wwwpos32.exe – Cum scap de el? (Solutie pentru devirusare)

siszyd32.exe are se pare un fratior geaman. Se numeste wwwpos32.exe si se raspandeste in ultimul timp, avand o detectie medie pe VirusTotal.com (16 din 41)

Este un nou tip de virus care se raspandeste foarte rapid si este dificil de indepartat. Acesta se transmite prin mai multe JavaScript-uri, principalul script facand trimitere la un altul.

Creeaza, dupa rulare, urmatoarele fisiere:

  • C:\WINDOWS\Temp\49d59eaf.tmp (denumire aleatorie)
  • C:\WINDOWS\Temp\~TMC.tmp (denumire aleatorie) – unde C poate fi o cifra sau o litera la intamplare
  • C:\WINDOWS\Temp\eee668dfb626c6f367c9aeb3.tmp (denumire aleatorie)
  • C:\WINDOWS\system32\fjhdyfhsn.bat
  • C:\WINDOWS\system32\drivers\usxf.sys (denumire aleatorie)
  • C:\Documents and Settings\[USER]\Local Settings\Temp\~DFCFA4.tmp (denumire aleatorie)
  • C:\documents and settings\[USER]>\Application Data\fvgqad.dat
  • C:\documents and settings\[USER]\Application Data\avdrn.dat
  • C:\Documents and Settings\NetworkService\Application Data\fvgqad.dat
  • C:\documents and settings\LocalService\Application Data\fvgqad.dat
  • C:\Documents and Settings\Administrator\Application Data\avdrn.dat
  • C:\Documents and Settings\[USER]\Start Menu\Programs\Startup\wwwpos32.exe

Un alt simptom, in afara detectarii unuia dintre aceste fisiere, ar fi utilizarea excesiva a procesorului de catre svchost.exe
In plus, virusul poate sterge Internet Explorer din sistem, iar la urmatoarele restart-uri si alte fisiere critice de sistem, facand PC-ul inoperabil.

In log-ul HijackThis apar urmatoarele intrari:

O4 – HKLM\..\Run: [wwwpos32] C:\WINDOWS\TEMP\~TME.tmp (denumire aleatorie)
O4 – Startup: wwwpos32.exe

Pentru DEVIRUSARE urmati pasii de mai jos:

1. Dezactivati System Restore:
Windows XP === Control Panel -> System -> System Restore – bifati Turn off System Restore on all drives, Apply, OK.

Windows Vista === Control Panel -> System -> System protection (stanga sus) – debifati casutele bifate, Apply, OK.

Windows 7 === Control Panel -> System -> System protection (stanga sus) -> Configure (la partitiile cu Protection – ON) – bifati Turn off system protection, Apply, OK.

2. Descarcati ComboFix de aici: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Apoi asigurati-va ca ati inchis toate programele care ruleaza (yahoo messenger, firefox, etc) si rulati ComboFix. Va va intreba daca sa inceapa curatirea. Confirmati cu Yes de fiecare data. Nu-l opriti in timp ce scaneaza si dezinfecteaza sistemul. E posibil ca in timpul rularii lui desktop-ul sa dispara, dar nu va ingrijorati.
La sfarsit va afisa rezultatele scanarii. Mi le puteti trimite prin e-mail.

3. Descarcati Kaspersky Removal Tool, instalati-l, scoateti cablul de Internet, opriti protectia real-time a antivirus-ului instalat pe PC si bootati in Safe Mode, iar apoi scanati full cu acest utilitar (vezi poza). La terminarea scanarii dezinfectati/stergeti toate fisierele detectate.

4. Descarcati ATF Cleaner, executati-l, bifati Select All si apasati Empty selected.

V-am spus ca va fi sters si Internet Explorer. Reinstalati-l apoi (pentru Windows Vista si Windows 7 va merge si prin Automatic Update), iar pentru Windows XP aveti variantele Internet Explorer 7 sau Internet Explorer 8.

Este posibil sa nu se poata instala, de aceea incercati urmatoarea varianta.
Puteti incerca Microsoft Fix It care va remedia problemele sau modificarile aparute in sistemul de operare si veti putea reinstala IE 7 sau IE 8.

Alternativ, cautati fisierul C:\Windows\ie7.log, deschideti-l si uitati-va in interior dupa linii asemanatoare cu cele de mai jos:

1.469: IECUSTOM: Unwriteable key HKCR\Interface\{34A715A0-6587-11D0-924A-0020AFC7AC4D}
1.469: IECUSTOM: Unwriteable key HKCR\Interface\{34A715A0-6587-11D0-924A-0020AFC7AC4D}\ProxyStubClsid
1.469: IECUSTOM: Unwriteable key HKCR\Interface\{34A715A0-6587-11D0-924A-0020AFC7AC4D}
1.469: IECUSTOM: Unwriteable key HKCR\Interface\{34A715A0-6587-11D0-924A-0020AFC7AC4D}\ProxyStubClsid32
1.469: IECUSTOM: Unwriteable key HKCR\Interface\{34A715A0-6587-11D0-924A-0020AFC7AC4D}
1.469: IECUSTOM: Unwriteable key HKCR\Interface\{34A715A0-6587-11D0-924A-0020AFC7AC4D}\TypeLib

Deschideti apoi regedit (Start > Run, scrieti regedit), cautati cheile respective, click-dreapta pe ele > Permissions si bifati drepturi depline de administrator pentru a le edita.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

16 responses to “wwwpos32.exe – Cum scap de el? (Solutie pentru devirusare)”

  1. Devirusare

    L-a pus un user pe Softpedia Forum si l-am trimis eu la analiza acum 3 zile. Detectia era 2/41 😀

    http://forum.softpedia.com/index.php?showtopic=338374&view=findpost&p=7684349

  2. Dragos

    Eset`u nu il stie inca :).

  3. Silviu

    Salut…am si eu o problema cu acest virus…Dupa ce pornesc scanarea cu Kaspersky Removal Tool se opreste la 77% si nu mai misca de acolo….:| Ce as putea face?:)

  4. Silviu

    da…acum am mai incercat odata si s-a oprit la 80% ….
    mai fac odata de la inceput sper…sa mearga 🙂

  5. Silviu

    Pana la urma am reusit 🙂 ms mult 🙂

  6. roverash

    am urmat strict toate instructiunile. la urmatorul restart virusul a reaparut!

  7. Anunturi4all

    Sa-ti dea Dumnezeu sanatate… E a doua oara cand acest forum ma scapa de mari belele. Mai intai de siszy32 si acum o s aurmez toti pasii ptr a scapa de wwwpo32. Inca o informatie… Cum am detectat ambele probleme: folosesc revo uninstaler si acolo apare clar ce buteaza la start-up. Si cand apare o mizerie din asta o poti sesiza ca e in plus.

  8. Anunturi4all

    MAM-ul nu-l vede pe wwwpo32. Este f importanta dezactivarea sistem restore. Eu nu am mai asteptat sa il scanez cu toata “echipa”. Am incercat ceva mai direct… am vazut unde e cu revouninstaler si l-am sters pe respectivul folder (cel de la capatul liniei) cu unlocker. Si-a dat restart. Dar a ramas cu buza umflata… Dupa repornire scapasem de el.

  9. Marius

    Am avut si eu o problema cu acest virus. Dar am reusit sa il dau jos foarte repede. Nu trebuie sa faci atatea cum ai scris in articol.
    Trebuie doar sa descarci Kaspersky Removal Tool, dai un scan, il gaseste, apare mesajul ca doar dupa restartare se poate sterge, dai sa restarteze….. si GATA 😀 !!! Te asigur ca merge doar daca faci atata!!!

  10. proof1

    da si eu l-am luat, imi foloseste 50%din cpu, lam gasit cu tune-up utilities la start up si nu ma lasa sa il opresc, simatec mi la detectat ca trojan horse, acum sa urmez sfaturile voastre sa vdem ce iese

  11. proof1

    da , marius ai avut dreptate, a mers doar cu removal de la karspesky, trebuie doar dat turn of sistem restore, downloadat removal tools, dai restart intri safe mode, instalezi removel tool dai scan , il gaseste ca trojan backdor, mai cere un restart si sa dus naibi de virus, acum am scanat din nou dupa alt restart si disparut de la start-up, cpu usage e 0%, ms mult!!!

  12. seba

    svchost.com(virus) info virus: Delphi-the best. Fuck off all the rest. Neshta 1.0 Made in Belarus. Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas (salvat in text document) ps: rezolvare: formatare sistem de operare si instalare windows si gata ai scapat de virus

Leave a Reply