вгору

оперативний блогер

13.06.08

Вірус Ashan's Computer



О, в мене завівся супер-пупер вірус. Коротше, як я вже писав, в мене жодних антивірусів і тому модібного не стоїть і стояти не буде. Так от. Спочатку все було нормально, а це майже 3 роки до вчорашнього дня. Почалося все, як я пізніше дізнався з того, що брат приніс якусь флешку одногрупника з цим вірусом. Цей вірус заразив його комп. Потім комп заразив флешку мого діда. Мій дід приніс заражену флешку, вставив в мій комп і почалося... Можна сказати, нагадувало дискотеку. Флопік весь час мигає, тіпа дає система запит на читання дискети. Також Мій комп'ютер перейменувало в Ashan's Computer, аналогічно так само мої документи в документи ашана. Після цього залажу в експлорер. Там стоїть сцилочка на один сайтець(змінив собі стартову сторінку). На цьому сайті писало наступне:
Welcome!
This Website can help Those People Who are infected by Ahsan's virus. it have more then 12 variants which are spreading very fastly all over the world.
If you are infected by Ahsan’s virus then download its remover.
Click Here To Download
This Tool Will Remove all these Types Of Viruses Completely from Your Computer. This Will Also Remove Restrivtions and settings made by a virus. it will also protect you in future by these viruses.
For any further information or help.
Mail us at : amkbpk@gmail.com (get reply in 6hrs)
Webpage will be updated soon .
Loading Stats Data... Please Wait.
Ось таке... Так, я скачав ту срань. А автор цим ще більше з мене поржав. Там було 4 малюночка і якийсь битий саундтрек. ЛОЛ. А малюнки гарні. О, кину ссилку :)
http://amkbpk.110mb.com/
Бугага. Заходьте, за наслідки я не відповідаю.
Крім того віндовс так класно почав працювати. Відкриваю командну строку, мені видає в зуби:

Ще пропала можливість меню пуск: Виконати.
Також, заліз в інет, сиджу, шукаю якісь відгуки про цей вірус. А він, зараза, тільки я відкриваю якусь сторінку, скидає мені мозілу. Самої її невидно, зате вона залишається в поцесах. Потім відкривається мені 18 вікон...
Цей вірус сидить в файлах home video.avi.exe, яку зараза розплодила по всіх локальних дисках.
Ну, воював я з ним, поки пишу повідомлення, ще його не позбувся... Зараз НОД32 з ним розбирається, я віддав йому всі права, хай воює. Перевстановлював одним словом Віндовс. Все ок, працює. Як тільки я зайшов на якийсь з дисків, де він розплодився, зрзу починалося все спочатку. Унікальною властивістю самовідновлення володіє він... Взагалі, автору того можна поставити 12 з 12 за таку якість віруса. По перше мало займає, по-друге швидко плодиться, по-третє робить купу всякої фігні, після якої життя медом не здаватиметься. Стаєш обмеженим юзером на своєму комп'ютері.
Я б хотів взнати, як там все працює. Треба буде скопіювати на дискетку, хоча він сам по собі скопіюється :)

Комп'ютери
Піклування про безпеку

18 коментарів:

  1. Каліка. Плодючістю володіє більшість сучасних вірусів. Зайшов би на інший диск не через Explorer , а наприклад total чи Far не заразився би повторно.

    ВідповістиВидалити
  2. Так, можливо і каліка, але що б я робив там навіть якби і зайшов. Взагаліто в мене вже віруса немає і комп більш-менш здоровий...

    ВідповістиВидалити
  3. А як реально вірус цей видалити?
    якщо була така біда, чим видаляли, і як успішно?

    хотілося б більш розясніше почути =)
    ася 485-621-499

    ВідповістиВидалити
  4. ОСТАП в мене зараз така сама проблема з цим аханом плять і все ж таки як ти його позбувся??????дуже надіюсь на відповідь яка спасе мене і мій ящик

    ВідповістиВидалити
  5. у меня был вырус, которий перейменовивал корзину ы мой ПК ы т.д. С безоаски вручную сртер все вируси на каждом диске, а после етово переустановил виндовс. помогло !!! (ставте после установки вындовс - антивирус - любой)
    А из своэво опыта скажу одно. Утримую 2 сервера на которых стоит СУМАНТЕК. на протяжении полгода ниодново вируса !!!!!
    e-mail:qwert_y@ua.fm

    ВідповістиВидалити
  6. Будь-який антивірус(майже) його вбиває. Єдина проблема, яка іноді виникає, як антивірус поставити. Пробуйте. На комп'ютер з антивірусом порядку НОД'а і Касперські він просто не запишеться...

    ВідповістиВидалити
  7. Нє, ну ти дабал... Я поміняв віндовс і поставив нового каспера і він ніхрена не стирає ашана, пропозиції?

    ВідповістиВидалити
  8. Virus Profile: W32/Autorun.worm.ct
    Risk Assessment
    - Home Users: Low
    - Corporate Users: Low
    Date Discovered: 23.05.2008
    Date Added: 23.05.2008
    Origin: N/A
    Length: N/A
    Type: Virus
    SubType: Worm
    DAT Required: 5302
    Virus Characteristics
    W32/Autorun.worm.ct is an autorun worm which spreads by placing a copy of itself into system drives. It detects the presence of USB drives and if found makes a copy of itself by the name of "CSRSS.exe" on the drive along with a reference in an "autorun.inf". In this way, everytime a user clicks on a drive, it loads up and attempts to spread.
    These are general defaults for typical path variables. (Although they may differ, these examples are common.):
    • %UserProfile% = \Documents and Settings\Administrator
    • %AllUserProfile% = \Documents and Settings\All Users
    • %AppData% = \Documents and Settings\Administrator\Application Data
    • %CommonProgramFiles% = \Program Files\Common Files
    • %WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000)
    • %SystemDir% = \WINDOWS\SYSTEM (Windows 98/ME), \WINDOWS\SYSTEM32 (Windows XP/Vista), \WINNT\SYSTEM32 (Windows NT/2000)
    The following files have been added to the system:
    • %WinDir%\autorun.inf
    • %WinDir%\csrss.exe
    • %WinDir%\home video.avi.exe
    • %WinDir%\system.exe
    Similar files have also been observed under root drives such as "C:\" and of other USB drives
    • %UserProfile%\Desktop\autorun.inf
    • %UserProfile%\SendTo\Ahsan's Document.mydocs
    • %AllUserProfile%\Start Menu\Programs\Startup\winlogon.exe
    The following registry elements have been created:
    • HKEY_CURRENT_USER\software\policies\microsoft\windows\system\
    • disablecmd = 1
    • HKEY_LOCAL_MACHINE\software\classes\.au3\
    • (default) = exefile
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{450D8FBA-AD25-11D0-98A8-0800361B1103}
    • Default = "Ahsan's Document"
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}
    • Default = "G.W.Bush"
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{208D2C60-3AEA-1069-A2D7-08002B30309D}
    • Default = "Ahsan's Places"
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}
    • Default = "Ahsan's Computer"
    The following registry elements have been changed:
    • HKEY_CURRENT_USER\software\microsoft\internet explorer\main\
    • start page = "hxxp://amkbpk.[Removed].com/ "
    • window title = "Ahsan manan khan bhutta * internet explorer * "
    • HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\advanced\
    • hidefileext = 1
    • showsuperhidden = 0
    • start_showrun = 0
    • superhidden = 0
    • HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\
    • runonce = %WinDir%\CSRSS.exe
    • HKEY_LOCAL_MACHINE\software\classes\.bat\
    • (default) = txtfile
    • HKEY_LOCAL_MACHINE\software\classes\.cmd\
    • (default) = txtfile
    • HKEY_LOCAL_MACHINE\software\classes\.com\
    • (default) = txtfile
    • HKEY_LOCAL_MACHINE\software\classes\.reg\
    • (default) = txtfile
    • HKEY_LOCAL_MACHINE\software\classes\.vbs\
    • (default) = exefile
    • HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\
    • shell = explorer.exe, system.exe
    • HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall\
    • checkedvalue = 0
    Indications of Infection
    Presence of Autorun.inf files in the above mentioned folders with references to csrss.exe and other above mentioned files and registry entries
    Method of Infection
    Spreads via USB drives
    Removal Instructions
    Use the latest Engine/Dats

    ВідповістиВидалити
  9. брєдддддддддддддддддддддддд!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

    ВідповістиВидалити
  10. в мене тож така сама фігня!!!
    аваст не находить!!!!
    чось вирубався диспетчер задач,пише шо відключений адміном!=)

    ВідповістиВидалити
  11. фігня це все ....
    якщо хтось розібрав цей вірус - пліз киньте:l337_krew@bk.ru

    ВідповістиВидалити
  12. в мене теж те саме відключив гадський вірус дисп.задач що мені робити будь ласка допоможіть maxim.vert89@mail.ru

    ВідповістиВидалити
  13. Пацани пишу вам я Хакер!Ви просто напросто ніяк незможете позбутися віруса!Нод не встановиться,каспер и аваст незнайде!Проте і перестановка вам не допоможе!Так як він знаходиться на всіх жостких дисках і після перестановки WINDOWSA знову починае все спочатку...копірується на системний диск!ПРОТЕ Є ВИХІД З ПОЛОЖЕННЯ!!!Скачайте програму acronis disk director suite 10.0 Виконайте задачу форматировки ВСІХ дисків C,D...и тп...ПІСЛЯ ЦЬОГО ставте новий WINDOWS!Кому допоміг відвідайте мій сайт !!! Там ви знайдете багато корисної інфи!

    ВідповістиВидалити
  14. "ZeoWarez" - Охринеть, яка мудра порада... :/
    Я сам таким способом від нього ізбавився, але це вже верх екстріму! Потім в друга я замітив дивні Autoruп на кожному жосткому диску. Стерши файл, на який ссилався ауторан, видаливши ссилку з реєстру, вбивши процесь цього файла і перезагрузивши вінду я зміг врятувати його комп))) Але вот проблема: його підхватив ще один мій знайомий: ауторани приховані, пошук і настройки виду папок і файлів не допомагають побачити навіть ті файли, які я сам скрив... Що робити??? (порада про форматування не приймається!!! :) )

    ВідповістиВидалити
  15. Поставити антивірус, наприклад zillya. Може допоможе.

    ВідповістиВидалити