Generic worm о вирусе

Создаёт свою копию в меню "Пуск"с именем Empty.pif:
C:\Documents and Settings\%USERPROFILE%\Start Menu\Programs\Startup\Empty.pif

Модифицирует файл Autoexec.bat, внося в него строку pause

Блокриует запуск утилит работы с реестром Regedit и Regedt32, модифицируя значение ключа
HKСU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools, подключение командной строки:
HKСU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD
а также установку режима отображения файлов и папок в проводнике:
HKСU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions

Создаёт текстовый файл с следующим содержанием:

"Brontok.A
By: HVM31
-- JowoBot #VM Community --"

Помимо этого помещает свои копии во все катологи, причём имя файла при этом совпадает с именем целевого каталога. Если в каталоге уже существовал файл с тем же именем, червь замещает его своей копией.

Рассылает свои копии по найденным в поражённой системе адресам напрямую соединяясь с SMTP-серверами, содержащими в своих названиях следующие комбинации:

Адреса для своей рассылки червь ищет, просматривая следующие файлы:

Тело письма представляет собой содержимое HTML-файла (about.Brontok.A.html):

BRONTOK.A[ 18 ]юТщкИуе
-- Hentikan kebobrokan di negeri ini --
1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA
( Send to "NUSAKAMBANGAN")
2. Stop Free Sex, Absorsi, & Prostitusi
3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar.
4. SAY NO TO DRUGS .
-- KIAMAT SUDAH DEKAT --

Вложение представляет собой файл Kangen.exe

Адрес отправителя является поддельным.

Червь отслеживает заголовки активных окон. В случае обнаружения указанных ниже подстрок перезагружает систему:

ADMIN
ADOBE
AHNLAB
ALADDIN
ALERT
ALWIL
ANTIGEN
APACHE
APPLICATION
ARCHIEVE
ASDF
ASSOCIATE
AVAST
AVG
AVIRA
BILLING@
BLACK
BLAH
BLEEP
BUILDER
CANON
CENTER
CILLIN
CISCO
CMD.
CNET
COMMAND
COMMAND PROMPT
CONTOH
CONTROL
CRACK
DARK
DATA
DATABASE
DEMO
DETIK
DEVELOP
DOMAIN
DOWNLOAD
ESAFE
ESAVE
ESCAN
EXAMPLE
FEEDBACK
FIREWALL
FOO@
FUCK
FUJITSU
GATEWAY
GOOGLE
GRISOFT
GROUP
HACK
HAURI
HIDDEN
HP.
IBM.
INFO@
INTEL.
KOMPUTER
LINUX
LOG OFF WINDOWS
LOTUS
MACRO
MALWARE
MASTER
MCAFEE
MICRO
MICROSOFT
MOZILLA
MYSQL
NETSCAPE
NETWORK
NEWS
NOD32
NOKIA
NORMAN
NORTON
NOVELL
NVIDIA
OPERA
OVERTURE
PANDA
PATCH
POSTGRE
PROGRAM
PROLAND
PROMPT
PROTECT
PROXY
RECIPIENT
REGISTRY
RELAY
RESPONSE
ROBOT
SCAN
SCRIPT HOST
SEARCH R
SECURE
SECURITY
SEKUR
SENIOR
SERVER
SERVICE
SHUT DOWN
SIEMENS
SMTP
SOFT
SOME
SOPHOS
SOURCE
SPAM
SPERSKY
SUN.
SUPPORT
SYBARI
SYMANTEC
SYSTEM CONFIGURATION
TEST
TREND
TRUST
UPDATE
UTILITY
VAKSIN
VIRUS
W3.
WINDOWS SECURITY.VBS
WWW
XEROX
XXX
YOUR
ZDNET
ZEND
ZOMBIE

Информация по восстановлению системы

1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".

Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом: Ящик — Свойства почтового ящика — Файлы и каталоги — Хранить присоединенные файлы в отдельном каталоге (Account — Properties — Files & Directories — Keep attachment files — Separately in a special directory).

Руководство по удалению Heur.Worm.Generic (удаление Heur.Worm.Generic)

Heur.Worm.Generic это червь, который имеет вредоносные намерения оскорбить вас и вашего компьютера. Это действительно опасно, потому что компьютерные черви не ограничивают себя на компьютер жертвы — они предназначены для распространения через столько компьютеров, как это возможно, поэтому они постоянно реплицируются.

Это довольно плохо, если вы не имеют надежной и современной безопасности инструмент, потому что червей как Heur.Worm.Generic использовать ваши ошибки безопасности в качестве шлюза в вашу систему. Важность Heur.Worm.Generic удаления огромный, если вы хотите защитить ваши и ваших друзей компьютеров.

Что Heur.Worm.Generic делать?

Компьютерные черви как это создаются злоумышленниками для того, чтобы заразить вас и ваших близких с даже больше вредоносных программ и других угроз. К сожалению этот червь не хватает интерфейс, и это делает его очень трудно заметить свое присутствие. Heur.Worm.Generic не будет опасным себя если не попытаться заразить ваш компьютер вирусов и вредоносных программ. Если пользователь не удаляет Heur.Worm.Generic сразу, ряд неудобств начала происходящих на его ПК. Во-первых сам компьютер будет нанесен ущерб. Его важные системы, которые могут получить файлы повреждены, таким образом сделать это очень трудно для вас, чтобы работать с вашим компьютером. Впоследствии компьютер будет существенно замедлить и может начать перезапуском случайным образом. Кроме того вы будете испытывать некоторые трудности с вашего браузера. Вы можете получить перенаправлены на неизвестный веб-сайты, есть некоторые проблемы с доступом в Интернет, и вы можете заметить некоторые нежелательные изменения на ваш e-mail. Кроме того пользователи заметят некоторые подозрительные файлы, которые не были там раньше, потому что червь постоянно загрузки вредоносного содержимого в их персональные компьютеры. Некоторые из вредоносных файлов, которые червь скачивает названы как законные файлы Windows, чтобы Heur.Worm.Generic удаление является весьма рискованным и трудным. Файлы могут даже распространение вредоносных программ через ваш веб-сайты социальных сетей. Просьба принять незамедлительные меры и удалить Heur.Worm.Generic как можно скорее.

Как мой ПК заразиться с Heur.Worm.Generic?

Возможно, ваш компьютер были инфицированы от другого повреждения компьютера. Это весьма вероятно, если вы не имеете хорошее безопасности программы. Кроме того червь может прийти к вашему ПК от вложения электронной почты спам, поврежденные ссылки или бесплатное программное обеспечение, которое вы скачать из P2P-сайтов. Будьте очень осторожны при просмотре и никогда не открыть ссылку, если он выглядит даже отдаленно подозрительным.

Как удалить Heur.Worm.Generic из моего компьютера?

Лучший способ, чтобы удалить Heur.Worm.Generic из вашей компьютерной системы является использование надежных анти шпионского и вредоносного инструмент. Ручное удаление трудно, особенно для людей, которые не являются ИТ специалистами. Программа удаления шпионских законным будет сканировать вашу систему и удалить все файлы и вредоносных программ, зараженный компьютер.

Скачать утилиту to scan for Heur.Worm.Generic Use our recommended removal tool to scan for Heur.Worm.Generic. Trial version of WiperSoft provides detection of computer threats like Heur.Worm.Generic and assists in its removal for FREE. You can delete detected registry entries, files and processes yourself or purchase a full version.

More information about WiperSoft and Uninstall Instructions. Please review WiperSoft EULA and Privacy Policy. WiperSoft scanner is free. If it detects a malware, purchase its full version to remove it.

WiperSoft обзор детали WiperSoft является инструментом безопасности, который обеспечивает безопасности в реальном в .

Это MacKeeper вирус?MacKeeper это не вирус, и это не афера. Хотя существуют различные мнения о программе в Интернете, мн .

Хотя создатели антивирусной программы MalwareBytes еще не долго занимаются этим бизнесом, они восполняют этот нед� .

В нижнем левом углу экрана щекните правой кнопкой мыши. В меню быстрого доступа откройте Панель Управления, выберите Программы и компоненты и перейдите к пункту Установка и удаление программ.

Нажмите кнопку Start → Control Panel → Programs and Features → Uninstall a program.

Нажмите кнопк Start → Settings → Control Panel. Найдите и выберите → Add or Remove Programs.

Комментарии, советы - буду признателен.

1. carper , 31.01.2002 19:10

Только без обид, ладно? Я понимаю, что Вы ждете конкретной помощи, а не болтовни, но . 2. Lolita , 31.01.2002 19:38 4 carper: "Судя по характеру вопроса, Вы сами не очень хорошо в этом деле разбираетесь." - если я в чём не разбираюсь, так это в русском языке. Извините, русский не родной, но врядли вы поймете по-фински или по-карельски. "Я понимаю, что Вы ждете конкретной помощи, а не болтовни, но . " - конкретной помощи я не жду, а просто делюсь впечатлениями. Я сам совсем справлюсь самостоятельно. Оскорбить человека лехко - для этого много ума не надо, а "Судя по характеру" ответа его совсем мало. 3. Макс1 , 31.01.2002 20:44 Проверить антивирусом для DOS. Doctor Web есть для него точно. 4. lektor , 31.01.2002 20:53 Lolita По сети скачать важную инфу (с включенным монитором). Проверить на наличие-отсутствие вирей. Диск заражённой машины забить нулями (в т. ч. и MBR). 5. Макс1 , 31.01.2002 20:59 Кончайте прикалываться над человеком. Инфу скачать можно, но где гарантия, что она не завирусована? 8. Биомеханик , 01.02.2002 08:49 Установить другой антивирус и попробовать восполльзоваться им. Выдернуть винт, сходить к соседям, подключить на заведомо надёжную машину с антивирусом и промчаться с инспекцией по диску. Второй вариант - сомнителен, да. 9. сетевой , 01.02.2002 10:27 Lolita На будущее - почаще обновляй антивирусные базы. Например я обновляю ежедневно. На днях у меня была ситуация, когда свежий вирус пришел по почте через 15 минут после того, как я закачал свежие обновления, определяющие именно этот вирус. 11. bopUK , 01.02.2002 10:43 Я бы сделал загрузочную дискету (или можно воспользоваться загрузочным сидюком), записал бы на CD АВП под ДОС и проверил всю систему. Естественно у дискеты открыть защелку (закрыть запись). 12. Smoker , 01.02.2002 12:24 Lolita Если файлы удаляются, значет вирь работает. Если вирь работает, значит он висит в памяти. Если он висит в памяти, значит его кто-то запустил. Если ты этого не делал(а), значит это сделал кто-то еще. Отключи комп от сети. Загрузись в SafeMode. Проверь реестр, autoexec.bat, win.ini. Посмотри, что у тебя запускается и надо ли оно тебе. Перед их редактированием, сделай резервную копию. Установи антивирус, обнови базы, проверь все файлы. Потом проверь из под DOS'а (большинство антивирусов имеют такую функцию). 13. Lolita , 02.02.2002 17:36 зовут его I-Worm.Klez по локалке распространяется через расшаренные папки, при просмотре сообщения в Outlook express активизируется сам (без открытия прикр. файла), потом система виснет, а потом запускается только Command Promt Самое главное, что он продолжает приходить по почте. Может дело в почтовой программе? Под w2k c microsoft Outlook никаких особенных проблем не возникало 15. Real Stealth , 18.02.2002 21:18 Столкнулся с подобной проблемой - вышел из положения следующим образом: 1) Переименовываются исполняемые файлы AVP (для релиза 1.24 это _avpm.exe, _avp32.exe, Avpm.exe, Avp32.exe), я, к примеру, просто заменил последовательность букв avp в именах этих файлов на bbb. Запускается проверка дисков, все зараженные объекты беспощадно удаляются. 2) По итогам проверки остаётся один файл, который вылечить не удаётся - запоминаем имя и расположение этого файла (его также можно посмотреть через программу msconfig, закладка Автозагрузка: там имеет место быть строка вида: wink* = c:\windows\system\wink*.exe 3) Грузимся в чистом DOS'e (неважно с дискетки или с винта), далее выполняется последовательность ДОС-команд: cd windows\system attrib wink*.exe -r -s -h del wink*.exe * - произвольный набор символов, соответствующий окончанию имени вашего файла-вируса, на разных машинах называется по-разному. 4) Перезагружаемся, прогоняем повторную проверку, и, если все нормально, переименоваем AVP в его родные имена. 5) Переустанавливаем покоцанные на компьютере программы. Преимущества: все операции потребуют не более 15 минут на одно рабочее место, если делать это одновременно, что имело место в моём случае, то сеть из 30 машин была пролечена за полтора часа. Недостатки: Требуется переустановка порушенных программ. 17. Khom , 18.02.2002 21:51 Real Stealth Если тебе поможет, то меня 3 дня бомбили им из Прибалтики, судя по IP-адресу (кстати, так совпало, что ли - после моего ответа в этой ветке). Пока я фильтр на почтовом сервере не поставил. Сначала хотел письма назад завернуть, но передумал - вдруг сдуру не туда попаду, да и не метод это все-таки. Лучше тихо грохнуть. 18. Real Stealth , 18.02.2002 23:13 Khom 19. AndrueT , 18.02.2002 23:48 При пользовании оутлуком надо убрать опцию подгрузки сообщения при выделении письма - а то получается : поставил шпалу на письмо - и ты уже болен. Ну на самом деле - не шарахаться же при каждом письме с вложениями. А кашпировский давно выложил утиль для подобных гадоb - CLRAVP. Правда до нее не дошло - почистил все руками. Правда в считанные секунды он заражает файлы прописанные в аплисатион path. А касперский их не лечит а удаляет. Так что как бы быстро не локализовал - некоторые приложения придется восстанавливать, хотя бы экзешники. 21. Konstantyn , 10.04.2002 08:22 Народ, все это здорово, советы, объяснения. Я давно сам дотюкал до cd windows\system attrib wink*.exe -r -s -h del wink*.exe . Но разобрался ли кто, как отфильтровать почту от этой пакости. Ведь скока не вытаскивай эту гадость из системы, при активизации письма (пусть случайно) она опять лезет в реестр. Может посоветуете что? Не менять ведь почтовый ящик. А его все шлют и шлют. 23. Akina , 10.04.2002 13:09 уж сколько раз твердили миру. вирей надо гонять ТОЛЬКО загрузившись с заведомо незараженной дискеты в ДОС-режим либо с загрузочного сидюка. Предварительно убедившись что в БИОСе компа 1) загруз с дискеты (сидюка) и 2) дисковод есть в списке оборудования (либо сидюк детектится БИОСом). 24. Макс1 , 10.04.2002 13:12 И ко мне пришла эта гадость. Проверяется свежей версией DrWeb для DOS из-под DOS. Что делать с NTFS, не знаю. Файлы с вирусным кодом не лечатся, их надо стирать. Заражает он мало, если вообще заражает. В основном разбрасывает файлы со случайными именами и своим кодом и создает rar - архивы, в которые запаковывает файлы со своим кодом. Не знаю, можно ли задать DrWeb опцию удаления зараженных архивов, но я их стирал сам. Предохранять копьютер от заражения надо с помощью spider или монитора avp, в первом точно есть функция проверки почтовых файлов. 25. Akina , 10.04.2002 13:46 Что делать с NTFS, не знаю NTFS4DOS - есть такая штука. 26. Волосатый бот , 10.04.2002 14:26 Akina . и платная. Что делать с NTFS, не знаю. на другой машине проверя 27. Akina , 10.04.2002 16:07 Волосатый бот и платная Ну Captain Nemo. 29. Биомеханик , 18.04.2002 08:55 Dino, тема про Klez уже есть. Отчего бы не поднять её? 30. Dino , 18.04.2002 09:35 Биомеханик да видел я их, участвовал же сам знаешь, но этот - новый, гад, вчера 3 часа жизни мне испортил, не лечится он, вот я и спросил, может уже кто тоже столкнулся или инфу слыхал? сегодня снова туда идти, а там 6 компов - и все. ну в общем не радостная ситуация. 31. besrukoff , 18.04.2002 09:47 Такая-же трабла. У людей рассылок куча - по 100-150 месэджей в день - вчерась тоже подцепили. Винтукей, все дела, авп, новый авп для проверки мыла - нифига. Обновляют базы каждое утро. Пролез как миленький. Народ просто вешается. Просит идеальную защиту, а я, кроме format c: /s /q пока ничего предложить не могу. Может кто знает такую защиту, а? 32. Swap , 18.04.2002 10:09 Dino Сегодня лекарство уже добавлено в обновления AVP 34. Биомеханик , 18.04.2002 10:40 Dino, невозможно. А вообщето базы касперовские сегодняшние от 12:00 Klez.h видят. Если-б он еще и с Outlook Express нормально боролся, цены бы ему небыло 39. DjSoul , 18.04.2002 15:20 Прежде чем лечить вирус, надо понять как он работает. Тоесть почитать на АВП сайте. Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер от 57K до 65K (в зависимости от своей версии), написан на Microsoft Visual C++. Помимо распространения по сети и в письмах электронной почты, червь также создаёт во временном каталоге Windows EXE-файл со случайным именем, начинающимся на букву "K" (например, KB180.exe), записывает в этот файл код вируса "Win32.Klez" и запускает его на выполнение, что приводит к заражению большинства Win32 PE EXE файлов на дисках компьютера. При запуске зараженного файла червь копирует себя в системную папку Windows с именем krn132.exe. Затем он записывает в реестр следующий ключ, чтобы стартовать автоматически при запуске Windows: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Krn132 = %System%\Krn132.exe где %System% является именем системного каталога Windows. Затем вирус ищет активные приложения (антивирусы, см. ниже) и пытается выгрузить их командой Windows "TerminateProcess": _AVP32, _AVPCC, _AVPM, ALERTSVC, AMON, AVP32, AVPCC, AVPM, N32SCANW, NAVAPSVC, NAVAPW32, NAVLU32, NAVRUNR, NAVW32, NAVWNT, NOD32, NPSSVC, NRESQ32, NSCHED32, NSCHEDNT, NSPLUGIN, SCAN, SMSS Для отсылки сообщений червь использует протокол SMTP. Он ищет почтовые адреса в базе данных WAB и отсылает заражённые сообщения по этим адресам. Тема отсылаемых червём сообщений случайно выбирается из списка: Hello How are you? Can you help me? We want peace Where will you go? Congratulations. Don't cry Look at the pretty Some advice on your shortcoming Free XXX Pictures A free hot porn site Why don't you reply to me? How about have dinner with me together? Never kiss a stranger Тело сообщения следующее: I'm sorry to do so,but it's helpless to say sory. I want a good job,I must support my parents. Now you have seen my technical capabilities. How much my year-salary now? NO more than $5,500. What do you think of this fact? Don't call my names,I have no hostility. Can you help me? Присоединённый файл: Win32 PE EXE - файл со случайным именем и расширением ".exe" или с двойным расширением: name.ext.exe Для выбора имени (name.ext) вложения червь использует оригинальный метод. Он сканирует все доступные диски, ищет на них файлы с расширением имени: .txt .htm .doc .jpg .bmp .xls .cpp .html .mpg .mpeg и берет имя найденного файла (name.ext) как "базу" имени вложения, и затем добавляет второе расширение ".exe". Например: "Ylhq.htm.exe", "If.xls.exe" и т.п. В заражённых письмах червь самостоятельно подставляет поле "From:". В зависимости от случайного счетчика червь либо подставляет туда реальный адрес отправителя, либо случайным образом генерирует фиктивный адрес. Интересной особенностью червя является то, что при рассылке писем он записывает в свой EXE-файл список найденных адресов электронной почты. Все строки в теле вируса (тексты сообщений и адреса) хранятся в зашифрованном виде. Распространение: локальные и сетевые диски Червь перебирает все локальные диски, сетевые диски с правом доступа и копируется туда под случайным именем name.ext.exe (имя файла генерируется так же, как и имя вложения в заражённых письмах, см. выше). После копирования файла на сетевой ресурс червь регистрирует свои копии на заражённых компьютерах как системные приложения-сервисы. По 13-м числам чётных месяцев червь ищет на всех дисках заражённого компьютера все файлы и заполняет их случайным содержимым. Такие файлы не подлежат восстановлению и должны быть заменены с резервных копий. Известны несколько модификаций данного червя. Версии I-Worm.Klez.a-d практически идентичны. Червь устанавливает себя в системную папку Windows со случайным именем, которое начитается на "Wink", например, "Winkad.exe". Червь ищет ссылки на EXE-файлы в следующем ключе реестра: Software\Microsoft\Windows\CurrentVersion\App Paths Затем, червь пытается заразить найденные приложения. При заражении EXE файла, червь создаёт файл с оригинальным именем файла и случайным расширением, а также атрибутами скрытый+системный+только чтение. Этот файл используется червём для запуска оригинального (заражённого) файла. При запуске заражённого файла червь записывает оригинальное приложение во временный файл с тем же именем + "MP8" и запускает его. Добавление от 18-04-2002 15:22: Как вылечить компьютер, заражённый вирусом I-Worm.Klez? Если утилита говорит "nothing to clean" (нечего удалять), запустите её в режиме сканирования командных файлов: из командной строки с параметром /scanfiles Все машины в локальной сети следует пролечить отдельно. 50. Lexy_m , 18.04.2002 17:58 Как вылечить компьютер, заражённый вирусом I-Worm.Klez? 1) отключите зараженный компьютер от локальной сети (если он в сети) 2) запустите утилиту clrav.com Если утилита говорит "nothing to clean" (нечего удалять), запустите её в режиме сканирования командных файлов: из командной строки с параметром /scanfiles Все машины в локальной сети следует пролечить отдельно. 51. Биомеханик , 19.04.2002 10:49 Для флейма существует Флейм. Добавление от 19-04-2002 10:50: Постинги вида " а у меня, а вот, а если" - убиваются без предупреждения. ЗЫ. Без обид. Хочешь прогресса в плане замечаний? Это я легко. :) 53. Биомеханик , 19.04.2002 11:05 54. Rush , 19.04.2002 11:15 Drweb сканер на юнихе вчера лихо прикрыл от меня все это безобразие. Но писем что обнаружен Win32.HLLM.Klez.4 с вчерашних 11,00 уже более 30. Насколько я понимаю drweb под дос тоже должен эту шнягу отловить. Ну а реестр можно и поправить. УДАЧ ВСЕМ В БОРЬБЕ. 55. VladCraft , 19.04.2002 17:21 Мы всем на работе настраивали почтовым клиентом Нетскейп. Так вот, сообщение с Клезом принимается, но в систему автоматически, как через Аутлук, не пролазит. Правда, его убить непросто, когда включен AVP (при выключенном АВП не пробовал, упаси Господь). Чтобы убить сообщение с Клезом, надо в на АВП Мониторе нажать правой кнопкой - Выключить. Потом убить сообщение, убить его из Trash, ОБЯЗАТЕЛЬНО упаковать папки (File - Compact Folders, только тогда сообщения реально удаляются ), и затем уже снова можно включать АВП. А вот где все-таки был установлен Аутлук - там повозились дай боже. Убивали CLRAVом, который Касперский бесплатно раздает, потом ручками удаляли из командной строки остатки. Читайте также: Передача здоровье лечение гепатита с Как себя восстановить после вирусной инфекции Противовирусные препараты при чуме Как понять что вылечился от гриппа Вирус простого герпеса 6 типа гемотест Пожалуйста, не занимайтесь самолечением! При симпотмах заболевания - обратитесь к врачу.