Посоветуйте

[Rez[Z]zacheLLo]

Антивирус Касперского обнаружил вирус

Virus.Win32.Hidrag.a
Другие версии: .b, .c

Другие названия
Virus.Win32.Hidrag.a («Лаборатория Касперского») также известен как: Win32.Hidrag («Лаборатория Касперского»), Virus.Win32.Hidrag («Лаборатория Касперского»), W32/Jeefo (McAfee), W32.Jeefo (Symantec), Win32.HLLP.Jeefo.36352 (Doctor Web), W32/Jeefo-A (Sophos), Win32/HLLP.Jeefo (RAV), PE_JEEFO.A (Trend Micro), W32/Jeefo (H+BEDV), W32/Jeefo.A (FRISK), Win32:Jeefo (ALWIL), Win32/Hidrag.A (Grisoft), Win32.Jeefo.A (SOFTWIN), W32.Jeefo (ClamAV), W32/Jeefo (Panda), Win32/Jeefo.A (Eset)
Описание опубликовано 04 июн 2003
Поведение Virus, компьютерный вирус
Технические детали
Безобидный резидентный Win32-вирус. Заражает приложения Win32 (PE EXE-файлы). При заражении шифрует часть заражаемого файла.

При запуске зараженного файла инсталлирует себя в систему: создаёт свою копию с именем "svchost.exe" (размером около 36K) в каталоге Windows и регистрирует этот файл в ключе автозапуска системного реестра:


HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
PowerManager = %WindowsDir%\SVCHOST.EXE
Затем вирус остаётся в памяти Windows, рекурсивно ищет и заражает PE EXE-файлы на всех доступных дисках, начиная с диска C:.

Вирус никак не проявляет своего присутствия в системе.

Вирус содержит зашифрованные строки:


Hidden Dragon virus. Born in a tropical swamp.
PowerManagerMutant

Вот, что я про него нашел...После проверки антивирус вроде бы вы зараженные .exe вылечил, короме одного svchost. Вылечить не может и удалить подавно. Что мне делать ? Есть способы, кроме переустановки ОС ?

[nons]

1) попробуй в безопасном режиме или из под DOS заменить файл оригинальным
2) восстановление системы на период до заражения

[Vanda]

Если svchost заменить, система может очень сильно заболеть...без выздоровления. Остается 2 вариант.

[JiF]

Хых ... был у меня этот вирус )
дело в том , что SVCHOST.EXE - создается в папке C:\WINDOWS (по умолч.) то есть это не тот SVCHOST.EXE , который находится в папке C:\WINDOWS\Sysytem32 это значит , что этот вирус можно безболезненно уалить, каким образом : в диспетчере задач его обнаружить (я для этого юзал утилиту WhoLockMe ;) ) , убить и удалить Shift+Del )) Потом всё сканится антивирусом и лечится ..... всё !
Ps не сказал, что если запустить зараженный вирусом *.exe , то система снова заболеет ! ... так что откат системы - не поможет

[Rez[Z]zacheLLo]

Хых ... был у меня этот вирус )
дело в том , что SVCHOST.EXE - создается в папке C:\WINDOWS (по умолч.) то есть это не тот SVCHOST.EXE , который находится в папке C:\WINDOWS\Sysytem32 это значит , что этот вирус можно безболезненно уалить, каким образом : в диспетчере задач его обнаружить (я для этого юзал утилиту WhoLockMe ;) ) , убить и удалить Shift+Del )) Потом всё сканится антивирусом и лечится ..... всё !
Ps не сказал, что если запустить зараженный вирусом *.exe , то система снова заболеет ! ... так что откат системы - не поможет

Подскажи где можно эту софтинку достать

[Vanda]

Во-первых, удали его из автозагрузки. Затем можно либо комп перезагрузить и смело удалять файл, либо в процессах убить его и удалить физически. Для этого подойдет любая прога, хотя бы Starter (она показывает, что у тебя в автозагрузке творится, и в процессах от нее никто не скроется).

[JiF]

Подскажи где можно эту софтинку достать

да хоть где ... даже у меня ;)
а лучше всё таки вырубить её из автозагрузки regedit'ом (если ничего лучше нету) .... ключ где копать , ты выше писал ; перезагрузиться и всё ...

[RuEu]

Вопрос... Тут на работе какой-то вирусняк забрался и шифруется через систю процесс "lsass"... Чей-то за хрень??? А каспер его не береть...

[Vanda]

Вопрос... Тут на работе какой-то вирусняк забрался и шифруется через систю процесс "lsass"... Чей-то за хрень??? А каспер его не береть...

А если вручную почистить? И в какой он папке валяется?

[RuEu]

А если вручную почистить? И в какой он папке валяется?

Просто не получилось - пишет "Это критический процесс - и типа убрать его низя...". В какой папке?? Да черт его знает... А антивири типа Каспа и Веба просто его не видять...

[Vanda]

Чтобы узнать, в какой он папке, юзай утилиты для просмотра текущих процессов. Если он в папке System32 - попробуй загрузиться в безопасном режиме или с Live-CD и заменить файлик. Если же нет - выключи его из автозагрузки, а потом удали.

[JiF]

lsass то ? Это же мега важный процесс , его действительно нельзя и не нужно завершать / удалять ...

Управляет политикой IP-безопасности и запускает ISAKMP/Oakley (IKE) и драйвер IP-безопасности.

... ну я по крайней мере про тот что лежит в \system32\ и весящий 13,0 КБ (13 312 байт) ... Если приспичило его убить - может просто остановить службу ?