Virusul Zimuse distruge MBR-ul hard-disk-ului (Devirusare)

zimuse virusVirusul Zimuse a aparut de curand si infecteaza deja mii de computere din intreaga lume.

Ceea ce este atat de special cu privire la el este faptul ca distruge MBR-ul Hard-Disk-ului facand sistemul inoperabil, iar calculatorul nu mai porneste sub nici o forma.

Un alt element interesant: virusul are efect intarziat – nu actioneaza decat la circa o luna dupa rulare. Nici macar nu stii cand l-ai luat sau de unde.

Isi creeaza cateva copii in folder-ul de sistem al Windows si de asemenea urmatoarea cheie registry pentru a-si asigura rularea la fiecare pornire a sistemului: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]”Dump”=”%programfiles%\Dump\Dump.exe”.
In plus creeaza doua drivere numite %system%\drivers\Mstart.sys si %system%\drivers\Mseu.sys
Cum sistemele de operare pe 64-bits necesita semnarea digitala a oricarui driver, acestea nu vor fi afectate si anume: Windows Vista x64 si Windows 7 x64.

Virusul vine deghizat sub forma unui test IQ (si inca ce test!) pe care utilizatorul naiv il va rula. Dupa 40 de zile (pentru varianta Win32.Worm.Zimuse.A) sau 20 de zile (pentru varianta B) va fi afisata urmatoarea eroare – System Defender – Kernel error: 0xC00000005:

worm zimuse remove


La urmatorul restart PC-ul nu va mai boota, Windows-ul nu se va mai incarca si veti vedea urmatoarea eroare – FATAL: No bootable medium found! System halted.:

zimuse error

In acest moment primii 50 bytes din MBR (Master-Boot Record) al hard-ului au fost rescrise iar PC-ul nu va mai putea fi utilizat. Se poate incerca pornirea sistemului folosind comanda “fix mbr” din “Recovery console” a CD-ului Windows. La ora actuala majoritatea producatorilor antivirus (Avira, NOD32, BitDefender, McAfee, etc) il detecteaza, de aceea este recomandata actualizarea definitiilor.

Un aspect pozitiv in cazul sau este ca puteti scana acum si devirusa sistemul cu antivirusul instalat, fiindca virusul va actiona tardiv. Dar daca nu o faceti la timp, mai apoi poate fi prea tarziu.

Pentru DEVIRUSARE: Descarcati si scanati cu unul din utilitarele de mai jos
1. ESET:
http://www.eset.eu/download/ezimuse-remover
2. BitDefender:
http://www.zimuse.com/download/zimuse-removal-tool.exe

Sursa: Malware City

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

32 responses to “Virusul Zimuse distruge MBR-ul hard-disk-ului (Devirusare)”

  1. Florin0904

    Si afecteaza numai partitia C si trebuie formatata din nou, sau afecteaza si celelalte partiti.

  2. eu

    deci daca intra virusul asta in pc , strica tot hardul? … trebuie sa reformatez tot ?

    sau cum ?

  3. marius

    Problema este ca iti trebuie alt hard.

  4. Sergiu

    Nu iti trebuie alt hard Marius, si daca nu stii, nu dezinforma lumea.

    Pentru restul care puneti intrebari pe aici, folositi cu incredere “Goagăl”.

  5. vlad

    marius:
    problema se rezolva prin rescrierea mbr-ului, nu prin cumpararea altui harddisk

  6. Nelu

    Si “desteptii” de la Symantec il considera ca pe un risc extrem de scazut
    http://www.symantec.com/security_response/writeup.jsp?docid=2010-012301-1138-99

  7. Nick

    @All
    Nu va faceti probleme cu MBR-ul,daca ati luat promotiile alea de Acronis,tot de aici,si le folositi deja,cind restaurati partitia activa,bifati acolo si “restore MBR”,sau ceva de genu’ asta.Si problema este rezolvata! 8)
    Nu-i asa Radu?

  8. Nick

    @Radu
    Nu pot să nu observ,că din cauza abstinentei mele,forțate, de a fi răutăcios în mod repetat,altcineva a preluat problema ironiilor… 😈

  9. Nick

    @Radu
    Corect,Edward,dacă nu mai ești supărat pe bine,pune-l pe Radu în Stand-by… 😆

  10. B7ackAnge7z

    “Moreover, if the right removal method is not used, the worm shifts to its destructive mode. This is similar to making the right choice on which wire to cut, and in what sequence in a bomb-defusing operation.”

    Pentru doritorii de informatii suplimentare:
    http://www.eset.eu/press-computer-worldwide-targetted-by-MBR-Worm

    … si interesante:
    http://www.eset.eu/buxus/generate_page.php?page_id=3246&lng=en

    Iar pentru, Radu — un MARE multumesc pentru semnalare.

  11. ads

    http://www.zimuse.com de la BitDefender.

  12. carla

    cum aflu daca am virusul ? sa descarc de pe linkurile de mai sus si sa rilez programele ?

  13. Nick

    @carla
    Ia utilitaru’ de la BitDefender și rulează-l ! 🙂

  14. Florin

    si dak am dat sa instalez prostia aia si mio dat eroare mie virusat compul? dak da pot sa scap de ei si cum pls help

  15. Ilie

    Deci Chestia Asta e Pusa pe net la Testele IQ ???? Ca sa Stiu si eu sa nu Fac prostia sa dau vreun click 🙂 sau altceva:)

  16. Alice

    am si eu o intrebare…:D
    cum poti lua acest virus..?

  17. a

    @Radu. Ai cumva idee daca pc-ul infectat cu acest virus poate fi defragmentat? (hdd-ul,desigur)

  18. Viermele Zimuse şi utilitarul MBRFix

    […] de la faravirusi.com, a vorbit despre Zimuse, însă aşa cum se poate vedea şi din comentariile ce au însoţit […]

  19. mimi

    ba in plm asta e tare rau virusu,nas vrea sa intre la mn in pc
    :O:O:O:O:O:O:O:O:O:O:O

  20. TataTibi

    Pai daca nu mai buteaza, cum defragmentezi? :))

  21. mario sorin

    am folosit acronis disc director 10 parca am partitionat o partitie in fat32,iar acum nu mai pleaca windows.Imi da eroarea:,,non system disk,pres any key”,apas si scrie sa bootez dupa disketa floppy,am incercat sareinstalez winows-ul de pe dvdsi de pe stick si imi da aceeasi eroare. CE SA FAC?

  22. mario sorin

    ARE CINEVA VRE-O IDEE/
    ?merge instalat windowsul de pe disketa?

    1. Malware.analysis

      incearca sa bootezi pc de pe un floppy de system, navighezi pana unde ai kit-ul de XP si executi “winnt.exe” (\i386\winnt.exe)

  23. mario sorin

    mersi dar am w7,si nici nu stiu ce e ,pardon am vrt sa zic ca nu stiu cum se fave un floppy de system

  24. mario sorin

    am rezolvat pina la urma problema,am formatat prima data hardu cu un xp,din 4partitii am reusit sa fac doua restul nu mia dat voie si am formatat hardul cu un w7.Ce pot sa spun ca este si eficient si periculos suita acronis daca nu le faci cum trebuie.Oricum nu ma las pina nu invat tot!Bafta tuturor!!!!!

Leave a Reply