[es] - Kako da ocistim virus virut.NBP

magna86
Anti Malware Fighter

Član broj: 189287
Poruke: 557

Sajt: www.mycity.rs/Ambulanta

+16 Profil

^{04.06.2009. u 02:05 - pre 181 meseci}

teze ce to ici....
ti si zakacio File Infector koji menja svoj binarni potpis.svaki put se replikuje i inficira novi fajl i na taj nacin se odrzava
u sistemu tj. na taj nacin izbegava uklanjanje od strane tvog antivirus programa.

Virut inficira sve fajlove sa ovom ekstenzijom
.exe
.scr
.vbs
.bat

znaci becup-uj svoje licne podatke ( slike,muzika,video,dokumenta..itd) ali nikako ne radi becup nekog softwera
nikako ne radi becup .exe ili .scr... jer je dovoljno dvoklik
na neki inficiran program (koji je zarazen Virut-om) pa sve moras ispocetk)

znaci,ja cu ti napisati sve kako i sta da radis tako da budes osiguran
Imas dva nacina da ga se resis:

////////////////////////////////////////////////////////////////////////////
prvi:
Da skines LiveCD sa AV skener-om koji je sposoban da ovo dezinfikuje.
http://ftp.kaspersky.com/devbuilds/RescueDisk/

sprzi ga nerom...ili nekim specijalizovanim programom npr. MagicISO ,mora biti bootabilan disk
u biosu podesi da se racunar dize preko cd-a
ubaci kaspersky live cd.....restart...press eny key to continue...dalje prati upustva...update/odradi full scan....
kaspersky ce pobrisati sve sto pronade od viruta, ukljucujuci i windows filove....
nemoj se cuditi, ako se sistem ne digne,jer je pola Windows fajlova osteceno.
ako se digne,osiguraj se tako sto ces skenirati i sa Dr.Web CureIt-om

drugi: <--preporuka
2. Da becup-ujes sve sto ti je bitno (ako imas dve particije stavi bitan becup na drugu particiju),
formatiras particiju na kojoj je Windows (obicno je to C particija),
instaliras svez Windows i zatim dezinfikujes to sto si backup-ovao
kako? pa najbolje ovako
Dr.Web CureIt
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

restartuj komp u safe mode,pokreni launch.exe >> Start >> OK
Sacekaj par minuta da Dr.Web CureIt izvrsi Express Scan:
ukoliko nesto nadje, klikni na Yes to All
onda:
Options > Change settings F9; destikliraj opciju Heuristic Analysis >> OK
U glavnom prozoru obelezi opciju Complete scan ,i naredi mu da skenira i on ce poceti skeniranje
ukoliko nadje nesto...Yes to All
Kad zavrsi, klikni Select all (ukoliko je dostupan), a zatim na Cure i,
u meniju koji se otvori, klikni Move incurable:
kao na slici:
http://img30.imageshack.us/my.php?image=drweb2.jpg

pa onda bi mogao odradis scan i sa ovim programom:
Malwarebytes' Anti-Malware
Dvoklikom pokreni instalaciju
Na samom pocetku proveri da li su stiklirane ove opcije
Update Malwarebytes' Anti-Malware
Launch Malwarebytes Anti-Malware
Zatim klikni Finish.
Izaberi opciju Perform Quick Scan i klikni Scan.
Po završetku procesa klikni OK, Show Results: u listi detektovanog malware-a proveri da li su obelezene sve stavke i klikni Remove Selected.

kad sve zavrsis odmah skini s neta AntiVirus (Avast,Avira,Kaspersky trail verzija,BitDefender {svi ga oni "poznaju"})
////////////////////////////////////////////////////////////////
ti izaberi sta ces,a mi cemo da proverimo jesi li stvarno zapatio to "stvorenje"

Skini http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe HiJackThis program:
Stavi ga u zaseban Folder na Desktop
nemoras da pokreces HJT

*Skini program RSIT na Desktop:

http://images.malwareremoval.com/random/RSIT.exe

pokreni ga i idi na continue,isprati uputstva
na kraju skeniranja RSIT ce napraviti log.txt
taj log kopiraj ovde (taj log se nalazi C:\rsit\log.txt )

http://www.itfix.biz/images/Malware.JPG

Odgovor na temu

Dashkes

Član broj: 90973
Poruke: 845

+27 Profil

Re: Kako da ocistim virus virut.NBP

^{04.06.2009. u 07:12 - pre 181 meseci}

Link na Dr.Web CureIt! je neispravan. Vise nije "launch.exe" vec se ime nasumicno menja. Skinite ga sa http://www.freedrweb.com/.

Odgovor na temu

magna86
Anti Malware Fighter

Član broj: 189287
Poruke: 557

Sajt: www.mycity.rs/Ambulanta

+16 Profil

Re: Kako da ocistim virus virut.NBP

^{04.06.2009. u 18:11 - pre 181 meseci}

link koji sam dao jeste ispravan,samo sto si ti dao drugi koji random
menja naziv setup-a sto je dobra stvar
skoro je svejedno je s kog linka ces da skines...bitno je da ga skines

http://www.itfix.biz/images/Malware.JPG

Odgovor na temu

Dashkes

Član broj: 90973
Poruke: 845

+27 Profil

Re: Kako da ocistim virus virut.NBP

^{04.06.2009. u 20:23 - pre 181 meseci}

Izvinjavam se, moja greska. Ja sam dobio informaciju da se "launch.exe" ukida da tako kazem. Jedno vreme stvarno nije radio link(odavno, posle uvodjenja "random" sistema). :/

Odgovor na temu

dragancesu
subotica

Član broj: 38340
Poruke: 2189
*.adsl.eunet.rs.

+73 Profil

Re: Kako da ocistim virus virut.NBP

^{03.09.2009. u 15:24 - pre 178 meseci}

Sad se i ja patim sa racunarom koji ima virut. Mislim da je neki liceCD najbolje resenje, ali kaspersky naveden u nekom prethodnom postu sada nije azuran link. Potrazio sam sta ima i nasao

http://www.techmixer.com/free-...irus-rescue-cds-download-list/

pa birajte po volji

Pomozite Micro$oftu u borbi protiv piraterije, poklonite prijatelju Linux

Odgovor na temu

kana

Član broj: 111284
Poruke: 617

+28 Profil

Re: Kako da ocistim virus virut.NBP

^{27.10.2009. u 12:29 - pre 176 meseci}

C:\Toshiba\Management Console\enuReadme.htm - Win32/Virut.NBP virus - action selection postponed until scan completion
C:\Toshiba\Management Console\jpnReadme.htm - Win32/Virut.NBP virus - action selection postponed until scan completion

NOD mi nalazi ove infekcije i to samo na htm fajlovima.
Vise puta sam skenirao sa Dr.Web CureIt i on ne javlja nista.

Da li je moguce da nod daje neku laznu uzbunu?

Odgovor na temu

Dashkes

Član broj: 90973
Poruke: 845

+27 Profil

Re: Kako da ocistim virus virut.NBP

^{27.10.2009. u 13:42 - pre 176 meseci}

Proverite te dve datoteke na Virustotal-u. Da li prijavljuje virus samo u te dve datoteke?

Odgovor na temu

kana

Član broj: 111284
Poruke: 617

+28 Profil

Re: Kako da ocistim virus virut.NBP

^{27.10.2009. u 14:00 - pre 176 meseci}

C:\Windows\winsxs\x86_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.16528_en-us_3b44f02d590d6c52\contacts.html - Win32/Virut.NBP virus - action selection postponed until scan completion

C:\Windows\winsxs\x86_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6001.18000_en-us_3d38ce41562af7d0\contacts.html - Win32/Virut.NBP virus - action selection postponed until scan completion

C:\Windows\winsxs\x86_microsoft-windows-m..ess-components-mdac_31bf3856ad364e35_6.0.6000.16386_none_551204149c252758\MDACReadme.htm - Win32/Virut.NBP virus - action selection postponed until scan completion

C:\Windows\winsxs\x86_microsoft-windows-m..ess-components-mdac_31bf3856ad364e35_6.0.6001.18000_none_5748c6109910382c\MDACReadme.htm - Win32/Virut.NBP virus - action selection postponed until scan completion

Jos ova 4 fajla. Bilo ih je na desetine, i svi sa htm i html ekstenzijom ali ih je NOD32 pobrisao.

Fajlove ne mogu da uploadujem.

Ja vec kopiram podatke i nameravam da uradim novu instalaciju Viste, ali mi malo nije jasno kako su zarazeni tekstualni fajlovi.

Odgovor na temu

kana

Član broj: 111284
Poruke: 617

+28 Profil

Re: Kako da ocistim virus virut.NBP

^{27.10.2009. u 14:16 - pre 176 meseci}

a-squared 4.5.0.41 2009.10.27 -
AhnLab-V3 5.0.0.2 2009.10.26 -
AntiVir 7.9.1.44 2009.10.27 HTML/Infected.WebPage.Gen
Antiy-AVL 2.0.3.7 2009.10.27 -
Authentium 5.1.2.4 2009.10.27 HTML/IFrame
Avast 4.8.1351.0 2009.10.26 HTML:IFrame-HO
AVG 8.5.0.423 2009.10.27 -
BitDefender 7.2 2009.10.27 Trojan.IFrame.HG
CAT-QuickHeal 10.00 2009.10.27 -
ClamAV 0.94.1 2009.10.27 Trojan.Iframe-3
Comodo 2746 2009.10.27 -
DrWeb 5.0.0.12182 2009.10.27 -
eSafe 7.0.17.0 2009.10.25 -
eTrust-Vet 35.1.7085 2009.10.27 HTML/Virut.17408.B9
F-Prot 4.5.1.85 2009.10.26 HTML/IFrame
F-Secure 9.0.15370.0 2009.10.27 Trojan.IFrame.HG
Fortinet 3.120.0.0 2009.10.26 HTML/Iframe.BHY!tr.dldr
GData 19 2009.10.27 Trojan.IFrame.HG
Ikarus T3.1.1.72.0 2009.10.27 -
Jiangmin 11.0.800 2009.10.26 -
K7AntiVirus 7.10.879 2009.10.24 -
Kaspersky 7.0.0.125 2009.10.27 -
McAfee 5783 2009.10.26 W32/Virut!htm
McAfee+Artemis 5783 2009.10.26 W32/Virut!htm
McAfee-GW-Edition 6.8.5 2009.10.27 Heuristic.Script.Infected.WebPage
Microsoft 1.5202 2009.10.27 Exploit:HTML/IframeRef.gen
NOD32 4547 2009.10.27 Win32/Virut.NBP
Norman 6.03.02 2009.10.26 -
nProtect 2009.1.8.0 2009.10.27 -
Panda 10.0.2.2 2009.10.27 JS/Iframe.K
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.27 -
Rising 21.53.13.00 2009.10.27 -
Sophos 4.46.0 2009.10.27 Troj/Iframe-CG
Sunbelt 3.2.1858.2 2009.10.26 -
Symantec 1.4.4.12 2009.10.27 -
TheHacker 6.5.0.2.054 2009.10.26 -
TrendMicro 8.950.0.1094 2009.10.27 -
VBA32 3.12.10.11 2009.10.26 -
ViRobot 2009.10.27.2007 2009.10.27 -
VirusBuster 4.6.5.0 2009.10.26 -

Prikačeni fajlovi

rrr.pdf - 75.97k

Odgovor na temu

Dashkes

Član broj: 90973
Poruke: 845

+27 Profil

Re: Kako da ocistim virus virut.NBP

^{27.10.2009. u 14:29 - pre 176 meseci}

Da li mozete neke zarazene fajlove da zapakujete u ".rar"/".zip" sa password-om "virus", upload-ujete na Rapidshare i posaljete mi link preko PP? Cim je NOD32 obrisao fajlove, bilo bi dobro da reinstalirate Windows ili da ih vratite iz karantina (ako ih je NOD32 sacuvao).

Odgovor na temu

valjan
Janko Valencik
Software Deployer
Schneider Electric
Novi Sad

Moderator
Član broj: 158605
Poruke: 3531
*.adsl.eunet.rs.

+553 Profil

Re: Kako da ocistim virus virut.NBP

^{27.10.2009. u 14:40 - pre 176 meseci}

Virut.nbp ubacuje skriveni Iframe u html fajlove, pa se prilikom pokretanja tog html fajla aktivira javascipt koji downloaduje neku stetocinu sa nekoh kineskog/ruskog/ukrajinskog itd. servera. Tako da "obican tekstualni fajl" moze postati novi izvor zaraze. Takodje, Virut.nbp inficira i MBR zapis na hard disku, tako da obican format diska i reinstalacija Windowsa ne pomaze mnogo u ciscenju od ove napasti. Potreban je neki boot CD poput BartPE i slicnih sa kojeg je uz pomoc odgovarajuceg alata potrebno skroz ocistiti MBR i kreirati novi.

Odgovor na temu

kana

Član broj: 111284
Poruke: 617

+28 Profil

Re: Kako da ocistim virus virut.NBP

^{27.10.2009. u 15:14 - pre 176 meseci}

Citat:

Dashkes: Da li mozete neke zarazene fajlove da zapakujete u ".rar"/".zip" sa password-om "virus", upload-ujete na Rapidshare i posaljete mi link preko PP? Cim je NOD32 obrisao fajlove, bilo bi dobro da reinstalirate Windows ili da ih vratite iz karantina (ako ih je NOD32 sacuvao).

Nazalost nemam vremena za eksperimentisanje, moram da prebacim sve podatke na eksterni disk
pa da odradim svezu instalaciju a notebook mi vec treba za sutra.

Citat:

valjan: Virut.nbp ubacuje skriveni Iframe u html fajlove, pa se prilikom pokretanja tog html fajla aktivira javascipt koji downloaduje neku stetocinu sa nekoh kineskog/ruskog/ukrajinskog itd. servera. Tako da "obican tekstualni fajl" moze postati novi izvor zaraze. Takodje, Virut.nbp inficira i MBR zapis na hard disku, tako da obican format diska i reinstalacija Windowsa ne pomaze mnogo u ciscenju od ove napasti. Potreban je neki boot CD poput BartPE i slicnih sa kojeg je uz pomoc odgovarajuceg alata potrebno skroz ocistiti MBR i kreirati novi.

Sta je obican format? Vistu instaliram sa originalnog DVD-a koji isparticionise ceo disk i na osnovnoj particiji
instalira Vistu (30GB) i ostavi praznu particiju (130GB), zar to nije dovoljno?

NOD (legalan i sa uvek svezim definicijama) je napast detektovao iznenada sinoc prilikom otvaranja
on-line izdanja domacih dnevnih novina.
Vrlo sam oprezan i pedantan po ovom pitanju pa mi nije jasno kako se ova napast zapatila, i da li se
zapatila, s obzirom da sada posle tih obrisanih 20-ak html-ova vise ni NOD nista ne detektuje, i da
Dr.Web CureIt nije od samog pocetka nista sumnjivo pronalazio.
Postoji li siguran nacin da proverim sve racunare. Jezim se od pomisli da cu naredne dane potrositi
na skeniranju svih racunara u mrezi

_{[Ovu poruku je menjao kana dana 27.10.2009. u 16:58 GMT+1]}

_{[Ovu poruku je menjao kana dana 27.10.2009. u 16:59 GMT+1]}

Odgovor na temu