Ostatnio trafiło do mnie kilkadziesiąt komputerów z tym wirusem. Kilka przydatnych wniosków i porad jak uniknąć problemów i jak sobie poradzić w przypadku infekcji.

Po pierwsze na dzień dzisiejszy, programy: Microsoft Security Essentials, Avast, McAfee, NOD, Avira, NIE CHRONIĄ przed infekcją.

Po drugie, większość zainfekowanych komputerów dysponowała nieaktualnymi wersjami oprogramowania Java czy Flash.


Po trzecie, wirus ewoluuje i nowe wersje są bardziej złośliwe.



Jak się zabezpieczyć ? Posiadać aktualne wtyczki. Np. dla FF sprawdzimy ich aktualność tutaj http://www.mozilla.org/en-US/plugincheck/


Można sprawdzić ręcznie, lub za pomocą np. OTL (o tym później).

Jakie programy chronią przed wirusem ? Trudno powiedzieć, ale: Ashampoo Anti-Malware (rozpoznaje prawie wszystkie mutacje, na razie natrafiłem na jedną, której nie rozpoznawał, wczoraj), GData (rozpoznaje jak na razie wszystkie wersje). Prawdopodobnie Kaspersky i Bitdefender też, ale nie mam co do tego pewności (wniosek wysnuwam na podstawie bazy wirusów używanych przez te programy).


Co zrobić gdy pojawi się wirus ?

Można spróbować wygenerować kod UKASH. [LINK], podczas wpisywania kodu musi być odłączony internet. Starsze wersje wirusa sprawdzały tylko prefiks numeru a 13 cyfr można było wpisać dowolnych, nowsze wersje sprawdzały kolejne 3 cyfry, a najnowsze nie dają się odblokować poprzez wpisanie kodu.


Dysk można podpiąć do innego komputera i przeskanować np. wersją demonstracyjną GData. Program wykryje szkodniki i usunie. Jednak pozostaną wpisy w rejestrze.

Wirusa usuwa również HitmanPRO. Wystarczy demo (również zostają wpisy).

Wreszcie, można się go pozbyć ręcznie. Jeśli działa tryb awaryjny, to wystarczy regedit i szukamy kluczy:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce - do usunięcia

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"Shell" = "[random].exe

Gdzie RANDOM to jakiś tekst. Powinno być explorer.exe


Co do plików, to trzeba przeszukać następujące miejsca:

C:Documents and SettingsAll UsersDane aplikacji[random].exe
C:Windows[random].exe
C:Windowsexplorer_new.exe

Gdzie random, to losowa nazwa.


Jeśli tryb awaryjny nie działa, wtedy uruchamiamy w trybie tekstowym i kasujemy kluczyk ręcznie. REGEDIT /D kluczyk do skasowania.

Jak usunąć pliki każdy chyba wie ?


Jeszcze innym sposobem jest użycie narzędzia OTL.

Tutaj jednak wymagana jest pewna wiedza, bo skrypt z OTL trzeba przejrzeć i przeanalizować, a
następnie stworzyć własny skrypt, dzięki któremu OTL zrobi porządek. Opis działania OTL znajduje się tutaj [LINK]. Gdyby ktoś miał z tym problem, to w sieci istnieje kilka miejsc, gdzie specjalizują się w odczytywaniu OTL, i pisaniu skryptów. Np. forum pcformat, fixitpc.pl.

Przy okazji warto dodać, że OTL warto użyć nawet gdy już pozbędziemy się wirusa, bo dowiemy się jakie wersje pluginów mamy, jakie podejrzane wpisy itd. Jednak, jeśli nie mamy pojęcia o co chodzi, to lepiej skorzystać z pomocy innych, bo działania samemu mogą skończyć się bardzo źle.


W sieci poleca się użyć ComboFIX. Otóż, po pierwsze, narzędzie nie usuwa wszystkich odmian wirusa. Po drugie, jeśli nie wiemy co zrobić ze generowanym raportem i jak posprzątać po wyczynach programu, to lepiej go unikać.

Jeśli ktoś ma jakieś dodatkowe uwagi, to bardzo proszę o komentarze.

A jakie są objawy i konsekwencje działania tego wirusa.

Ekran komputera zostaje zablokowany taką planszą.

.

Nie działa też menadżer zadań. Czasami działa w trybie awaryjnym, ale nie zawsze.

Czy mi się wydaje czy ten orzełek nie ma korony? :D

@Ignacek 9
Daj spokój, przecież to nawet nie jest napisane po polsku...
To międzynarodowy wirus, a że naiwnych nie brakuje...

a czy combofix coś zdziała? Sprawdzałeś?

@zabba czytaj dokładnie

W sieci poleca się użyć ComboFIX. Otóż, po pierwsze, narzędzie nie usuwa wszystkich odmian wirusa. Po drugie, jeśli nie wiemy co zrobić ze generowanym raportem i jak posprzątać po wyczynach programu, to lepiej go unikać.

"Gdy Ci smutno, gdy Ci źle, jeb... format dysku C" . Najszybszy sposób na całe zło komputerów.

@Frost

@1084
skąd ściągnąć tego wirusa?

@XoRNie mam pojęcia, klienci twierdzili, że podczas oglądania meczu w internecie inni, że nie mają pojęcia skąd to jest, szwagier przyznał się, że wszedł na jakiegoś linka porno, który mu podrzucił znajomy. Na żadnym moim komputerze wirus się nie pojawił.


edit: A co, potrzebujesz go ?

I Ja mam go...Cholera,a na porno nie wchodziłem... Szlag by to

Pomoże ktoś? Wrzuce OTL'a txt
[LINK]

XoR jak znajdziesz to daj znać bo chcę sprawdzić jak Comodo i jego hooki się z nim rozprawią :X

UKASH virus [LINK]

@award Skrypt [LINK]
po wykonaniu ponowny skan i logi z otl i extras. (pojawią się w tym samym katalogu gdzie odpalany był otl).

@1084 Tego z tematu to przywracanie systemu daje rade. Widziałem już przynajmniej trzy odmiany. Wczoraj za to bawiłem się w kotka i myszkę z ala "Blasterem/Sasserem" - ComboFix dał radę.

[E]: Coś z Flashem jest nie tak.

szału nima ... wirus jak wirus

@KozubSoftPrzywracanie systemu tylko cofa wpisy w rejestrze. Ale część zostaje.


Combo Fix wywala co popadnie. Potem ludzie się dziwią, że część programów szaleje.
Zobacz logi z ComboFixa, co ci tam wykombinował, a i tak niema gwarancji, że wirusa niema.

@1084 Wiadomo - z Combo Fix trzeba delikatnie.
2/3 dało radę z przywracaniem

Ja złapałem ten syf gdy szukałem części do auta - otworzyłem jakąś rosyjską stronę. Mi pomógł program HITMAN PRO - można go użyć jednorazowo bez rejestracji.

Jak pisał 1084 - miałem zainstalowany i zaktualizowany Microsoft Security Essentials i przepuścił ten syf.

Jak złapiemy wira i nie możemy nic zrobić, to trzeba uruchomić kompa w trybie awaryjnym z obsługa sieci ( F8 w trakcie bootowania? ) i wtedy użyć hitmana.

Podobnie też złapałem wirusa life security platinum - uruchamia się jakby skanowanie no i blokada systemu, jak wyżej pomógł Hitman.

Po tych ekscesach wywaliłem MSE i zainstalowałem COMODO, na razie jest spokój.

Poleca się też zaktualizować dodatki typu Java, Flash. Combofix z tego co wiem jest raczej traktowany jako ostateczność.