De curand se raspandeste un nou virus prin Yahoo! messenger. Acesta trimite mesaje de genul:
HAHA Michael Jackson Gay
>> http://looool.mj******.com
HAHA michael jackson gay http://rs1***2.rapidshare.com/files/261****36/IMG18102008.jpg–www.MichaelJackson.com
Detectia sa este foarte slaba in acest moment. Virusul creeaza un fisier vshost.exe in radacina partitiei asigurandu-si rularea printr-un autorun.inf situat in aceeasi locatie.
De asemenea poate crea fisierul vshost32.exe in C:\Documents and settings\<user>\Local settings\Temp
Variantele se schimba rapid, cea anterioara fiind detectata de Avira, BitDefender. Cea mai noua este detectata euristic de doar 6 antivirusi (vezi poza de mai jos).
Virusul a fost trimis deja marilor producatori AV si se asteapta ca detectia sa fie adaugata in cel mai scurt timp posibil.
DEZINFECTIE: Intre timp daca ati fost infectati puteti sa folositi Malwarebytes Anti-Malware pentru dezinfectie urmate de schimbarea parolei de messenger.
Iata lista fisierelor create de virus (conform a-squared):
C:\Documents and Settings\<user>\Local Settings\Temp\174094.exe detected: Riskware.Win32.DelfInject!IK
C:\Documents and Settings\<user>\Local Settings\Temp\FuckedByMichaelJackson.PIF detected: Gen.Trojan!IK
C:\Documents and Settings\<user>\Local Settings\Temp\services.exe detected: Gen.Trojan!IK
C:\Documents and Settings\<user>\Local Settings\Temp\vshost32.exe detected: Gen.Trojan!IK
C:\Documents and Settings\<user>\Local Settings\Temporary Internet Files\Content.IE5\C2FHJFZ5\lsass2[1].exe detected: Riskware.Win32.DelfInject!IK
C:\Documents and Settings\<user>\Local Settings\Temporary Internet Files\Content.IE5\T0KUUJO1\fw[1].exe detected: Gen.Trojan!IK
C:\vshost.exe detected: Gen.Trojan!IK
In plus exista un fisier autorun.inf in radacina fiecarei partitii. Pentru indepartarea lui va sugerez folosirea Panda USB Vaccine.
Nu in ultimul rand este creata cheia registry: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] “BootMgr”=”C:\\DOCUME~1\\<user>\\LOCALS~1\\Temp\\services.exe” a carei stergere este necesara de asemenea.
Multumesc JulotM pentru completarea informatiilor.
IMPORTANT: Instructiuni de devirusare pentru ultima varianta a virusului gasiti in acest articol.
Related posts:
Loading ...
Spuneti-mi va rog cum ati rezolvat problema asta cu virusul….:( pls
contactatima p mail : adelin_cool_musik@yahoo.com
@adelin: ai aici instructiunile actualizate: http://www.faravirusi.com/2009/08/06/hahah-michael-jackson-gay-virusul-se-modifica/
nu dati CLICK e naspa rau de tot nu ma pot juca nimic trebuie reforamtat pc
Cade varianta cu formatatu am formatat de 2 ori pcu am stat o tot weekendu sa tot instalez la windowsuri (prima data i-am dat quick format) shi surpriza nu a mers a 2 oara am formatat normal dar nu cred k l-am rezolvat sa vad dar nu e o solutie
bai deci eu am avut o inspiratie divina sa nu dau clik pe linkul acelea deoarece am mai avut o problema cu “o cunosti pe fata din clip” dar cunosc persoane care din nefericire au contactat virusul … asa k va dau un sfat in caz de primitzi massuri de genu’ nu mai datzi clik … in orice caz eu am dat clik pe acel mass cu fata din clip si mi se pare k am descarcat acel program:-?? dar antivirusu` meu nu mi`a detectat absolut nimic si am stat cu el km vreo saptamana dar nu am primit nici o reclamatie sa fi luat virusul:-? sa nu:-? pana la urma sters acel program care se auzea k itzi fura parola de la browser si de la orice cont de pe net .. am dat scan si nu mi`a detectat nimic (am kasperski)
Cea mai buna solutie e sa dati un format la hard sisa re instal windows
@BogdanToa: e partial corect fisierul tau. Trebuie o alta extensie, nu .exe.
Formatarea nu e in nici un caz o solutie buna. Malwarebytes Anti-Malware sau stergerea manuala conform instructiunilor rezolva problema.
sau se mai poate face un fisiaer executabil de ex:
@Echo off
del C:\Documents and Settings\\Local Settings\Temp\174094.exe detected: del C:\Documents and Settings\\Local Settings\Tem\FuckedByMichaelJackson.PIF
del C:\Documents and Settings\\Local Settings\Temp\services.exe
del C:\Documents and Settings\\Local Settings\Temp\vshost32.exe
del C:\Documents and Settings\\Local Settings\Temporary Internet Files\Content.IE5\C2FHJFZ5\lsass2[1].exe
del C:\Documents and Settings\\Local Settings\Temporary Internet Files\Content.IE5\T0KUUJO1\fw[1].exe
del C:\vshost.exe
cls
Ce parere aveti nush daca e bine
Stiu extensia .bat
sora mea a luat virusu’ dp net…am reinstalat windows-ul si nu am rezolvat nimic…cand vreau sa intru in local disk imi apre ceva cu vshost si trebuie sa dau run sa cancel…iar p mess trimite acel mesaj.am incercat sa caut acel vshost da’ nu lo gasit nicaieri in calculator…nici antivirusul anti-malware nu la gasit…c sa fac?
Ajutor , am urmat mia multe totoriale si am urmat nunu care il scoteai din safe mod , trtea sa scri in run ceva sa stergi din sistem32 ceva (din sistem32 nu am sters nimic ca nu am gasit ce zicea acolo) si din c niste doldere numite RECYKLE am facut tot ce a zis si am dat rr apare imaginea de la tosiba dupa care o imagine neagra unde scrie NTLDR Is Missing To restart pres ctrl+alt+delete CE poot sa fac in safe mod numi intra dau f11 f12 imi apare imaginea de la tosiba unde pot intra pe cd intra si cica no butting cd in ….drive etk. ce pot sa fac in acest caz ca nu mai stiu am stat pana la ora 5 azidimineata sal fac si sa dus ….. ??
ICo: ai la final un link spre noul tutorial actualizat. Problema ta pare sa fie de alta natura totusi. Virusul Michael Jackson nu face ce spui tu.
Si eu am luat virusul si am incercat tot ce am putut pentru a scapa de el si am avut rezultate
numai trimite massuri….numai apar situri xxx cand intru in D: numai se deschide vshost.exe dar in C: am reusit sa sterg autorun.inf si altele dar unele nu le-am gasit , am sters multe din ele dar cand vreau sa intru in C: spune ca nu gaseste vshost.exe e chiar aiurea, nu stiu de ce vrea sa deschida vshost.exe….. eu am sters tot ce am gasit virusat in acea lista unele nu le-am gasit dar majoritatea le-am gasit si le-am sters multumesc mult dar tot nu stiu de ce face asa la C: cand intru in el intru doar prin bara de adrese si scriu C:\
@Mario: In C:\ a ramas probabil vreun fisier. Scaneaza complet cu Malwarebytes Anti-Malware din nou si dupa ce stergi infectiile restarteaza Pc-ul.
Ai bifat sa vezi fisierele ascunse si de sistem cand ai cautat virusii in C:\ ?
salut,ma poate ajuta si pe mine cineva ? NU POT DESCHIDE PARTITIA C,CIND VREAU SA O DESCHID IMI APARE UN MESAJ,,WINDOWS NU A GASIT’VSHOST.EXE’mutumesc si astept un raspuns
@lucian: Pentru rezolvarea erorii: “Windows cannot find vshost.exe” la dublu-click pe o partitie, foloseste solutia descrisa aici: http://www.faravirusi.com/2009/05/06/nu-se-deschide-partitia-la-dublu-click-drive-is-not-accessible-access-is-denied/
multumesc tare mult ,a mers
Cum pot creea si eu un astfel de virus?
@balaruru: Chiar te astepti sa primesti un raspuns?
Daca da, mai citeste o data denumirea site-ului.