Potřebuji poradit

Jak se zbavit viru Win32/Stration, Win32/Warezov

Informace

Jedná se o tzv. ICQ virus, protože se začal šířit (a stále šíří) po ICQ ve formě linku na exe soubor, do složky nebo nově i na falešný obrázek. Hodně lidí neodolá, klikne a tím si jej zavleče do systému. Hlavním lákadlem je to, že zpráva příjde od lidí, které člověk zná a tak jim věří, ale opak je pravdou. Tito lidé to neposílají (až na výjimky) sami a většinou ani sami neví, že jsou zdrojem nákazy. Nově se tento vir masivně šíří i pomocí e-mailu jako příloha. Jedná se o různé varianty od ZIP souborů až po falešné BAT, EXE, SCR, PIF atd.

U tohoto viru platí více než jindy - neklikat na nic, když nevíte, o co se jedná, i kdyby to přišlo od kamaráda.

Jak se projevuje

• Zpomaluje se celý počítač
• Zpomaluje se internet
• Jsou problémy se spouštěním programů
• Nefungují aktualizace windows
• Nefungují antiviry nebo aktualizace
  • U uživatelů NODu se zobrazuje zpráva "Chyba při komunikaci se službou NOD 32 Kernel."
• Odesílají se zprávy po ICQ a zavirované e-maily

Jak vir odstranit

Odstranění viru může být trošku složitější, protože se objevují pořád nové a nové mutace. Základní princip ale zůstává stejný. Pro automatický proces se dá použít program The Avenger a aktualizovaný script. Ale pozor, špatným použitím tohoto programu může dojít i k nevratnému poškození instalace Windows.

Pokud tento nepomůže, dostává se na řadu ruční odstranění. Potom vygenerujte a pošlete nám script z programu Hijackthis. Více informací o něm a postupu najdete v článku Jak postupovat při napadení Trojanem/ Adware/Spyware

Pozor!! Pokud se rozhodnete požádat nás o pomoc, posílejte rovnou Hijackthis log a popis co se děje - bez toho Vám nemůžeme poradit a vše se bude zdržovat.

Jak použít The Avenger

• Stáhněte si program z této adresy (alternativní odkaz) a spusťte jej. Úvodní hlášení potvrďte
• Přepněte se na volbu (1) "Load script from Internet URL" a napište sem text "http://www.viry.cz/avenger/stration.txt"
• Obsah scriptu můžete zkontrolovat tlačítkem s lupou (2)
• Stiskněte tlačítko s obrázkem semaforu (3)
• Potvrďte dotaz a tím dojde ke spuštění akce definované ve scriptu, čili restartu a odstranění definovaných objektů

Jak rozjet NOD32

Pokud se Vám zobrazuje informace "Chyba při komunikaci se službou NOD 32 Kernel.", postupujte následovně:

1. Stiskněte tlačítko Start
2. Vyberte v menu "Spustit", napište services.msc a stiskněte Enter
3. Najděte službu "NOD32 kernel service" a ujistěte se, že je spuštěná a typ spouštění je automatický
4. Pokud to tak není, nastavte to pomocí vlastností pod pravým tlačítkem myši
5. Restartujte počítač

Jak zprovoznit nefungující Windows Update

Bližší informace najdete třeba zde:
http://www.viry.cz/forum/viewtopic.php?t=21484

Ručně lze Windows Update zprovoznit tímto postupem:

1. Stiskněte tlačítko Start
2. Vyberte v menu "Spustit" a zadejte postupně následující příkazy:
   • regsvr32 WUPS.DLL /s
   • regsvr32 WUAUENG.DLL /s

Tento postup provádějte samozřejmě až po odstranění viru.

Technické informace pro odborníky

Pokud se považujete za lidi znalé svého PC a zajímá Vás bližší informace o tomto viru, uvádíme pár informací. Ale pozor, jakkoliv budete tyto informace využívat pro ruční zásahy do systému, mějte na paměti, že jakákoliv Vaše chyba nebo neznalost může vést k tomu, že budete reinstalovat systém.

Provádí zápis do následujících částí registru:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
Sem přidává celou novou větev, která se s novými mutacemi mění.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Tady se navěšuje na položku AppInit_DLLs, kde za normálních okolností nic nemá být.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Jako většina trojanů se zapíše i do sekce pro spouštění při startu.