myasorubka Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Вирус под названием - "Win32.jLok"   *.doc файлы переименовывает в *.exe, добовляя в файлы свою запись - так же создает и запускает ntldrtr.exe и shellbit32.exe), и нацелена на удаление установленных принтеров.   Когда приступили к его убийству среагировали только KAV и Nod32 (остальные не находят ни SAV ни NAV ни Mcaffee, ни Avast, ни другое), и то KAV находит этот вирус если он в архиве, а Nod точно находит. Но они оба предлагают удалить, а некоторые файлы очень важные (ведь все .doc и) удялять их строго запрещяется. Как же быть.   Один знакомый создал утилиту для очистки этого вируса из .doc файла.   _http://delphius.sbn.bz/files/JLOKREM.ZIP   Но она чистит только у него в компе, а у других он не чистит   Вот сам вирус (в архиве): _http://rapidshare.de/files-en/625159/documents_with_jLok_virus.zip.html (осторожно, а то он гад, вам принтер сгадит)   Кто-нибудь помогите пожалуйста доработать эту утилиту, или сделать новую.   Всем заранее спасибо.       Информация об этом вирусе в Интернете очень мизерная.   Вот что пишет Eset об этом вирусе:   Цитата: Jlok.A is a virus infecting files on a system and via removable medias. It can contain an attached Microsoft Word document. After its execution, it deletes itself from the executed file and only keeps the original document. Infects other documents located in user's Desktop and My Documents. It may remove all installed printers from the system and cause shutdown of an infected computer.   Note: In the following text, %windir% denotes Windows directory (e.g. C:\WINDOWS) and %system% denotes Windows System directory (e.g. C:\WINDOWS\SYSTEM32) as they differ on various versions of Microsoft Windows.   Details   Spreads over infected system into:   %SysDir%\ntldrt.exe %SysDir%\shellbit32.exe   These files are then executed automatically during system start-up from registry at   HKCU\Software\Microsoft\Windows\CurrentVersion\Run shell32 = C:\WINDOWS\System32\ntldrt.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Run sysclx = C:\WINNT\System32\ntldrt.exe     It creates a mutex called "mylove" .   It can recursively delete the registry entry HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print and its subkey Printers, which will cause deletion of all installed printers. It can also initiate a system shutdown.   Spreading   It reads the location of Desktop and My Documents folder from registry and infects all documents within these folders and their subfolders. The file extension of those documents is changed from .doc to .exe. After eventual execution of an infected document, the virus removes itself from it and restores the original document. Such activity is performed on all removable media drives up to the drive N:   It also monitors all open windows and upon detecting one with the contents of 3.5" floppy drive, it starts the process of infection.   Precaution   While infecting the Microsoft Word documents, the virus turns them into executable files. The icon is identical to the document though. Therefore, if the "hide known file extensions" setting is turned on (it is by default), there is no way for users to tell whether they are dealing a real document or a disguised virus.   To disable the "hide known file extensions" feature, please do the following:   Click on Start menu -> Control panel -> Folder options.   Open the tab View.   Find the setting 'hide known file extensions' and uncheck it.   Detection using a sample is added since version 1.984.       Добавлено:    Видать никого это еще на затронула (и я очень надеюсь чтобы так было). Всего записей: 180 | Зарегистр. 31-03-2004 | Отправлено: 09:30 17-02-2005 | Исправлено: myasorubka, 10:19 17-02-2005

myasorubka Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору И никто не смог помочь. Всего записей: 180 | Зарегистр. 31-03-2004 | Отправлено: 15:39 18-02-2005

GeMir Ich finde dich Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору myasorubka В Pand'у пошли своего "зверя". Всего записей: 10296 | Зарегистр. 15-02-2004 | Отправлено: 15:44 18-02-2005

myasorubka Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору в Панду, ок, пошлю им тоже.   Я посылал Симантековцам (2 раза) - 0 внимания. Они наверное тоже удивляются сейчас. Посылал Мкафу - тоже но респонс. И послал Касперскому, ну они крутые, сразу а где "золотой ключ" или скажи "пароль" Но все безуспешно. Надеюсь Панда заценят и помогут. Или можно массовое заражение по всему миру устроить и тогда ждать и надеятся что нормальную пилюлю выпустят.   GeMir спасибо за совет.   Но также надеюсь что будут новые предложения или уже конкретные решения от других. Всего записей: 180 | Зарегистр. 31-03-2004 | Отправлено: 16:28 18-02-2005

yuroks Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору myasorubka SAV и DrWeb видят, тока проверил Всего записей: 75 | Зарегистр. 18-10-2002 | Отправлено: 17:01 18-02-2005

GeMir Ich finde dich Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Panda Antivirus cо свежими (обновлены сегодня) базами не видит в упор. Всего записей: 10296 | Зарегистр. 15-02-2004 | Отправлено: 17:09 18-02-2005 | Исправлено: GeMir, 17:14 18-02-2005

pion Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору myasorubka Заархивируй свои докуметы с паролем и отправь своему знакомому - пусть пролечит.     Всего записей: 940 | Зарегистр. 13-06-2002 | Отправлено: 17:17 18-02-2005

myasorubka Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору rayoflight SAV вообще не находил, может последние обновления находят (после моих писем. Но антивирусы предлагают только удалить. Просто некоторые документы важные. Нужна прога которая очишает. Представь, что будеш делать, если на работе или дома все твои документы заражены, ты же не будеш говорить да ну их и стирать все файлы. pion отправил, но пока друг химичит, и его пилюля частично работает то есть не все зараженные файлы находит. Всего записей: 180 | Зарегистр. 31-03-2004 | Отправлено: 18:22 18-02-2005 | Исправлено: myasorubka, 18:24 18-02-2005

GeMir Ich finde dich Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору myasorubka Цитата: Просто некоторые документы важные. Нужна прога которая очишает. Представь, что будеш делать, если на работе или дома все твои документы заражены, ты же не будеш говорить да ну их и стирать все файлы.   Вот на такой случай и есть backup!.. У тех у кого он есть... Всего записей: 10296 | Зарегистр. 15-02-2004 | Отправлено: 18:51 18-02-2005

pion Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору myasorubka Между прочим, ты запостил не заражённый документ, а сам вирус. Поэтому он и не лечится. А заражённые документы лечатся, например DrWeb'ом. Всего записей: 940 | Зарегистр. 13-06-2002 | Отправлено: 23:32 19-02-2005 | Исправлено: pion, 18:33 20-02-2005

vito333 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору мля, чешутся же у кого-то ручонки ... Всего записей: 3322 | Зарегистр. 13-05-2002 | Отправлено: 16:26 21-02-2005

Blackbox7 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору myasorubka   Присоединяюсь к pion. Выложи где-нибудь несекретный doc-файл, чтобы можно было пробовать лечить, а то как-то неохота эту заразу у себя запускать, чтобы потом всем хором тут орать . ЗЫ. AntiVir его действительно убил сразу.   Всего записей: 694 | Зарегистр. 22-04-2003 | Отправлено: 17:15 21-02-2005

biomednet Schwarz Meister Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Э! Народ, а никому не кажется, что это тема для Андерграунда? ---------- Nytt Land - Ritual Всего записей: 2295 | Зарегистр. 12-08-2002 | Отправлено: 18:40 21-02-2005 | Исправлено: biomednet, 18:41 21-02-2005

myasorubka Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Blackbox7 Сейчас проэкспериментирую в одном компьютере (учебный класс) и выложу вирус с документом. vito333 Согласен, этот продукт от "редиски" так быстро заражается, я всех предупреждаю, но все равно слышу у многих людей то документы начали исчезать, то принтер не стал работал "исчез" (и установку нельзя делать, надо заново с системой с нуля). biomednet Мы же ничего не ломаем как "некоторые", а наоборот стараемся предостеречься от "эпидемии".   Добавлено: Я извиняюсь что столько хлопот Вам составил, но один редиска который должен был мне документ с вирусом дать, принес мне сам вирус, а я тут мучался и думал почему я не смогу почистить. Но решил я сам пойти в этот учебный класс и взять экземпляр на проверку.   http://rapidshare.de/files/673434/Infected_documents_with_jLok.zip.html   Есть хорошая новость, (конечно мне пришлось "пожертвовать" одним компьютером, но он сейчас в отличном состоянии).   Ручной метод:   Значить запускаем этот зараженный документом (с .exe расширением). Вирус вытаскивает Вам ваш документ (чистый), вытаскивает один .bat (запускает ее), потом удаляет .exe и .bat, и у Вас остается чистый документ, вроде бы все почесному, но эта зараза также вытаскивает из .exe два файла, и копирует их в всем известную папку:   %SysDir%\ntldrt.exe   %SysDir%\shellbit32.exe     А также добавляет их в автозагрузку.   Но иногда бывает что вирус не может удалить свой .exe, и .bat.   Можно запустить сначала все зараженные файлы - потом до перезагрузки, удалить зараженные .exe и .bat (если они остались) и также удалить:   %SysDir%\ntldrt.exe   %SysDir%\shellbit32.exe     А также убрать ссылки на них из автозагрузки. Но если нечаянно перезагрузите, то тоже не проблема, можно вырезать эти:     %SysDir%\ntldrt.exe   %SysDir%\shellbit32.exe     и временно вставить в рабочий стол (потому что их нельзя удалить) и перезагрузиться еще раз, а потом удалить их из рабочего стола, плюс ссылки из автозагрузки.   Единственно одну вещь не смог проверить, если я запущу этот .exe то он мне принтер сразу удалит или после перезагрузки? Ну я надеюсь на этот вопрос кто-нибудь другой поможет нам ответить.   И был очень признателен если кто-нибудь сделает утилиту, которая автоматически извлекает .doc из этих .exe без ее запуска.   Добавлено: Все равно этот зараженный вирус ни Nod32 (21/02/05) ни SAV (20/02/05) не может излечить только удалить или переименовать. Всего записей: 180 | Зарегистр. 31-03-2004 | Отправлено: 08:52 22-02-2005 | Исправлено: myasorubka, 10:19 22-02-2005

myasorubka Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору После опроса, и после проверки несколькими другими антивирусами, определили победителей среди антивирусов которые лечат этот вирус. Первое место - DrWeb 4.32b (22.02.05 upd) Второе место - KAV Personal Pro 5.0.20 (23.02.05 upd) - второе место потому что лечит только если зараженный документ в архиве (так что если вам нужно вылечить ваш зараженный документ, заархивируйте и потом проверяйте, а потом переименуйте .exe в .doc).   Опредили вес вируса Win32.jLok.A (также Win32.HLLP.Jook) - 50 кБ (средневесовой категории )   Надеюсь редиска-создатель не выпустит следующие версии.   Всем спасибо за внимание.   Добавлено: Тестировались:   1. Еset Nod32 Standart 2.12.3 (update 22.02.05) - определил как Win32.jLok.A 2. Symantec Antivirus 9.0.1.1000 (update 21.02.05) - Trojan Horse 3. KAV Personal Pro 5.0.20 (update 23.02.05) - Virus.Win32.Jlok.a (2-ое место) 4. DrWeb 4.32b (22.02.05) - Win32.HLLP.Jook (1-ое место) 5. avast! Home 4.6.603 - не знает и не лечит 6. McAfee VirusScan Eterprise 8.0i - W32/Generic.Delphi.c 7. Bitdefender 8.0.137 Pro (22.02.05) - не знает и не лечит 8. Avert Stinger 2.4.7 - не помог (ну тоже McAfee вский) 9. Panda Antivirus (18.02.05) - не знает и но не лечит 10. F-Prot - знает но не лечит   Можно было еще проверить другими (штук 5-6 еще есть) но смысла уже практически нету. Всего записей: 180 | Зарегистр. 31-03-2004 | Отправлено: 10:47 23-02-2005 | Исправлено: myasorubka, 12:57 23-02-2005

nikolamor Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Не хочу плодить похожие темы, поэтому задам свой вопрос здесь, если не возражаете...   После проверки диска С NIS 2003 выдал результат - на диске присутствует троян. Я нашла на диске этот вирус в РАРе, перенесла его на диск D и снова проверила диск С. На этот раз НИС ничего не обнаружил. Проверила диск D - естественно, архив с трояном был обнаружен.   Но почему-то удалить его НИС не сумел :/ Спросил меня - карантинировать? ОК, сказала я. Далее спросил - удалить? ОК, снова ответила я. На что он мне выдал вот такую штуку:   Сам вирус вот такой:   Подскажите, пожалуйста, не похож ли он по названию на какой-нибудь системный файл,   и что будет, если я удалю его просто через Корзину?   Спасибо за ответ! С уважением, Марина. Всего записей: 74 | Зарегистр. 24-11-2004 | Отправлено: 22:57 14-01-2006 | Исправлено: nikolamor, 22:58 14-01-2006

ZONE51 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору myasorubka   Цитата:  Но она чистит только у него в компе, а у других он не чистит   Это как?   Описание вируса: http://www.viruslist.com/ru/viruses/encyclopedia?virusid=69506   А что касетельно лечения то не знаю если честно, у меня раньше были заражены и доки и все подряд, и могу сказать что я тогда много сил положил чтоб восстановить все как надо..просто и ручонками тож надо работать там..просто кликнуть на кнопку мало..   Аналогичный случай:     http://www.kaspersky.ru/forum?rord=1&theme=148167242&thread=160016973   Цитата:    У меня в компе Вирус Win32.jlok что с ним делать?   Win32.Jlok это программа-вирус, заражающая документы Microsoft Word. Написана на Delphi 6.0. Копирует себя в системную директорию под именами ntldrt.exe и shellbit32.exe. Файлы имеют атрибуты «скрытый» и «системный». Создает следующие ключи реестра для автозагрузки при старте Windows: [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "shell32"="ntldrt.exe" [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "sysclx"="ntldrt.exe" Ищет на жестком и гибком дисках файлы с расширением «doc», переименовывает их в «exe» и инфицирует. Метод заражения — дописывание себя перед началом doc-файла; заголовок документа при этом шифруется. При запуске зараженного файла первым отрабатывает вирус, который затем запускает оригинальный doc-файл, расшифровав его заголовок. Virus.Win32.Parite.b это резидентный паразитический вирус. Вирус состоит из "носителя", написанного на ассемблере, и собственно вирусной компоненты, написанной на Borland C++. При запуске заражённого файла первым получает управление вирусный "носитель", он записывает во временную папку вирусный компонент и вызывает процедуру заражения. Вирус ищет Win32 PE EXE файлы с расширениями .exe и .scr на логических дисках компьютера, а также в ресурсах локальной сети, и заражает их. Создаёт свой ключ в системном реестре: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF] Лечиться нужно консольным антивирусом через безопасный режим ОС и удалением указанных выше параметров из реестра.   Всего записей: 884 | Зарегистр. 06-01-2006 | Отправлено: 23:40 14-01-2006

Klirik Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору nikolamor Цитата: не похож ли он по названию на какой-нибудь системный файл Не похож... Он на вирус похож Удаляй... Всего записей: 1330 | Зарегистр. 02-09-2001 | Отправлено: 00:00 15-01-2006

Страницы: 1 2

Компьютерный форум Ru.Board » Компьютеры » Программы » Очень вредный вирус

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование