REMOVAL pentru virusul "Thanatos" de Y Messenger
#1
Posted 17 September 2006 - 14:57
Salut
1. Se inchid toate ferestrele si aplicatiile deschise. 2. Download la Killbox, se extrage si se ruleaza Killbox.exe 3. In partea de jos a programului, in lista de procese, se cauta: SVCHOST32.exe (Atentie! NU svchost.exe care este un proces legitim) si se apasa End Task ( triunghiul galben cu un ! in mijloc) Apoi in campul Full Path of File to Delete se scrie C:\Windows\svchost32.exe (asta in cazul in care Sistemul de operare este instalat pe partitia C, daca e in alta parte schimbati litera C cu cea corespunzatoare) si se apasa Delete (butonul rosu cu un X in centru) Daca primiti mesajul File Was Deleted totul e OK, daca nu alegeti optiune Delete on Reboot si repetati procesul, iar la afisare mesajului Restart your computer now ? alegeti NO 4. Download la HijackThis si se salveaza intr-un director al lui, spre exemplu C:\hjt. 5. Se deschide HijackThis.exe si se apasa Do a system scan only 6. Din lista care va aparea in urma scanarii se marcheaza urmatoarele 3 linii: O4 - HKLM\..\Run: [Task Manager] C:\WINDOWS\svchost32.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 daca nu sunt prezente toate 3 se marcheaza numai cele gasite. 7. Se inchid toate ferestrele si aplicatiile ramase deschise in afara de HijackThis si se apasa butonul Fix Checked. 8. Download la arhiva regfix.zip 416bytes 11439 downloads 9. Se extrage fisierul regfix.reg, se deschide si se apasa YES si apoi OK 10. Se da restart la calculator. * Daca sunteti utilizator XP pasii 2 si 3 se pot inlocui cu urmatoarele comenzi scrise in Start >> Run a. cmd /c taskkill /f /im svchost32.exe /t b. cmd /c del C:\Windows\svchost32.exe (asta in cazul in care Sistemul de operare este instalat pe partitia C, daca e in alta parte schimbati litera C cu cea corespunzatoare) Edited by spxjt, 17 September 2006 - 14:58. |
#2
Posted 19 September 2006 - 11:10
spxjt, on Sep 17 2006, 15:57, said: Salut 1. Se inchid toate ferestrele si aplicatiile deschise. 2. Download la Killbox, se extrage si se ruleaza Killbox.exe 3. In partea de jos a programului, in lista de procese, se cauta: SVCHOST32.exe (Atentie! NU svchost.exe care este un proces legitim) si se apasa End Task ( triunghiul galben cu un ! in mijloc) Apoi in campul Full Path of File to Delete se scrie C:\Windows\svchost32.exe (asta in cazul in care Sistemul de operare este instalat pe partitia C, daca e in alta parte schimbati litera C cu cea corespunzatoare) si se apasa Delete (butonul rosu cu un X in centru) Daca primiti mesajul File Was Deleted totul e OK, daca nu alegeti optiune Delete on Reboot si repetati procesul, iar la afisare mesajului Restart your computer now ? alegeti NO 4. Download la HijackThis si se salveaza intr-un director al lui, spre exemplu C:\hjt. 5. Se deschide HijackThis.exe si se apasa Do a system scan only 6. Din lista care va aparea in urma scanarii se marcheaza urmatoarele 3 linii: O4 - HKLM\..\Run: [Task Manager] C:\WINDOWS\svchost32.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 daca nu sunt prezente toate 3 se marcheaza numai cele gasite. 7. Se inchid toate ferestrele si aplicatiile ramase deschise in afara de HijackThis si se apasa butonul Fix Checked. 8. Download la arhiva attachment 9. Se extrage fisierul regfix.reg, se deschide si se apasa YES si apoi OK 10. Se da restart la calculator. * Daca sunteti utilizator XP pasii 2 si 3 se pot inlocui cu urmatoarele comenzi scrise in Start >> Run a. cmd /c taskkill /f /im svchost32.exe /t b. cmd /c del C:\Windows\svchost32.exe (asta in cazul in care Sistemul de operare este instalat pe partitia C, daca e in alta parte schimbati litera C cu cea corespunzatoare) Asta nu ? HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.geocities...hanatos[editat] Edit: editat link Edited by Daisuke, 19 September 2006 - 19:21. |
#3
Posted 19 September 2006 - 12:44
da!
sterge linku ala pana nu intra altii din curiozitate si se viruseaza!!! Edited by dan33, 19 September 2006 - 12:47. |
#4
Posted 19 September 2006 - 13:50
si inca ceva, ca sa fiti siguri ca ati scapat de tot
din %temp% trebuie sters svchost32.exe din temporary internet files trebuie cautate si shterse host*.* (apar si exe si jpg/png) Edited by aha, 19 September 2006 - 13:52. |
#8
Posted 29 September 2006 - 11:02
spxjt, on Sep 17 2006, 15:57, said: Salut 1. Se inchid toate ferestrele si aplicatiile deschise. 2. Download la Killbox, se extrage si se ruleaza Killbox.exe 3. In partea de jos a programului, in lista de procese, se cauta: SVCHOST32.exe (Atentie! NU svchost.exe care este un proces legitim) si se apasa End Task ( triunghiul galben cu un ! in mijloc) Apoi in campul Full Path of File to Delete se scrie C:\Windows\svchost32.exe (asta in cazul in care Sistemul de operare este instalat pe partitia C, daca e in alta parte schimbati litera C cu cea corespunzatoare) si se apasa Delete (butonul rosu cu un X in centru) Daca primiti mesajul File Was Deleted totul e OK, daca nu alegeti optiune Delete on Reboot si repetati procesul, iar la afisare mesajului Restart your computer now ? alegeti NO 4. Download la HijackThis si se salveaza intr-un director al lui, spre exemplu C:\hjt. 5. Se deschide HijackThis.exe si se apasa Do a system scan only 6. Din lista care va aparea in urma scanarii se marcheaza urmatoarele 3 linii: O4 - HKLM\..\Run: [Task Manager] C:\WINDOWS\svchost32.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 daca nu sunt prezente toate 3 se marcheaza numai cele gasite. 7. Se inchid toate ferestrele si aplicatiile ramase deschise in afara de HijackThis si se apasa butonul Fix Checked. 8. Download la arhiva attachment 9. Se extrage fisierul regfix.reg, se deschide si se apasa YES si apoi OK 10. Se da restart la calculator. * Daca sunteti utilizator XP pasii 2 si 3 se pot inlocui cu urmatoarele comenzi scrise in Start >> Run a. cmd /c taskkill /f /im svchost32.exe /t b. cmd /c del C:\Windows\svchost32.exe (asta in cazul in care Sistemul de operare este instalat pe partitia C, daca e in alta parte schimbati litera C cu cea corespunzatoare) Eu am găsit fișierele cu numele svhost.exe și Svhost32.exe în c:\windows, c:\windows\temp, și în Temporary Internet Files, în cazul acesta, soluțiile: a. cmd /c taskkill /f /im svchost32.exe /t a. cmd /c taskkill /f /im svhost.exe /t Plecând de la prezumpția că celelalte puncte au avut efectul scontat, comenzile de la punctul b. pot fi înlocuite cu ștergerea manuală a fișierelor din Explorer cât și ștergerea tuturor fișierelor din c:\windows\temp; C:\Documents and Settings\Default User\Local Settings\Temp; C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files cosdeics Edited by CrankY, 29 September 2006 - 11:03. |
#9
Posted 03 October 2006 - 14:52
Am luat si eu virusul de pe adresa:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://[editat].goog....com/index.html Aceleasi sintome ca pentru Thanatos, am incercat sa sterg cu Hijack This si apoi sa reincarc registrii afectati. Merge bine, doar ca de cate ori restartez calculatorul, se reactiveaza svchost32.exe O4 - HKLM\..\Run: [Task Manager] C:\WINDOWS\svchost32.exe Imi strica din nou browserul, registrii, si YM. Ce trebuie sa fac in plus ca sa scap definitiv de el?!? (exceptand reinstalarea Windows) Link editat Edited by Daisuke, 03 October 2006 - 19:15. |
#10
Posted 04 October 2006 - 11:18
Am observat ca putini AV (3 - 4) abia reusesc sa identifice toate fisierele euristic. Nici unul din AV-ii foarte cunoscuti nu le pot identifica pe toate. Kaspersky 0, Bitdefender 0, etc.
Sunt 4 fisiere care se instaleaza: object1.exe (in browser cache) object2.exe (in browser cache) svchost32.exe (C:\WINDOWS\svchost32.exe) svhost.exe (C:\WINDOWS\svhost.exe) Procesele pot fi oprite cu HiJackThis --> Config ... --> Misc Tools --> Open Process Manager --> Kill object1.exe, object2.exe, svchost32.exe si svhost.exe, daca sunt prezente. Se fixeaza intrarile din HijackThis, vezi mai sus (Home Page, Disable Registry, etc.). Fisierele se pot sterge usor in normal mode. Insa cel mai simplu este sa fii cu update-urile Windows la zi. Edited by Daisuke, 04 October 2006 - 11:20. |
|
#11
Posted 04 October 2006 - 23:31
object2.exe si svchost32.exe sunt identificate acum de Kaspersky ca Worm.Win32.Blasphemer.a
Sunt modificate urmatoarele in Windows Registry: Quote HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel "Homepage" = [REG_DWORD, value: 00000001] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = [REG_DWORD, value: 00000001] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableRegistryTools" = [REG_DWORD, value: 00000001] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main "Start Page" = http://[editat] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Task Manager" = C:\WINDOWS\svchost32.exe HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "SVCHOST" = C:\WINDOWS\svhost.exe Cele de mai sus pot fi fixate cu HiJackThis. Cele de mai jos trebuie editate manual: Quote HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_buzz "content url" = http://[editat] HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast "content url" = http://[editat] Edited by Daisuke, 04 October 2006 - 23:58. |
#12
Posted 05 November 2006 - 03:43
Pentru AutoIt / Sohanad vezi aici: http://forum.softped...howtopic=178421
svchost32.exe si svhost.exe nu sunt prezente. |
#13
Posted 05 November 2006 - 17:44
Se pare ca nu aveti antivirusul bun.
Acesta este Avira antivir PE Classic si este gratuit! Eu il am instalat si a recunoscut virusul ! Din pacate cel de pe site ( www.free-av.com nu isi face update pt ca licenta in Romania a fost cumparata de Extrem PC ! Cautati o versiune mai veche, vers 6, sau intrati cu IP din afara Romaniei si apoi faceti update. In configurare setati expert mode si apoi la Heuristic bifati Win32 file Heuristic si High Detection Level ( Numai asa da randamentul necesar ) . A recunoscut si ultimul virus aparut sub forma de exploit si nu l-a lasat sa se instaleze : " Deny acces " L-am recomandat tuturor celor care au avut probleme si de atunci au fost multumiti ! |
#14
Posted 06 November 2006 - 11:29
marian26, on Nov 5 2006, 17:44, said: Se pare ca nu aveti antivirusul bun. Acesta este Avira antivir PE Classic si este gratuit! Eu il am instalat si a recunoscut virusul ! Din pacate cel de pe site ( www.free-av.com nu isi face update pt ca licenta in Romania a fost cumparata de Extrem PC ! Cautati o versiune mai veche, vers 6, sau intrati cu IP din afara Romaniei si apoi faceti update. In configurare setati expert mode si apoi la Heuristic bifati Win32 file Heuristic si High Detection Level ( Numai asa da randamentul necesar ) . A recunoscut si ultimul virus aparut sub forma de exploit si nu l-a lasat sa se instaleze : " Deny acces " L-am recomandat tuturor celor care au avut probleme si de atunci au fost multumiti ! am o problema......am facut chestia asta din al doilea sistem si a detectat virusi si i-am dat delete la tot ce a gasit.....am intrat din nou in sistem si iar a aparut.......chestia e ca nu pot accesa task manager si nici run |
#15
Posted 06 November 2006 - 11:38
cativa pasi:
1. intrii in command prompt 2 scrii reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "DisableRegistryTools"apoi apesi Y 2. scrii reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "DisableRegistryTools"si apesi Y 3. scrii reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\" /v "DisableTaskMgr"apesi din nou Y 4. scrii reg add "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www.google.Ro"5. reg add "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Window Title" /d ""6. taskkill /F /IM host2.exe taskkill /F /IM svchost32.exe del %systemroot%\svchost32.exe /fapoi folosesti un program de genul tuneup utilities (utilitareul one click maintenace) pentru a sterge resturile ramase in registrii (adica cheia pentru startu-up virusului din sectiunea RUn (oricum truneup utilities stie ce are de facut |
|
#16
Posted 06 November 2006 - 12:10
eu am dat system restore cu o zi inainte sa-l iau si am rezolvat problema
|
#17
Posted 07 November 2006 - 18:29
Sau mai exista o varianta, downloadezi utilitaru Y!M-WRemover de pe http://%5beditat]/Y!M-WRemover1.0b.exe
Practic face acelasi lucru descris mai sus in postarile anterioare + seteaza homepage-ul de la Internet Explorer in "about:blank". Mie mi-a mers, programu a fost testat si da rezultate, totusi am observat o chestie, la alte variante de virusi dar cu aceiasi modalitate de actionare se baga mai multe executabile pe hd, asa ca prin rularea utilitarului de 3-4 ori curata tot. Problema e ca oamenii care au proiectat virusul, tot schimba numele executabilului care iti va rula in background. Tot felu de denumiri de la svhost la host, de la host la host2 si tot asa. Probabil ca utilitarul nu va functiona si pt. virusii noi modificati, dar update-uri cu noi definitii pt. utilitar tot vor aparea. Programul este inca in dezvoltare si testare. Succes! Link editat. Toolul de mai sus stie cel mai bine sa omoare Windows-ul, gaseste "virusi" acolo unde nu sunt, etc. Edited by Daisuke, 07 November 2006 - 20:54. |
#18
Posted 29 November 2006 - 07:23
un Cleaner il puteti gasii aici:
1. Salvati acest program http://www.shoni.aju....ro/fixworm.exe 2. Inchideti yahoo messenger si ferestrele de Internet Explorer 3. Rulati fixworm.exe 4. Dupa ce termina de scanat dati reboot. |
Anunturi
▶ 0 user(s) are reading this topic
0 members, 0 guests, 0 anonymous users