Въпросните вируси заливат световните irc networks ( скоро и по нашите "екрани" :> )

showmirc.exe - Trojan.Backdoor.IRC.Zapchast,
[ Process/window information ]
* Attemps to NULL c:\WINDOWS\System33\windows.exe NULL.

control: showmirc.exe - host=irc.intikam.info join #? Sikerim

------------------------------------------------
video.exe - Trojan.Downloader.VBS.Iwill.a,

control: video.exe - 66.111.200.209 join #intikam

---------------------------------------------------

kamera.exe - Trojan.Backdoor.Kelebek.ab
files: ms32.sys, Sacenkg.dll, kamera.exe

[ Changes to filesystem ]
* Creates file C:\WINDOWS\TEMP\iyExit.exe.
* Deletes file C:\WINDOWS\TEMP\iyExit.exe.
[ Signature Scanning ]
* C:\WINDOWS\TEMP\iyExit.exe (282624 bytes)

control: kamera.exe - server irc.troptik.org join #xibox CRS

-----------------------------------------------------

film.exe - Virus.Win32.Hidrag.a
files: mirc.exe

control: film.exe - 84.16.253.210 join #CybrTeam

------------------------------------------------------

camda.exe - trojan.backdoor.kelebek.aj
files: ms32.sys, sysdll.dll, camda.exe,

control: irc.hackgrup.com:6667 JOIN #~ okanali

-------------------------------------------------------

Aaaa aко някой се оплаче от тея, ще им земат ли домейните?

jjupdatep.exe - Trojan-Proxy.Win32.Ranky.gen

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM32\win32bootcfg.exe.

[ Changes to registry ]
* Creates value "Windows Core Kernel Update"="C:\WINDOWS\SYSTEM32\win32bootcfg.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".

[ Network services ]
* Connects to "update[dot]sysupdates[dot]info" on port 53 (UDP).
* Connects to "dllupdt[dot]win32dllupdate[dot]info" on port 53 (UDP).
* Connects to "windllupdt[dot]winwin32dllupdate[dot]info" on port 53 (UDP).
* Connects to "krnl[dot]win32kernellupdates[dot]com" on port 53 (UDP).
* Connects to "winupdt[dot]winvideoupdate[dot]info" on port 53 (UDP).
* Connects to "sysdll[dot]systemdllupdates[dot]info" on port 53 (UDP).
* Connects to "sysupdt[dot]avsysaupdate2006[dot]com" on port 53 (UDP).
* Connects to "net[dot]corenetworkupdates[dot]info" on port 53 (UDP).
* Connects to "mp3updt[dot]winmp3dllupdate[sot]net" on port 53 (UDP).

[ Security issues ]
* Possible backdoor functionality [UNKNOWN] port 42142.

[ Process/window information ]
* Creates a mutex testshit.
* Attemps to open C:\WINDOWS\SYSTEM32\win32bootcfg.exe NULL.
* Will automatically restart after boot (I'll be back...).

control: irc.fuck.com 332 [00|CZE|823714] #bart# :?asc -S -s

porno.exe - W32/Spybot.gen. (Backdoor.Win32.Rbot.aie)

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM32\wininit.exe.
* Deletes file 1.

[ Changes to registry ]
* Creates value "Microsoft Update 32"="wininit.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates value "Microsoft Update 32"="wininit.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".
* Creates key "HKCU\Software\Microsoft\OLE".
* Sets value "Microsoft Update 32"="wininit.exe" in key "HKCU\Software\Microsoft\OLE".
* Sets value "restrictanonymous"="
" in key "HKLM\System\CurrentControlSet\Control\Lsa".

[ Network services ]
* Looks for an Internet connection.
* Connects to "irc.intikam.info" on port 5656 (TCP).
* Attempts to delete share named "IPC$" on local system.
* Attempts to delete share named "ADMIN$" on local system.
* Attempts to delete share named "C$" on local system.
* Attempts to delete share named "D$" on local system.
* Connects to IRC Server.
* IRC: Uses nickname |803400248.
* IRC: Uses username kagssjavmr.
* IRC: Joins channel #scan2.
* IRC: Sets the usermode for user |803400248 to -x-i.

[ Process/window information ]
* Creates a mutex a3c.
* Will automatically restart after boot (I'll be back...).
* Enumerates running processes.
* Enumerates running processes several parses....

[ Signature Scanning ]
* C:\WINDOWS\SYSTEM32\wininit.exe (257024 bytes) : W32/Spybot.gen.

--------------------------------------------------------------------------------------
kapat.exe - Backdoor.Win32.Litmus.203

[ Changes to filesystem ]
* Creates directory C:\WINDOWS\litmus.
* Creates file C:\WINDOWS\litmus\winsys.

[ Changes to registry ]
* Creates value "LTM2"="C:\WINDOWS\litmus\winsys" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".

[ Network services ]
* Looks for an Internet connection.
* Connects to "irc.mirccom.net" on port 6667 (IP).
* Connects to IRC server.

[ Security issues ]
* Possible backdoor functionality [Authenticate] port 113.

[ Process/window information ]
* Will automatically restart after boot (I'll be back...).

[ Signature Scanning ]
* C:\WINDOWS\litmus\winsys (36384 bytes) : W32/Litmus.2_03.(Backdoor.Win32.Litmus.203)

а как да го премахни вируса с анти вирусна или има др начин

Повечето са с Турски произход и са тъпи.
И все пак ще има заразени.

файл: secrets.exe (към момента не е разпознаван от "основните" антивируси)

Днес пък по скаип получих някакво съобщение за нов вирус който ти изтривал всичко на харда.Нз до каква степен информацията е вярна.Пишеше също ако някой с никнаме Николаи_Илиев, нещо такова, знам че е Николай само. И които се зарази сички от контакт листа и те са заразени.

Ауе ако не искате да ви притесняат гадните вирусчета наместете си в ДСС настроиките да игнорва .zip. В архив се разпространяват наи лесно вирусите. А ако искате да не ви притесняват вообще просто напишете това в скрипт едитора:
on *:TEXT:*www*:?: {
/.timer 1 1 /closemsg $nick {
}
on *:TEXT:*http://*:?: {
/.timer 1 1 /closemsg $nick {
}

Лесно и полезно

и не на място

Що бе . Супер е яко по за mIRC клиента.

-ActiveState(emulated +g on local server)- Fri Apr 13 12:23:13 :(Teodor_Desi[onl!~D@teodo.vladislavovo.org) hi
-ActiveState(emulated +g on local server)- Fri Apr 13 12:23:13 :(Teodor_Desi[onl!~D@teodo.vladislavovo.org) kak e
-ActiveState(emulated +g on local server)- Fri Apr 13 12:23:13 :(Teodor_Desi[onl!~D@teodo.vladislavovo.org) iska6 li da si prekazvame
-ActiveState(emulated +g on local server)- Fri Apr 13 12:23:13 :(Teodor_Desi[onl!~D@teodo.vladislavovo.org) tova e moqta snimkata
-ActiveState(emulated +g on local server)- Fri Apr 13 12:23:13 :(Teodor_Desi[onl!~D@teodo.vladislavovo.org) http://www.*******.net/un/union2/my_pic9.pif

nemam vreme za tez neshta... koito pogledne uj shte razbere...

PS. kym link-a sym dobavil 9 nakraya, zaradi maloumnite users koito pyrvo cykat, posle chetat.

http://forums.unibg.org/index.php?showtopic=11461

k, mods da triyat(ako im se zanimava)

Чудех се дали да го пусна....това не е нов вид вирус , но все пак се разпространява бързо от скоро..

Писал съм доста Virus Remover-и, трябва да напиша и един вирус, да пробвам съвременните антивирусни програми Не съм убеден, че ще се справят....

Мерси за линка.
Въпросния сайт зарежда frame, в който има линкове за сваляне на имитация на screensaver. Пакетиран е с private exe protector (нерегистрирана версия ). При стартирането на файла се създава нов в C:\WINDOWS\system32\mssvc.exe и се прави опит да се опише mssvc.exe на startup. Половината антивируси във virustotal го разпознават като trojan.downloader.*, което от своя страна означава, че ще свали друг зловреден софтуер.

Моя съвет е такъв - не щракай на линкове от непознати хора. Не вярвай на това, че можеш да получиш оп само защото си копирал еди си що.
Всичко е въпрос на елементарна интернет култура.

НАЙ-ВАЖНОТО Е - НЕ ЩРАКАЙ НА БАНЕРИТЕ КОИТО ГЛАСЯТ, ЧЕ ПЕЧЕЛИЩ 1 МИЛИОН ДОЛАРА.

QUOTE
hahaha, spawN busted at ESL http://ESL***
та какви са вариантите,които могат да премахнат вируса ?

mssvc.exe не е файл от windows, което не означава, че не би могъл да е част от някоя програма, но до колкото прочетох файл със същото име се използва основно за криптиране на данни. Според отговора на лаборатории Касперски е - Backdoor.Win32.Rbot.hyo, макар че проактивната защита на същата фирма снощи при теста ми даде друго определение. Както и да е.
Има достатъчно онлайн скенери в интернет, където би могъл да провериш при евентуално наличие на mssvc.exe какво точно представлява. Касперски и F-Secure го засичат.
http://www.kaspersky.com/virusscanner или http://support.f-secure.com/enu/home/ols.shtml
И ако се окаже, че въпросния файл съдържа зловреден код, то цялостното сканиране на пц-то е задължително.
Файла се намира в C:\WINDOWS\system32\mssvc.exe
Би могъл да го махнеш и ръчно. В safemode режим стартираш regedit (start menu -> run -> regedit) и изтриваш стойностите, където е описан mssvc.exe както и него.

едит: Сайта (зареждащ се във frame) на който се съдържаше вируса е спрян. Явно е имало своевременна намеса.

едит2: току що видях, че има и други сайтове съдържащи същия shit.

http://cs-anticheat**XX

http://SSC-Anticheat ..

възможно ли е файла да е именуван като C:\WINDOWS\system32\ntmssvc.exe

В конкретния случай - не, или поне не докато заразения не се е свързал с trojan controllera , който да е указал update от някъде.
Ето unistall loga http://s-antivir.hit.bg/Rbot.txt
Прекръстих .crs файла на .exe , за да мога да му пусна мониторинг на действията.
Един и същ е вируса на всички сайтове, за които се спамва, независимо от името му.

Освен това модифицира c:\windows:\system32\drivers\etc\hosts
дописвайки следните редове

за да не може антивирусите да се update. Редактирайте файла, като изтриете горепосочените редове.

OOP направи възможно автоматичното изчистване на вируса.
Благодарности на един от малкото админи, които си гледат работата.

http://bourgas.comnet.bg/aaa.cmd

mnogo dobra rabota

http://lesh.hit.bg/removal.zip
Компилирано с gcc 3.4.2-mingw-special
Намира файловете по CRC32 сума, убива процеса, търка автоматично, прави папка на мястото на файла (така повече няма да може да се зарази потребител), чисти регистъра, и фиксва c:\windows\system32\drivers\etc\hosts
Прилагам и сорс кода
(Малко е lame, ама върши работа)

Луд си