IM-Worm.Win32.Sohanad.O

Preventie:

1. Nu faceti click pe linkuri in Yahoo Messenger / MSN Messenger, etc., indiferent de la cine vin.
2. Tineti Windows up-to-date.
3. Faceti des, cat mai des, update la AntiVirus.

=============================================

IM-Worm.Win32.Sohanad.o (Kaspersky)

Detalii:
Sterge regedit.exe si se copiaza in locul sau.
Regedit nu trebuie folosit pentru a edita Windows Registry pana nu este inlocuit cu fisierul legitim.

Creaza doua fisiere a caror nume este format cu litere la intamplare:
unul in directorul system32
De exemplu: C:\WINDOWS\System32\zozmifhh.exe

si altul in directorul
C:\Documents and Settings\All Users\Application Data\App\
De exemplu C:\Documents and Settings\All Users\Application Data\App\ximwoqnm.exe

Scrie in Windows Registry:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winValidate

=============================================

Daca ai probleme cu eliminarea fisierelor:

Download: find.zip si extrage continutul pe desktop.

Click find.bat . Se va deschide Notepad cu un log. Copiaza logul si posteaza-l impreuna cu un log HiJackThis intr-un topic al tau.

Pentru a posta un log HijackThis:
Download HijackThis! 1.99.1 de aici:
http://www.softpedia...ijackThis.shtml

Extrage hijackthis.exe intr-un folder al lui, de exemplu c:\hjt, executa HijackThis.exe, bifeaza Don't show this frame again when I startup HijackThis.

Apasa primul buton de sus Do a system scan and save a logfile. Copiaza logul din Notepad si posteaza-l in topicul nou deschis.


Va rog nu postati in acest topic loguri. Discutiile si intrebarile sunt bine venite.

Find.bat: Versiunea 0.5.1, 06.11.2006, 23:01, pentru Windows XP

Edited by Daisuke, 22 November 2006 - 21:41.

Iar pt romanii care primesc mesajul de la romani ,vedeti daca e scris mesajul de langa link in alta limba decat romana si veti sti ca linkul atasat mesajului e virusat.

Asta am si eu, acum vad ca nu imi mai trimite mess aiurea linkuri insa imi tot gaseste kaspersky virusul in calc. I-am dat rebot in safe mode si scan si a sters toate fisierele infectate.
O intrebare: daca am sters regedit.exe si mi-a dat un mesaj ca trb sa introduc cd cu win(pe care il aveam imprumutat ) si i-am dat cancel pe moment, ce fac acum ca nu mai gasesc fisierul sa inteleg ca l-a sters sau l-a inlocuit cu altceva ????

Multumesc mult,

Regedit.exe poate fi reinstala cu CD-ul Windows.

Start --> Run, tasteaza sfc /scannow in Open box si click OK
Atentie ! Exista un spatiu intre sfc si /.

Iti va cere sa introduci CD-ul Windows in CD-ROM drive ca sa puna la loc fisierul sters.

Edited by Daisuke, 05 November 2006 - 17:56.

nu pot deschide regedit.acolo tre sa ajung nu?PT windows regitry.imi cer scuze daca sunt pisaloaga dar nu m-am intalnit cu asa ceva pana acum si incerc sa scot prostia asta din calc.multumesc

Daca ai CD original il gasesti in folderul I386. Il copiezi pur si simplu de acolo in C:\Windows si C:\Windows\system32\dllcache\

nu am cd original,pt ca aici nu ti-l dau ..tot ce am sunt cduri pt backup.ma ajuta??sau tre sa reinstalez winul?multumesc

Vorbim degeaba aici. Ti-am deschis un topic aici: http://forum.softped...p;#entry2068387

Si iti spusesem sa postezi un log. Daca postezi logul ala (acolo, nu aici) o sa te pot ajuta pentru ca imi da informatii de care am nevoie.

O recapitulare

Simplu
Eliminarea se face usor in safe mode cu Kaspersky AV sau cu orice alt AV care poate detecta viermele.

Azi la ora 22 urmatorii AV il puteau detecta si elimina:
Kaspersky
AntiVir
Fortinet
NOD32
Panda

Pentru cei care se descurca singuri:
Fisierele pot fi usor gasite cu find.bat (vezi mai sus) si pot fi sterse toate in safe mode. (How to Start Windows in Safe Mode:
- executabil cu nume format din 8 litere la intamplare
- marime 182 KB (187.222)
- regedit.exe daca are marimea 182 KB e viermele (in folderul C:\Windows si / sau in C:\WINDOWS\system32\dllcache\ )
- regedit.exe original poate fi copiat de pe CD-ul Windows (folderul I386) in cele doua foldere de mai sus

Pentru cei care nu se descurca sau nu au un AV care sa-l elimine
Vezi instructiuni in primul post.

Update la Windows este recomandat. Viermele se foloseste de o vulnerabilitate cunoscuta pentru care exista patch.

E foarte probabil sa apara destul de repede o noua varianta pe care Av-ii sa nu o mai depisteze. Asta de acum, cu toate ca e foarte agresiva, e usor de eliminat si stricaciunile sunt usor de reparat.

Nexus11 said:

Edited by Daisuke, 06 November 2006 - 23:10.

Daisuke, on Nov 6 2006, 22:50, said:

De ce nu ai adaugat si partea mea ca e adevarata.Macar pentru unii dintre utilizatori.Asta asa la protectii pe viitor

Edited by Nexus11, 06 November 2006 - 23:01.

Sorry Nexus11. Am reparat greseala.

La lista antivirusilor de ieri se mai adauga azi Sophos.
Troj/Bckdr-PNO: http://www.sophos.co...ojbckdrpno.html

In mod curios Bitdefender nu-l recunoaste. Somn usor Softwin .

[later]
OMG, mi-a luat ceva timp sa descopar cum se trimit virusi la bitdefender. De unde sa-mi dea prin cap ca pe romaneste actiunea asta se cheama "Inscrieri de virusi" si ca trebuie sa caut la "Date de contact".

Et voilà, sper ca am reusit sa inscriu un virus din carantina. Noroc ca mi-a dat prin cap sa fac click dreapta ca sa dau de meniul cu "Add".

[\later]

Edited by Daisuke, 08 November 2006 - 00:16.

BD detecteaza de azi dimineata viermele.

Ajutati ma si pe mine pls...am lasat pe cineva la comp sa stea pe mess si m-am trezit cu viermele asta  SOHANAD.NAF ...Cred ca este o versiune mai noua decat sohanad.o pt ca am incercat  2 chestii din topic : am intrat in safe si am scanat cu nod32 si nu mi a gasit nimic ... si am inercat sa copii regedit. de pe cd cu windows  dar nu mai am "run" in start (nu merge nici ctrl+alt+delete)  .....cand deschid intenet explorer ma directeaza spre un site si antivirusul imi gaseste virusu dar nu poate decat sa l mute in carantina .......NU MAI STIU CE SA INCERC PLS HELP !!!!!!!!!!!

posteaza un log hijackthis! detalii : http://forum.softped...howtopic=350515 .

LE am gasit solutie pentru task manager : http://www.askvg.com...2003-and-vista/
vezi punctul 14 numai ca pui valoarea 0 in loc de 1 .

Edited by RaZooR, 05 April 2008 - 15:56.

Scuza-ma RaZooR dar omu' a avut problema acum 1 an , probabil a scapat de ea..