вирус W32/Perlovga Нужна помощь

Capricorn · 20.11.2006

вирус W32/Perlovga Нужна помощь

как его убить окончательно? МакКафи просто убивает при обнаружении два файла (copy.exe и host.exe), но через 2-3 сек они появлются опять. и так по кругу. в реестре все что касается файлов с этими названиями удалил. на Каспере сам вирус знают, но описания нет. кто сталкивался?

targon · 20.11.2006

мож другие антивири попробовать?
аваст и нод32

bclogin · 20.11.2006

ИМХО МакКафи мышей не ловит

Свежий NOD32 тебе в помощь:
Посилання видалено

Capricorn · 20.11.2006

bclogin сказав(ла):
ИМХО МакКафи мышей не ловит [br]

ловит, но последствия, а не причины.

ок, попробую.

Vomiter · 20.11.2006

Если файлы появляются, значит в реестре не всё убил. Или убивал, загрузившись не в безопасном режиме.

RainBoy · 20.11.2006

Руткит может и в безопасном работать, если хорошо написан

Насчет этого вирия - не знаю, имеет смысл погуглить - как прописывается, откуда запускается. Я обычно после остановки процесса реестр в первозданную чистоту привожу руками если возможно, на антивирусники в этом полагаться тяжело.
Лучше всего как по мне перегрузиться в безопасном, запустить что-то вроде GMER или AVG Antirootkit на предмет скрытых процессов, придушить их если таковые имеются и прогнать комп через антивирий вроде DrWeb CureIT!
WBR!

Rokky · 20.11.2006

Капри, действительно лучший выход - запуститься в сейв моде, причем в самом просто варианте, запустить NOD32 (все-таки ИМХО помощнее чем кофе), прогнать антируткит утилиту. У меня такой план действия помогал в 99% случаев.

Slash · 20.11.2006

AVZ помучай. С последними базами - бодро рубит трояны и прочую дрянь, в т.ч. сидящую в памяти.

Rulaf · 20.11.2006

Если AVZ не ловит, отправь им зараженный файл, найдут на него управу

:
Посилання видалено

Capricorn · 21.11.2006

Руткит ничего не нашел.
качаю AVZ

Johnny · 21.11.2006

А файрволл установлен на компьютере?
Возможно, вирус атакует из интернета/локальной сети...

Capricorn · 21.11.2006

В общем все антивири ловят только последствия (убивают постоянно появляющиеся файлы copy.exe host.exe и autorun.inf)

кстати я нашел зачем эти файлы были созданы авторами. интересная история

В интернет магазине(Ebay в частности) появились фальшивые 8ми гигабайтные флешки. Сами по себе они обладаю памятью в районе 512-1024мб но на них написанно 8гб. Флешки изначально уже отформатированы и содержат три файла: COPY.EXE, HOST.EXE и AUTORUN.INF, которые в проводнике не видны(у них атрибут "скрытый" скорее всего стоит). На большинстве Windows при подключении флешки к компьютеру, благодоря автозапуску, стартуют сразу вышеуказанные файлы. И при просмотре свойств диска, показывает 8 гб. При записи файлов на флеш диск всё идёт гладко, ни каких ошибок не происходит, но файлы, которые уже не лезли на флешку повреждаются, хотя в проводнике видно что они имеют свой истинный размер(!). Зачастую обман бывает не сразу раскрыт, так как обычный пользователь наврятли зальёт на флеш диск сразу 3-4 гб. А как известно вернуть товар обратно можно в течении 2х недель после его получения. Если не увидишь обман сразу, то ты остаёшься с подделкой.

т.е. сами файлы ничего смертельного не делают.
но кто их создает для меня загадка.

из инета или локалки врядле атака. владельцем файла становится пользователь компа, файлы создаются только на 2х определенных сетевых дисках присоедененных к этому компу.

jailkh · 21.11.2006

Capricorn сказав(ла):
как его убить окончательно? МакКафи просто убивает при обнаружении два файла (copy.exe и host.exe), но через 2-3 сек они появлются опять. и так по кругу. в реестре все что касается файлов с этими названиями удалил. на Каспере сам вирус знают, но описания нет. кто сталкивался?

При загрузке в безопасном режиме (для лчения от вирусов) я бы еще посоветовал отключать функцию "Восстановление системы" (для МЕ и ХР)
Посилання видалено).

А насчет появления файлов снова - глянь тред:
Посилання видалено

Обрати внимание на пост iSergiwa от 20.09.2006 17:05
(про ключи в реестре). :пиво:

Capricorn · 21.11.2006

jailkh сказав(ла):
(про ключи в реестре).

этот топик я нашел еще до создания темы.
ключей в реестре содержаших слова copy.exe и host.exe нету.
эти ключи делали так, что каждый раз открывая диск ты запускал файлы (которые там уже лежат). у меня же ситуация другая, файлы не запускаются, что-то контролирует их наличие там и если они отсутствуют то создает их.
и это что-то не детектится как вирус.

RainBoy · 22.11.2006

Если руткит - поюзай Gmer. Мне помог.

Murdoc · 22.11.2006

Filemon.exe тебе поможет.