W32.Virut (Virtob) – scapa usor de un virus dificil (dezinfectie completa)

Win32\Virut sau Virtob, cum mai este cunoscut este un virus de tip file infector. Odata infectat, este dificil de indepartat daca nu ai uneltele potrivite.

Un file infector va infecta de regula fisierele cu extensia .exe sau .scr. Cand programul infectat este rulat, virusul se activeaza ramanand de cele mai multe ori rezident in memorie pentru a infecta orice alt program va fi executat (de voi sau de catre alte programe\Windows).
Totusi, aceste familii de virusi sunt de mai multe tipuri. Cei mai multi dintre ei sunt polimorfi.
Ei sunt criptati cu un algoritm specific lor si contin doar o mica parte, si anume modulul de decriptare, necriptata.
Cand virusul se va activa, modulul de decodificare intra in actiune si decodifica restul virusului. Corpul virusului mai contine si un modul de criptare. Folosind un generator de numere aleatoare acest modul isi schimba algoritmul de codificare la fiecare infectare a unui nou fisier, modificand modulul de decriptare. Acest lucru face ca atat detectia cat si dezinfectia fisierelor infectate sa fie dificil de realizat.
Din pacate, virusul are unele bug-uri in cod ceea ce rezulta uneori la o infectare “neadecvata” a fisierelor exe, ceea ce duce la imposibilitatea dezinfectiei.

Lasand teoria la o parte, virusul se manifesta prin:

  • cresterea cu cativa kb a dimensiunii fisierelor infectate (de regula 8kb)
  • solicitari DNS si trafic IRC
  • erori la rularea diverselor programe

Pentru o dezinfectie eficienta aveti nevoie de cel putin 3 programe: Dr. Web CureIT, CD-ul original Windows XP SP1\SP2 si Ultimate Boot CD for Windows.

Iata cum se procedeaza pentru o dezinfectie eficienta:

  1. Pe un calculator neinfectat descarcati Ultimate Boot CD for Windows si rulati UBCD4WinV350.exe pe care instalati-l intr-un folder nou (de preferat C:\ubcd4win).
  2. Descarcati Dr. Web CureIT si salvati-l in C:\Drweb
  3. Introduceti CD-ul bootabil Windows XP SP1\SP2 in unitatea cd-rom. Navigati in My Computer, si alegeti Tools > Folder Options > tab-ul View. Verificati ca [show hidden files and folders] este bifata si optiunea [hide protected operating system files] NU este bifata.
  4. Creati un folder C:\XPCD in care copiati tot continuul CD-ului Windows XP SP1\SP2.
  5. Rulati fisierul C:\ubcd4win\UBCD4WinBuilder.exe. Apasati butonul “I agree”, apoi alegeti “NO” la solicitarea de a cauta automat folder-ul Windows.

  6. Alegeti sursa folder-ului Windows, iar la Custom introduceti locatia unde ati salvat Dr. Web CureIT (vezi poza de mai jos):
  7. ultimate boot cd for windows

  8. Apasati butonul Plugins si alegeti ce alte plugin-uri doriti sa folositi. Puteti alege Avira 9, ATF Cleaner, Super Antispyware.
  9. La final apasati butonul Build si scrieti dupa aceea imaginea .iso pe un CD\DVD.
  10. Bootati de pe CD-ul creat anterior. (Pentru aceasta asigurati-va ca in BIOS aveti setata unitatea CD-ROM ca First boot device)
  11. Dupa ce CD-ul s-a incarcat, deschideti My Computer, navigati in unitatea CD\DVD si deschideti folder-ul Drweb, ruland fisierul executabil salvat anterior. Selectati Custom scan, apoi alegeti drive-ul C:\ si in final apasati butonul Play. (vezi poza de mai jos)
  12. Dr. Web CureIT

  13. La orice detectie apasati Cure, sau Cure all pentru a le curata automat pe toate.
  14. In final puteti realiza o scanare aditionala cu Super AntiSpyware sau Avira 9.
  15. Pentru a va asigura ca totul e in ordine dupa dezinfectia sistemului, porniti PC-ul normal, introduceti CD-ul Windows Xp SP1\SP2 in unitatea CD\DVD-ROM, mergeti la Start >> Run si scrieti: sfc /scannow si apasati Enter. (Prin aceasta va veti asigura ca fisierele de sistem sunt cele originale si nu au ramas unele corupte)

Probabil ca pare destul de lung tutorialul, insa am incercat sa dau detalii mai amanuntite pentru cei care nu se pricep atat de bine. Pentru alte amanunte puteti posta un comentariu aici si va voi raspunde.

Urmand instructiunile de mai sus in proportie de 99% veti scapa de infectie. Procentul de 1% este dat de variante noi nedetectate sau fara dezinfectie.
Pentru siguranta puteti rula si AVG Virut Cleaner.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

7 responses to “W32.Virut (Virtob) – scapa usor de un virus dificil (dezinfectie completa)”

  1. rodut

    scuze, postez oarecum off topic. am trei intrebari,daca esti amabil sa-mi raspunzi.
    1. cand dezinstalezi un antivirus, ce se intampla cu virusii din carantina ?
    2. eu folosesc avast, dar zilele trecute am incercat programul de scanare gratuit activescan, de la panda security. acesta mi-a aratat ca sunt infectat cu agent.lnb care este in stare latenta si nu prezinta pericol pt pc, atata timp cat ramane asa.problema e ca avast-ul meu nu detecteaza nimic in neregula. am scanat si cu superantispyware, malwarebytes, ba chiar am dezinstalat avast si am instalat avira, dar tot nu mi-a gasit nimic. am revenit la avast intre timp.
    3.ieri, am programat o scanare la boot si avast mi-a descoperit in sistem ”celebrul” prorat. problema e ca mi la descoperit in firewal-ul comodo pe care-l descarcasem. din cate stiu (nu sunt experimentat in domeniu) prorat te infecteaza doar daca il descarci, dar eu nu am descarcat in ultima luna decat comodo firewall.si ca sa ma dea de tot peste cap, am intrat in carantina avast si am scanat fisierele presupus infectate cu prorat. nu mai era nimic, nici un virus. totul era clean. ma poti lamuri ? iti multumesc anticipat .

  2. Catalin

    @rodut

    1. Normal se sterg
    2. Probabil ca au fost alarme false dar recomandat (de mine) este sa folosesti un antivirus (indeferent care este el ) si sa mai instalat si malwarebytes ca si o a doua optiune NU te baza doar pe un antivirus
    3. Prorat este remote acces tool sau RAT si este detectat de cater antivirus ca fiind un HackTool.Ce ti-a detectat tie este programul care iti face “serverul” ( care il trimiti la victima) dar nu esti infectat te infectezi daca intri in server

    Ce tit recomand eu daca ai un fisier si nu esti sigur de el dai upload pe VirusTotal.com si acolo te poti lamuri mai bine

    Sper ca am fost de ajutor

  3. Catalin

    @rodut (completare la primul post)
    Dai un scan cu malwarebytes si sa vezi ce zice daca nu zice nimica inseamna ca nu esti infectat sau uitate in start-up sa vezi daca este ceva suspect acolo si daca este scoatel cu autoruns sau alte programe asemanatoare .
    Cand scanezi incearca sa scanezi in safe mode .

    PS:Daca ai folosit prorat sau alte programe de tip RAT atunci o sa ai in system32 3-4 fisiere care le lasa cand face un server (Nu te speria)

  4. rodut

    @catalin
    multumesc pt raspuns. nu am folosit niciodata prorat. abia ieri cand am vazut ca-s infectat, m-am interesat ce inseamna. de aceea ma intreb cum m-am procopsit cu el. de scanat am scanat asa cum ti-am mai spus si nimic suspect n-a fost descoperit. dar de cate ori incerc activescan, mi se spune ca am un rootkit, agent lnb, in forma latenta, deci nepericulos decat daca este activat. in fine, am avast-antivirus,comodo-firewall, superantispyware si malwarebytes, presupun ca daca era ceva in neregula, unul din ”protectori” m-ar fi avertizat. totusi raman cu intrebarea vizand prorat. cum l-oi fi luat ? inca odata multam pt raspuns !

  5. Catalin

    @rodut aici ma gandesc la 2 variante ori ai luat ceva infectat cu el ori cand a fost alcineva la calculator la descarcat de undeva .
    Ca sa verifici daca ai rootkit-uri ai 2 optiuni ori cu UBCD4Win ori cu DebugView dar daca nu esti experimentat ai putea folosi DebugView [http://technet.microsoft.com/en-us/sysinternals/bb896647.aspx]

    Cum folosesti DebugView ?

    Il descarci si in executi dupa aceea apesi ctrl+e sau pe lupa din bara de unelte daca nu iti arata nimica ( dupa vreo 2-3 minute) inseamna ca nu ai rootkit-uri in calculator dar daca iti arata ceva inseamana ca ai .

    Daca mai ai o problema poti apela la noi cu incredere pentru ca “Intr-o lume plina de virusi exsista mereu un prieten”

  6. rodut

    inca odata multumesc pt sfaturi. am incercat debugview, nici el nu mi-a aratat ca as avea vreo problema. inseamna ca activescan este problema.cat despre prorat, doar eu am avut acces la computer,asadar chiar este un mister pt mine cum m-am trezit cu el in sistem. multumesc.

  7. Ceva similar cu Dr Web? - Computer Games Forum

    […] > aici < cum sa procedezi cu D: __________________ | C2D E8400 | DFI P965-S | 2x1GB Crucial Balistix […]

Leave a Reply