W32.Parite.B, помогите! Опции

[Guest_Укроп_*]

скажите, пожалуста, может ли NOD32 пропустить эту заразу + что вообще за вирь и как от него лечиться (походу подхватил =\)

[Solo]

Описание с Тренд-Микро (]]>внешняя ссылка]]>)
This malware infects EXPLORER.EXE to gain memory-residency. Once resident, it
gradually infects all .EXE and .SCR files found on the infected system and network shares with read and write access.

It infects files by adding a new section to the target file then appending its code at the end of the target.

Note that Trend Micro detects files infected by this virus as PE_PARITE.A.

It is dropped and executed by PE_PARITE.A in the Windows Temporary folder, with a random file name and a TMP extension.

This malware runs on Windows 95, 98, ME, NT, 2000 and XP.

Как лечить:
Restarting in Safe Mode


» On Windows 95


Restart your computer.
Press F8 at the Starting Windows 95 message.
Choose Safe Mode from the Windows 95 Startup Menu then press Enter.

» On Windows 98 and ME


Restart your computer.

Press the CTRL key until the Windows 98 startup menu appears.

Choose the Safe Mode option then press Enter.

» On Windows NT (VGA mode)


Click Start>Settings>Control Panel.
Double-click the System icon.
Click the Startup/Shutdown tab.
Set the Show List field to 10 seconds and click OK to save this change.
Shut down and restart your computer.
Select VGA mode from the startup menu.

» On Windows 2000


Restart your computer.

Press the F8 key, when you see the Starting Windows bar at the bottom of the screen.

Choose the Safe Mode option from the Windows Advanced Options Menu then press Enter.
» On Windows XP


Restart your computer.

Press F8 after the Power-On Self Test (POST) is done. If the Windows Advanced Options Menu does not appear, try restarting and then pressing F8 several times after the POST screen.
Choose the Safe Mode option from the Windows Advanced Options Menu then press Enter.
Removing Malware Registry Key

Open Registry Editor. To do this, click Start>Run, type REGEDIT, then press Enter.
In the left panel, double-click the following:
HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>Explorer
Still in the left panel, locate and delete the key:
PINF
Close Registry Editor.

Вроде написано просто, переводить не стал... Если чего могу подсказать, но в личку :-)

[NIK]

Win32.Parite.2
Добавлен в вирусную базу Dr.Web:
08.12.2002, 12:00 MSK - дополнение к вирусной базе версии 4.29

Другие названия:
W32/Pate.b, W32.Pinfi, PE_PARITE.A, W32/Parite-B, W32/Pate-B, W95/Parite.B, Win32.Parite.b, W32/Parite.B, W32/Parite.B, W32/Pate.b.tmp

Тип: сетевой червь

Уязвимые операционные системы: Windows 95/98/Me/NT/2000/XP

Признаки инфицирования:

- наличие во временной директории Windows исполняемого файла с расширением .tmp и названием, состоящим из набора буквенных и цифровых символов
- наличие в реестре следующего ключа
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\PINF

Описание вируса:
Win32.Parite.2 - полиморфный вирус, поражающий компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Основной исполняемый компонент вируса написан на языке программирования Borland C++ и упакован упаковщиком UPX. Размер червя 176128 байт.

Вирус обладает способностью распространяться по доступным для совместного пользования дискам локальной сети.
Заражает файлы с расширениями .exe и .scr как на пораженном компьютере, так и в рамках локальной сети, дописывая к ним свой код и увеличивая, таким образом, их размер на 176128 байт.

Инфицирование системы:
Будучи запущенным на пораженном компьютере, вирус помещает во временную директорию Windows файл-библиотеку динамической компоновки со случайным названием, состоящим из набора буквенных символов и шестнадцатеричных цифр и расширением .tmp. Именно этот файл и содержит основные функцие, используемые червем.

Для обозначения своего присутствия в системе с целью избежать повторного инфицирования вирус создает семафор "RESIDENTED".

В системном реестре Windows червь вносит данные "PINF" в реестровую запись HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\

Процесс инфицирования файлов начинается с создания дополнительной секции в конце файла с последующей записью в эту секцию вирусного кода, в результате чего размер файл увеличивается на 176128 байт.

Червь инфицирует исполняемые файлы на зараженной машине, а также распространяется по всем доступным для совместного использования сетевым ресурсам, доступным для записи. В результате на таких ресурсах за короткое время могут быть заражены практически все исполняемые файлы.

Процедура лечения:
Внимание! после лечения могут оказаться испорчены *.exe файлы на инфицированном компьютере.
Это связано с тем, что в некоторых случаях заражённые данным вирусом исполняемые файлы восстановить в исходном виде практически невозможно любым антивирусом. Соответственно, приложения, содержащие в себе контроль целостности своих исполняемых файлов, перестают запускаться.

1) Закройте общий доступ к ресурсам на зараженной машине, и отключите все сетевые диски.
2) Загрузитесь в безопасном режиме(safe mode).
3) В реестре HKEY_CURRENT_USER/Software/Microsoft/Windows/Explorer Удалите в левом окне параметр PINF.
4) Во временной папке, например C:\Documents and Settings\***USER***\Local Settings\Temp удалите все файлы.
5) Запустите Dr.Web. (вирус заражает файлы *.exe, *.tmp, *.scr)

Статья составлена по материалам сайта www.dialognauka.ru

Источник - ]]>http://www.estav.ru/news/2004_01_17.htm]]>


Готовая лечилка:
Заражая компьютер, черви часто прописывают себя в автозагрузку или запускаются вместе с различными программами. Большинство разновидностей создают дополнительные файлы, которые даже при отсутствии червя являются опасными. Лечение компьютеров, зараженных такими вирусами не тривиальная задача - одного удаления "зараженных файлов" мало (операционная система может не запустить некоторые из программ (например Explorer)).

Очень часто, для полного удаления червей приходится изменять реестр, удалять ссылки из автозагрузки. В этом деле Вам очень поможет данная утилита, которая произведет проверку компьютера на наличие вирусов и в случае обнаружения известных вирусов, автоматически удалит их, а так же все дополнительные файлы и ссылки.
Данная версия поддерживает "полное" лечение следующих вирусов:

* Win32:Badtrans [Wrm]
* Win32:Beagle [Wrm] (aka Bagle), варианты A-L, U, W-Z, AA-AH
* Win32:Blaster [Wrm] (aka Lovsan), варианты A-I
* Win32:BugBear [Wrm], включая B-H варианты
* Win32:Ganda [Wrm]
* Win32:Klez [Wrm], all варианты (включая варианты of Win32:Elkern)
* Win32:MiMail [Wrm], варианты A, C, E, I-N, Q, S-V
* Win32:Mydoom [Wrm] (варианты A, B, D, F-N - включая троянского коня)
* Win32:Nachi [Wrm] (aka Welchia, варианты A-K)
* Win32:NetSky [Wrm] (aka Moodown, варианты A-Z, AA-AB)
* Win32:Nimda [Wrm]
* Win32:Opas [Wrm] (aka Opasoft, Opaserv)
* Win32:Parite (aka Pinfi), варианты A-C
* Win32:Sasser [Wrm] (варианты A-F)
* Win32:Scold [Wrm]
* Win32:Sircam [Wrm]
* Win32:Sober [Wrm], варианты A-G
* Win32:Sobig [Wrm], включая варианты B-F
* Win32:Swen [Wrm], включая варианты упакованные UPX-ом
* Win32:Yaha [Wrm] (aka Lentin), все варианты
* Win32:Zafi [Wrm] (варианты A-

]]>Скачать лечилку]]>

[Guest_Укроп_*]

спс большое Solo и NIK