Virus Asmiranda, Mona etc.

Salut. De cateva zile am luat un virus. Folosesc Nod32 ca antivirus iar acesta nu face nici o miscare. O sa va dau cateva detalii despre el.

- Creaza 2 fisiere unul pe desktop iar celalalt in partitia C:\ si anume Asmiranda.ink si Mona.htm (la stergere acestea revin la loc dupa cateva secunde).
- La click dreapta pe Recycle Bin sau pe o partitie, sub Open apare AlienMars.
- In StartUp o intalnesti si pe Agnes-Monica
- Nu se poate intra in partitie numai cu click dreapta Open/Explore.

Am cautat pe net despre el si am gasit o adresa si anume old.rizkhey.net. Nu prea inteleg nici cu google translate depre ce este vorba. Daca ma puteti ajuta cu un mic "tutorial" cum sa scap de ei v-as fi recunoscator.  Din ce am vazut pe siteul respectiv nu trebuie un antivirus. Multumesc!


Edit: Am uitat sa amintesc ca mi-am reinstalat Windows-ul, virusul cred este ascuns si prin partitia cealalta pentru ca dupa reinstalare si-a si facut aparitia.

Edited by nebunie, 30 June 2009 - 21:13.

Alege versiunea gratuita de la Avira antivirus. Si nu mai folosi keygen-uri, etc...

Descarci Malwarebytes', scanezi full, dai remove la infectii, postezi logul aici, restart.

Quote

Pentru asta poti folosi acest utilitar.(este curat, chiar daca este vazut ca virus)

Scuze pentru dublu post.

Edited by JulotM, 30 June 2009 - 22:37.

JulotM,
- am descarcat Malwarebytes' Anti-Malware pe langa ca am stat 15 minute nu a gasit nici un virus. Am atasat log-il.
- Small.CHA_Removal_original nu a reusit sa faca nimic. Dar nu cred ca este vina lui. Cand accesez o partitie cu click stanga imi creaza automat fisierele Mona si Asmiranda de care va vorbeam mai sus. Virusul cred ca face asta.

       Daca te-ai uita la adresa care am scris-o mai sus poate ti-ai da seama ca este un virus ciudat. Mai degraba este un porgram ca si cel de Yahoo Messenger care trimite mesaje in masa aiurea. Multumesc oricum.
Acum ascult sfatul lui floghy si instalez al 4-lea antivirus pe ziua de azi. Adica Avira antivirus.

EDIT: floghy, am instalat antivirusul si mi-a gasit virus fisierul D:\WINDOWS\ctfmon.exe.vbs dar nu pot sa il sterg. Vreo solutie pentru asta? Contains recognition pattern of the VBS/Agent.15490 VBS script virus. El este nenorocitul.

Edited by nebunie, 30 June 2009 - 23:40.

Merge pus in carantina? Incearca sa scanezi in Safe Mode, tot cu Avira.

Daca il pun in carantina continua sa imi apara mesaj cu virus. JulotM, poti sa imi pasi un id de YM! daca crezi ca ma poti ajuta.

Incearca cu un antivirus multimotor G Data. Iti recomand sa il instalezi pe un alt calculator si sa creezi un CD bootabil cu  ultima actualizare, bootezi de pe el si vezi ce iti  gaseste, tu ai cu siguranta un rootkit pe undeva instalat de iti tot creeaza acele fisiere.

A rezolvat, doar ca l-a durut mana sa posteze.

Daca spunea si cum era perfect...

A formatat sau a reinstalat windowsul. Nu mai stiu exact.

Ce-mi placea la el era ca stergea virusii cu click dreapta -> delete

E...il mai asteptam.

Edited by JulotM, 01 July 2009 - 23:47.

Scuze, dupa rezolvarea problemei nu am mai intrat pe forum. Am reinstalat Windows-ul a 2-a oara iar aceasta a fost rezolvarea. Si da am sters virusul cu click dreapta delete. Important e ca nu a mai aparut. Inca nu sti sigur cum am primit virusul sau ce sa intmplat dar ma gandesc ca e din cauza la Microsoft Office. Am citit ce pe site-ul de la Microsoft si scria ca fisierul respectiv are lagatura cu Office-ul.

Daca mai ai probleme, revino aici

Cu ceva timp in urma calculatorul unui prieten de-al meu s-a molipsit cu virusul asta. Foloseste un script scris in visual basic. Scriptul original e criptat  cu un algoritm simplu. Am creat in VB un programel care decripteaza scriptul si-mi arata listingul virusului. Din cate am vazut el cauta sa impuna ca pagina initiala de browser pagina "mona.htm".

Ca sa opresti executia virusului dai CTRL + ALT +DEL, selectezi din lista wscript.exe si dai End task.
Atentie! Nu dati sub nici un motiv dublu clic pe partitii ca se activeaza iar virusul.
Folositi clic dreapta -> explore.
Apoi START->RUN-> scrii regedit si dai ENTER.
Cauti cheia HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\cftmon.exe c:\windows\ctfmon.exe.vbs. Poate sa nu arate chiar asa, oricum cauta cheia ce are un fisier cu .vbs la final. Daca sunt mai multe chei ce au fisiere cu .exe.vbs, sterge-le pe toate.

Mai trebuie sterse cheile:
"HKEY_CLASSES_ROOT\Directory\Shell\AlienMars\","A&lienMars"
"HKEY_CLASSES_ROOT\Directory\Shell\AlienMars\Command\", c:windows\explore.vbs"
"HKEY_CLASSES_ROOT\Drive\Shell\AlienMars\","A&lienMars"
"HKEY_CLASSES_ROOT\Drive\Shell\AlienMars\Command\", c:\windows\system32\mtask.vbs"
"HKEY_CLASSES_ROOT\Folder\Shell\AlienMars\","A&lienMars"
"HKEY_CLASSES_ROOT\Folder\Shell\AlienMars\Command\",c:\windows\explore.vbs"
Eu in cheia de mai jos n-am gasit VXD, deci presupun ca trebuie stearsa intrarea vxd.
"HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP\Workgroup","Mona"

Iar la cheile urmatoare trebuie inlocuita valoarea "c:\Mona.htm" cu "%SystemRoot%\system32\blank.htm":

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL","C:\Mona.htm"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Search_URL","C:\Mona.htm"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Local Page","C:\Mona.htm"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page","C:\Mona.htm"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page","C:\Mona.htm"
"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page","C:\Mona.htm"
"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page","C:\Mona.htm"

Pentru cine nu stie cum se face, cand ai ajuns la cheia respectiva, dai clic dreapta pe "Default_Page_URL", selectezi Modify si inlocuiesti cu "%SystemRoot%\system32\blank.htm".

Apoi mergi in Start->all programs-> startup si sterge linkul Agnes-Monica.lnk, de pe desktop sterge Asmiranda.lnk, din c:\Documents and settings -> Numele userului -> "Send to" stergi "Dian-Sastro.lnk",
din "Favorites" stergi "Titi-Kamal.lnk", din "Recent" stergi "SpiderMan-3.lnk", din "StartMenu" stergi Bunga-Citra-Lestari.lnk". Mai trebuie sterse fisierele mtask.vbs si kernel32.vbs din Temp, din /Windows/System32 "mtask.vbs", din c:\ trebuie sterse "Spiderman_3.gif.vbs", "Mona_Krisna_Dewi.jpg.vbs" si "C:\Mona.htm".  Atentie! Trebuie sa aveti activata optiunea de afisare a directoarelor si fisierelor ascunse. Virusul o dezactiveaza, asa ca intrati in My Documents, la Tools->Folder options->View si bifati "Show hidden files and folders".

Sper ca n-am uitat ceva. Dupa toate astea, dai un restart la windows si ar trebui ca partitiile sa se deschida la dublu-clic. Daca totul e ok, ar trebui sa nu mai ai in Task Manager activ wscript.exe.
As fi dat listingul virusului dar mi-e sa nu dau idei altora.
                                                                                                                                  Mult succes!