• hi, how are you?
• Wanna laugh?
• It is you on the video? )) want to see?

Devirusare “It is you on the video”

Avand in vedere ca marea majoritate a antivirusilor il detecteaza nu ar mai trebui sa fie vreo problema in a va remedia aceasta problema.

In cazul in care nu dispuneti de vreun antivirus cel mai usor mod de a scapa de acest virus luat de pe Facebook este sa descarcati Malwarebytes de aici.

Dupa instalarea care este una extrem de usoara gen: next next next si finish lasati-l sa isi faca update, dupa care dati o scanare Quick eventual, apasati pe Remove Selected (un buton cu negru undeva in dreapta jos) apoi un restart pentru a sterge tot ce a gasit si nu a putut sa stearga in modul activ al windows-ului.

Virus – Nu mai pot accesa Facebook-ul

• %windir%\system32\drivers\etc\
• unde %windir% reprezinta calea catre folderul windows, care de obicei C:\Windows\
• de asemenea pentru a naviga mai repede catre aceea destinatie copiati calea de mai sus si introduceti-o in RUN (start –> RUN) –> OK

In cazul in care aveti Windows 7 si din diverse motive nu va lasa sa stergeti fisierul hosts va trebui sa dezactivati UAC-ul (start –> scrieti uac numai daca e in engleza windows-ul, in noua fereastra trageti de bara in jos de tot si dati OK), dati restart si acum ar trebui sa va lase, dupa care de preferat ar fi sa activati din nou UAC-ul.

Date tehnice virus Facebook

Creaza in folderul %windir% urmatoarele fisiere si foldere, dintre care

%windir%\btc_client_iplist.txt
%windir%\ddh_iplist.txt
%windir%\front_ip_list.txt
%windir%\geoiplist
%windir%\geoiplist.rar
%windir%\iecheck_iplist.txt
%windir%\info1
%windir%\iplist.txt
%windir%\l1rezerv.exe
%windir%\phoenix
%windir%\phoenix.rar
%windir%\proc_list1.log
%windir%\rpcminer
%windir%\rpcminer.rar
%windir%\services32.exe
%windir%\sysdriver32.exe
%windir%\sysdriver32_.exe
%windir%\systemup.exe
%windir%\ufa
%windir%\ufa.rar
%windir%\unrar.exe
%windir%\update.1
%windir%\update.2
%windir%\update.5.0

Virusul creaza in folderul %temp% urmatoarele fisiere:

55033_myunrar2.exe
2136041.exe
7637544.exe

Deci, pentru cei care vor sa isi deviruseze calculatorul manual va trebui sa stearga fisierele indicate mai sus.

Aveti grija ca in folderele update.1 …update.5.0 exista virusi cu denumirea de svchost.exe ce ruleaza cu drepturi de SYSTEM lucru va face imposibil deosebirea virusului in Task Manager de svchost-urile bune ale windows-ul.

Pentru acest lucru va sfatuiesc sa folositi in loc de Task Manager soft-ul Process Explorer de la Microsoft in combinatie cu Autoruns (aveti grija ce stergeti cu acesta din urma).

De preferat ar fi sa nu rulati aceste fisiere, insa daca a-ti facut-o ceea ce asa cred, pentru ca altfel nu a-ti fi ajuns aici, iata cum puteti sa scapati de acest tip de malware:

O data ce rulati acel executabil in calculatorul vostru incepe sa ruleze un antivirus fals asemanator ca si denumirea celor de mai jos:

• Xp antivirus 2011
• Xp security 2011
• Xp internet security 2011
• Win 7 antivirus
• Xp Anti-Spyware 2011
  

Dupa rularea acestui fals antivirus veti fi intampinati de diferite mesaje cum ca aveti calculatorul infectat, insa chiar el este virusul.

Xp security antivirus 2011

Specificatiile generale xp antivirus 2011, xp security 2011 si xp internet security 2011:

• o data rulat acest fals antivirus se copiaza in %AppData%\Local\[aleator].exe si ruleaza in taskmanager sub denumirea [aleator.exe]. De obicei [aleator] inseamna 3 litere .exe (nu confundati cu alg.exe)
• creaza urmatoarele chei de registri:

HKEY_CURRENT_USER\Software\Classes\.exe
HKEY_CURRENT_USER\Software\Classes\.exe\DefaultIcon
HKEY_CURRENT_USER\Software\Classes\.exe\shell
HKEY_CURRENT_USER\Software\Classes\.exe\shell\open
HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command
HKEY_CURRENT_USER\Software\Classes\.exe\shell\runas
HKEY_CURRENT_USER\Software\Classes\.exe\shell\runas\command
HKEY_CURRENT_USER\Software\Classes\.exe\shell\start
HKEY_CURRENT_USER\Software\Classes\.exe\shell\start\command
HKEY_CURRENT_USER\Software\Classes\pezfile
HKEY_CURRENT_USER\Software\Classes\pezfile\DefaultIcon
HKEY_CURRENT_USER\Software\Classes\pezfile\shell
HKEY_CURRENT_USER\Software\Classes\pezfile\shell\open
HKEY_CURRENT_USER\Software\Classes\pezfile\shell\open\command
HKEY_CURRENT_USER\Software\Classes\pezfile\shell\runas
HKEY_CURRENT_USER\Software\Classes\pezfile\shell\runas\command
HKEY_CURRENT_USER\Software\Classes\pezfile\shell\start
HKEY_CURRENT_USER\Software\Classes\pezfile\shell\start\command
HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command | @ = “”%AppData%\yun.exe” /START “%1″ %*”
HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command | IsolatedCommand = “”%1″ %*”
HKEY_CURRENT_USER\Software\Classes\.exe | @ = “pezfile”
HKEY_CURRENT_USER\Software\Classes\.exe | Content Type = “application/x-msdownload”
HKEY_CURRENT_USER\Software\Classes\pezfile\shell\open\command | @ =”%AppData%\yun.exe” /START “%1″ %*”
HKEY_CURRENT_USER\Software\Classes\pezfile\shell\open\command | IsolatedCommand =”"%1″ %*”

Internet Security 2011

Devirusare Xp Antivirus 2011, Xp Anti-Spyware 2011

Iata ce trebuie sa faceti pentru a devirusa calculatorul infectat cu xp antivirus 2011, xp internet security 2011 sau xp security 2011:

• in primul rand trebuie sa stergeti urmatoarele key de registri:

HKEY_CURRENT_USER\Software\Classes\.exe
HKEY_CURRENT_USER\Software\Classes\exefile

• stergeti fisierul creat de virus, acesta poate fi gasit in calea: %AppData%\[aleator].exe, dar aveti grija el este ascuns

Daca stiti ca aceste lucruri nu le puteti duce la bun sfarsit si in deplina siguranta pentru sistemul vostru de operare mai jos aveti un utilitar creat de mine special  pentru acest tip de malware.

Download xp security antivirus 2011 remover

Atentie: Utilitarul este facut in asa fel incat acesta sterge toate fisierele .exe din folderul %AppData%. De obicei aici nu ar trebui sa existe nici un executabil, insa daca stiti ca aveti ceva salvat pe acolo ar fi bine sa il copiati in alta parte

In cazul in care antivirusul a sters acest antivirus fals, iar atunci cand  rulati orice executabil sunteti intampinati de fereastra de mai jos, va trebui sa stergeti cheile de registri indicate mai sus ruland utilitarul regedit.exe din windows cu click dreapta si run as apoi click direct pe OK, ori ruland Xp Anti-Spyware 2011 remover.

Virusul nu afecteaza doar rularea programelor la dublu click, lasand posibilitatea utilizatorului sa ruleze orice program numai cu functia RUN AS.

Xp antivirus 2011 open with

PS: acestea sunt toate ip-urile site-urilor celor care raspandesc acest fals antivirus. Nu dati curs nici unei comenzi chiar daca pare tentanta. Calculatoarele din spatele ip-urilor listate mai jos au toate ca si sistem de operare linux-ul (de obicei CENTOS) si SSH-ul activat ceea ce ma face sa cred ca acest lucru a fost posibil datorita unui bug in cadrul sistemului de operare neacoperit de catre proprietarii acestor servere.

208.43.137.17
173.193.161.106
173.193.161.104
173.193.161.105
173.193.161.70
208.43.137.18
208.43.231.77
174.37.179.36
208.43.231.79
209.97.213.9
50.23.166.50
208.43.231.76
50.22.211.145
209.97.213.11
208.43.231.78
50.22.211.146
209.97.213.8
50.22.211.147
209.160.42.96
174.37.179.37
208.43.137.16
174.37.179.38
209.160.41.178
50.23.166.53
209.160.42.91
209.160.42.89
208.43.231.79
208.43.231.77
50.23.166.53
208.43.231.76
174.37.179.38
174.37.179.36
208.110.67.102
50.23.166.50
208.43.231.78
208.110.67.119
174.37.179.37
50.22.211.146
208.43.137.16
64.46.38.130
50.22.211.144
65-254-54-77
208.110.67.121
64.46.38.145
64.46.38.129
208.110.67.122
50.22.211.147
209.97.213.9
50.22.211.145
209.97.213.8
209.97.213.11
209.97.213.9
50.23.166.53
208.43.231.77
208.43.231.79
208.43.231.78
50.23.166.50
174.37.179.36
174.37.179.38
174.37.179.37
208.43.137.16
208.43.231.76
209.97.213.9
50.22.211.145
50.22.211.147
50.22.211.146
64.46.38.145
50.22.211.144
209.97.213.8
64.46.38.130
208.110.67.102
64.46.38.129
208.110.67.119
208.110.67.121
65-254-54-77
208.110.67.122
209.97.213.11

Toate acestea sunt o copie cei drept nu prea reusita, dar pentru un utilizator incepator chiar si mediu il poate duce in eroare si astfel acesta se poate alege cu un Antivirus Fals.

Atentie! pagini YouTube false

Detectia acestui Fals Antivirus (packupdate106_2033.exe, packupdate107_2033.exe, packupdate8_2033.exe, packupdate9_2033.exe,  ) este destul de slaba doar 6 din 43 conform site-ului VirusTotal.

Iata si lista acestora:

AntiVir                  TR/Dropper.Gen
Panda                     Suspicious file
PCTools                 HeurEngine.MaliciousPacker
Sophos                   Mal/Koobface-G
Sunbelt                  Trojan.Win32.Generic!SB.0
Symantec             Packed.Generic.306

deci ca si antivirusi mai cunoscuti si care sunt in stare in acest moment de o detectie nu ar fi decat: Sophos, Panda si Symantec, Avast 5 are doar cateva site-uri in baza de date cu link-uri malitioase, dar chiar si asa tot le lasa sa se incarca. De asemenea si cei care folosesc Google Chrome o sa sesizeze o protectie in plus venit din partea acestui browser prin blocarea link-urilor malitioase.

Detectie Avast a link-urilor malitioase si protectie Google Chrome

Toate paginile infectate au in componenta URL-ului cuvantul Hot Video, dupa care acestea se poat gasii. Sincer nu v-as sfatui sa faceti o cautare dupa aceasta combinatie de cuvinte deoarece cum am zis si mai sus antivirusii deocamdata au o detectie destul de slaba.

In cazul in care din curiozitate ati intrat sau pur si simplu ati dat peste o pagina de genul acesta:

Pagina Falsa de YouTube

dupa care vi se va cere instalarea unui pachet de codecuri pentru vizualizarea filmuletului sau veti fi atentionat de existenta unui malware in calculatorul personal:

dupa aceasta etapa o sa fiti intampinati de o imagine destul de reala ca cea din My Computer unde asa zisul Antivirus  face o falsa scanare:

Mesaj Antivirus Fals - NU DESCARCATI- NU INSTALATI NIMIC

In cazul in care ati ajuns aici ar fi bine sa nu descarcati nimic si in special sa nu rulati – instalati nimic.

In urma cu cateva zile au aparut raportari cum ca anumite site-uri web hostate pe Go Daddy, Bluehost, Media temple, Dreamhost si Network Solutions au fost infectate cu un script java prin care utilizatorului i se prezinta o pagina falsa de scanare a calculatorului urmand ca apoi sa indrume utilizatorul spre descarcarea unui antivirus FALS.

Mesajul afisat de catre pagina web infectata este urmatorul:

Fie ca dati Ok ori apasati pe X pentru a inchide acest mesaj pagina va continua sa se incarce si va prezenta o fereastra in care este simulata scanarea calculatorului prin care se incerca pacalirea utilizatorul sa descarce si sa ruleze FALS-UL antivirusul .

Antivirus fals - Fake antivirus warning

Pentru a evita infectarea calculatorului sfatul meu este sa inchideti pagina web iar daca vi se va cere sa descarcati sau sa rulati vreun program eu va sfatuiesc sa nu o faceti.

Din fericire Avast antivirus versiunea 5 detecteaza acest fisier (107a5f7b5729bc00d1c796f03b295bcb24b03009011.js) ce incearca sa descarce automat antivirusul fals in calculatoarele voastre si va bloca orice conexiune cu site-ul infectat. Avand in vedere ca antivirusul Avast pe care il folosesc eu este unul gratuit tind sa cred ca si ceilalti antivirusi il detecteaza.

Chiar daca am deviat putin de la subiect facand aceasta lunga paranteza se pare ca web site-urile au fost infectate atat datorita  parolelor simple cat si a folderelor cu permisiuni de scriere prin care Hackeri au inserat acel cod malitios in site-uri.

Cum poti sa iti dai seama daca ai site-ul virusat

Urmatoarele site-uri sunt infectate avand aceste fisiere:

http://www.indesignstudioinfo.com/ls.php

http://zettapetta.com/js.php

In cazul in care ai site-ul infectat aici exista o modalitate de devirusare:

http://www.wpsecuritylock.com/breaking-news-wordpress-hacked-with-zettapetta-on-dreamhost/

Conform site-ului VirusTotal.com iata si statisticile de detectie ale acestui virus:

Pentru fisierul ce incearca descarcarea automata a virusului in calculator rata de detectie este de doar 12 din 41 adica undeva sub 30%:

http://www.virustotal.com/analisis/3a0cd9fd0b23ff54f28f5cbe774aea26475b78251882576f9fe09855a5ed49f7-1273424378

Tot aceasi rata de detectie o au si antivirusii pentru antivirusul fals (executabilul):

http://www.virustotal.com/analisis/1b16a4c70c83b067c7cb2f6712967ce09c4a712b71408d69d2eb04c8dcf7e938-1273419353

Acest virus ca si cel de aici se raspandeste tot cu ajutorul clientului de Yahoo Messenger, dar spre deosebire de acela acesta este 100% detectabil de toti antivirusi de pe piata conform site-ului VirusTotal.com.

Mesajul primit este unul ca cel de mai jos:

Show la webcam gratis http://webcamsex.lx.ro asteapta sa se incarce java si dai run

Virusul creeaza urmatoarele foldere fisiere:

%AppData%\addon.dat
%System%\Bifrost\servver.exe
%System%\Bifrost

Pentru a putea rula de fiecare data cand computerul este pornit virusul isi insereaza codul in procesul explorer.exe si creaza urmatoarele chei de registri:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}
HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost
HKEY_CURRENT_USER\Software\Bifros

De asemenea in momentul in care utilizatorul da click pe run din apletul java, se descarca un fisier jar: http://webcamsex.lx.ro/Client.jar ce creeaza fisierul: %temp%\winconfig.vbs.

Acesta v-a descarca virusul de pe server: http://webcamsex.lx.ro/server.exe in folderul %temp%\update.exe si il va rula in calculatorul victimei, dupa care acesta se va copia in %System%\Bifrost.

Deci ca un rezumat nici unul din fisierele amintite mai sus nu sunt simportante, ca atare nu trebuie sa faceti altceva decat sa stergeti folderul %System%\Bifrost (de cel mai multe ori c:\windows\sysmte32\Bifrost) si sa ii dati un restart la calculator.

Si ca o paranteza Avast versiunea 5 cu Web Shield activat va bloca accesul la site, in rest atentie mare pe ce mai dati click.

Se pare ca de azi cel putin prin Romania circula un nou virus ce se raspandeste cu repeziciune prin Yahoo Messenger.

Virusul  a fost activ pe aceste website-uri si apartin in totalitate Yahoo-ului :

hxxp://ariafotos.com/image.php

hxxp://zhelefun.com/image.php

hxxp://ceceliaimg.com/image.php

hxxp://tviceimg.com/image.php

In momentul acesta link-uurile din mijloc (cele cu rosu) inca mai functioneaza asa ca atentie mare pe ce dati click in clientul de Yahoo Messenger.

Conform website-ului: http://www.virustotal.com acest virus nu este detectabil decat de doar 2 antivirusi (Comodo si Sophos) din 40 ceea ce ii confera dreptul sa faca ce vrea prin calculatoarele victimelor.

Virusul care poarta denumirea IM56245.JPG-www.myspace.com.exe este recunoscut de Comodo Antivirus ca P2PWorm.Win32.Palevo.GZA si de Sophos ca Mal/Rimecud-D, avand aceeasi caracteristica a numelui ca si trojanul Michael Jackson. Daca va mai amintiti de el si acela prezenta in componenta numelui un website. In cazul de fata este vorba de www.myspace.com pentru a duce utilizatorul in eroare.

Acest executabil de tip trojan isi creeaza urmatoarele fisiere:

%Windir%\infocard.exe (acesta va fi si procesul activ)
%Windir%\mds.sys
%Windir%\mdt.sys
%Windir%\winbrd.jpg

Scanarea am realizat-o cu Hijackthis de la TrendMicro si Autoruns de la Microsoft doua softuri care folosite impreuna e cam improbabil sa le scape ceva in materie de tot ce inseamna malware, spyware si troieni, mai putin virusi ce infecteaza executabilele.

De asemenea urmatoarele chei registry ii apartin:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = "%Windir%\infocard.exe"]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = "%Windir%\infocard.exe"]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = "%Windir%\infocard.exe"]

In urma rularii troianului IM56245.JPG-www.myspace.com.exe acesta tine o conexiune deschisa cu ip-ul: 123.176.40.3 pe portul 2345 ce se afla in India, fiind un server apache avand porturile 443, 21 deschise si cel mai probabil vulnerabil daca nu chiar spart de hackeri.

Acest ip poate fi chiar sediul central al acestui virus de unde poate prelua comenzi, de aceea va recomand ca in firewall sa realizati o blocare a oricaror activitati TCP si UDP catre ip 123.176.40.3.

Devirusare infocard.exe - IM56245.JPG-www.myspace.com.exe

Pentru devirusare va trebui sa inchideti din Task Manager procesul infocard.exe, dupa care v-a trebui sa stergeti urmatoarele fisiere:

%Windir%\infocard.exe
%Windir%\mds.sys
%Windir%\mdt.sys
%Windir%\winbrd.jpg

De asemenea va trebui sa inlaturati si cheile de registri amintite mai sus dar nu este neaparat nevoie ele chiar daca raman nu o sa afecteze in nici un fel sistemul de operare atata timp cat fisierele troianului nu mai exista.

Pentru a scapa automat de acest trojan – infocard.exe am facut pentru voi un mic fisier de tip bat ce inchide si sterge virusul si pe care il puteti descarca de aici.

Pentru stergerea virusului va trebui sa deschideti programul de 2 ori.

Update virus Yahoo Messenger

Datorita faptului ca virusul se raspandeste foarte repede acesta si-a  creat mai multe versiuni daca pot sa le spun asa.

Pe langa fisierele amintite mai sus e posibil ca infocard.exe sa poarte si alta denumire ca: net.exe si net1.exe care se afla tot in folderul Windows.

Conexiunile de aseara pe care micul nostru virus le avea s-au diversificat astfel:

Deci avand in vedere ca foloseste mxs.mail.ru si psmtp.com pe portul de smtp acesta va incerca sa faca si spam. De asemenea are si functie de backdoor, deoarece dupa cateva ore de teste am observat si acest fisier umvxcr.exe in folderul utilizatorului de pc: c:\Documents and Settings\User vostru\ , cu proprietati de ascundere – hidden.

Pentru acest lucru am adaptat si programelul de devirusare pe care il puteti descarca de aici.
Pentru stergerea virusului va trebui sa deschideti programul de 2 ori.

Iata ca nu mai e mult pana o sa vina Valentine’s Day sau Ziua Indragostitilor si ca in mai toate zilele importante de peste an hackerii nu vor sta degeaba cum nici in alti ani nu au facut-o creeand noi metode din ce in ce mai sofisticate pentru a prelua controlul calculatoare din internet.

Tind sa cred ca de aceasta zi o sa avem o noua surpriza in materie de virusi sau mai bine spus de trojan horses -cai troieni.

Hackerii probabil vor profita de bug-ul din Internet Explorer 6 raspandind link-uri infectate prin email sau vor trimite felicitari false ce contin virusi

Un alt scenariu care se poate intampla poate fi sosirea unor mesaje de tip spam pe email sau cu ajutorul clientilor de messenger fie el Yahoo mesenger, MSN mesenger sau Google Tolk – mai putin probabil. Toate aceste au un singur scop furtul de parole ale conturile voastre sau transformarea calculatoarele din internet in noi retele de tip bot net cu ajutorul carora vor infecta noi computere.

Un caz si mai sinistru dar posibil este folosirea celor 3 metode combinate intr-una singura. Pentru cei care sunt curiosi cum s-ar putea face asa ceva am sa va dau si un raspuns in mare:

• Se creeaza o pagina de internet care verifica daca utilizatorul foloseste IE 6
• Daca raspunsul este afirmativ atunci se aplica exploit-ul pentru Internet Explorer 6 si ii afiseaza o poza utilizatorul nestiind ce se intampla cu adevarat in calculatorul sau.
• Se viruseaza calculatorul si incepe sa trimita mesaje de tip spam pe email sau Messenger (aceste 2 metode merg si combinate).
• Daca utilizatorul nu foloseste Internet Explorer 6 atunci il forteaza (pacaleste) sa descare un fisier executabil continand virusul sub forma de felicitare.
• De asemenea pentru o raspandire si mai mare s-ar putea apela si la implementarea functia de autorun pentru stick-urile de memorie.

Pentru a va proteja impotriva acestor amenintari eu unul va voi recomanda sa aveti instalat un antivirus cu toate update-urile la zi, un firewall – cel de Windows e deajuns daca sunteti un utilizator mediu sau avansat si in cele din urma dar poate cel mai important lucru este analiza fiecarui program descarcat de pe internet fie el primit pe messenger, email sau cu ajutorul oricarui alt soft sau browser.

PS: Nu mai folositi browser-ul Internet explorer – cum multe state europene si-au instinta utilizatorii de acest lucru am ales ca si eu sa fac la fel din metode de securitate.

Hackerii s-au folosit de un bug in Internet Explorer versiunile 6, 7 si 8 in care acesta permite rularea de cod fara a mai instinta utilizatorul de descarcarea si rularea acestuia.

Exploit-ul folosit in atacul asupra celor doua companii a fost facut public pe data de 14.01.2010 fiind uplodat pe site-ul http://wepawet.iseclab.org pentru a fi analizat, astfel el putand fi descarcat de oricine.

Codul folosit in atacul catre Google este acum public

Atacul este unul de mare amploare daca se ia in calcul numarul de utilizatori care inca mai folosesc Internet Explorer si faptul ca pe Internet Explorer 6 are cele mai mari sanse de reusita.

Expertii in securitate remocanda folosirea altor browsere ca Google Chrome, Mozila FireFox sau Opera, toate nefiind afectate de aceasta vulnerabilitate.

Pentru cei care doresc sa afle daca antivirusul lor confera o protectie impotriva acestui exploit pot descarca codul sursa al acestui de aici sau puteti trage un ochi pe site-ul VirusTotal unde va puteti da seama daca acesta are sau nu o definitie implementat.

Acum 3 zile numarul antivirusilor care confereau protectie era destul de mic (12 din 41) insa acum a ajuns la 51.22% din (21 din 41). Versiunea Avast Home Edition 5 prezentata intr-un articol anterior are deja o definite pentru acest exploit si este gata sa sara in ajutorul utilizatorului.

Daca Microsoft nu va scoate un patch cat mai repede la aceasta vulnerabilitate multe firme cat si calculatoare personale ar putea fi intr-un real pericol daca cratorul virusului Conflicker/Downadup ar profita de acesta vulnerabilitate si ar incerca din nou raspandirea acestuia dar sub o alta varianta.

Cu Data Doctor 2010 va puteti alege de pe diverse website-uri, dar numai prin acceptarea acestui fisier si rularea lui, dupa care virusul va afisa un mesaj de eroare “Unrecognized disk driver command” si va reporni calculatorul in in safe mode.

Ei bine acest program de tip rogue Data Doctor 2010 nu numai ca este la fel de deranjant ca si celelalte, dar de fiecare data cand incercati sa accesati fisiere de pe hard disk acesta le cripteaza, urmand un mesaj de eroare ca cel de mai jos:

Pentru a devirusa calculatorul si a scapa de Data Doctor 2010 va trebui sa stergeti urmatoarele fisiere, dar nu inainte de a inchide procesul virusului din Task Manager si anume fs.exe.

%UserProfile%\Start Menu\Programs\DataDoctor\DataDoctor.lnk
%UserProfile%\Start Menu\Programs\DataDoctor\Uninstall DataDoctor.lnk
%UserProfile%\Start Menu\Programs\DataDoctor\DataDoctor on the Web.url
%UserProfile%\Start Menu\Programs\DataDoctor
%ProgramFiles%\DataDoctor 2010\unins000.exe
%ProgramFiles%\DataDoctor 2010\unins000.dat
%ProgramFiles%\DataDoctor 2010\modules\module.startup.dll
%ProgramFiles%\DataDoctor 2010\modules\module.shredder.dll
%ProgramFiles%\DataDoctor 2010\modules\module.regclean.dll
%ProgramFiles%\DataDoctor 2010\modules\module.privacy.dll
%ProgramFiles%\DataDoctor 2010\modules\module.inetopt.dll
%ProgramFiles%\DataDoctor 2010\modules\module.filefix.dll
%ProgramFiles%\DataDoctor 2010\fs.exe
%ProgramFiles%\DataDoctor 2010\ddreg.dll
%System%\msvcp71.dll

Dupa stergea fisierelor de mai sus va mai trebui sa stergeti urmatoarea cheie din registri:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Uninstall\{C6869864-8987-4067-9666-BEA678E823F3}_is1

Daca din greseala a-ti accesat unele fisiere si a-ti intimpinat eroarea “Unable to open the file due to data coruption” pentru decriptatrea acestora va trebui sa folositi urmatorul program dezvoltat de cei de la Sunbelt.

http://sunbelt-software.com/support/dd2010_decrypter.rar

Aici aveti o mica descriere cum se foloseste acest program de decriptare:

The syntax for dd2010_decrypter.exe is: “dd2010_decrypter.exe input_file output_file”.

1. Download dd2010_decrypter.rar.
2. Unzip the file (dd2010_decrypter.exe) into a directory
3. From a command window, switch to that directory.
4. Type “dd2010_decrypter.exe (input_file) (output_file)”

dd2010_decrypter.exe will leave the original encrypted file intact and create the new, unencrypted, file that you named. If you use a different name for the file, you won’t overwrite the original.

Pentru mai multe informatii puteti accesa urmatorul link: http://www.sunbeltsecurity.com/DownLoads.aspx

Criptarea datelor se face la nivelul driver-ului tastaturii si decriptarea are loc in momentul in care informatia ajunge in browser, astfel protectia conturilor si parolelor voastre in KeyScrambler Personal va fi posibila doar in browserele amintite.

Pentru protectia in alte browsere ca de exemplu Google Chrome, Opera, etc este nevoie de varianta KeyScrambler Professional avand un pret de 29.99$, iar daca doriti o protectie a intregului calculator si aici ma refer la Microsoft Office, Yahoo Messenger, logarea in calculator, etc, atunci varianta KeyScrambler Premium va sta la dispozitie care din pacate are un pret destul de mare 44.99$.

KeyScrambler Personal ma uimit prin faptul ca indiferent daca computer-ul vostru este sau nu infectat cu un keylogger acesta ofera in continuare protectie, numai sa speram ca autorii programelor de tip keylogger nu vor integra optiune in ele de a inlatura acest mic pluggin.

Pentru a descarca versiunea gratuita: KeyScrambler Personal – certificat Softpedia accesati link-ul de mai jos:

http://www.qfxsoftware.com/download/KeyScrambler_Setup.exe

sau mergeti la ei pe site-ul  Oficial: http://www.qfxsoftware.com

Pentru a va faceti o idee despre cum lucreaza urmariti videoclipul de mai jos:

Daca  insa doriti totusi o protectie mai extinsa pe care nu vreti sa dati banii asa cum am explicat aici exista varianta folosiri tastaturii virtuale care este intr-adevar putin cam incomoda dar macar e gratuita.