Yahoo Meseger trimite link-uri

Problema mai veche, dar am vazut ca uni inca se mai lovesc de ea.

Daca aveti ceva ani de cand folositi internetul, ati avut sau aveti prieteni care au avut acest “virus”, de ce intre ghilimele ? pentru ca nu este chiar un virus, este o exploatare a y-messenger.

Simptome: Yahoo messenger trimite link-uri catre toti cei care sunt online din lista ta de contacte.
Majoritatea utilizatirilor de Y-messenger s-au invatat sa nu dea click pe orice link ce il primeste, de aceea acest virus nu mai e asa de raspandit, dar in ziua de azi toata lumea isi ia calculator si apar din ce in ce mai multi necunoscatori “plimbareti” prin internet … utilizatori ce cred ca antivirusul instalat (de vecinul/prietenul “care se pricepe”) ii apara de orice problema … ei bine, antivirusul nu te apara de prostie.

De ce sunt asa acid astazi ? … ieri am fost la un prieten sa il scap de acesr “virus”, dupa ce l-am scapat de virus i-am spus sa se conecteze pe messenger sa fiu eu sigur ca nu mai are probleme … OMUL A DAT IAR CLICK PE LINK-UL CE ITI INSTALEAZA VIRUSUL …. DE FATA CU MINE … cand am urlat CE FACI? … a inceput sa rada si mi-a zis “ahh … din reflex”.

Ok … hai sa vedem cum scapam de el (ATENTIE … DOAR PENTRU WINDOWS XP, pentru vista inca nu am gasit o solutie). In primul rand trebuie sa setam yahoo messenger sa nu mai porneasca odata cu windows-ul (daca nu stiti sa faceti asta e de ajuns sa scoateti cablul de internet). Acpoi va trebui sa creati un .reg cu ajutorul caruia vom modifica registri.

Deschide-ti notepad-ul sau creati un nou document .txt (mouse dreapta/new/Text Document) pe care il redenumiti repair.reg (poate sa aiba orice nume, doar extensia sa fie .reg). Dupa redenumire va trebui sa ii spunem si ce sa faca. Mouse dreapta, pe fisierul creat, edit. In editorul de text vom scrie:

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“DisableTaskMgr”=dword:00000000

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“DisableTaskMgr”=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“DisableRegistryTools”=dword:00000000

[HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_buzz]
“content url”=-

[HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast]
“content url”=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
“Start Page” = “http://www.yahoo.com”

[-HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\Homepage]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Task Manager”=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Svchost”=-

Salvati documentul apoi il rulati (dublu click pe el .. yes/ok la ferestrele ce vor apare), restartati calculatorul (acum aveti grija sa nu porneasca messengerul).

Urmeaza sa stergem fisierele ce se pitesc prin sistem … in general aceste fisiere stiu unde se instaleaza, dar sunt cazuri in care au fost gasite in alte locatii.

In c:/windows cautati si stergeti svhost32.exe.

In c:/windows cautati si stergeti svhost.exe

Cu ajutorul modulului de cautare al windows-ului (Start/Search) cautati si stargeti daca e gasit ENET.EXE.

In functie de varianta virusului (da, sunt mai multe) ve-ti gasi sau nu fisierele mai sus mentionate … dar pentru a fi siguri va sfatuiesc (in cazul in care nu le-ati gasit) sa cautati primele 2 fisiere asa cum ati facut cu al 3-lea (Start/Search).

Asta ar trebui sa va scape de problema … pana la urmatorul click pe un link primit de la prieteni.

Later Edit: Daca va e lene sau nu stiti sa creati fisierul repair.reg scrieti-mi pe zippydb@gmail.com sau lasati-mi o adresa de mail aici. Va voi trimite eu fisierul.

Saburex … cum sa scap de el ?

Am fost rugat de un prieten sa il ajut sa scape de Saburex. Am inteles ca Bit Defender ar reusi sa faca ceva, dar nu sunt sigur ca reuseste sa scape de virus in totalitate. Eu am folostit alta metoda, e ceva mai mult lucru manual dar sunt sigur ca am scapat de el.

I: Cum aflu daca am Saburex ?

R: Nimic mai simplu daca ole16.dll se afla in c:\windows\system32\ ai Saburex.

I: Ce face Saburex ? E periculos ?

R: Saburex face PrintScreen-uri la fereastra curenta si le posteaza pe o pagina web pe un domeniu rusesc .ru (nu stiu mai multe detali despre pagina si domeniu)

I: Cum functioineaza Saburex ?

R: Virusul infecteaza fisierele cu extensia .exe la intamplare (random), virusul ignora dosare (folder) si fisiere (file) care contin urmatoarele siruri de caractere:
- program files
- documents and
- _restore
- music
Cand infecteaza un fisier, virusul se arhiveaza intr-o arhiva de tip .CAB, apoi isi scrie codul sursa la inceputul fisierului infectat. Cand fisierul infectat este lansat, corpul virusului este salvat in directorul windows/temp sub un nume temporar random cu extensia .dll.
Apoi virusul isi sterge codul sursa din fisierul infectat readucandul la forma initiala, dezarhiveaza arhiva .CAB si executabilul va fi lansat.
Extrage un alt .DLL de 7168 bytes, si il salveaza in temporare. Urmareste toate ferestrele deschise de utilizator si injecteaza un alt .DLL conectat cu aceste ferestre.

I: Bun … cum scap de el ?

R: Stergeti ole16.dll din c:\windows\system32\, e posibil ca widows-ul sa nu va lase sa il stergeti pentru ca este folosit de calculator in momentul respectiv, cautati un “unlocker” sau stergeti-l manual din MS-DOS.

Modificati registri astfel:

[HKEY_CLASSES_ROOT\CLSID\ {00021401-0000-0000-C000-000000000046}\InProcServer32]

@=”shell32.dll”
ThreadingModel=”Apartment”

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ {00021401-0000-0000-C000-000000000046 \InProcServer32]

@=”shell32.dll”
ThreadingModel=”Apartment”

Stergeti tot din folderele temporere, in special c:\windows\temp

Instalati unul din antivirusi (update la baza de date a antivirusului):

BitDefender (numele sub care il detecteaza: “Win32.Fidcop.A”)
eSafe (numele sub care il detecteaza: “Virus.Win32.Saburex”)
F-Secure (numele sub care il detecteaza: “Saburex.A”)
Kaspersky (numele sub care il detecteaza: “Virus.Win32.Saburex.a”)
Avast (numele sub care il detecteaza: “Win32/Saburex”)
NOD32 (numele sub care il detecteaza: “Win32/Saburex.A”)
Panda (numele sub care il detecteaza: “W32/Rex.A”)
VirusBuster (numele sub care il detecteaza: “Win32.Saburex.A”)

Scanati si stergeti orice fisier .exe care este detectat de antivirus ca infectat, se vor pierde cateva aplicatii dar scapati de virus.

ATENTIE !!! reinstalarea windows-ului NU va scapa de virus, el poate reveni cand rulati una din aplicatiile infectate (de ex. kit-uri cu extensia .exe), o solutie ar fi formatarea completa a calculatorului, TOATE partitiile.