Chirurgia spinală minim invazivă
Chirurgia spinală minim invazivă oferă pacienților oportunitatea unui tratament eficient, permițându-le o recuperare ultra rapidă și nu în ultimul rând minimizând leziunile induse chirurgical. Echipa noastră utilizează un spectru larg de tehnici minim invazive, din care enumerăm câteva: endoscopia cu variantele ei (transnazală, transtoracică, transmusculară, etc), microscopul operator, abordurile trans tubulare și nu în ultimul rând infiltrațiile la toate nivelurile coloanei vertebrale. www.neurohope.ro |
Worm.IM.Luk.A / Worm.IM.Sohanat.B
Last Updated: Oct 25 2008 17:39, Started by
Daisuke
, Mar 22 2007 01:17
·
0
#1
Posted 22 March 2007 - 01:17
Viermele este recunoscut de Bitdefender (alte AV nu am incercat). Versiunea free 8 nu a reusit sa-l elimine. Nu am incercat cu v.10.
Fisiere: pe langa cele cunoscute am mai gasit si altele ingenios ascunse sau facute sa apara ca un folder. Antivirusul nu poate repara si stricaciunile (tskmgr, folder options, etc.). Preventie: pentru a se instala viermele se foloseste de 2 (poate si mai multe) vulnerabilitati pentru care exista patch. Instalati patch-urile si/sau faceti update la Windows. 1. Vulnerability in the Microsoft Data Access Components (MDAC) Function Could Allow Code Execution (911562) 2. Cumulative Security Update for Internet Explorer (912812) sau Internet Explorer 7 + patchurile lui (acelasi link de la pct. 2) Edited by Daisuke, 24 March 2007 - 00:53. |
#2
Posted 24 March 2007 - 00:47
Bitdefender: Win32.Worm.IM.Luk.A, Worm.IM.Sohanat.B
Dupa vizitarea unei anumite pagini se instaleaza urmatoarele fisiere: c:\New Folder.exe c:\Documents and Settings\All Users\Start Menu\Programs\Startup\MSconfig.exe c:\WINDOWS\lsass.exe c:\WINDOWS\system\lsass.exe c:\WINDOWS\system\svchost.exe c:\WINDOWS\system\svchost32.exe Viermele modifica Windows Registry si ascunde extensiile fisierelor. New Folder.exe si MSconfig.exe par a fi foldere. newfolder.jpg 20.93K 445 downloads In Windows Explorer dispare comanda Folder Options ... din meniul Tools. In meniul Start dispare comanda Run .... Regedit este disabled si Windows Registry nu poate fi editat. Task manager nu poate fi pornit. Homepage este schimbat. In Yahoo Messenger sunt adaugate 2 setari. Viermele se propaga trimitand un instant message la toate persoanele din lista. Daca cineva face click pe link ajunge la pagina respectiva si se infecteaza. Ca sa se instaleze viermele se foloseste de 2 vulnerabilitati in Windows (vezi primul post). Pentru ambele vulnerabilitati exista patch-uri !! In logul HiJackThis apar urmatoarele: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://[editat]news.info/ F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system\lsass.exe F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system\lsass.exe O4 - HKLM\..\Run: [Task Manager] C:\WINDOWS\system\svchost.exe O4 - HKLM\..\Run: [Yahoo Messenger] C:\WINDOWS\system\svchost32.exe O4 - Global Startup: MSconfig.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 Solutie: Printeaza sau copiaza cele de mai jos pentru ca Internet Explorer trebuie sa ramana inchis pana fixezi HomePage in browser. Download ATF Cleaner http://www.atribune..../click.php?id=1 si salveaza-l pe desktop. Nu-l folosi inca. Download Repara.zip si extrage Repara.inf pe desktop. Nu-l folosi inca. Repara.zip 584bytes 1233 downloads Download Killbox by Option^Explicit: http://www.softpedia...t-Killbox.shtml Extrage programul pe desktop si fa dublu-click pe Killbox.exe pentru a porni programul. In Killbox selecteaza optiunea Delete on Reboot si apasa butonul All Files. Copiaza linile de mai jos selectandu-le si apasand dupa aia Control+C: c:\New Folder.exe c:\Documents and Settings\All Users\Start Menu\Programs\Startup\MSconfig.exe c:\WINDOWS\lsass.exe c:\WINDOWS\system\lsass.exe c:\WINDOWS\system\svchost.exe c:\WINDOWS\system\svchost32.exe In Killbox, mergi la meniul File si selecteaza Paste from Clipboard. Click pe butonul rosu cu alb Delete File. Click Yes cand te intreaba sa Reboot. Computerul o sa reporneasca. Vei primi un mesaj de eroare dupa reboot. Click OK ca sa dispara. Cu HijackThis fixeaza intrarile: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://[editat]news.info/ F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system\lsass.exe F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system\lsass.exe O4 - HKLM\..\Run: [Task Manager] C:\WINDOWS\system\svchost.exe O4 - HKLM\..\Run: [Yahoo Messenger] C:\WINDOWS\system\svchost32.exe O4 - Global Startup: MSconfig.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 Goleste temp si Temporary Internet Files. Dublu-click ATF-Cleaner.exe pentru a porni programul. In tab-ul Main alege: Select All Apasa butonul Empty Selected. Click dreapta pe repara.inf si click Install. REBOOT. Nu strica sa faci un scan on-line si un update la Windows. Daca ai probleme deschide un topic nou si posteaza un log HijackThis. Repara.inf sterge urmatoarele (mai multe decat modifica viermele): Daca vrei sa stergi doar modificarile facute de vierme lasa-le doar pe cele rosii. (de exemplu daca ai setat tu unele din restrictiile de mai jos) HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,DisableLocalMachineRun HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,DisableLocalMachineRunOnce HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,DisableCurrentUserRun HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,DisableCurrentUserRunOnce HKLM, Software\Microsoft\Windows\CurrentVersion\Internet Settings,GlobalUserOffline HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr HKLM, Software\Policies\Microsoft\Internet Explorer\Control Panel,Homepage HKLM, Software\Policies\Microsoft\Internet Explorer\Restrictions,NoBrowserOptions HKLM, Software\Policies\Microsoft\Internet Explorer\Restrictions,NoBrowserClose HKLM, Software\Policies\Microsoft\Internet Explorer\Restrictions,NoBrowserContextMenu HKLM, Software\Policies\Microsoft\Internet Explorer\Restrictions,NoNavButtons HKLM, Software\Policies\Microsoft\Internet Explorer\Restrictions,NoSelectDownloadDir HKLM, Software\Policies\Microsoft\Windows NT\SystemRestore,DisableConfig HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,DisableLocalMachineRun HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,DisableLocalMachineRunOnce HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,DisableCurrentUserRun HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,DisableCurrentUserRunOnce HKCU, Software\Microsoft\Windows\CurrentVersion\Internet Settings,GlobalUserOffline HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr HKCU, Software\Policies\Microsoft\Internet Explorer\Control Panel,Homepage HKCU, Software\Policies\Microsoft\Internet Explorer\Restrictions,NoBrowserOptions HKCU, Software\Policies\Microsoft\Internet Explorer\Restrictions,NoBrowserClose HKCU, Software\Policies\Microsoft\Internet Explorer\Restrictions,NoBrowserContextMenu HKCU, Software\Policies\Microsoft\Internet Explorer\Restrictions,NoNavButtons HKCU, Software\Policies\Microsoft\Internet Explorer\Restrictions,NoSelectDownloadDir HKCU, Software\Policies\Microsoft\Windows NT\SystemRestore,DisableConfig HKCU, Software\Yahoo\pager\View\YMSGR_buzz,content url HKCU, Software\Yahoo\pager\View\YMSGR_Launchcast,content url Edited by Daisuke, 24 March 2007 - 00:50. |
#3
Posted 24 March 2007 - 00:59
Quote Dupa vizitarea unei anumite pagini se instaleaza urmatoarele fisiere: c:\New Folder.exe Un detaliu ce ar trebui adaugat: In root-ul fiecarei partitii, nu numai C:\ Poti sterge acest post. |
#5
Posted 02 April 2007 - 16:29
sal...
sunt fata si probabil de aia nu am reusit sa scap de virus singura! oricum am incercat datorita indrumarilor voastre! ms! |
#8
Posted 03 May 2007 - 10:56
cand vreau sa rulez killbox imi apare eroarea asta:
"component mscomtcl.ocx or one of its dependencies not correctly registered: a file is missing or invalid" Edited by user200, 03 May 2007 - 10:58. |
#9
Posted 03 May 2007 - 22:00
Download fisierul de aici: http://www.ascentive...ib/MSCOMCTL.OCX
Instructiuni aici: http://www.ascentive...me=MSCOMCTL.OCX |
#10
Posted 04 June 2007 - 20:37
am intampinat si eu o mica problema. Poate pare stupid dar zic ca vreau sa scap de acest virus. In killbox cand dau paste from clipboard nu imi apare nik , niciun path, si nu am uitat sa copiez alea ( sa dau copy). Care este solutia?
|
|
#12
Posted 05 June 2007 - 06:14
Daisuke, on Jun 4 2007, 22:43, said: Folosesti comanda Paste from clipboard din Killbox ? ms p.s.: si la user nu apre nimik pt ca mi-am sters eu numele Attached FilesEdited by fanmamaie, 05 June 2007 - 06:16. |
#13
Posted 05 June 2007 - 06:19
asha si ca sa inchei messengerul nu mi l-a afectat ca stiu ca trebuia sa imi afecteze si messengerul si la internet options, nu mai pot sa dau blank page dar e ramas blank page, in rest mi se intamplat exact ceea ce si face aceasta rama nu imi merge task manager si nu am la tools options si la start imi dispare run; dar daca fac alt user acount merge task manager ... dar la fel options de la tools nu....
Edited by fanmamaie, 05 June 2007 - 06:20. |
#14
Posted 05 June 2007 - 06:53
Daca fisierele exista le poti sterge manual in safe mode. Nu ai nevoie de Killbox.
Edited by Daisuke, 05 June 2007 - 06:58. |
#15
Posted 12 July 2007 - 05:28
Help me guys cant understand your language i HIT W32.Worm.IM.LUK.A
i tried the cleaner and repara dunno if its work but i always got this error when starts something like this "cannot be found Isass.exe " i dont know how to remove this pls help Pls use English Thanks in Advance |
|
#16
Posted 03 August 2007 - 16:16
BLUE_ICE, on Jul 12 2007, 06:28, said: Help me guys cant understand your language i HIT W32.Worm.IM.LUK.A i tried the cleaner and repara dunno if its work but i always got this error when starts something like this "cannot be found Isass.exe " i dont know how to remove this pls help Pls use English Thanks in Advance hey men! look here:useing HiJackThis fix this line: O4 - HKLM\..\Run: [exista o denumire aici] C:\WINDOWS\system\lsass.exe |
#17
Posted 16 August 2007 - 15:10
Daisuke, esti maret. Nu stiu daca preiei de altundeva informatiile si procedurile astea, dar e meritul tau oricum din moment ce ne faci viata mai usoara. Am reusit si eu sa repar un laptop infectat cu virusachele asta, insa scula merge foarte greu de cand a luat virusul. Chiar si dupa indepartarea sa. Ce e de facut? Am \Win Xp Home licentiat cu toate update-urile la zi si IE 7 updatat.
Avem la birou o retea de peste 10 calculatoare, dintre care inca doua sunt infectate cu acelasi nesuferit de verme. Am sa incep sa le repar si pe alea de indata. Crezi ca ar mai trebui sa fac ceva ca sa ma asigur ca nu mai apare si pe altele. E reteaua un risc in plus? E retea wireless si hard mixata. Ce solutii ar trebui sa utilizez pentru a nu mai avea problemele astea? Free sau cu plata. Danke schon |
#18
Posted 10 January 2008 - 11:58
Multumesc autorului pt. instructiunile de recovery !
La mine a facut ceva in plus, are prostul obicei sa stearga Firefox.exe daca il gaseste. Pune new folder.exe in fiecare drive accesat. Daca nu accesezi o anumita partitie cat esti infectat nu pune exe-ul mentionat in radacina. Ca o adaugare eu am folosit process explorer ca sa omor procesul lsass.exe al virusului. Cand i-am omorat procesul mi-a dat mesajul ca se inchide windows-ul intr-un minut. Ca sa anulezi acel shutdown se porneste o consola (c:\windows\cmd.exe) si se tasteaza comanda "shutdown -a" fara ghilimele desigur . Ca idee eu m-am captusit cu el de la altcineva care era infectat. Am folosit un ipod pe post de hdd portabil ca sa copiez niste filme de la respectivul iar cand am ajuns acasa si am accesat ipod-ul in windows (nu te infectezi daca folosesti itunes) m-am infectat. Atentie ca recunoaste ipod-uri si creeaza fisiere executabile care arata ca niste foldere tipice pt. ipod (gen: Contacts.exe, Calendars.exe) fisierul autorun.inf responsabil cu realizarea infectiei era pus ca hidden, ideea e ca atunci cand ai dat dublu-click si ai vazut fisierul respectiv, care in mod normal nu are ce cauta pe ipod, deja e prea tarziu. |
Anunturi
▶ 0 user(s) are reading this topic
0 members, 0 guests, 0 anonymous users