную удалите следующие файлы из корневого и системного каталогов Windows и каталога автозагрузки:

%System%\New WinZip File.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe
%System%\WINZIP_TMP.EXE
%User Profile%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
%Windir%\rundll16.exe

4. Удалите из системного реестра следующую запись:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry"="scanregw.exe /scan"
5. Перезагрузите компьютер в нормальном режиме и убедитесь, что вы удалили все зараженные письма из всех почтовых папок.
6. В случае если были повреждены ваши персональные программы (в большинстве случаев это антивирусные программы и межсетевые экраны), заново установите требуемое программное обеспечение.
7. Произведите полную проверку компьютера Антивирусом Касперского (скачать пробную версию).

Ага...
Portable Executable, да ещё и VB'шный + запакованый UPX'ом (p.s. про aspack не забыли? ) Они случаем рантаймы с собой не таскают (а то я не заметил в описании)? А что? на каждую версию-то не напосешься!

Не... Рантайм там не на один метр, если я правильно помню. Никаким архиватором столько в 95 кил не запихать .

Не являясь компилятором, как интерпретатор, VB имеет ядро, или, если говорить точным языком виртуальную машину (aka Microsoft Visual Basic Virtual Machine xx, где xx - major + minor версия) на данный момент последняя — msvbvm60.dll, т.е. соответствует последней версии классического VB - VB6 далекого 98'. Её последняя модификаця (с установленным SP6 — последним для линейки VS6 того же 98') занимает 1,32 MB, 2002 год. Т.о., если ещё допустить наличие таких чудес как Object Linking&Embedding aka OLE и не-вложенных ActiveX контролов (ocx+dll) и прочей т.н. ComponetObjectModel aka COM-related всячины, имеем дополнительную рантайм DLL, известную в народе как vbrun60.dll плюс горы другого "барахла" в придачу... в всё с собой... Я ещё не сказал про совместимость с Win32API и Win16API...

ого... определенно увлекся...
P.S. Троян/Вирус на VB, imo, = анекдот.

Снёс нафик, хрень всякую заливают..

Вопрос из серии "почему невозможно пить пиво?"
антивирусы через Хнет обновляются. Есл у вас сервера обновлений прописаны внешние (к примеру, официальные сервера производителей), то перед обновлением полезно включать монитор (это такая программка )
Если хотите без трары траффика, воспользуйтесь поиском на Филине и Хнетфоруме - тема поднималась неоднократно и все было расписано.

Самое лучшее его удалить и никаких промблем.