Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Очень вредный вирус

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2

Открыть новую тему     Написать ответ в эту тему

myasorubka



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вирус под названием - "Win32.jLok"
 
*.doc файлы переименовывает в *.exe, добовляя в файлы свою запись - так же создает и запускает ntldrtr.exe и shellbit32.exe), и нацелена на удаление установленных принтеров.
 
Когда приступили к его убийству среагировали только KAV и Nod32 (остальные не находят ни SAV ни NAV ни Mcaffee, ни Avast, ни другое), и то KAV находит этот вирус если он в архиве, а Nod точно находит. Но они оба предлагают удалить, а некоторые файлы очень важные (ведь все .doc и) удялять их строго запрещяется. Как же быть.
 
Один знакомый создал утилиту для очистки этого вируса из .doc файла.
 
_http://delphius.sbn.bz/files/JLOKREM.ZIP
 
Но она чистит только у него в компе, а у других он не чистит
 
Вот сам вирус (в архиве):
_http://rapidshare.de/files-en/625159/documents_with_jLok_virus.zip.html
(осторожно, а то он гад, вам принтер сгадит)
 
Кто-нибудь помогите пожалуйста доработать эту утилиту, или сделать новую.
 
Всем заранее спасибо.
 
 
 
Информация об этом вирусе в Интернете очень мизерная.
 
Вот что пишет Eset об этом вирусе:
 

Цитата:
Jlok.A is a virus infecting files on a system and via removable medias. It can contain an attached Microsoft Word document. After its execution, it deletes itself from the executed file and only keeps the original document.
Infects other documents located in user's Desktop and My Documents. It may remove all installed printers from the system and cause shutdown of an infected computer.
 
Note: In the following text, %windir% denotes Windows directory (e.g. C:\WINDOWS) and %system% denotes Windows System directory (e.g. C:\WINDOWS\SYSTEM32) as they differ on various versions of Microsoft Windows.
 
Details
 
Spreads over infected system into:
 
%SysDir%\ntldrt.exe
%SysDir%\shellbit32.exe
 
These files are then executed automatically during system start-up from registry at
 
HKCU\Software\Microsoft\Windows\CurrentVersion\Run shell32 = C:\WINDOWS\System32\ntldrt.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run sysclx = C:\WINNT\System32\ntldrt.exe  
 
It creates a mutex called "mylove" .
 
It can recursively delete the registry entry HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print and its subkey Printers, which will cause deletion of all installed printers. It can also initiate a system shutdown.
 
Spreading
 
It reads the location of Desktop and My Documents folder from registry and infects all documents within these folders and their subfolders. The file extension of those documents is changed from .doc to .exe. After eventual execution of an infected document, the virus removes itself from it and restores the original document. Such activity is performed on all removable media drives up to the drive N:
 
It also monitors all open windows and upon detecting one with the contents of 3.5" floppy drive, it starts the process of infection.
 
Precaution
 
While infecting the Microsoft Word documents, the virus turns them into executable files. The icon is identical to the document though. Therefore, if the "hide known file extensions" setting is turned on (it is by default), there is no way for users to tell whether they are dealing a real document or a disguised virus.
 
To disable the "hide known file extensions" feature, please do the following:
 
Click on Start menu -> Control panel -> Folder options.  
Open the tab View.  
Find the setting 'hide known file extensions' and uncheck it.  
Detection using a sample is added since version 1.984.

 
 
 
Добавлено:
 
 Видать никого это еще на затронула (и я очень надеюсь чтобы так было).

Всего записей: 180 | Зарегистр. 31-03-2004 | Отправлено: 09:30 17-02-2005 | Исправлено: myasorubka, 10:19 17-02-2005
myasorubka



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
И никто не смог помочь.

Всего записей: 180 | Зарегистр. 31-03-2004 | Отправлено: 15:39 18-02-2005
GeMir



Ich finde dich
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
myasorubka
В Pand'у пошли своего "зверя".

Всего записей: 10230 | Зарегистр. 15-02-2004 | Отправлено: 15:44 18-02-2005
myasorubka



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
в Панду, ок, пошлю им тоже.
 
Я посылал Симантековцам (2 раза) - 0 внимания. Они наверное тоже удивляются сейчас.
Посылал Мкафу - тоже но респонс. И послал Касперскому, ну они крутые, сразу а где "золотой ключ" или скажи "пароль" Но все безуспешно. Надеюсь Панда заценят и помогут. Или можно массовое заражение по всему миру устроить и тогда ждать и надеятся что нормальную пилюлю выпустят.
 
GeMir спасибо за совет.
 
Но также надеюсь что будут новые предложения или уже конкретные решения от других.

Всего записей: 180 | Зарегистр. 31-03-2004 | Отправлено: 16:28 18-02-2005
rayoflight

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
myasorubka
На данный момент этот вирус знают(кроме KAV и NOD32) AntiVir,Dr.Web,F-prot,SAV.

Всего записей: 3798 | Зарегистр. 09-09-2003 | Отправлено: 16:45 18-02-2005
yuroks



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
myasorubka
SAV и DrWeb видят, тока проверил

Всего записей: 75 | Зарегистр. 18-10-2002 | Отправлено: 17:01 18-02-2005
GeMir



Ich finde dich
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Panda Antivirus cо свежими (обновлены сегодня) базами не видит в упор.

Всего записей: 10230 | Зарегистр. 15-02-2004 | Отправлено: 17:09 18-02-2005 | Исправлено: GeMir, 17:14 18-02-2005
pion



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
myasorubka
Заархивируй свои докуметы с паролем и отправь своему знакомому - пусть пролечит.  
 

Всего записей: 940 | Зарегистр. 13-06-2002 | Отправлено: 17:17 18-02-2005
myasorubka



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
rayoflight SAV вообще не находил, может последние обновления находят (после моих писем. Но антивирусы предлагают только удалить. Просто некоторые документы важные. Нужна прога которая очишает. Представь, что будеш делать, если на работе или дома все твои документы заражены, ты же не будеш говорить да ну их и стирать все файлы.
pion отправил, но пока друг химичит, и его пилюля частично работает то есть не все зараженные файлы находит.

Всего записей: 180 | Зарегистр. 31-03-2004 | Отправлено: 18:22 18-02-2005 | Исправлено: myasorubka, 18:24 18-02-2005
GeMir



Ich finde dich
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
myasorubka

Цитата:
Просто некоторые документы важные. Нужна прога которая очишает. Представь, что будеш делать, если на работе или дома все твои документы заражены, ты же не будеш говорить да ну их и стирать все файлы.  

Вот на такой случай и есть backup!..
У тех у кого он есть...

Всего записей: 10230 | Зарегистр. 15-02-2004 | Отправлено: 18:51 18-02-2005
pion



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
myasorubka
Между прочим, ты запостил не заражённый документ, а сам вирус. Поэтому он и не лечится. А заражённые документы лечатся, например DrWeb'ом.

Всего записей: 940 | Зарегистр. 13-06-2002 | Отправлено: 23:32 19-02-2005 | Исправлено: pion, 18:33 20-02-2005
vito333



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
мля, чешутся же у кого-то ручонки ...

Всего записей: 3317 | Зарегистр. 13-05-2002 | Отправлено: 16:26 21-02-2005
Blackbox7



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
myasorubka
 
Присоединяюсь к pion. Выложи где-нибудь несекретный doc-файл, чтобы можно было пробовать лечить, а то как-то неохота эту заразу у себя запускать, чтобы потом всем хором тут орать .
ЗЫ. AntiVir его действительно убил сразу.  

Всего записей: 694 | Зарегистр. 22-04-2003 | Отправлено: 17:15 21-02-2005
biomednet



Schwarz Meister
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Э! Народ, а никому не кажется, что это тема для Андерграунда?

----------
"...ибо такова есть воля Божия, чтобы мы, делая добро, заграждали уста невежеству безумных людей" (1Пет.2:15)

Всего записей: 2185 | Зарегистр. 12-08-2002 | Отправлено: 18:40 21-02-2005 | Исправлено: biomednet, 18:41 21-02-2005
myasorubka



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Blackbox7
Сейчас проэкспериментирую в одном компьютере (учебный класс) и выложу вирус с документом.
vito333
Согласен, этот продукт от "редиски" так быстро заражается, я всех предупреждаю, но все равно слышу у многих людей то документы начали исчезать, то принтер не стал работал "исчез" (и установку нельзя делать, надо заново с системой с нуля).
biomednet
Мы же ничего не ломаем как "некоторые", а наоборот стараемся предостеречься от "эпидемии".
 
Добавлено:
Я извиняюсь что столько хлопот Вам составил, но один редиска который должен был мне документ с вирусом дать, принес мне сам вирус, а я тут мучался и думал почему я не смогу почистить. Но решил я сам пойти в этот учебный класс и взять экземпляр на проверку.
 
http://rapidshare.de/files/673434/Infected_documents_with_jLok.zip.html
 
Есть хорошая новость, (конечно мне пришлось "пожертвовать" одним компьютером, но он сейчас в отличном состоянии).
 
Ручной метод:
 
Значить запускаем этот зараженный документом (с .exe расширением). Вирус вытаскивает Вам ваш документ (чистый), вытаскивает один .bat (запускает ее), потом удаляет .exe и .bat, и у Вас остается чистый документ, вроде бы все почесному, но эта зараза также вытаскивает из .exe два файла, и копирует их в всем известную папку:
 
%SysDir%\ntldrt.exe  
%SysDir%\shellbit32.exe  
 
А также добавляет их в автозагрузку.
 
Но иногда бывает что вирус не может удалить свой .exe, и .bat.
 
Можно запустить сначала все зараженные файлы - потом до перезагрузки, удалить зараженные .exe и .bat (если они остались) и также удалить:
 
%SysDir%\ntldrt.exe  
%SysDir%\shellbit32.exe  
 
А также убрать ссылки на них из автозагрузки. Но если нечаянно перезагрузите, то тоже не проблема, можно вырезать эти:  
 
%SysDir%\ntldrt.exe  
%SysDir%\shellbit32.exe  
 
и временно вставить в рабочий стол (потому что их нельзя удалить) и перезагрузиться еще раз, а потом удалить их из рабочего стола, плюс ссылки из автозагрузки.
 
Единственно одну вещь не смог проверить, если я запущу этот .exe то он мне принтер сразу удалит или после перезагрузки? Ну я надеюсь на этот вопрос кто-нибудь другой поможет нам ответить.
 
И был очень признателен если кто-нибудь сделает утилиту, которая автоматически извлекает .doc из этих .exe без ее запуска.
 
Добавлено:
Все равно этот зараженный вирус ни Nod32 (21/02/05) ни SAV (20/02/05) не может излечить только удалить или переименовать.

Всего записей: 180 | Зарегистр. 31-03-2004 | Отправлено: 08:52 22-02-2005 | Исправлено: myasorubka, 10:19 22-02-2005
myasorubka



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
После опроса, и после проверки несколькими другими антивирусами, определили победителей среди антивирусов которые лечат этот вирус.
Первое место - DrWeb 4.32b (22.02.05 upd)
Второе место - KAV Personal Pro 5.0.20 (23.02.05 upd) - второе место потому что лечит только если зараженный документ в архиве (так что если вам нужно вылечить ваш зараженный документ, заархивируйте и потом проверяйте, а потом переименуйте .exe в .doc).
 
Опредили вес вируса Win32.jLok.A (также Win32.HLLP.Jook) - 50 кБ (средневесовой категории )
 
Надеюсь редиска-создатель не выпустит следующие версии.
 
Всем спасибо за внимание.
 
Добавлено:
Тестировались:
 
1. Еset Nod32 Standart 2.12.3 (update 22.02.05) - определил как Win32.jLok.A
2. Symantec Antivirus 9.0.1.1000 (update 21.02.05) - Trojan Horse
3. KAV Personal Pro 5.0.20 (update 23.02.05) - Virus.Win32.Jlok.a (2-ое место)
4. DrWeb 4.32b (22.02.05) - Win32.HLLP.Jook (1-ое место)
5. avast! Home 4.6.603 - не знает и не лечит
6. McAfee VirusScan Eterprise 8.0i - W32/Generic.Delphi.c
7. Bitdefender 8.0.137 Pro (22.02.05) - не знает и не лечит
8. Avert Stinger 2.4.7 - не помог (ну тоже McAfee вский)
9. Panda Antivirus (18.02.05) - не знает и но не лечит
10. F-Prot - знает но не лечит
 
Можно было еще проверить другими (штук 5-6 еще есть) но смысла уже практически нету.

Всего записей: 180 | Зарегистр. 31-03-2004 | Отправлено: 10:47 23-02-2005 | Исправлено: myasorubka, 12:57 23-02-2005
rayoflight

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Panda Antivirus (18.02.05) - не знает и не лечит  

Знает,но не лечит.

Всего записей: 3798 | Зарегистр. 09-09-2003 | Отправлено: 11:14 23-02-2005
nikolamor



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Не хочу плодить похожие темы, поэтому задам свой вопрос здесь, если не возражаете...
 
После проверки диска С NIS 2003 выдал результат - на диске присутствует троян.
Я нашла на диске этот вирус в РАРе, перенесла его на диск D и снова проверила диск С.
На этот раз НИС ничего не обнаружил.
Проверила диск D - естественно, архив с трояном был обнаружен.
 
Но почему-то удалить его НИС не сумел :/
Спросил меня - карантинировать? ОК, сказала я.
Далее спросил - удалить? ОК, снова ответила я.
На что он мне выдал вот такую штуку:

 
Сам вирус вот такой:

 
Подскажите, пожалуйста, не похож ли он по названию на какой-нибудь системный файл,  
и что будет, если я удалю его просто через Корзину?
 
Спасибо за ответ!
С уважением, Марина.

Всего записей: 74 | Зарегистр. 24-11-2004 | Отправлено: 22:57 14-01-2006 | Исправлено: nikolamor, 22:58 14-01-2006
ZONE51



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
myasorubka
 

Цитата:
 Но она чистит только у него в компе, а у других он не чистит

 
Это как?
 
Описание вируса: http://www.viruslist.com/ru/viruses/encyclopedia?virusid=69506
 
А что касетельно лечения то не знаю если честно, у меня раньше были заражены и доки и все подряд, и могу сказать что я тогда много сил положил чтоб восстановить все как надо..просто и ручонками тож надо работать там..просто кликнуть на кнопку мало..
 
Аналогичный случай:  
 
http://www.kaspersky.ru/forum?rord=1&theme=148167242&thread=160016973
 

Цитата:
 
 У меня в компе Вирус Win32.jlok что с ним делать?
 
Win32.Jlok это программа-вирус, заражающая документы Microsoft Word. Написана на Delphi 6.0. Копирует себя в системную директорию под именами ntldrt.exe и shellbit32.exe. Файлы имеют атрибуты «скрытый» и «системный».
Создает следующие ключи реестра для автозагрузки при старте Windows:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"shell32"="ntldrt.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"sysclx"="ntldrt.exe"
Ищет на жестком и гибком дисках файлы с расширением «doc», переименовывает их в «exe» и инфицирует. Метод заражения — дописывание себя перед началом doc-файла; заголовок документа при этом шифруется. При запуске зараженного файла первым отрабатывает вирус, который затем запускает оригинальный doc-файл, расшифровав его заголовок.
Virus.Win32.Parite.b это резидентный паразитический вирус. Вирус состоит из "носителя", написанного на ассемблере, и собственно вирусной компоненты, написанной на Borland C++. При запуске заражённого файла первым получает управление вирусный "носитель", он записывает во временную папку вирусный компонент и вызывает процедуру заражения. Вирус ищет Win32 PE EXE файлы с расширениями .exe и .scr на логических дисках компьютера, а также в ресурсах локальной сети, и заражает их. Создаёт свой ключ в системном реестре: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF]
Лечиться нужно консольным антивирусом через безопасный режим ОС и удалением указанных выше параметров из реестра.
 


Всего записей: 873 | Зарегистр. 06-01-2006 | Отправлено: 23:40 14-01-2006
Klirik



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
nikolamor

Цитата:
не похож ли он по названию на какой-нибудь системный файл
Не похож... Он на вирус похож Удаляй...

Всего записей: 1323 | Зарегистр. 02-09-2001 | Отправлено: 00:00 15-01-2006
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2

Компьютерный форум Ru.Board » Компьютеры » Программы » Очень вредный вирус


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru