восстановление данных информации жестких дисков raid массивов флешек карт памяти
Как мы работаем Доступные цены Дистанционное обслуживание Библиотеки программ Ответы на вопросы Форум Проезд, контакты
Признаки заражения компьютера Признаки заражения компьютера
Удаление вируса LoveSan вручную Удаление вируса вручную
Хроника активности вируса Хроника активности вируса

Ремонт HDD, восстановление информации данных с неисправных жестких дисков Ремонт HDD, восстановление информации данных с неисправных жестких дисков
Восстановление жестких дисков по интернет Восстановление информации данных на жестких дисках, hdd, fat и ntfs
Восстановление данных жестких дисков, raid массивов, флешек и карт памяти. Восстановление данных жестких дисков, raid массивов, флешек и карт памяти.

ОПИСАНИЕ ВИРУСА SOBIG.F (RETERAS)

Службы мониторинга всех антивирусных фирм сообщают о катастрофически быстром распространении новой разновидности почтового червя массовой рассылки семейства Sobig.F (Reteras). Особо отмечается его необычайная активность, которая составляет 89% от всего вирусного фона, такую активность имел в свое время червь Klez.H (Klez.4).
Заражении Этим вирусом возможно при активном участии Пользователя, для этого он должен собственными руками запустит файл, вложенный в полученное по интернет письмо.
Текст письма состоит из нескольких достаточно неброских слов, которые, тем не менее, побуждают многих пользователей открывать вложенный исполняемый файл:
Элемент письма Перечень возможных значений
Заголовок Re: That movie
Re: Wicked screensaver
Re: Your application
Re: Approved
Re: Re: My details
Re: Details
Your details
Thank you!
Re: Thank you!
Текст See the attached file for details.
Please see the attached file for details.
Прикрепленный файл movie0045.pif
wicked_scr.scr
application.pif
document_9446.pif
details.pif
your_details.pif
thank_you.pif
document_all.pif
your_document.pif
Адрес получателя Червь ищет файлы *.TXT, *.EML, *.HTML, *.HTM, *.DBX, *.WAB, *.MHT, *.HLP
во всех каталогах на доступных локальных дисках, выделяет из них строки,
являющиеся адресами электронной почты, и рассылает по этим адресами
заражённые письма.
Адрес отправителя Фальсифицируется, в него вставляется какой-либо электронный адрес,
обнаруженный на зараженном компьютере) или содержит адрес
admin@internet.com.

Признаки заражения компьютера

При инсталляции червь копирует себя с именем winppr32.exe в каталог Windows и регистрирует этот файл в ключах автозапуска системного реестра:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
TrayX = %WindowsDir%\winppr32.exe /sinc

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
TrayX = %WindowsDir%\winppr32.exe /sinc

Поэтому, наличие вируса на компьютере можно проверить просмотрев каталог, где установлен Windows. Если в нем присутствует файл winppr32.exe, то Ваш компьютер заражен.

Удаление вируса вручную

Перестал функционировать, достаточно установить системную дату больше 11 сентября 2003 года.
Для физического удаления вируса надо скорректировать системный реестр, удалив ключи автоматического запуска, перечисленные выше, и уничтожить тело вируса winppr32.exe в системном каталоге.
При этом необходимо учесть, что червь распространяется по локальной сети и копирует себя на диски доступных сетевых ресурсов со случайными именами и расширением EXE.


Copyright 1991-2012 Лаборатория FomSoft - восстановление данных, антивирусы Дата изменений - 14.I.2012