Показать сообщение отдельно

Противный и очень надоедливый вирус win32.jeefo
Старый 02.09.2010, 00:45   #1
G-Data, Malwarebytes.
 
Аватар для sirys

 
Регистрация: 01.09.2010
Адрес: Valencia
Сообщений: 203

sirys вне форума

Противный и очень надоедливый вирус win32.jeefo


Я очень надеюсь,что людей которые как и я подцепили эту заразу немного, и собравшись духом, я все же решил потратить время, и поделиться лекарством, т.к. вирус этот Dr.Web, Касперский, Norton, Мальваре, AVG и еще пару тройку других - взять так и не смогли. (проверено на собственном опыте) видят но не лечат.
Кстати как потом выяснилось, его берет Panda, но об этом позже.

Симптомы такие:
Компьютер виснет, тормозит, вылетает,пропадает изображение,всё на экране становиться статичным, даже мышь не двигается порой. Скорость соединения падает. Некоторые *exe вообще не открываются. В общем, премилое существо, которое окончательно подпортит и без того расшатанную психику.
Как я уже говорил, dr.web и иже с ним видит его, и даже пишут что "вылечено" но реально лечить накотрез отказывается, считает зараженные файлы неизлечимыми и переименовывает. А вирус этот не много не мало заражает все exe-шники на дисках весом выше 100 кб от диска "С" и ниже "D" и т.д.. Да и если удается удалить тело вируса (svhost.exe) он самовозраждается при перезагрузке вашей машинки. В общем, жуть.

И так потраив как то день, на устранение этой заразы, в прямом смысле весь день, выяснил вот что:

win32.jeefo, аналогичный: Virus.Win32.Hidrag.a
Другие версии: .b, .c

Другие названия:
Virus.Win32.Hidrag.a («Лаборатория Касперского») также известен как: Win32.Hidrag («Лаборатория Касперского»), Virus.Win32.Hidrag («Лаборатория Касперского»), W32/Jeefo (McAfee), W32.Jeefo (Symantec), Win32.HLLP.Jeefo.36352 (Doctor Web), W32/Jeefo-A (Sophos), Win32/HLLP.Jeefo (RAV), PE_JEEFO.A (Trend Micro), W32/Jeefo (H+BEDV), W32/Jeefo.A (FRISK), Win32:Jeefo (ALWIL), Win32/Hidrag.A (Grisoft), Win32.Jeefo.A (SOFTWIN), W32.Jeefo (ClamAV), W32/Jeefo (Panda), Win32/Jeefo.A (Eset)

Технические детали:
Безобидный резидентный Win32-вирус. Заражает приложения Win32 (PE EXE-файлы). При заражении шифрует часть заражаемого файла.

При запуске зараженного файла инсталлирует себя в систему: создаёт свою копию с именем "svchost.exe" (размером около 36K) в каталоге Windows и регистрирует этот файл в ключе автозапуска системного реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
PowerManager = %WindowsDir%\SVCHOST.EXE

Затем вирус остаётся в памяти Windows, рекурсивно ищет и заражает PE EXE-файлы на всех доступных дисках, начиная с диска C:.
Вирус никак не проявляет своего присутствия в системе.
Вирус содержит зашифрованные строки: Hidden Dragon virus. Born in a tropical swamp. PowerManagerMutant.

Virus.Win32.Hidrag.b
Другие версии: .a, .c

Другие названия:
Virus.Win32.Hidrag.b («Лаборатория Касперского») также известен как: W32.Jeefo (Symantec), Win32.HLLP.Jeefo.36352 (Doctor Web), W32/Jeefo (H+BEDV), Win32/Hidrag.A (Grisoft), Win32.Jeefo.A (SOFTWIN), W32.Jeefo (ClamAV)

Технические детали:
Резидентный паразитический вирус. Заражает приложения Win32 (PE EXE-файлы). По своим функциям полностью идентичен варианту Virus.Win32.Hidrag.a.

Virus.Win32.Hidrag.c
Другие версии: .a, .b

Другие названия:
Virus.Win32.Hidrag.c («Лаборатория Касперского») также известен как: Virus.Win32.Jeefo.a («Лаборатория Касперского»), W32/Jeefo (McAfee), W32.Jeefo (Symantec), Win32.HLLP.Jeefo.36352 (Doctor Web), W32/Jeefo (H+BEDV), W32/Jeefo.A (FRISK), Win32/Hidrag.A (Grisoft), Win32.Jeefo.A (SOFTWIN), W32.Jeefo (ClamAV)

Технические детали:
Резидентный паразитический вирус.
После запуска вирус копирует себя в корневой каталог Windows с именем "svchost.exe":

%WinDir%\svchost.exe

Затем вирус регистрирует этот файл в ключе автозапуска системного реестра:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices]
"PowerManager" = "%Windir%\svchost.exe"

Вирус ищет Win32 PE EXE файлы с расширениями .exe на логических дисках компьютера и заражает их. Зараженные файлы увеличиваются в размере на 36352 байт.

Лекарство:
1. Им находите и убиваете:

jeefogui.com
2. Закрепляете убийство контрольным выстрелом в голову:
jeefosfx.exe

Все ссылки рабочие, и ни каких вирусов по ним нет. То предупреждение которое выдает, это стандартное предупреждение сервиса Ucoz/.
п.с. данные програмы бьют только его, т.к сканируют только файлы с расширением exe/.
  Ответить с цитированием
69 пользователя(ей) сказали cпасибо:
0spa, =asd=, albert1907, Alexander, arbuzishe, avatar-8, Blair, bubble, Chepelev, chikolik, deft66, dmi, eldar34, emelya05, Eugen Karver, Extreem1, Fugro, Half, Hollywood, Innga, ira, jafar, Jason, KDrew, kibalthish, krudu-v, Ksanka, military, mpest21, Muntze, N-ski, naliva, Nemo, niroman, podrug63, Rockingbone, Rusya, salamadr, segat, Shempi, skydiver15, sniper, Tamila, Teka-n, Trepa, vlad2495, xonda, Zarikc, Александр Галюк, Влад Павлов, Владис, Грихаст, Даниил Мисиров, Дикан, Екатерина Витюгова, Игорь Волков, Игорь Марк, ИскНаИск, Навуходоносор, настеныш, Равиль, Салават Шамсутдинов, сева98, сержжж, Стас25-17, Таня, Тутифрути, Филипп Малышев, Шариот
 
Яндекс.Метрика