Email-Worm.Win32.Rays («Лаборатория Касперского» (http://www.kaspersky.ru/)) также известен как: I-Worm.Rays («Лаборатория Касперского» (http://www.kaspersky.ru/)), W32/Wukill.worm (McAfee (http://www.mcafee.com/)), W32.Wullik.B@mm (Symantec (http://www.symantec.com/)), Win32.HLLM.Wukill (Doctor Web (http://www.drweb.com/)), W32/Wukill-B (Sophos (http://www.sophos.com/)), Win32/HLLW.Wukill (RAV (http://www.ravantivirus.com/)), WORM_WUKILL.B (Trend Micro (http://www.trendmicro.com/)), Worm/Rays (H+BEDV (http://www.antivir.de/)), W32/Rays.A (FRISK (http://www.f-prot.com/)), Win32:Wukill-B (ALWIL (http://www.avast.com/)), I-Worm/Wukill.B (Grisoft (http://www.grisoft.com/)), Win32.Rays.A@mm (SOFTWIN (http://www.bitdefender.com/)), Worm.Rays.A (ClamAV (http://www.clamav.net/)), W32/Wukill.A.worm (Panda (http://www.pandasoftware.com/)), Win32/Wukill.B (Eset (http://www.nod32.com/))

У себя я его нашел под названием I-Worm.Rays

Технические детали
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Также червь копирует себя на подключаемые внешние устройства.
Червь является приложением Windows (PE EXE-файл), написан на Visual Basic и имеет размер около 49 КБ.
Инсталляция

После запуска червь выдает следующее окно:

http://forum.sevsknet.ru/attachment.php?attachmentid=1509&stc=1&d=1158500339

При инсталляции червь копирует себя с именем Mstray.exe в корневой каталог Windows:
%Windir%\Mstray.exeПри этом иконка созданного файла выглядит в виде папки с целью маскировки исполняемого файла:

http://forum.sevsknet.ru/attachment.php?attachmentid=1510&stc=1&d=1158500359

После чего червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "RavTimeXP"="%Windir%\Mstray.exe"Червь изменяет ключ системного реестра, таким образом, чтобы блокировать открытие скрытых и системных файлов:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced] "Hidden"=0Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows.
При рассылке зараженных писем червь использует имеющийся на зараженной машине почтовый клиент.
Характеристики зараженных писем

Тема письма:

MS?DOS????Текст письма:

???????? MS-DOS????????????????Имя файла-вложения:

MShelp.EXEПрочее

Для распространения на другие компьютеры червь копирует себя в корневой каталог дисков A:, D:, E: в случае их доступности с именем Winfile.exe.

у мну их многа было токо он делал папку winfile вроде и жрал мой инет )

у раньше вот таких вирусов примерно 2к было до тех пор пока каспера непоставил =)

иногда приползает в расшареную папку казёл.

у кого есть этот вирус пошлите на zver2k@jagry.ru - мечтаю им заразится (а то фаердемон утомил орать что нод32 его не ловит)

у кого есть этот вирус пошлите на zver2k@jagry.ru - мечтаю им заразится (а то фаердемон утомил орать что нод32 его не ловит)
у нас антивирь на почте ^_^

У нас проверяется теперь весь почтовый трафик на вирусы!!!! А то Артелеком ругается =)

У нас проверяется теперь весь почтовый трафик на вирусы!!!! А то Артелеком ругается =)
Правильно ругается. Тока я пробовал отправить RAR архив запароленый, а почта ваша посылает меня куда подальше - говорит что это вирус. Хотя его там в помине нет. Починили бы вы эту пробему.

Правильно ругается. Тока я пробовал отправить RAR архив запароленый, а почта ваша посылает меня куда подальше - говорит что это вирус. Хотя его там в помине нет. Починили бы вы эту пробему.
с виртуального мыла засылай :)

<Delete>

Самый красивый вирус WIN.92.CIN говоря русским языком чернобыль, заделан 2000 году в честь взрыва АТС.
Вирус попадает в компьютер через почту или другие носители, иконка выглядит как программа для рисования Paint.
Активируется при открытие или 26 чиста любого месяца, этот вирус очень опасен тем, что может не тока уничтожить
программы, а по портить железо каждый год выпускается все новые и новые версии этого опасного вируса, так что проверяйте свой компьютер почаще!
:d нет, не так... нету подходящего смайлика... :o

Эх, Хитман) Ты ваще в курсе, что за железо он портил и каким образом, а?) И чего за АТС?) АТомная Станция? ЧАэС мож?) И не 26 числа любого месяца совсем) Короче, учи матчасть)
ЗЫ http://forum.sevsknet.ru/attachment.php?attachmentid=3036&d=1164525698

У меня как-то был вирус.... психотропный. Менял мне обои на десктопе каждую минуту на случайный имедж, наверно это единственный в мире вирус способный убить человека (путём доведения до самоубийства)

про --заделан 2000 году в честь взрыва АТС-- и --26 чиста любого месяца-- занёс в мемориз.

про --заделан 2000 году в честь взрыва АТС-- и --26 чиста любого месяца-- занёс в мемориз.
А 92.CIN не будешь заносить?

<Delete>

<Delete>

Хитман, уморил, ааааааааааа....
Видяху он ему попортил, ыыыыыыыыыы, черт, держите меня семеро, я щас сдохну под столом, юмориииииииииииииист)
ЗЫ В личке, недеюсь, исходники хоть?)

У меня появилсо такой вирус : Win32.Sector.20480.....
че ето за хрень...и чем она опасна..
ета падла заражаит ехе файлы

При заражении вирусом:
1. Не в коем случае его не удалять - пусть плодится;
2. Не ставить антивирус - с ним комп тормозит;
3. Когда компьютер полностью перестанет работать - пишите мне, приеду заберу (зачем он Вам неработающий)

вот интересно у меня появился милый и симпотичный вирус,жить он мне совсем немешает,но вот только Dr.Web дастал,вирус этот скачит по компу как ненормальный,удалить ево неполучяеца,он затихает на какоето время а потом снова появляеца,как эту гадость убрать?Дастал програмкуDr Web базука тоже помогает на время.

NOD32 ставь, базы обновляй с локалки, радуйся жизни.

Касперским обнаружено: вирус Virus.Win32.Sality.s Файл: C:\WINDOWS\system32\wmdrtc32.dl_//wmdrtc32.dl_
Но при попытке вылечить пишет"Файл содержит вирус. Лечение не возможно:запись не поддерживается.

кто что подскажет

ИМХО лечить нужно только важные документы, остальное - удалять. Не помешало бы еще с загрузочного диска на вирусы провериться.

так и сделал - удалил

куда нод обновления сохраняет?

Нашел у себя вирус, NOD32 его не определяет.
Вот что нашел сам:
Автозапуск
--
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
"amva"="C:\\WINDOWS\\system32\\amvo.exe"
--

В корне всех дисков
--
xlu8a8sy.exe
autorun.inf
--

В WINDOWS\system32
--
amvo.exe
amvo0.dll
amvo1.dll
--
Все файлы невидимые и системные.

Меняет настройки Проводника, чтоб не были видны скрытые и системные файлы.
Меняет параметр с единицы на ноль, что не дает установить параметр "Показывать скрытые файлы и папки"
--
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

"CheckedValue"=dword:00000000
--

Похоже на флешке принесли, хотя автозапуск дисков отключен.

Содержание autorun.inf
--
;Fj7Lkwkk4oqiw2UK0adeacKalqs0oq1kl
[AutoRun]
;qallaD4DAldssido
open=xlu8a8sy.exe
;ms2Laskid7qi8KSj55io420o9oslp20JoFijs3DeliKd0qSH6 wr93s42wLLDassDkrZ5Ak338kLwj3ZJ1pAwqkdd23irwwlk4Ka 2liAsf75AAlO
shell\open\Command=xlu8a8sy.exe
;32Sf4L3alsAkaa4qjSpkddwewroiwa93l3DowaF2w7JlA03Da djDAkw3dk4sHio2DcL22q3lpoir3DdlOi2
shell\open\Default=1
;DjdZ0I0JZKmckS2a4s2lJilAdDwsX
shell\explore\Command=xlu8a8sy.exe
;k4j7klw5iDown
--
Кто, если знает, напишите, что в авторане понаписано?

Нашел у себя вирус, NOD32 его не определяет.
...
Кто, если знает, напишите, что в авторане понаписано?

Был у мя зверь этот, извел его я. Вообще-это пионер онлайн-гамес паролей. А в авторане ничего особо антиресного, строки с точки-с-запятой-комменты и не выполянюца, а прописано там то, что по правой мыше идет запуск екзешника сразу.

Был у мя зверь этот, извел его я. Вообще-это пионер онлайн-гамес паролей. А в авторане ничего особо антиресного, строки с точки-с-запятой-комменты и не выполянюца, а прописано там то, что по правой мыше идет запуск екзешника сразу.
Как извел его? подскажи просто такая же фигня....:(

Гасим процесс его каким-нить процесс киллером, убиваем екзешники его и дллки, правим реестр по ключу 3 постами выше.

Гасим процесс его каким-нить процесс киллером, убиваем екзешники его и дллки, правим реестр по ключу 3 постами выше.%-6 я тя не понял.

... А в авторане ничего особо антиресного, строки с точки-с-запятой-комменты и не выполянюца, а прописано там то, что по правой мыше идет запуск екзешника сразу.

Спасибо, понятно :)

Гасим процесс его каким-нить процесс киллером, убиваем екзешники его и дллки, правим реестр по ключу 3 постами выше.

Если я правильно понял, при запуске он подгружает дллку к эксплореру и отключается. Так что лучше удалить дллку при помощи, например, Unlocker, ну и потом рубить все остальное.

Если я правильно понял, при запуске он подгружает дллку к эксплореру и отключается. Так что лучше удалить дллку при помощи, например, Unlocker, ну и потом рубить все остальное.

Угу, ну и реестр не забыть чистануть, плюс корни всех дисков почистить, ибо тоже копирица эта зараза туда.

Нашел у себя вирус, NOD32 его не определяет...


Уже определяет :)
amvo.dll - Win32/Pacex.Gen вирус

до вчерашнего вечера стоял NOD32 при проверке обнаружил 4 вируса но комп постоянно выдавал ошибки. Поставила вчера Касперского при проверке обнаружино 282.Сегодня тоже уже 3 раза по 2-3 обнаружено

Касперский очевидно лучше))

Касперский очевидно лучше))

Не очевидно. Руки, моск и легковесный нод лучче.

Для тех кто страдает вирусом Saility.a..z(Sektor.5..13):
//не работает диспетчер задач
//заблокирован реестр
//скушаны *.exe
//производительность резко упала, либо вообще нулевая

Лечить так:
0.Чиним реестр (http://forum.sevsknet.ru/attachment.php?attachmentid=20031&stc=1&d=1229153071). SafeBoorWinXP (http://forum.sevsknet.ru/attachment.php?attachmentid=20034&d=1229153053) разрешает работать в безопасном режиме.
1.С помощью Dr.Web CureIT! (http://forum.sevsknet.ru/attachment.php?attachmentid=20032&stc=1&d=1229153071) проверяем комп, в безопасном режиме.
2.Ставим хороший антивирусник. Чтоб снова эту заразу не подхватить нужен NOD SS, Avast (естественно с новыми базами). KIS тоже работает.

Либо ставим KIS 8.454, KAV 8.454:
0.Чиним реестр (http://forum.sevsknet.ru/attachment.php?attachmentid=20031&stc=1&d=1229153071);
1.Отключаем технологию iShift;
2.Запускаем Sality Off (http://forum.sevsknet.ru/attachment.php?attachmentid=20033&stc=1&d=1229153071);
3.Запускаем полную проверку всех дисков

P.S. Если вы пытаетесь это скачать с зараженной машины не поможет. Запишите лучше на диск. Вылечил так несколько больных этой "чумкой" компов, иным пользователям помогает только format C:lol:

Для чего четвертый фаил SafeBootWinXP.reg выложен?

SafeBoorWinXP разрешает работать в безопасном режиме

до вчерашнего вечера стоял NOD32 при проверке обнаружил 4 вируса но комп постоянно выдавал ошибки. Поставила вчера Касперского при проверке обнаружино 282.Сегодня тоже уже 3 раза по 2-3 обнаружено

Приведу обратный пример - долгое время стоял Каспер. Начал делать дефрагментацию - обнаружил несколько вирусов, удалил, при повторной дефрагментации тоже самое. Если просто сканировать комп - не находил НИЧЕГО! Базы естественно новые. Поставил себе NOD, тот вирусов 200 нашел и все вычистил, теперь пользуюсь им.

При заражении вирусом:
1. Не в коем случае его не удалять - пусть плодится;
2. Не ставить антивирус - с ним комп тормозит;
3. Когда компьютер полностью перестанет работать - пишите мне, приеду заберу (зачем он Вам неработающий)

У меня такой был!:dead:Помог format C!:thumbs_up:

Народ помогите плиз подхватил вирус security tool
маскируется под антивирусник системы можете подсказать ктонить как с ним боротся??

pixelog
1. Запустите диспетчер задач, нажав комбинацию клавиш ctrl+shift+esc. Скорее всего наша псевдо защита перекроет диспетчер задач своими окнами, поэтому их нужно будет просто перетащить в сторону.
2. Найдите и завершите процессы «10227719.exe» и «_ex-08.exe»
3. Нажмите win+r, или выберите пуск->выполнить.
4. В появившемся окне введите msconfig и нажмите OK
5. Далее необходимо перейти на вкладку «автозагрузка» и убрать галочки напротив записей 10227719 и _ex-08
6. В этом же окне вы можете узнать местонахождение этих файлов и впоследствии удалить их.
7. После выполнения всех этих действий просто перегружаем компьютер. Проблема решена :-)

P.S.: Если по каким-либо причинам Вам не удалось использовать диспетчер задач и командную строку (пункты 1-4), перегрузите компьютер в безопасном режиме с поддержкой командной строки и начните действовать начиная с пункта №4.

4. В появившемся окне введите msconfig и нажмите OK
5. Далее необходимо перейти на вкладку «автозагрузка» и убрать галочки напротив записей 10227719 и _ex-08
ввел мсконфиг нажал окей а где вкладка автозагрузка эта?

4. В появившемся окне введите msconfig и нажмите OK
5. Далее необходимо перейти на вкладку «автозагрузка» и убрать галочки напротив записей 10227719 и _ex-08
ввел мсконфиг нажал окей а где вкладка автозагрузка эта?
вкладка в самом конце

в конце чего?

Все зашел в автозагрузку но там почемуто нет файлов я все отключал перезагружал и всеровно он запускается, че делать?

[QUOTE=Ку$$o4ek;347548]Для тех кто страдает вирусом Saility.a..z(Sektor.5..13):
//не работает диспетчер задач
//заблокирован реестр
//скушаны *.exe
//производительность резко упала, либо вообще нулевая

помню этот вирус сколько я с ним маялся поставил каспкерский он их по 1 убил всех):yahoo:

pixelog, скрин вкладки автозагрузка в студию, то есть сюда :-)

Самый красивый вирус WIN.92.CIN говоря русским языком чернобыль, заделан 2000 году в честь взрыва АТС.
Вирус попадает в компьютер через почту или другие носители, иконка выглядит как программа для рисования Paint.
Активируется при открытие или 26 чиста любого месяца, этот вирус очень опасен тем, что может не тока уничтожить
программы, а по портить железо каждый год выпускается все новые и новые версии этого опасного вируса, так что проверяйте свой компьютер почаще!
до сих пор вспоминаю и пересказываю :thumbs_up:

Вот хорошая статья про вирусы (http://socialnye-sety.ru/virus/), особено популярные по мошенническим выманиваниям денег) :O