rss

duminică, 17 octombrie 2010

Curatare IM-Worm.Win32.Qucan.a [ Opreste accesul la Task Manager si Registrii ]

O metoda simpla de reactivare a Task Manmager-ului este urmatoarea start->run->gpedit.msc->user configuration->administrative templates->system->ctrl alt del options->remove task manger->disabled->apply-> ok

Daca si Folder Options si Registry Editor sunt dezactivate, atunci urmatoarele metode va vor fi de folos:
a. deschideti Run, tastati gpedit.msc apoi mergeti la User Configuration -> Administrative Templates –> System. In panoul din dreapta dati dublu-click pe Prevent access to Registry editing tools pentru editare si selectati Not Configured sau Disabled.
b. deschideti Run si tastati urmatoarele:
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f
apoi dati Enter.


Aceste metode va ajuta sa reactivati Task Manager si Registrii dar nu va scapa de virus. In continuare aveti un tutorial detaliat despre cum puteti scapa de acest virus.

Acest vierme poate fi usor confundat cu IM-Worm.Win32.Sohanad.O
Procedura de curatare este diferita pentru Sohanad.O. (vezi link)

------------------
Semne
Start menu: Run lipseste din Start menu
Internet Explorer: Homepage schimbat, iar editarea in "Internet Options" nu e posibila
Task Manager: este blocat.
Yahoo Messenger: Status Message este schimbat

Incearca sa inlocuiasca regedit.exe. Daca reuseste folosirea regedit.exe reinstaleaza viermele.

------------------
Curatare

1. Download Delete_YM_Qucan.zip pe desktop

2. Download Clear/Edit YahooMessenger Status History pe desktop.

3. Download ATF Cleaner pe desktop.

4. Reboot in safemode.

5. Se fixeaza cu HijackThis urmatoarele:
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = hxxp://thecoolpics.net

O4 - HKLM..Run: [Task Manager] C:WINDOWSsystemsvchost32.exe

O4 - HKLM..Run: [svchost] C:WINDOWSsystemsvhost.exe

O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present

O7 - HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1

6. Se sterg fisierele:

C:WINDOWSsystemsvchost32.exe <-- acest fisier
C:WINDOWSsystemsvhost.exe <-- acest fisier
(Atentie svchost.exe este un fisier legitim Microsoft)

7. Se golesc temp folders:
Dublu-click ATF-Cleaner.exe pentru a porni programul.
In tab-ul Main alege: Select All
Apasa butonul Empty Selected.

8. Se repara Registry:
Extrage 'Delete_YM_Qucan.inf' din Delete_YM_Qucan.zip pe desktop.

Click dreapta pe 'Delete_YM_Qucan.inf' si selecteaza 'Install'.

9. Reboot normal.

10. Scaneaza computerul online:
http://www.bitdefender.com/scan8/ie.html
http://www.kaspersky.com/virusscanner

11. Viermele incearca sa inlocuiasca regedit.exe.

Daca regedit.exe a fost inlocuit / sters iti trebuie CD-ul Windows.
Pe CD-ul Windows, regedit.exe se afla in folderul I386. Se copiaza in C:Windows si C:Windowssystem32dllcache

12. Deschide YIM-StatusEdit.exe si apasa "Check ALL" si apoi "Clear Checked".
Programul e destul de instabil si mai crapa din cand in cand. Da' isi face treaba daca nu apesi pe alte butoane.

1 comentarii:

Anonim spunea...

Hey There. I discovered your weblog the use of msn.
That is a very neatly written article. I'll make sure to bookmark it and return to learn more of your helpful information. Thanks for the post. I will definitely return.

Feel free to visit my homepage ... creative group

Trimiteți un comentariu