У меня недавно был заражен svchost.exe (файл Window) вирусом Hidrag. Т.к. svchost файл Windows и этот фалй используется постоянно, то его нельзя вылечить и удалить тем более...КАк его можно вылечить не переустанавливая винду ?
У меня недавно был заражен svchost.exe (файл Window) вирусом Hidrag. Т.к. svchost файл Windows и этот фалй используется постоянно, то его нельзя вылечить и удалить тем более...КАк его можно вылечить не переустанавливая винду ?
Что значит недавно, уже всё нормально чтоли ?
http://ist.bratsk.org/forum/showthre...hlight=svchost
Всмысле я вчера поставил проверку на вирусняки всю систему, проверил не полностью...Пришлось отключать, седня утром поставил ояпть на проврку и сразуже обнаружил этот вирус...У меня он и раньше уже был. В прошлый раз сначало винту снес, не помогло, а потом форматнул полностью...После формата вируса не было видно больше 3 месяцев до сегодняшнего дня (Сообщение от JiF
У меня он тоже был..... лечиться банальной проверкой касперыча.Сообщение от B|!zzard
Умереть, зная, что такое смерть, умереть осознанно, имея
опыт смерти при жизни -- это первое прикосновение к бессмертию
В.Соло
Хех...И правда! Вылечил Я думал не попрет обычное лечение...Сообщение от PBCCCP
У меня тоже этот вирус есть, только на болванке уже. Каспер сто пудов лечит. Довольно старый вирус, ксати.
Сел на велик...
Вот и растрастранитель нашелсяСообщение от kocherga
Насколько я знаю .... (давно сталкивался с этой проблемой) этот файл svchost не файл Windows ..... настоящий svchost лежит в %windir/system32 .......а этот (псевдо), созданый гидрагом, просто в %windir ....... я удалял его и проблем не было
Господи, помоги мне грешному. Не дай глупостей натворить-наделать, а если уж наделаю, то пусть уроком мне будет, а не как обычно: хи-хи, ха-ха, забухал, да забыл .
А у меня противоположная история. Был заражен именно в %windir/system32. Не лечился и удалить его нельзя было...Сообщение от Faster
Приславутая программа Hidraq (Гидра) , он же вирус , он же червь...
Имеет инкубационный период от 1 недели до трех месяцев ! за время инкубации его обнаружить нельзя, он распространяется по EXE-файлам , после чего начинает себя проявлять: удаление, переименование...и т.д. После того как будут инфицированны достаточное кол-во EXE-файлов, он перекидывается на другие приложения *.COM , *.DAT ...
ни какое лечение антивирусом не поможет кто бы что не говорил , т.к. прописывается на нулевой дорожке , а там сами понимаете ! Так что и форматирование тоже не спасет
Избавиться можно только через исходный код вируса !!!
Удачи ...
Чё за чушь ! Не запугивай народ !
Ну у теа и фантазия. Тебе бы книги начать писать...Сообщение от Uphologyst
, Фантазия у меня может быть и хорошая ... Но для проверки могу залить полностью этот вирус ... Потому как у вас(пользователей) только хвосты , результат его действия будет ..."Ухты" ...Сообщение от B|!zzard
А если терзают людей сомнения , залезь на архив вирусов
(Хакерский сайт!!! www.arhiv-virus.ru ) почитай , посмотри как вирусы действуют ...
Если ты человек образованный , тогда мне нечего объяснять
Счастливого выздоровления ! ;)
хз...мож ты с чем то путаешь (: или я (%
Virus.Win32.Hidrag.d
Технические детали
Компьютерный вирус. Инфицирует PE EXE файлы с сохранением их работоспособности. Имеет размер 36352 байта. Написан на языке C++.
Относится к классу HLLP-вирусов (High Level Language Parasitic Virus).
Инсталляция
При запуске зараженного файла вирус копирует себя в корневой каталог Windows с именем svchost.exe:
%WinDir%\svchost.exe
При этом тело вируса модифицируется так, что в конец файла добавляется ресурс VERSIONINFO, частично совпадающий с аналогичным ресурсом в оригинальном системном файле svchost.exe Windows XP, который расположен в %WinDir%\system32 (различие только в номерах версий — созданный файл имеет номер версии 5.1.0.0).
После этого вирус запускает созданный файл, передавая ему в качестве параметров командной строки имя запущенного инфицированного Exe-файла и его параметры командной строки.
Затем выполнение программы завершается. Это делается для лечения запустившегося инфицированного Exe-файла.
Запущенный вирусом файл svchost.exe проверяет тип операционной системы. Если это Windows NT, 2000 или XP, то он регистрирует себя в виде службы с именем «PowerManager» и описанием «Manages the power save features of the computer». Если тип операционной системы другой (Windows 95, 98), то запущенный процесс (svchost.exe) прячется из списка задач с помощью функции RegisterServiceProcess и регистрируется в системном реестре:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services]
"PowerManager"="%WinDir%\svchost.exe"
Запущенный файл svchost.exe анализирует параметры командной строки; если они есть, то вирус лечит указанный в них файл и запускает его с оригинальными параметрами командной строки. Затем, если одна копия вируса уже выполняется, процесс завершает свою работу.
Деструктивная активность
В ходе фонового выполнения файла svchost.exe производится поиск и инфицирование других Exe-файлов. При поиске файлов просматриваются все несъёмные диски, начиная с диска C: до диска Z:. Для каждого диска просматривается дерево подкаталогов и производится поиск файлов с расширением Exe. Найденные файлы инфицируются.
При этом заражение файлов не происходит, если выполняется одно из следующих условий:
файл импортирует одну из функций: PackDDElParam или StartServiceCtrlDispatcher;
размер файла меньше 100 КБ;
тип пользовательского интерфейса — не GUI;
файл является защищённым (определяется посредством SfcIsFileProtected);
файл уже инфицирован этим вирусом (определяется путём нахождения строки; «Ijeefo!Esbhpo!wjsvt/!Cpso!jo!b!uspqjdbm!txbnq/» по смещению 610h от начала файла (данная строка является зашифрованной строкой «Hidden Dragon virus. Born in a tropical swamp.»).
Все строковые константы в теле вируса зашифрованы.
При заражении файлов у них на время инфицирования снимается атрибут «Только для чтения». Также не изменяются время создания, записи и последнего доступа к файлу. В ходе инфицирования файлов вирус шифрует и меняет местами некоторые данные файла.
Рекомендации по удалению
Удалить ключ реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services]
"PowerManager"="%WinDir%\svchost.exe"
Остановить службу с именем PowerManager.
Удалить файл svchost.exe в каталоге %WinDir% (но не в %WinDir%\system32!).
Произвести полную проверку компьютера Антивирусом Касперского для удаления всех копий вирусов в Exe-файлах, которые невозможно обнаружить и вылечить вручную
источник
Телевизор — это просто маленькое прозрачное окошко в трубе духовного мусоропровода. © В. Пелевин.
Нет , всё правильно !!!Сообщение от nons
Сразу же видно что человек знает о чем идет речь ...
Спасибо за поддержку !
А вот это всё откуда ? (в сообщении Нонса этого не было)
Про инкубационный период - впервые слышу ! Может это какой-нить аналог или разновидность, что ли .. Но точно не тот вирус, которым интересуется автор темы... То что избавиться можно через исходный код вируса - полная чушь ! Даже сказать тут нечего ... Лечение антивирусом - поможет, при условии если вирус не будет работать (подробнее выше в Рекомендации по удалению) ... А по поводу форматирования, то ,во-первых, он на нулевой дорожке не прописывается, во-вторых, её можно восстановить, в-третьих, форматирование спасётИмеет инкубационный период от 1 недели до трех месяцев ! за время инкубации его обнаружить нельзя, он распространяется по Exe-файлам , после чего начинает себя проявлять: удаление, переименование...и т.д. .... ни какое лечение антивирусом не поможет кто бы что не говорил , т.к. прописывается на нулевой дорожке , а там сами понимаете ! Так что и форматирование тоже не спасет. Избавиться можно только через исходный код вируса !!!
Я плакал.Сообщение от Uphologyst
1. Это не червь. Это вирус.
2. инкубационного периода там нет
3. Файлы он НЕ переименовывает и не удаляет.
4. КОМ приложений под винду не видел
5. ДАТ - это не приложения ...... (может .txt тоже приложение?)
6. Лечение антивирусом помогает
7. На нулевой дорожке вирус не прописывается
8. Форматирование спасает при сбоях на нулевой
9. С помощью исходного кода можно только новый вирус написать. Исходники тут не причём
Итого 9 ошибок в таком маленьком рассуждение о вирусе
Да, кстати, подсказать тебе ещё пару "Хакерский сайт!!! " ???
Мега кулхацхакерский сайт securitylab.ru. ))
А воообще хидрак прикольный вирус. Сначала начинается ослик со второго раза запускаться. Потом аська с третьего раза. (притом так случается только с часто используемыми прогами) ......
Потом оказывается. что 50% экзешников заражены....
Попсовая тема в своё время была.
+1
для меня дважды поводом для беспокойства был незапускающийся light alloy.. после этой заразы файловый архив приходилось долго и упорно восстанавливать, т.к. вылеченные экзешники-инсталляшки ругались на неверный размер вылеченного файла..))
Эту тему просматривают: 1 (пользователей: 0 , гостей: 1)