Dezinfectie 'completa' si informatii legate de virus/detectie!

Familia de virusi se transmite in cele mai multe cazuri prin Javascript-uri, dar si prin Removable Storage (stick-uri, card-uri etc.). Creeaza fisierele enumerate mai jos, cateva fiind random (denumite aleatoriu). Oricum, asta nu reprezinta o problema decat in cazul in care dezinfectia se vrea a fi facuta manual.

• C:\WINDOWS\Temp\49d59eaf.tmp (random)
  
• C:\WINDOWS\Temp\~TMC.tmp (random)
  
• C:\WINDOWS\Temp\eee668dfb626c6f367c9aeb3.tmp (random)
  
• C:\WINDOWS\system32\fjhdyfhsn.bat
  
• C:\WINDOWS\system32\drivers\sxcem.sys (random)
  
• C:\Documents and Settings\<USER>\Local Settings\Temp\~DFCFA4.tmp (random)
  
• C:\Documents and Settings\<USER>\Start Menu\Programs\Startup\siszyd32.exe (random)
  
• C:\documents and settings\<USER>\Application Data\fvgqad.dat
  
• C:\documents and settings\<USER>\Application Data\avdrn.dat
  
• C:\Documents and Settings\NetworkService\Application Data\fvgqad.dat
  
• C:\documents and settings\LocalService\Application Data\fvgqad.dat
  
• C:\Documents and Settings\Administrator\Application Data\avdrn.dat

- cele incadrate cu rosu nu au o locatie bine definita in C:\Documents and Settings\


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMC.tmp" (random - ~TMC.tmp/~TMD.tmp...)

Virusul va sterge Internet Explorer din sistem, iar la urmatoarele restart-uri si alte fisiere critice de sistem, facand PC-ul inoperabil.





DEZINFECTIE:


1. Descarcati Panda USB Vaccine, instalati-l si rulati-l, apoi apasati pe Vaccinate Computer si dati restart la PC. Pentru a vaccina stick-urile/card-urile folositi butonul Vaccinate USB (RECOMANDAT).

[ http://i46.tinypic.com/14kh3jo.png - Pentru incarcare in pagina (embed) Click aici ]



2. Pentru a preveni stergerea fisierului iexplore.exe si a altor fisiere din sistem, ceea ce poate rezulta in imposibilitatea utilizarii PC-ului, procedati astfel:

• Deschideti regedit (Start -> Run, scrieti regedit si apasati OK)
  
• Navigati la [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] si cautati cheia ParseAutoexec (in partea dreapta).
  
• Dati click-dreapta pe ea si alegeti Modify
  [ http://www.liutilities.com/products/registrybooster/tweaklibrary/tweaks/10637/p10637_1.png - Pentru incarcare in pagina (embed) Click aici ]
  
• Setati valoarea la 0 si apasati OK.
  [ http://www.liutilities.com/products/registrybooster/tweaklibrary/tweaks/10637/p10637_data.png - Pentru incarcare in pagina (embed) Click aici ]

3. Dezactivati System Restore astfel:

Windows XP === Control Panel -> System -> System Restore - bifati Turn off System Restore on all drives, Apply, OK.

Windows Vista === Control Panel -> System -> System protection (stanga sus) - debifati casutele bifate, Apply, OK.

Windows 7 === Control Panel -> System -> System protection (stanga sus) -> Configure (la partitiile cu Protection - ON) - bifati Turn off system protection, Apply, OK.


4. Descarcati Malwarebytes' Anti-Malware, instalati-l, faceti update la ultima baza de semnaturi, intrati in Safe Mode (F8), scoateti cablul de Internet si scanati full (Perform full scan -> Scan).
La terminarea scanarii apasati OK, apoi Show Results. Asigurati-va ca totul este bifat si apasati Remove Selected.

Intrati in Safe Mode doar pentru scanarea si indepartarea obiectelor infectate cu Malwarebytes'. Restul scanarilor le puteti face pe Normal Mode.


5. Descarcati Kaspersky Virus Removal Tool, instalati-l, scoateti cablul de Internet, opriti protectia real-time a antivirus-ului instalat pe PC si scanati full cu acest utilitar (vezi poza). La terminarea scanarii dezinfectati/stergeti toate fisierele detectate.

[ http://img185.imageshack.us/img185/9923/kavremovaltool.png - Pentru incarcare in pagina (embed) Click aici ]


6. Descarcati ATF Cleaner, executati-l, bifati Select All si apasati Empty selected.

[ http://img85.imageshack.us/img85/333/atf.png - Pentru incarcare in pagina (embed) Click aici ]


7. In cazul in care va lipseste fisierul C:\Program Files\Internet Explorer\iexplore.exe, descarcati-l de mai jos (atentie la versiune - 6/7/8), punandu-l in locatia enuntata.

Pentru eventualele probleme, va rog sa deschideti cate un topic putin mai jos!

Ii rog pe cei care descopera noi variante ale virusului sa mi le trimita pe . Este necesara o verificare periodica ce are ca scop gasirea fisierelor pe care nu exista detectie.


Regards,
JulotM Lab

Edited by JulotM, 08 April 2010 - 19:24.

NEACTUALIZAT

Lista celor la care am trimis specimenele:

• Kaspersky
  
• Avira
  
• Dr. Web
  
• Avast!
  
• AVG
  
• CA
  
• Panda
  
• TrendMicro
  
• BitDefender
  
• Malwarebytes' Anti-Malware (nu suporta script-uri Java sau fisiere batch - *.bat)
  
• F-Prot
  
• McAfee
  
• Comodo
  
• Microsoft
  
• ESET
  
• F-Secure
  
• Norman
  
• PC Tools
  
• Sophos
  
• Symantec (Norton)
  
• G Data
  
• a-squared

Cei incadrati cu rosu au detectie pentru toate acele script-uri, iar cei cu albastru doar pentru script-ul principal sau script-urile secundare. Daca doriti ca fisierele sa fie trimise si la alte companii mai mici, va rog sa-mi trimiteti pe PM adresa/adresele si numele respectivei/respectivelor companii.

Edited by JulotM, 08 April 2010 - 19:23.