Alerta – nou virus pentru Yahoo! Messenger

De cateva zile se raspandeste pe Yahoo! Messenger un nou virus care tirmite mesaje automate in limba engleza tuturor contactelor din lista.

UPDATE 12 februarie: Noul mesaj este “hahahah 😀 Your daddy has shit fetish ??? hxtp://studyguide102.com/fetish/retards/YourDad.GIF”, fisierul descarcat de pe site poarta numele Your_Dad_Has_Shit_Fetish_-0Too.pif.

UPDATE 4 februarie: O noua varianta a acestui virus se raspandeste iar mesajul trimis este acesta:

Lady from YouTube gets paid to EAT HER SHIT ( ) hxxp://studyguide102.com/Organic/YouTube/ShitLady

Aceasta noua varianta nu este momentan detectata decat de Trend Micro dar generic (pe baza packer-ului).

Varianta 27 ianuarie:  Acest mesaj contine si un link catre un site virusat: wxw.paybypaled.com. Utilizatorului care da click, i se va oferi spre descarcare un fisier de circa 90 kb denumit Lesbian_DOGS.pif.

Nu intrati pe acel link si nu descarcati fisierul respectiv.

Iata cum arata mesajul trimis pe messenger:

Kaspersky il detecteaza ca: Trojan-Dropper.Win32.Agent.xxx, iar Avira ca Worm\Agent.xxx, unde “xxx” reprezinta varianta virusului, deoarece partea negativa este ca apar zilnic noi variante ale virusului postate pe acelasi site.

Faptul ca varianta de azi e detectata de un antivirus nu garanteaza ca va fi detectata si cea de maine.

Dezinfectie:
Pentru devirusare puteti utiliza Avira sau Dr. Web CureIT

In ambele cazuri se dezactiveaza initial System Restore, iar apoi se descarca si ruleaza ATF-Cleaner. Se vor bifa toate casutele si apoi se apasa Empty selected.

In continuare se face o scanare completa a sistemului, fie cu Avira, fie cu Dr. Web CureIT si se restarteaza calculatorul la final.

Pentru dezactivarea System Restore se procedeaza astfel:

1. Click-dreapta pe My Computer si se alege Properties.

2. Se navigheaza in tab-ul System Restore si se bifeaza “Turn off system Restore on all drives“.

3. Se confirma cu OK.

In final pentru a scapa de eroarea primita la deschiderea partitiei, rulati ComboFix. Dezativati initial antivirusul si inchideti orice alt program ruleaza.

Confirmati cu Yes la intrebarile ce vi le va pune. PC-ul va fi restartat dupa dezinfectie.

Preventie: Se vor folosi Avira, Comodo firewall 3.8 si Flash Desinfector.
Avira are una dintre cele mai bune detectii pentru acest virus si de asemena va bloca accesarea paginilor infectate prin modulul WebGuard.
Comodo firewall 3.8 va bloca executarea virusului gratie modulului de protectie impotriva atacurilor de tip buffer overflow.
Tot din Comodo se poate seta blocarea domeniului ce contine virusul. (daca nu vreti sa utilizati Avira).
Cu Flash Desinfector
veti preveni reinfectarea fiecarei partitii cu acest virus, mai precis se va bloca crearea de fisiere autorun.inf in radacina partitiei.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

123 responses to “Alerta – nou virus pentru Yahoo! Messenger”

  1. Cristian

    Imi vine sa ii tai cu Lama paia care au inventat virusi astia (daca cineva poate sa ma ajute cu virusul haha mj e gay il rog sami bage id kometa_cs sau sami trimita un email plzzzz !!!!!!!
    ca deabea mi-am bagat windowsul 🙂

  2. Mihai

    Pentru tutorialul lui jsk de mai sus…. Iti multumesc enorm de mult !!!!!

  3. tyrmuhlvtqg

    oPqZCA alyrpfnejjrj, [url=http://yejhylvjdpvv.com/]yejhylvjdpvv[/url], [link=http://glmxemnmfteb.com/]glmxemnmfteb[/link], http://kdtndkvdzgxy.com/

  4. lucian

    Salut prieteni,ma simt nevoit sa apelez din nou la voi….am un laptop toshiba,am vrut sa schimb antivirusul asa ca l-am dezinstalat,dar nu am mai tutut da restart sa blocat pc,asa ca am scos bateria.Cind l-am pornit refuza sa se deschida si anume ramine blocat atunci cind zice sa astept se incarc setarile personale .Deci ultima imagine care o tine afisata e cea a boot ,restul functiilor merg.. mouse …SRER CA AM FOST EXPLICIT.helpppppppppppppp

  5. lucian

    avira 4.8, nu mai am cd

  6. csarchi

    Salutare si respecte tuturor supercunoscatorilor. Eu sunt novice, femeie i in varsta dar, ma straduiesc. Acum am o problema: de la mai multi colegi am primit, intr-o zi, pe mess, o adresa. NU AM DESCHIS NIMIC, NU AM DAT CLICK PE NIMIC, pur si simplu am inchis. apoi a inceput tangoul: mi se deschidea messul din bara si mousul alerga pe ecran ca nebunul, pur si simplu se deschidea fereastra cu fereastra a celor din lista mea, se edita acea adresa moussul aparea pe ‘send” si apoi la urmatorul. Totul cu o viteze extraordinara! Virusul (TRojan, ca asa l-a gasit avast-ul) mi-a blocat aceesul la IE, apoi la unele fisiere, apoi de restarta c0omputerul din 30 in 30 min, apoi mi-a pus wallpaperul pe desktop si PA!. Am scanat cu AVIRA care a gasit vreo 24 de fisiere infectare cu diversi virusi, dar degeaba. Am chemat pe cineva, mi-a reinstalat Windows-ul a mers vreo cateva zile si apoi iar: mergea f incet, apoi nu mai intra in windows, se restarta incontinuu. Mentionez ca in acest rastimp nu am mai primit nimic pe mess, deci virusul exista si dupa reinstalare. Va rog, ajutati-ma ca sunt disperata!

  7. Iulian

    Salutare tutur,

    Am vazut pe acest forum de discutii multe probleme legate de virusi rezolvate, in special cu sprijinul lui Radu si ma adresez si eu cu 2 probleme:

    1) Un virus care imi dezactiveaza orice antivirus instalez, imi dezactiveaza System Restore, nu ma lasa sa deschid scaner online, imi dezactiveaza task manager, am incercat cu gpedit.msc am dat disable la task manager si acum merge dar tot degeaba, nu ma lasa sa sterg antivirusii din control panel, am instalat Avira,nod32,f-secure8,Eset,Malware bytes toti dezactivati + nu ma lasa sa accesez un scaner online, am incercat cu scanare prin retea de la alt calculator cu full sharing si tot nu gaseste nimic …. am incercat si din safe mode si tot nu ma lasa, nu ma lasa nici cu run sa accesez regedit . Are careva o solutie?

    2) Virusul care trimite mesaje automat la toata lista. Cum scap de el ?

  8. Iulian

    2) Virusul care trimite automat mesaje cu virusi in toata lista de y messenger. Cum scap de el?

  9. cosmin

    am avut si eu asa ceva in ps ..am bagat Spybot si gata sa rezolvat .

  10. EMILIA

    Buna seara,

    Am un LP cu un XP instalat iar ca antivirus AVG. nu mai pot deschide yahoo.mail; pe ms pot intra dar nu pot deschide emailul; sa fie virusul de care vorbiti voi si cu avira sa-l gasesc si sa rezolv problema? mentionez ca am reinstalat calculatorul si persista problema.

    Cu mult drag ca sunteti aici si mai ajutati necunoscatorii

  11. Mihnea

    Salut baieti!!!

    Am o problema legata de Ymail.
    Intr-o zi, am incercat sa intru pe un alt id de YM si in momentul in care am vrut sa ma bag la loc pe id-ul meu…nu mai mergea parola.Am intrat pe situl oficial…am incercat sa-mi aflu parola, dar toate datele mele erau gresite(initial erau scrise corect si mai incercasem sa-mi aflu o parola cu cateva zile inainte).
    Imi poate spune si mie careva cum pot sa-mi aflu parola, sau macar daca este posibil acest lucru?
    Exista posibilitatea ca un virus sa-mi faca acest lucru?

    Multumesc!

  12. Florin

    foto http://ow.ly/290Cl?=http://www.facebook.com/photo.php
    asta pare sa fie o noua versiune a virusului, un prieten de-al meu imi tot trimite asta, am intrat aici incercand sa gasesc o solutie pt el.
    Un sfat pt cei care apar pe aici… nu dati click pe un link daca nu il asteptati, indiferent cine il trimite si care e mesajul anexat 🙂

  13. Daniel

    Va rog,ajutati-ma…am niste probleme cu virusii..nu stiu de unde ii am :)) de obicei sunt atent la ce descarc…dar s-a intamplat…mi-au facut ceva la PC..cand incerc sa deschid o aplicatie.. .exe imi da eroarea asta …merg doar daca dau RUN AS ADMINISTRATOR… 🙁 si nu pot da mereu la orice deschid..Deci ce sa fac??? Radu, HEELP PLEASE :((

  14. Daniel

    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 4:44:57 PM, on 2/1/2012
    Platform: Windows 7 (WinNT 6.00.3504)
    MSIE: Internet Explorer v9.00 (9.00.8112.16421)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\Dwm.exe
    C:\Windows\system32\taskhost.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe
    C:\Program Files\NVIDIA Corporation\Installer2\NVIDIA.Update.1\ComUpdatus.exe
    C:\Windows\system32\taskhost.exe
    C:\Windows\system32\ntvdm.exe
    C:\Windows\system32\conhost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Windows\system32\SearchFilterHost.exe
    D:\Diverse\hijack\Trend Micro\HiJackThis\HiJackThis.exe

    R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ro/
    R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 – HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 – HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    R3 – URLSearchHook: UrlSearchHook Class – {00000000-6E41-4FD3-8538-502F5495E5FC} – C:\Program Files\Ask.com\GenericAskToolbar.dll
    R3 – URLSearchHook: (no name) – {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} – (no file)
    R3 – URLSearchHook: (no name) – {687578b9-7132-4a7a-80e4-30ee31099e03} – (no file)
    O2 – BHO: &Yahoo! Toolbar Helper – {02478D38-C3F9-4efb-9B51-7695ECA05670} – C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
    O2 – BHO: Java(tm) Plug-In SSV Helper – {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} – C:\Program Files\Java\jre6\bin\ssv.dll
    O2 – BHO: Ask Toolbar BHO – {D4027C7F-154A-4066-A1AD-4243D8127440} – C:\Program Files\Ask.com\GenericAskToolbar.dll
    O2 – BHO: Java(tm) Plug-In 2 SSV Helper – {DBC80044-A445-435b-BC74-9C25C1C588A9} – C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O3 – Toolbar: Yahoo! Toolbar – {EF99BD32-C1FB-11D2-892F-0090271D4F88} – C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
    O3 – Toolbar: Ask Toolbar – {D4027C7F-154A-4066-A1AD-4243D8127440} – C:\Program Files\Ask.com\GenericAskToolbar.dll
    O4 – HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe -r
    O4 – HKLM\..\Run: [egui] “C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe” /hide /waitservice
    O4 – HKLM\..\Run: [WinampAgent] D:\Instalari\Winamp\winampa.exe
    O4 – HKLM\..\Run: [APSDaemon] “C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe”
    O4 – HKLM\..\Run: [iTunesHelper] “D:\Instalari\iTunes\iTunesHelper.exe”
    O4 – HKLM\..\Run: [SunJavaUpdateSched] “C:\Program Files\Common Files\Java\Java Update\jusched.exe”
    O4 – HKLM\..\Run: [ApnUpdater] “C:\Program Files\Ask.com\Updater\Updater.exe”
    O4 – HKCU\..\Run: [DAEMON Tools Lite] “C:\Program Files\DAEMON Tools Lite\DTLite.exe” -autorun
    O4 – HKCU\..\Run: [espaces] C:\premiumsoft\PhotoFun\photofun.exe
    O4 – HKCU\..\Run: [Messenger (Yahoo!)] “C:\PROGRA~1\Yahoo!\Messenger\YahooMessenger.exe” -quiet
    O4 – HKCU\..\Run: [Steam] “D:\Jocuri\New Folder\Steam.exe” -silent
    O4 – HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User ‘LOCAL SERVICE’)
    O4 – HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User ‘LOCAL SERVICE’)
    O4 – HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User ‘NETWORK SERVICE’)
    O4 – HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User ‘NETWORK SERVICE’)
    O4 – HKUS\S-1-5-21-1530063979-3681403160-3111176000-1001\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User ‘UpdatusUser’)
    O4 – HKUS\S-1-5-21-1530063979-3681403160-3111176000-1001\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User ‘UpdatusUser’)
    O9 – Extra button: PartyPoker.com – {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} – C:\Users\dan\Desktop\PartyPoker.lnk (file missing)
    O9 – Extra ‘Tools’ menuitem: PartyPoker.com – {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} – C:\Users\dan\Desktop\PartyPoker.lnk (file missing)
    O11 – Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
    O23 – Service: Apple Mobile Device – Apple Inc. – C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    O23 – Service: Bonjour Service – Apple Inc. – C:\Program Files\Bonjour\mDNSResponder.exe
    O23 – Service: ESET HTTP Server (EhttpSrv) – ESET – C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
    O23 – Service: ESET Service (ekrn) – ESET – C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
    O23 – Service: ForceWare Intelligent Application Manager (IAM) – Unknown owner – C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
    O23 – Service: iPod Service – Apple Inc. – C:\Program Files\iPod\bin\iPodService.exe
    O23 – Service: nProtect GameGuard Service (npggsvc) – Unknown owner – C:\Windows\system32\GameMon.des.exe (file missing)
    O23 – Service: ForceWare IP service (nSvcIp) – Unknown owner – C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
    O23 – Service: NVIDIA Display Driver Service (nvsvc) – NVIDIA Corporation – C:\Windows\system32\nvvsvc.exe
    O23 – Service: NVIDIA Update Service Daemon (nvUpdatusService) – NVIDIA Corporation – C:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
    O23 – Service: Steam Client Service – Valve Corporation – C:\Program Files\Common Files\Steam\SteamService.exe
    O23 – Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) – NVIDIA Corporation – C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
    O23 – Service: Yahoo! Updater (YahooAUService) – Yahoo! Inc. – C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe


    End of file – 6385 bytes

  15. Daniel

    Am rezolvat…am sters antivirusu` [ESET NOD32] si a revenit la normal…O.o wtf?..:-?? mersi mult 😀 deacum stiu unde sa caut cand am o prob cu virusii 😉

  16. Gabi

    fara virusi nu lam gasit=))z-)

Leave a Reply