REMOVAL pentru virusul "Thanatos" de Y Messenger

Salut

1. Se inchid toate ferestrele si aplicatiile deschise.

2. Download la Killbox, se extrage si se ruleaza Killbox.exe

3. In partea de jos a programului, in lista de procese, se cauta: SVCHOST32.exe (Atentie! NU svchost.exe care este un proces legitim) si se apasa End Task ( triunghiul galben cu un ! in mijloc)
Apoi in campul Full Path of File to Delete se scrie C:\Windows\svchost32.exe (asta in cazul in care Sistemul de operare este instalat pe partitia C, daca e in alta parte schimbati litera C cu cea corespunzatoare) si se apasa Delete (butonul rosu cu un X in centru)
Daca primiti mesajul File Was Deleted totul e OK, daca nu alegeti optiune Delete on Reboot si repetati procesul, iar la afisare mesajului Restart your computer now ? alegeti NO

4. Download la HijackThis si se salveaza intr-un director al lui, spre exemplu C:\hjt.

5. Se deschide HijackThis.exe si se apasa Do a system scan only

6. Din lista care va aparea in urma scanarii se marcheaza urmatoarele 3 linii:
O4 - HKLM\..\Run: [Task Manager] C:\WINDOWS\svchost32.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
daca nu sunt prezente toate 3 se marcheaza numai cele gasite.

7. Se inchid toate ferestrele si aplicatiile ramase deschise in afara de HijackThis si se apasa butonul Fix Checked.

8. Download la arhiva  regfix.zip   416bytes   11439 downloads

9. Se extrage fisierul regfix.reg, se deschide si se apasa YES si apoi OK

10. Se da restart la calculator.

* Daca sunteti utilizator XP pasii 2 si 3 se pot inlocui cu urmatoarele comenzi scrise in Start >> Run

a. cmd /c taskkill /f /im svchost32.exe /t

b. cmd /c del C:\Windows\svchost32.exe (asta in cazul in care Sistemul de operare este instalat pe partitia C, daca e in alta parte schimbati litera C cu cea corespunzatoare)

Edited by spxjt, 17 September 2006 - 14:58.

spxjt, on Sep 17 2006, 15:57, said:

Asta nu ? HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.geocities...hanatos[editat]


Edit: editat link

Edited by Daisuke, 19 September 2006 - 19:21.

da!
sterge linku ala pana nu intra altii din curiozitate si se viruseaza!!!

Edited by dan33, 19 September 2006 - 12:47.

si inca ceva, ca sa fiti siguri ca ati scapat de tot

din %temp% trebuie sters svchost32.exe

din temporary internet files trebuie cautate si shterse host*.* (apar si exe si jpg/png)

Edited by aha, 19 September 2006 - 13:52.

Well....... ce am scris eu aicii... poate va ajuta in caz ca nu va descurcati cu ce este aici... oricum... ambele surse sunt bune.... nu ma laud... doar zic

ok ,mersi ... sper ca acum scap ...

...

Edited by CrankY, 29 September 2006 - 11:04.

spxjt, on Sep 17 2006, 15:57, said:

Eu am găsit fișierele cu numele svhost.exe și Svhost32.exe în c:\windows, c:\windows\temp, și în Temporary Internet Files, în cazul acesta, soluțiile:

a. cmd /c taskkill /f /im svchost32.exe /t
b. cmd /c del C:\Windows\svchost32.exe

ar trebui să devină:

a. cmd /c taskkill /f /im svhost.exe /t
    cmd /c taskkill /f /im svhost32.exe /t
b. cmd /c del C:\Windows\svhost32.exe
    cmd /c del C:\Windows\svhost32.exe

Plecând de la prezumpția că celelalte puncte au avut efectul scontat, comenzile de la punctul b. pot fi înlocuite cu ștergerea manuală a fișierelor din Explorer cât și ștergerea tuturor fișierelor din c:\windows\temp; C:\Documents and Settings\Default User\Local Settings\Temp; C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files


cosdeics

Edited by CrankY, 29 September 2006 - 11:03.

Am luat si eu virusul de pe adresa:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://[editat].goog....com/index.html

Aceleasi sintome ca pentru Thanatos, am incercat sa sterg cu Hijack This si apoi sa reincarc registrii afectati. Merge bine, doar ca de cate ori restartez calculatorul, se reactiveaza svchost32.exe
O4 - HKLM\..\Run: [Task Manager] C:\WINDOWS\svchost32.exe

Imi strica din nou browserul, registrii, si YM.
Ce trebuie sa fac in plus ca sa scap definitiv de el?!? (exceptand reinstalarea Windows)

Link editat

Edited by Daisuke, 03 October 2006 - 19:15.

Am observat ca putini AV (3 - 4) abia reusesc sa identifice toate fisierele euristic. Nici unul din AV-ii foarte cunoscuti nu le pot identifica pe toate. Kaspersky 0, Bitdefender 0, etc.

Sunt 4 fisiere care se instaleaza:

object1.exe (in browser cache)
object2.exe (in browser cache)
svchost32.exe (C:\WINDOWS\svchost32.exe)
svhost.exe (C:\WINDOWS\svhost.exe)

Procesele pot fi oprite cu HiJackThis --> Config ... --> Misc Tools --> Open Process Manager --> Kill object1.exe, object2.exe, svchost32.exe si svhost.exe, daca sunt prezente.

Se fixeaza intrarile din HijackThis, vezi mai sus  (Home Page, Disable Registry, etc.). Fisierele se pot sterge usor in normal mode.

Insa cel mai simplu este sa fii cu update-urile Windows la zi.  

Edited by Daisuke, 04 October 2006 - 11:20.

object2.exe si svchost32.exe sunt identificate acum de Kaspersky ca Worm.Win32.Blasphemer.a

Sunt modificate urmatoarele in Windows Registry:

Quote

Cele de mai sus pot fi fixate cu HiJackThis.

Cele de mai jos trebuie editate manual:

Quote

Edited by Daisuke, 04 October 2006 - 23:58.

Pentru AutoIt / Sohanad vezi aici: http://forum.softped...howtopic=178421
svchost32.exe si svhost.exe nu sunt prezente.

Se pare ca nu aveti antivirusul bun.
Acesta este Avira antivir PE Classic si este gratuit!
Eu il am instalat si a recunoscut virusul ! Din pacate cel de pe site ( www.free-av.com nu isi face update pt ca licenta in Romania a fost cumparata de Extrem PC ! Cautati o versiune mai veche, vers 6, sau intrati cu IP din afara Romaniei si apoi faceti update.
In configurare setati expert mode si apoi la Heuristic bifati Win32 file Heuristic si High Detection Level ( Numai asa da randamentul necesar )
. A recunoscut si ultimul virus aparut sub forma de exploit si nu l-a lasat sa se instaleze : " Deny acces "
L-am recomandat tuturor celor care au avut probleme si de atunci au fost multumiti !

marian26, on Nov 5 2006, 17:44, said:

am o problema......am facut chestia asta din al doilea sistem si a detectat virusi si i-am dat delete la tot ce a gasit.....am intrat din nou in sistem si iar a aparut.......chestia e ca nu pot accesa task manager si nici run

cativa pasi:
1. intrii in command prompt
2 scrii

reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "DisableRegistryTools"

apoi apesi Y
2. scrii

reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "DisableRegistryTools"

si apesi Y
3. scrii

reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\" /v "DisableTaskMgr"

apesi din nou Y
4. scrii

reg add "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www.google.Ro"

5.

reg add "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Window Title" /d ""

6.

taskkill /F /IM host2.exe
taskkill /F /IM svchost32.exe
del %systemroot%\svchost32.exe /f

apoi folosesti un program de genul tuneup utilities (utilitareul one click maintenace) pentru a sterge resturile ramase in registrii (adica cheia pentru startu-up virusului din sectiunea RUn (oricum truneup utilities stie ce are de facut  

eu am dat system restore cu o zi inainte sa-l iau si am rezolvat problema

Sau mai exista o varianta, downloadezi utilitaru Y!M-WRemover de pe http://%5beditat]/Y!M-WRemover1.0b.exe

Practic face acelasi lucru descris mai sus in postarile anterioare + seteaza homepage-ul de la Internet Explorer in "about:blank".
Mie mi-a mers, programu a fost testat si da rezultate, totusi am observat o chestie, la alte variante de virusi dar cu aceiasi modalitate de actionare se baga mai multe executabile pe hd, asa ca prin rularea utilitarului de 3-4 ori curata tot.

Problema e ca oamenii care au proiectat virusul, tot schimba numele executabilului care iti va rula in background. Tot felu de denumiri de la svhost la host, de la host la host2 si tot asa.
Probabil ca utilitarul nu va functiona si pt. virusii noi modificati, dar update-uri cu noi definitii pt. utilitar tot vor aparea.
Programul este inca in dezvoltare si testare.

Succes!


Link editat. Toolul de mai sus stie cel mai bine sa omoare Windows-ul, gaseste "virusi" acolo unde nu sunt, etc.

Edited by Daisuke, 07 November 2006 - 20:54.

un Cleaner il puteti gasii aici:

1. Salvati acest program http://www.shoni.aju....ro/fixworm.exe

2. Inchideti yahoo messenger si ferestrele de Internet Explorer

3. Rulati fixworm.exe

4. Dupa ce termina de scanat dati reboot.