«
»

Saburex … cum sa scap de el ?

By zippydb

Am fost rugat de un prieten sa il ajut sa scape de Saburex. Am inteles ca Bit Defender ar reusi sa faca ceva, dar nu sunt sigur ca reuseste sa scape de virus in totalitate. Eu am folostit alta metoda, e ceva mai mult lucru manual dar sunt sigur ca am scapat de el.

I: Cum aflu daca am Saburex ?

R: Nimic mai simplu daca ole16.dll se afla in c:\windows\system32\ ai Saburex.

I: Ce face Saburex ? E periculos ?

R: Saburex face PrintScreen-uri la fereastra curenta si le posteaza pe o pagina web pe un domeniu rusesc .ru (nu stiu mai multe detali despre pagina si domeniu)

I: Cum functioineaza Saburex ?

R: Virusul infecteaza fisierele cu extensia .exe la intamplare (random), virusul ignora dosare (folder) si fisiere (file) care contin urmatoarele siruri de caractere:
- program files
- documents and
- _restore
- music
Cand infecteaza un fisier, virusul se arhiveaza intr-o arhiva de tip .CAB, apoi isi scrie codul sursa la inceputul fisierului infectat. Cand fisierul infectat este lansat, corpul virusului este salvat in directorul windows/temp sub un nume temporar random cu extensia .dll.
Apoi virusul isi sterge codul sursa din fisierul infectat readucandul la forma initiala, dezarhiveaza arhiva .CAB si executabilul va fi lansat.
Extrage un alt .DLL de 7168 bytes, si il salveaza in temporare. Urmareste toate ferestrele deschise de utilizator si injecteaza un alt .DLL conectat cu aceste ferestre.

I: Bun … cum scap de el ?

R: Stergeti ole16.dll din c:\windows\system32\, e posibil ca widows-ul sa nu va lase sa il stergeti pentru ca este folosit de calculator in momentul respectiv, cautati un “unlocker” sau stergeti-l manual din MS-DOS.

Modificati registri astfel:

[HKEY_CLASSES_ROOT\CLSID\ {00021401-0000-0000-C000-000000000046}\InProcServer32]

@=”shell32.dll”
ThreadingModel=”Apartment”

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ {00021401-0000-0000-C000-000000000046 \InProcServer32]

@=”shell32.dll”
ThreadingModel=”Apartment”

Stergeti tot din folderele temporere, in special c:\windows\temp

Instalati unul din antivirusi (update la baza de date a antivirusului):

BitDefender (numele sub care il detecteaza: “Win32.Fidcop.A”)
eSafe (numele sub care il detecteaza: “Virus.Win32.Saburex”)
F-Secure (numele sub care il detecteaza: “Saburex.A”)
Kaspersky (numele sub care il detecteaza: “Virus.Win32.Saburex.a”)
Avast (numele sub care il detecteaza: “Win32/Saburex”)
 NOD32 (numele sub care il detecteaza: “Win32/Saburex.A”)
Panda (numele sub care il detecteaza: “W32/Rex.A”)
VirusBuster (numele sub care il detecteaza: “Win32.Saburex.A”)

Scanati si stergeti orice fisier .exe care este detectat de antivirus ca infectat, se vor pierde cateva aplicatii dar scapati de virus.

ATENTIE !!! reinstalarea windows-ului NU va scapa de virus, el poate reveni cand rulati una din aplicatiile infectate (de ex. kit-uri cu extensia .exe), o solutie ar fi formatarea completa a calculatorului, TOATE partitiile.

Acest articol a fost scris pe iunie 7, 2007 la 8:20 am şi este înscris în logoree, software, virusi. Poti urmari orice raspuns la aceste articole prin intretinere RSS 2.0. You can leave a response, or trackback from your own site.

14 Răspunsuri la “Saburex … cum sa scap de el ?”

  1. SHARKER spune:
    februarie 4, 2008 la 6:37 pm

    THX omule

  2. Andr3yx spune:
    aprilie 4, 2008 la 11:51 am

    mie mia zis nod32`u ca am saburex da nu il gasesc in system32

  3. ANTIVIRUS SABUREX spune:
    aprilie 16, 2008 la 3:03 pm

    Virusul se poate sterge folosind AVG 7.5 sau Kaspersky 7.0 sau Nod 32

    HAI SAL

  4. zippydb spune:
    aprilie 24, 2008 la 10:06 am

    Acest post a fost cris pe vremea cand nici un antivirus nu stia sa scoata Saburex din sistem … existau totusi cateva care il recunosteau. Saburex are aproape 2 ani de cand a aparut … evident ca acum exista antivirus pentru el.

    Andr3yx: NOD32 are obiceiul sa stearga fisierele infectete fara sa te intrebe … in momentul in care nod-ul a descoperit ole16.dll il si sterge … incearca sa modifici registri … apoi imi spui daca mai apare virusul.

  5. alex spune:
    mai 1, 2008 la 10:05 pm

    eu am gasit in sistem doar fisierul ole32.dll…nu pot sal sterg oare acela este??apropo am formatat calcul(NTFS) si nu a facut nik..iar il am

  6. zippydb spune:
    mai 2, 2008 la 6:15 am

    Nu … ole32.dll este al sistemului … NU IL STERGE.
    Am scris ca Saburex se piteste in executabile, degeaba ai formatat tu partitia cu sistemul de operare daca ti-ai pastrat pe alta partitie fisiere .exe. Cred ca toate kit-urie tale sunt infectate si daca ai rulat (instalat) unul din executabilele (kit-urile) ramase in calculator, virusul sa reinstalat.

    Acum pot fi doua situati in cazul tau, unul e cel spus mai sus (ai instalat o aplicatie care era infactata cu virusul), in situatia asta urmaresti iar pasi din postul meu (daca nu gasesti ole16.dll sari peste pasul asta, e posibil ca antivirusul tau sa il stearga automat fara sa te atentioneze).
    A doua situatie e mai usor de rezolvat … dar mai dureroasa (cel putin pentru mine a fost) … virusul nu a apucat sa se reinstaleze (motiv pentru care nu gasesti ole16.dll), dar antivirusul tau la descoperit in executabile. Scaneaza cu antivirusul tot ce ai .exe in a doua partitie si sterge TOT ce e infectat (eu sugerez avast antivirus, nu ma dezamagit pana acum).

    Un sfat pentru viitor … arhivati-va kit-urile, virusul se “lipeste” doar de .exe, nu intra si in arhive .rar, .zip … astfel nu va pierdeti programele cu greu adunate.

  7. alex spune:
    mai 2, 2008 la 8:05 am

    ms oricum dar nu mai am nevoie de ajutor…am gasit un remove tool sau cum ii spune…contact me alex_*********@yahoo.com (daca vreti in mail daca nu pe massanger)

  8. alex spune:
    mai 3, 2008 la 4:15 pm

    iar am luat virusul…nu mai stiu ce sa cred…in windows/system32 nu am nici un ole16.dll am doar ole2.dll si ole32.dll..dar cand dau scanade cu panda gaseste vreo 17 REX.A care din cate am citit este tot saburex dar sub acest nume il vede panda…am sters TOT!!am foarmatat TOT!!!!!nush ce sa mai fac…imposibil:((

  9. alex spune:
    mai 3, 2008 la 4:18 pm

    dar crek si acel remove tool face ceva atunci nu am mai avut probleme…dar acum iar

  10. bastanu spune:
    mai 12, 2008 la 10:40 am

    eu nu am virsui… fara antivirusi nu vin virusii la tine..daca folosesti antivirusi imediata iti \umplu calcu :) ))

  11. helyx spune:
    mai 12, 2008 la 10:43 am

    bastanu are dreptate cu antivirus bagi windowsul o data la 2 saptamani fara antivirus nu ai nici o treaba am windowsul asta de 6 luni si merge de rupe

  12. zippydb spune:
    mai 12, 2008 la 11:14 am

    @bastanu … lol fara antivirus nu ai cum sa sti ca ai virus, evident ca odata instalat un antivirus “apar virusi”.

    @helyx … daca nu te deranjeaza ca cineva iti poate fura conturile de email, datele cardului de credit (daca obisnuiti sa faceti plati pe net), nu mai puteti trimite un mail cu atasament pentru ca toate fisierele voastre sunt infectate si nu trec de firewall-ul serverelor de mail, sau calculatorul vostru ruleaza din ce in ce mai greu datorita numeroaselor procese, adaugate de addware, spyware, worms … si stiu eu ce alti virusi, ce ruleaza cu sistemul … atunci intradevar nu ai nevoie de un antivirus.

  13. costin spune:
    mai 19, 2008 la 12:39 pm

    Salut,
    am si eu o problema. mi`a aparut acum 2 zile FARA SA DAU CLICK PE NICIUN LINK DE LA STATUSURILE PRIETENILOR INFECTATI! un virus care imi trimite doar la persoanele cu care vorbesc acest lucru:

    http://projectownage.net – check this website out

    - nu se pune la status si nu se trimite k si mass

    ma puteti ajuta sa`l scot, va rog?

    merci frumos.

  14. sabina spune:
    ianuarie 24, 2009 la 5:12 pm

    si daca nu am ole16.dll in c:\windows\system32\ inseamna ca nu am sigur Saburex? (mi s-a zis ca am…) va rog sa-mi raspundeti…. merci anticipat…

Lasă un Răspuns