Как я мучаю Windows! часть третья :)

Всем привет!
Опять я тут вирус получил по почте :) Не стал бы тревожить, но его ни каспер (с обновлением 18 сентября) не видели, пришлось качать новые обновления :)
В итоге:
Письмо пришло с адреса Sniper <sniper@trinitycos.com> на мой адрес Sniper <sniper@triple.ru>. Кто из вас получал видимо будет аналогичное, только за место sniper будет начало вашего мыла :)
Письмо без темы. Во вложении файл price_new.zip. Во вложении файл 02.exe 35.2кб
При проверке Dr.Web: Win32.HLLM.Beagle.35146
При проверке Касперким: E-mail-Worm.Win32.Bagle.do
Как вы знаете люблю эксперементы :) Дай думаю запущу, после запуска маленький зависон(конфигурация компа AthlonXP-2400 разогнанный до AthlonXP-3200), процессор заработал чуть ли не наполной :) Весь мой реестр переворошил :) Вы бы это видели :) Вирус скопировал себя в папку C:\Windows\System32\ под именем winshost.exe и wiwshost.exe
Один Win32.HLLM.Beagle.35146 другой Win32.HLLM.Beagle.34316. И записал в автозагрузку оба файла:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Winshost.exe"="C:\\WINDOWS\\system32\\winshost.exe"
and
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Winshost.exe"="C:\\WINDOWS\\system32\\winshost.exe"
Ну я сразу же удалил эти ключи в реестре :)
Далее самое интересное:
Вирус ищет в реестре записи программы созданные: Zone Labs, KasperskyLab, Agnitum, McAfee. Из этого у меня есть только Касперский и Outpost Firewall:) Все эти действия вирус повторяет несколько раз в секунду.
Касперский и Outpost Firewall у меня всё таки отказалисбь работать. Касперский не работал из-за того что были выкинуты ключи из реестра и выключена служба kavsvc. Outpost перестал работать после перезагрузки, интересно то что он вообще не запустился, будто его и нету :) Он находиться в папке C:\Program Files\Agnitum\Outpost Firewall под именем outpost.exe, но вирус его переименовал под out1post.exe.
DrWeb работает без проблем, вирус на него вообще не покоснулся, по крайней мере я этого не заметил. Так что DrWeb Forever :))
Кстати ещё у меня при перезагрузке компа вылазит
Неправильный файл BOOT.INI
Загрузка с C:\WINDOWS
Оказалось его тоже кто то модифицировал :)

На данный момент вроде бы от вируса избавился, но вот процесс LSASS меня достал, каждую секунду что то ищет тут
HKEY_LOCAL_MACHINE\SAM and HKEY_LOCAL_MACHINE\SECURITY
До этого момента подобного не замечал.

Думал я всё таки дождусь того как ко мне придёт мой заказанный Windows Vista(ранее Longhorn), придётся опять format c: /q :) А ему всё таки уже Моему Windows Xp: 65 дн 11 мин 08 с. Большой срок :)

P.S Не делайте то что делаю я, это опасно для вашего компьютера. У меня просто мания такая, после того как поймал win95.cih(чернобль), любил его просто так запускать, года 2 назад Windows 98\Me переустанавливал почти через каждый день, бывало так что в день аж 3-4 раза :) Раньше считал было сколько всего переустановок было, сбился со счёта, более 600 уже 100% есть! :) Время 21 сентября 3.45 ночи, сейчас отправлю вам рассылку и спать :) Удачи! живите без вирусов!

(c) Sniper www.DrWeb.org.ru

^ back to the top ^