virus yahoo messenger(trimite automat mass-uri)

**Emiliano** · 17-09-2006 12:24

Stie cineva ce se mai poate face la un windows virusat?
- am multi prieteni care s-au virusat zilele astea, si messengerul le trimite automat mass-uri la toata lista.
" making money online never be easier : http://www.geocities.co.jp/*********

Now you can avoid some critical online viruses by updating Windows . Click here to know how to Update your Windows : http://www.geocities.co.jp/********
wtf is this ? Wanna give me a shit ? http://www.geocities.co.jp/*************** X-( << "
nu mai au acces la registri

ce mai pot face? inafara de reinstalare windows
(intreb pt altii , ca eu nu am probl cu asa ceva

)

**FREAKTUNING** · 17-09-2006 14:10

Virusul se instaleaza la deschiderea paginii "geocities.co.jp/***********" (nu cumva sa intrati pe ea)
Trece perfect peste firewall si antivirus (Am Avast v4.7 Pro cu update-urile la zi)
Trimite massuri celor online cu diferite pagini INCLUSIV cea mentionata mai sus.
Schimba status cu pagini similare
Daca te deloghezi dupa Yahoo Messenger, si ai bifata optiunea "Remember my ID and Password" se logheaza singur, si efectueaza cele mentionate mai sus
Isi copiaza in clipboard pagini similare celei de sus,iar daca ai dat Paste undeva, efectueaza iar cele mentionate mai sus.
Dezactiveaza Task Managerul si Registry Editor.
Anuleaza posibilitatea schimbarii paginii de internet de la IE, ce ramane setata pe "geocities.co.jp/*************"
Pune dupa numele orcarei pagini deschise "Webhosting h t t p://geocities.co.jp/****************"
Se instaleaza prin 3 fisiere ce le si infecteaza: "Syshost.exe, SvcHost32.exe , Srshost.exe (le gasiti in Directorul Windows\System | numai de cel subliniat sunt sigur ca ala e... celelalte doua nush...)

Downloadati Security Task Manager http://software-files.download.com/s...&psid=10246545, instalati-l si puneti procesul SvcHost32.exe in carantina... nu va mai porni la urmatoarea restartare.

Pentru reactivare Task Manager, downloadati si rulati asta "Taskman.bat" www.extremeracingclub.ro/archive.zip
Pentru reactivare Registry Editor, downloadati "Reg.inf" (din arhiva), dati click dreapta pe el, si Install !
Pentru reactivarea posibilitatii de a schimba homepage-ul... dupa ce ati reusit sa activati Registry Editorul, intrati in Registry Editor (regedit), si mergeti la

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Inte rnet Explorer\Control Panel] iar acolo o sa gasiti HOMEPAGE, cu valoarea D-Word setata pe 1. Dublu click pe ea, si setati-o pe 0. Inchide-ti registry editor, si acum mergeti in Contol Panel > Internet Options, si setati-va oricare altapagina decat cea existenta. Si ati cam rezolvat problema.

Totusi dupa, incercati sa dati cu un AntiSpyware sau un program de genul asta, ca sa eliminati toate "ramasitile"...

Cam asta am constatat eu din tot ce am patit... si asa am rezolvat si eu, sper sa va fie de folos....

PS. Pana atunci... daca nu reusiti, ca sa nu formatati HDD-ul.... folositi GAIM sau e-buddy!

Am rezolvat si problema cu titlul paginii... tot in RegEdit... mergeti la Registry Key: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main iar acolo este o cheie "Window Title" care e setata pe titlul actual... "Webhosting h t t p : / / w w w.geocities.co.uk/***************" ... dublu click pe ea, si modificati-o... scrieti "Internet Explorer"... si ati rezolvat si problema asta... daca am timp ma ocup ca o aplicatie sa faca toate astea...

Inca o chestie.... In C:\Windows o sa gasiti fisierul Svchost32... el este "infractorul" fisierul cu pricina... cautati-l si stergeti-l....

PS: Tutorial inspirat de la alt user de pe alt forum. Multumim.

**Chip** · 17-09-2006 14:37

Mesaj iniţiat de FREAKTUNING

Trece perfect peste firewall si antivirus (Am Avast v4.7 Pro cu update-urile la zi)

Gresit. Trece perfect de antivirusi prosti. Eu am Kaspersky si a urlat imediat dupa ce am facut click. ;-) Am Kaspersky 6.0 in combinatie cu ultimul Zone Alarm. Cand am dat click pe link si s-a deshis firefoxu' a inceput antivirusu sa tipe si nu mi-a dat acces a site.

**contagious_scrub** · 17-09-2006 14:50

si mie mi-a urlat kaspersky dar pana sa-i dau delete deja se instalase... oricum am scapat rpd de el

**Emiliano** · 17-09-2006 15:00

intrai sa vad daca e bun de ceva antivirusul meu(BitDefender Antivirus Plus v10) si il bloca , si mai vazui ca aparu sa descarc ceva (am IDManager instalat)

acu dadui un full scan sa vad daca reusi sa faca ceva la calc

**TehWooTzu** · 17-09-2006 17:02

Mesaj iniţiat de Chip

Gresit. Trece perfect de antivirusi prosti. Eu am Kaspersky si a urlat imediat dupa ce am facut click. ;-) Am Kaspersky 6.0 in combinatie cu ultimul Zone Alarm. Cand am dat click pe link si s-a deshis firefoxu' a inceput antivirusu sa tipe si nu mi-a dat acces a site.

Nu va luati dupa el ca Avast e antivirus prost. E mai bun decat Bitdefender si F-secure oricum..si poate si Avast face fatza daca ii pui toate setarile la maxim.

Eu am primit massul respectiv de la virus si n-am dat click..nu aveti nici un motiv sa raspundeti la massuri in engleza de la amicii vostri romani, plus ca se vede ca in fiecare mesaj tinta e aceeasi pagina virusata.

**FREAKTUNING** · 17-09-2006 17:05

Eu am dat exemplu cum sa scapati de el nu sa stau sa ma cert cu el care antivirus este mai bun sincer nu ma intereseaza ce antivirus folositi voi, am pus acel thread pt userii care au genu ala de probleme asa ca nu va mai bagati in seama aiurea.

**Mih4i** · 17-09-2006 17:29

nu pot sa sterg SvcHost32.exe din windows
zice ca e folosit de alt program
am facut tot ce s `a zis mai sus

HEEEEEEEEEEEEEEELP PLSSSSSSSSSSSSS

**Emiliano** · 17-09-2006 17:37

Mesaj iniţiat de Mih4i

nu pot sa sterg SvcHost32.exe din windows
zice ca e folosit de alt program
am facut tot ce s `a zis mai sus

HEEEEEEEEEEEEEEELP PLSSSSSSSSSSSSS

ia incearca sa intri in safe mode si sa-l stergi, sau vezi in startup daca e cumva setat sa se incarce odata cu windowsul

**Mih4i** · 17-09-2006 18:12

nu pot sa l sterg nici in safe mode nici nu e pus in start up

**stefan_u** · 17-09-2006 22:29

Nu mai incercati sa stergeti svchost32.exe pt ca este un serviciu de Windows in nici un caz nu puteti sa-l stergeti. Numai daca puneti Linux

**sparky_20** · 17-09-2006 22:38

Exact cand e infectat svchost e cam naspa ca e element de baza al windowsului si nu poate fi sters si nici dezinfectat asa usor (de fapt nu stiu daca se poate)

**Akaias** · 17-09-2006 22:50

nu multi trojeni sau alta specie de virusi trec de McAfee (dupa parerea mea cel mai capabil antivirus la ora actuala) sau Norton.

**myckky3000** · 17-09-2006 23:37

kaspersky internet security 6 RULZZ
nimik nu-i sta in cale

a blocat tot

Mesaj iniţiat de sparky_20

Exact cand e infectat svchost e cam naspa ca e element de baza al windowsului si nu poate fi sters si nici dezinfectat asa usor (de fapt nu stiu daca se poate)

ba poate fi sters

chiar dak e svchost....de fapt sunt mai multe...
trebuie oprit si apoi merge sters....probabil si-a facut un svchost separat de cel de windows

**myhaiu** · 17-09-2006 23:49

svchost32.exe poate fi sters

pentru ca el doar incearca sa imite ca nume fisierul svchost.exe al windows-ului ca sa-l treci cu vederea. Oricum este interesant subiectul...e prima data cand aud asa ceva.

**ovisebdan** · 17-09-2006 23:50

cand ma gandesc cati au intrat acolo...

**gabr1el** · 18-09-2006 00:22

Mesaj iniţiat de ovisebdan

cand ma gandesc cati au intrat acolo...

cand ma gandesc ca jumate din lista mea imi trm mass-uri din astea (culmea doar fetele picara in plasa)

eu nu dadui click pe link-urile alea, dar tot imi deschide niste pagini web ciudata, fara nimic pe ele, dar multeeee

**zorba_grecul2** · 18-09-2006 17:04

Mesaj iniţiat de FREAKTUNING

Virusul se instaleaza la deschiderea paginii "geocities.co.jp/thanatos183188" (nu cumva sa intrati pe ea)
Trece perfect peste firewall si antivirus (Am Avast v4.7 Pro cu update-urile la zi)
Trimite massuri celor online cu diferite pagini INCLUSIV cea mentionata mai sus.
Schimba status cu pagini similare
Daca te deloghezi dupa Yahoo Messenger, si ai bifata optiunea "Remember my ID and Password" se logheaza singur, si efectueaza cele mentionate mai sus
Isi copiaza in clipboard pagini similare celei de sus,iar daca ai dat Paste undeva, efectueaza iar cele mentionate mai sus.
Dezactiveaza Task Managerul si Registry Editor.
Anuleaza posibilitatea schimbarii paginii de internet de la IE, ce ramane setata pe "geocities.co.jp/thanatos183188"
Pune dupa numele orcarei pagini deschise "Webhosting h t t p://geocities.co.jp/thanatos183188"
Se instaleaza prin 3 fisiere ce le si infecteaza: "Syshost.exe, SvcHost32.exe , Srshost.exe (le gasiti in Directorul Windows\System | numai de cel subliniat sunt sigur ca ala e... celelalte doua nush...)

Downloadati Security Task Manager http://software-files.download.com/s...&psid=10246545, instalati-l si puneti procesul SvcHost32.exe in carantina... nu va mai porni la urmatoarea restartare.

Pentru reactivare Task Manager, downloadati si rulati asta "Taskman.bat" www.extremeracingclub.ro/archive.zip
Pentru reactivare Registry Editor, downloadati "Reg.inf" (din arhiva), dati click dreapta pe el, si Install !
Pentru reactivarea posibilitatii de a schimba homepage-ul... dupa ce ati reusit sa activati Registry Editorul, intrati in Registry Editor (regedit), si mergeti la

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Inte rnet Explorer\Control Panel] iar acolo o sa gasiti HOMEPAGE, cu valoarea D-Word setata pe 1. Dublu click pe ea, si setati-o pe 0. Inchide-ti registry editor, si acum mergeti in Contol Panel > Internet Options, si setati-va oricare altapagina decat cea existenta. Si ati cam rezolvat problema.

Totusi dupa, incercati sa dati cu un AntiSpyware sau un program de genul asta, ca sa eliminati toate "ramasitile"...

Cam asta am constatat eu din tot ce am patit... si asa am rezolvat si eu, sper sa va fie de folos....

PS. Pana atunci... daca nu reusiti, ca sa nu formatati HDD-ul.... folositi GAIM sau e-buddy!

Am rezolvat si problema cu titlul paginii... tot in RegEdit... mergeti la Registry Key: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main iar acolo este o cheie "Window Title" care e setata pe titlul actual... "Webhosting h t t p : / / w w w.geocities.co.uk/thanatos18388" ... dublu click pe ea, si modificati-o... scrieti "Internet Explorer"... si ati rezolvat si problema asta... daca am timp ma ocup ca o aplicatie sa faca toate astea...

Inca o chestie.... In C:\Windows o sa gasiti fisierul Svchost32... el este "infractorul" fisierul cu pricina... cautati-l si stergeti-l....

PS: Tutorial inspirat de la alt user de pe alt forum. Multumim.

m-am blocat la activare regedit
spune te rog de unde iau reg.inf pas cu pas ca nu l-am gasit

**FREAKTUNING** · 18-09-2006 20:49

Mesaj iniţiat de zorba_grecul2

m-am blocat la activare regedit
spune te rog de unde iau reg.inf pas cu pas ca nu l-am gasit

www.extremeracingclub.ro/archive.zip
Pentru reactivare Registry Editor, downloadati "Reg.inf" (din arhiva adica din archive.zip), dati click dreapta pe el, si Install !

**contagious_scrub** · 18-09-2006 20:56

sau incearca
start -=> run -=> REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f