В общем у меня такая проблема. Обнаружил у себя в XP вирус "Win32HLLP.Jeefo.36352", после некоротых так сказать исследований выяснилось что он:
1. Помещает свой в код во все программы, даже те которые не находятся в его папке. Так он заразил файл explorer что в папочке "Windows".
2. Следит за открывающимися прогами. Например скачал я прогу с инета, запустил ее, и если она не заражена то вирус ее заражает.
В общем полный набор того чтобы все проги стали зареженными.
Пробовал Dr.Web лечить, но этот Dr.Web только мне портит файл, тоесть делает прогу не работоспособной.
И еще, моя догадка. Dr.Web почему-то не всегда обнаруживает этот вирус. Я сравнил оригинал проги с зараженным, и у увидел черту этого вируса, в шестнадцатиричной системе первая строка зараженой проги имеет вид:
4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00
Так у всех зараженых прог. И еще вирус заменяет надпись "This program cannot be run in Win32" на "This program cannot be run in DOS".
Я уже весь измучился - не знаю что делать.
Вопрос: Как же мне вылечить зареженные проги?
Встречался ли кто-нибудь с этим вирусом, и как от него избавился (кроме удаления зараженых файлов).
Может ли кто-нибудь написать анти-вирус который будет востанавливать зараженные проги? (хотя врятли, но все таки).

p.s: Если надо то могу выложить одну из зараженых прог (196Кб).

4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00
Так у всех зараженых прог

/me застрелился

Ты наверное меня не правильно понял:)
Я хотел сказать следующие:
У оригинала, которые еще не заражен и работоспособен, совсем по другому начинается 16-ый код, а после заражения становится таким какой я написал, тоесть код явно меняется. Раз вначале был один код, а потом другой, значит что-то его изменяет, и это чтото и есть вирус.
Невижу ничего смешного.

Я опечален - похоже на моей тачке все екзешники заражены :). А если серьезно - это впорлне типичный дос-хидер. И надпись This program cannot run in Dos mode - делается линкером. Поэтому ты просто может смотрел поврежденный файл (с этой секцией возможны всякие извращения - гловное шоб буквы были MZ и смещение указывало правильно на PE заголовок)

Толи я такой тупой, толи другие такие тупые.
Я же блин русским языком сказал, что я не говорю что это везде вирусы которые начинаются на:
4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00

А строку "Так у всех зараженых прог." следует читать: "Такая строка СТАНОВИТСЯ ПОСЛЕ ЗАРАЖЕНИЯ".

Неужели так трудно понять, что вирус заменяет первые байти проги на "4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00", а не то что если у вас так то это вирус.

"Поэтому ты просто может смотрел поврежденный файл". Какой нафиг поврежденный? Скачал с инета прогу. Посмотрел в шестандацитирчном виде - одно. Установил. Запустил прогу. Посмотрел в шестнадцатиричном виде - код уже другой. Прога вполне работоспособная, но после некоротого времени вирус заменяет байти и прога перестает работать.

Lawyer
Это не ты такой тупой, просто на этом сайте зачастую отвечают на вопросы те, кто не в курсе дела. А еще часто любят посылать в MSDN, либо в поиск, либо в гугль... Хотя честнее было бы послать на х... А по хорошему, если лень ответить, то лучше бы молчать. А то иной раз и хочешь задать вопрос, да как подумаешь о том, сколько грязи на тебя выльют... Теперь по теме. Вирус Win32HLLP.Jeefo.36352 много раз мне попадался на разных машинах. Хороших новостей мало. DrWEB хорошо обнаруживает его начиная с версии 4.31, проблема в том, что он заражает нe explorer, а svchost.exe. Поэтому методика такая. Отключаешь восстановление системы в свойствах Моего компьютера, перегружаешься в безопасном режиме (по F8) и только тогда собственно лечишься... К сожалению, примерно половина леченных файлов *.exe перестают работать. Как с этим бороться и отчего это зависит, я не знаю... Кучу важных файлов при этом потерял.
Удачи тебе!

HLLP значит что вирус написан на паскале, следовательно скорее всего алгоритм его такой:
открыть файл жертвы
считать начало файла равное длине файла вируса в первом поколении
записать в начало жертвы себя (вирус в первом поколении)
в конец жертвы записать считанное начало
закрыть и сохранить
из сего следует что первые байты заменяется так как он пишет на их место свой заголовок и себя, а следовательно где-то есть реальное начала файла, возможно зашифрованное, поэтому доктор и запарывает некотрые экзешники. Теперь можешь сам покапаться в файлах и написать свой антивирус, а для верности поищи исходник... или попробуй лечить Касперским антивирусом

DeeoniS
„HLLP значит что вирус написан на паскале“
Откуда такие познания ?
HLLP - вирус на любом высокоуровневом языке програмирования
High Level Language Program (вроде так расшифровывается)

ладно, может я ошибаюсь, но что тогда значит HLLO или HLLC???

Lawyer
Так у всех зараженых прог. И еще вирус заменяет надпись "This program cannot be run in Win32" на "This program cannot be run in DOS".
Если доверять моему знанию английского, то первая фраза означает, что прогу нельзя запускать в Win32, (что мне кажется странным) а вторая то, что прогу нельзя запускать в DOS, что собственно является стандартным сообщением. Возможно Вы перепутали фразы местами?

Всем спасибо! Проблема - решена. Я нашел наконец прогу которая позволяет избавиться от этого вируса, она находится на: http://www.sophos.com

DeeoniS
Немного я ошибся
HLL - High Level Language
P - Parasitic
C - Companion
O - Overwiter

Спасибо, буду знать