=:19:15:01:= <***> http://people.freenet.de/funnyshite/IMG_0056.SCR <--- HAHA look at ma SEXY pics
Супер упорито животно не се маха след реинстал или триене на файла като повечето други.Да имате идея как да се почисти ?
За секунди се заразиха особено много хора.

извинявам се че го пуснах така като линк нека някой модератор да го махне,защото писах като гост.не съобразих просто...

Virusa e spybot variant, komunikira si s mirc.exe, taka che kolkoto i puti da reinstall mirc-to, pak shte go djvakate. Reshenieto e drugo:

[ Changes to filesystem ]
* Creates file x.
* Creates file C:\WINDOWS\SYSTEM32\SVCHOOST.EXE.
* Deletes file 1.

[ Changes to registry ]
* Creates value "MSN Messenger Updater PUB1"="SVCHOOST.EXE" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates value "MSN Messenger Updater PUB1"="SVCHOOST.EXE" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".
* Creates value "MSN Messenger Updater PUB1"="SVCHOOST.EXE" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".


Reboot-vate pc-to v safe mode (pompate F8 v sekundite predi da se poiavi windows logo-to pri zarejdane na pc-to). Posle..
Start -> run -> regedit.
Otivate v HK Local Mashine\software\microsoft\windows\currentversion\run i mahate vsichki keys, chieto sudurjanie e "svchoost.exe"

Sled koeto, start -> run -> cmd (ili command ako ste na win98)
cd c:\windows\system32
del svchoost.exe

Ako ste s windows NS, direktoriata moje da se kazva c:\winnt\system32
Ako windows-a vi ne e instaliran v c:, tryabva da otidete v kojto harddisk e instaliran.

sled koeto reboot-vate mashinata.

Ako vi e strah sami da go napravite, mojete da polzvate online virus scanner na bulgarski ezik:
http://www.pandasoftware.com/activescan/ac...ef=BG-PR-AS-108

ongeboren

ah da,

HK Current User v registry-to sashto tryabva da ne go zabravyate, kakto i runservices v HK local mashine.

Най-лесно (но не и винаги) файлът (вирусът) може да се намери и в:

Start -> Run -> win.ini

и там на run=c:\windows\file.vbs (или каквото се сетите)

Дам...успях да махна вируса...ама все още съм баннат от айерси

този glined за колко време аз вече вируса го нямам ама сам си баннед
ип 83.228.80.3

·:21:18:48:· -irc.spnet.net- *** Banned [SAN1 SAN2 SAN3] zarazeni ste s virus. izchistete go (2005/12/10 20.04)
-
·:21:18:48:· Closing Link: 127.0.0.1 (*** Banned )
добре де изчистен айде ако може да ми махнте баннед-а
както казах йп-то ми е IP: 83.228.80.3
моля да ми се махне банна
аз даже не бях заразен ами просто копирах на един приятел че израща такива неща ...

Ae ne moga da shvana kak da go mahna toq 6iban virys!!! obqsnte malko po prosti4ko se pak az sam blondinka

Този backdoor ( http://people.freenet.de/funnyshite/IMG_0056.SCR ) e нова версия на Backdoor.Win32.Rbot, за изчистването му , както и да на други подобни :
Agobot (also known as Backdoor.Win32.Agobot)
Aimbot (also known as Backdoor.Win32.Aimbot)
Bozori (also known as Net-Worm.Win32.Bozori)
Codbot (also known as Backdoor.Win32.Codbot)
Forbot (also known as Backdoor.Win32.Forbot)
IRCBot (also known as Backdoor.Win32.IRCBot)
Mytob (also known as Net-Worm.Win32.Mytob)
Poebot (also known as Backdoor.Win32.Poebot)
Rbot (also known as Backdoor.Win32.Rbot)
SDBot (also known as Backdoor.Win32.SdBot)
Spybot (also known as Worm.P2P.Spybot)
Wootbot (also known as Backdoor.Win32.Wootbot)
ще приложа следния линк :
http://www.f-secure.com/tools/f-bot.zip
След като се свали , разархивирайте и стартирайте exe-to. То само ще си свърши работата.
Това е.

Няма ли да е хубаво да настройте Glubul при свързване да изпраща съобщение от рода на това -> "Ако някой ви накара да отворите някой сайт или да напишете нещо, не го правете! Никой не ви мисли доброто!"
Ако има някъкво такова видимо съобщение, хората по-малко ще се хващат на такива глупости...

Добре, хубаво, дал си едно решение на проблема...а защо си оставил и точния линк към вируса?

Видях около 4-5 теми за тия вируси...и всеки един е оставил точен линк към вируса, после чудете се защо всеки втори ви праща някакви съобщения и е заразен...

linka veche ne raboti taka ili inache..

Аз писах мейл на админа на freenet.de ам едва ли са му обърнали внимание... Както и да е..
Мисля, че трябва да се замислим колко много хора отвориха този URL и му дадоха save...
Може би на тия скриптове трябва да се напише с големи букви "Не отваряйте никъкви адреси, дадени ви в IRC"

Пак се чудех с какво да се занимавам днес, и набързо взех, че написах една малка програмка, която следи за появата на съмнителни файлове, които може би са вируси, и ви предупреждава за наличието им.

Изтеглете си това:

http://unix-bg.org/antivirus/antivir.zip

Разархивирайте го някъде, и стартирайте AntiVirus.exe
Програмата си седи в system tray, и си трае, докато намери нещо подозрително, при което ви уведомява.
Имайте предвид, че програмата НЯМА да изчисти вируса, а само ще ви уведоми за "присъствието" му. Необходимо е да проверите компютъра си с антивирусен софтуер.

Ако искате - запишете програмата в registry, за да стартира с Windows.

Ако някой има информция за нови вируси, или може да помогне с нещо - да пише ЛС.

Нова версия, с възможност за update на дефинициите:

http://unix-bg.org/antivirus/antiv-2.zip

И пак казвам - програмата НЕ чисти вируси, само ги открива. За да се почистите - използвайте антивирусен софтуер!

кои файлове са съмнителни?

Зависи от вируса

хмм аз си мислех че всеки вирус е писан така че да не буди съмнение

Първо и няй-важно:
Прочетете това тук: www.unibg.org/vh?id=5

Не използвайте НИТО ЕДИН от тези скриптове! Те съдържат злонамерен код, който спомага създателят на скрипта да поеме пълен контрол над вас - да ви разкача от мрежата, да изпълнява действия от Ваше име /включително СПАМ и Invite/.
Някои от скриптовете изтеглят вирус от web сайт, и го стартират на компютъра ви. Това може да доведе до нежелани от вас последствия - загуба на информация, кражба на пароли и какво ли още не.
Някои от скриптовете изискват въвеждане на NS Identify парола - но с тази подробност, че паролата не се изпраща към NS

Ако вече ползвате някой от заразените скриптове:
1. ВЕДНАГА го изтрийте! Свалете си ЧИСТ mirc - ЗАДЪЛЖИТЕЛНО от http://www.mirc.com
2. Посетете канал #vh - там ще ви помогнат да махнете вируса. /безцелното висене в канала не е желателно.../
3. Сканирайте комптъра си с антивирусен софтуер - посетете раздел Антивирус на UniBg, за да получите информация кои антивирусни програми можете да използвате.
4. След като се уверите, че компютъра ви е чист - ако предпочитете да използвате скриптове, изтеглете си такъв, за който сте сигурни, че е чист.
5. Приятен чат

Ето и едно кодче, което трябва да копирате в ремоут (alt+r) Взел съм го от web-a на UniBG (10x Cannibal).

Ще ви забрани /write команди и ще ви пуска echo с това, което сте искали да направите.


Edited: Narf, готово махнах я.

Само дето тая скоба дето си я оставил отгоре ще скапе нещо.

Не всеки. Някои "си приличат". Но най-добрите вируси са с уникален алгоритъм и са обикновено писани от доста талантливи програмисти. Именно този уникален код ги прави трудни за засичане.

Ако в някой канал видите това:



Не отваряйте линка!
А дори вече да сте го отворили, в никакъв случай не кликвайте на линковете вдясно - те не са картинки. Всички водят към един и същ файл, в който има злонамерен код!

P.S.: Умишлено съм изменил линка.

10 x na men

Аз съм виждал заразени юсери които се включват на привате при влизане/излизане от канала в който са те и изписват нещо подобно(текст с линк към него) Ама това са хора които неразбират от IRC и нечетат статийте за това - как да се отърват от вируса! Ако разбираха,едва ли щтяха да имат подобни проблеми...

Ти откри Америка бе!

P.S.: Спри да post-ваш машинално във всяка тема, която видиш. Дразнещо е.

За IRC специално за вирусите може да се каже: "Да би мирно седяло, не би чудо видяло!" Просто не бъдете любопитни. Писал сам някои неща на някои ако са му интересни да ги прочете . Няма нищо лошо да се интересувате от порно просто недейте се снабдява с него от IRC. ХАХАХА ако сте толкова зле имам майл хохохо Извинявам се за последните редове на модераторите!

По добре се извини за всичките си постове на четателите..