Ответы Mail.ru
Компьютеры, Связь
Железо
Интернет
Мобильная связь
Мобильные устройства
Офисная техника
Программное обеспечение
Прочее компьютерное
Лидеры категории
Лена-пена
М.И.
Y.Nine
•••
Искусственный Интеллект
Искусственный Интеллект
Искусственный Интеллект
Вирус dl.exe помогите избавится.. . dl.exe помогите избавится.. . вируса
Кузнецов
(457),
закрыт
12 лет назад
Лучший ответ
Anton =)
(35378)
14 лет назад
Компьютерный вирус. Инфицирует PE EXE файлы с сохранением их работоспособности. Имеет размер 36352 байта. Написан на языке C++.
Относится к классу HLLP-вирусов (High Level Language Parasitic Virus).
Инсталляция
При запуске зараженного файла вирус копирует себя в корневой каталог Windows с именем svchost.exe:
%WinDir%\svchost.exe
При этом тело вируса модифицируется так, что в конец файла добавляется ресурс VERSIONINFO, частично совпадающий с аналогичным ресурсом в оригинальном системном файле svchost.exe Windows XP, который расположен в %WinDir%\system32 (различие только в номерах версий — созданный файл имеет номер версии 5.1.0.0).
После этого вирус запускает созданный файл, передавая ему в качестве параметров командной строки имя запущенного инфицированного Exe-файла и его параметры командной строки.
Затем выполнение программы завершается. Это делается для лечения запустившегося инфицированного Exe-файла.
Запущенный вирусом файл svchost.exe проверяет тип операционной системы. Если это Windows NT, 2000 или XP, то он регистрирует себя в виде службы с именем «PowerManager» и описанием «Manages the power save features of the computer». Если тип операционной системы другой (Windows 95, 98), то запущенный процесс (svchost.exe) прячется из списка задач с помощью функции RegisterServiceProcess и регистрируется в системном реестре:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services]
"PowerManager"="%WinDir%\svchost.exe"
Запущенный файл svchost.exe анализирует параметры командной строки; если они есть, то вирус лечит указанный в них файл и запускает его с оригинальными параметрами командной строки. Затем, если одна копия вируса уже выполняется, процесс завершает свою работу. Деструктивная активность
В ходе фонового выполнения файла svchost.exe производится поиск и инфицирование других Exe-файлов. При поиске файлов просматриваются все несъёмные диски, начиная с диска C: до диска Z:. Для каждого диска просматривается дерево подкаталогов и производится поиск файлов с расширением Exe. Найденные файлы инфицируются.
При этом заражение файлов не происходит, если выполняется одно из следующих условий:
файл импортирует одну из функций: PackDDElParam или StartServiceCtrlDispatcher;
размер файла меньше 100 КБ;
тип пользовательского интерфейса — не GUI;
файл является защищённым (определяется посредством SfcIsFileProtected);
файл уже инфицирован этим вирусом (определяется путём нахождения строки; «Ijeefo!Esbhpo!wjsvt/!Cpso!jo!b!uspqjdbm!txbnq/» по смещению 610h от начала файла (данная строка является зашифрованной строкой «Hidden Dragon virus. Born in a tropical swamp.»).
Все строковые константы в теле вируса зашифрованы.
При заражении файлов у них на время инфицирования снимается атрибут «Только для чтения» . Также не изменяются время создания, записи и последнего доступа к файлу. В ходе инфицирования файлов вирус шифрует и меняет местами некоторые данные файла.
Рекомендации по удалению
Удалить ключ реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services]
"PowerManager"="%WinDir%\svchost.exe"
Остановить службу с именем PowerManager.
Удалить файл svchost.exe в каталоге %WinDir% (но не в %WinDir%\system32!).
Произвести полную проверку компьютера Антивирусом Касперского для удаления всех копий вирусов в Exe-файлах, которые невозможно обнаружить и вылечить вручную
Проверить подключаемые к компьютеру мп3-плееры, флэшки, фотоаппараты, мобильники, дискеты-т. к. вирус копирует себя на все носители
Возможно обратное заражение
Относится к классу HLLP-вирусов (High Level Language Parasitic Virus).
Инсталляция
При запуске зараженного файла вирус копирует себя в корневой каталог Windows с именем svchost.exe:
%WinDir%\svchost.exe
При этом тело вируса модифицируется так, что в конец файла добавляется ресурс VERSIONINFO, частично совпадающий с аналогичным ресурсом в оригинальном системном файле svchost.exe Windows XP, который расположен в %WinDir%\system32 (различие только в номерах версий — созданный файл имеет номер версии 5.1.0.0).
После этого вирус запускает созданный файл, передавая ему в качестве параметров командной строки имя запущенного инфицированного Exe-файла и его параметры командной строки.
Затем выполнение программы завершается. Это делается для лечения запустившегося инфицированного Exe-файла.
Запущенный вирусом файл svchost.exe проверяет тип операционной системы. Если это Windows NT, 2000 или XP, то он регистрирует себя в виде службы с именем «PowerManager» и описанием «Manages the power save features of the computer». Если тип операционной системы другой (Windows 95, 98), то запущенный процесс (svchost.exe) прячется из списка задач с помощью функции RegisterServiceProcess и регистрируется в системном реестре:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services]
"PowerManager"="%WinDir%\svchost.exe"
Запущенный файл svchost.exe анализирует параметры командной строки; если они есть, то вирус лечит указанный в них файл и запускает его с оригинальными параметрами командной строки. Затем, если одна копия вируса уже выполняется, процесс завершает свою работу. Деструктивная активность
В ходе фонового выполнения файла svchost.exe производится поиск и инфицирование других Exe-файлов. При поиске файлов просматриваются все несъёмные диски, начиная с диска C: до диска Z:. Для каждого диска просматривается дерево подкаталогов и производится поиск файлов с расширением Exe. Найденные файлы инфицируются.
При этом заражение файлов не происходит, если выполняется одно из следующих условий:
файл импортирует одну из функций: PackDDElParam или StartServiceCtrlDispatcher;
размер файла меньше 100 КБ;
тип пользовательского интерфейса — не GUI;
файл является защищённым (определяется посредством SfcIsFileProtected);
файл уже инфицирован этим вирусом (определяется путём нахождения строки; «Ijeefo!Esbhpo!wjsvt/!Cpso!jo!b!uspqjdbm!txbnq/» по смещению 610h от начала файла (данная строка является зашифрованной строкой «Hidden Dragon virus. Born in a tropical swamp.»).
Все строковые константы в теле вируса зашифрованы.
При заражении файлов у них на время инфицирования снимается атрибут «Только для чтения» . Также не изменяются время создания, записи и последнего доступа к файлу. В ходе инфицирования файлов вирус шифрует и меняет местами некоторые данные файла.
Рекомендации по удалению
Удалить ключ реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services]
"PowerManager"="%WinDir%\svchost.exe"
Остановить службу с именем PowerManager.
Удалить файл svchost.exe в каталоге %WinDir% (но не в %WinDir%\system32!).
Произвести полную проверку компьютера Антивирусом Касперского для удаления всех копий вирусов в Exe-файлах, которые невозможно обнаружить и вылечить вручную
Проверить подключаемые к компьютеру мп3-плееры, флэшки, фотоаппараты, мобильники, дискеты-т. к. вирус копирует себя на все носители
Возможно обратное заражение
Остальные ответы
Похожие вопросы