V-am atentionat ieri despre aparitia virusului Michael Jackson. Acesta se propaga prin Yahoo! messenger si trimite mesajul urmator:
HAHA Michael Jackson Gay >> http://looool.machiaeljack**ndied.com
Din pacate site-ul respectiv distribuie o varianta noua in fiecare zi, iar producatorii AV sunt destul de lenti in a adauga definitie. Am vorbit cu cei de la Malwarebytes Anti-Malware si sper ca vor urmari link-ul si adauga detectie generica pentru acest virus.
Virusul creeaza urmatoarele fisiere:
C:\Documents and Settings\<user>\Local Settings\Temp\174094.exe
C:\Documents and Settings\<user>\Local Settings\Temp\FuckedByMichaelJackson.PIF
C:\Documents and Settings\<user>\Local Settings\Temp\services.exe
C:\Documents and Settings\<user>\Local Settings\Temp\vshost32.exe
C:\vshost.exe
C:\autorun.inf
si cheia registry:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] “BootMgr”=”C:\\DOCUME~1\\\\LOCALS~1\\Temp\<user>\services.exe”
*<user> este numele utilizatorului PC-ului
Detectia actuala este de doar 7 din 41 conform virustotal.com
DEZINFECTIE:
1. Automata: Scanati complet PC-ul cu Malwarebytes Anti-Malware
2. Manuala: Stergeti toate fisierele de mai sus si cheia registry, astfel: stergeti intai primele 4 fisiere listate de mine folosind Unlocker (vezi detalii mai jos). Dupa restartarea PC-ului, intrati in My Computer, click-dreapta pe fiecare partitie, alegeti Explore si stergeti si celelalte doua fisiere care apar acolo: vshost.exe si respectiv autorun.inf
IMPORTANT! Pentru a gasi toate fisierele mergeti in My Computer >> Tools >> Folder Options >> View si bifati “Show hidden files and folders” si de asemenea debifati “Hide protected operating system files”.
Pentru stergerea unor fisiere este posibil sa aveti nevoie de Unlocker. Cand un fisier nu poate fi sters prin metoda clasica si apare mesajul de “file in use”, instalati Unlocker, click-dreapta pe fisier si selectati Unlocker. Acolo alegeti Delete si fisierul va fi sters. (Uneori va cere restart-ul PC-ului)
Pentru rezolvarea erorii: “Windows cannot find vshost.exe” la dublu-click pe o partitie, folositi solutia descrisa aici: http://www.faravirusi.com/2009/05/06/nu-se-deschide-partitia-la-dublu-click-drive-is-not-accessible-access-is-denied/
IMPORTANT: Instructiuni de devirusare pentru ultima varianta a virusului gasiti in acest articol.
Loading ...
Buna!
Am urmat dezinfectia manuala dar nu am găsit fişierul C:\Documents and Settings\\Local Settings\Temp\services.exe … Le-am sters pe celelalte cu Unlocker si apoi am dat restart. Cand am intrat din nou nu am gasit in celelalte partitii fisierele vshost.exe si autorun.inf chiar daca am debifat “Hide protected operating system files”.
Ce trebuie sa fac? Am scapat de virus?
Multumesc mult!
@Ralu, fa si o scanare completa cu Malwarebytes Anti-Malware si daca nu gaseste nimic PC-ul tau este curat.
multumim mult ! pe mine mai ajutat enorm .. numai stiam ca se ii fac la pc .. am reinstalat windowsu de foarte multe ori si nu am reusit pana am cautat pe stantul google.ro si am gasit situ .. multumim inca o data ! si sper ca vorbesc in numele tuturor!
[...] sa te abonezi la feed-ul RSS pentru a primi noutatile de pe aceasta pagina.V-am tinut la curent cu noul virus pentru Yahoo! Messenger ce se propaga cu mare repeziciune. Acesta trimite mesajul tuturor contactelor din lista, doar cand [...]
Am facut o scanare rapida cu Malwarebytes Anti-Malware si mi-a gasit mai multe fisiere infectate. Nu am mai gasit nimic legat de virusul cu Michael dar am gasit mai multe chei infectate dar nici una exact ca aia data de tine.Am cautat cheia de la start >> run etc. dar nu am gasit services. Inseamna ca nu mai e virusul cu Michael?
Merci din nou!
Am intrat la Start >> Run, si am gasit intrarea “svchost32”. Pe asta trebuie sa o dezactivez?. Si mai trebuie sa fac ceva cu cheia, trebuie stearsa?
@Raluca: da, intrarea aceea trebuie dezactivata. Iata noile instructiuni: http://www.faravirusi.com/2009/08/06/hahah-michael-jackson-gay-virusul-se-modifica/ Virusul s-a modificat putin.
Am facut toata dezinfectia manuala…si nu mai trimite mass`uri … dar dupa shut down iar se instaleaza virusul…ce pot face ?
@YRRY: Virusul s-a modificat putin. Citeste aici noile instructiuni de dezinfectie: http://www.faravirusi.com/2009/08/06/hahah-michael-jackson-gay-virusul-se-modifica/
radu e mester;) pe mine mo ajutat mult:-D
din cate am inteles eu,de virusul asta se poate scapa doar prin safe mode,asta fiind cam cea mai buna cale si cea mai sigura in a scapa de virus odata pt totdeauna.multa bafta
@cosmin: poti si din Safe Mode sa stergi fisierele insa o scanare completa cu Malwarebytes Anti-Malware e mai rapida si in plus automata. Nu-ti bati capul.
Am luat si eu virusul asta…am reusit sa le sterg dar nu ma lasa sa deschid partitia “C” si “D”,tot imi da chestia aia cu “run: si “cancel” adik nu pot intra cu dublu click.Ce ar trebuii sa mai fac? pls vreau un raspuns…
PrevX este un program antiviral sau e o facatura?Ca am vazut pe site la ei ca cunosc virusul asta si ramificatiile pe care le face virusu’.E bun de folosit sau mai rau bag virusi in calculator?
va rog mult de tot sa imi spuneti cum scap de acest cumplit virus care la mine a aparut pe mess sub forma unui mesaj off line.iddea e ca am instalat wind de 8 ori pina acum si deja mia blocat toate partitiile din calc.as vrea sa stiu in cazul in care fac formatare la hardisk daca am sanse sa scap de el.is disperata .in viata mea nu am avut asa ceva.imi scoate internetul afara fff des.imi deschide cite 15 pagini de mozila fara sa deschid internetul.plus ca toti din lista mea sunt bombardati cu virusi incontinuu.inca o intrebare cum schimb parola la mess????daca sterg tot din calc am sanse sa scap de el?.in viata mea de cind lucrez pe internet nu am auzit de un virus atit de ingrozitor ca asta.astept sugestiile dvs.
@ingrid: scaneaza PC-ul complet cu Malwarebytes Anti-Malware si vei scapa de virus. Ai in plus aici instructiuni complete de devirusare manuala: http://www.faravirusi.com/2009/08/06/hahah-michael-jackson-gay-virusul-se-modifica/
Nu e nevoie de reinstalarea Windows-ului.
nu te supara mia intrat virusu asta in calculator si nustiu cum sal sterg.mi la sters un baiiat de vreo 3 ori dar tot se mai trimite …ma poti sjuta si pe mine sa scap de el te rog frumos?si mi sa sters si niste foldere:((:((…imi poti zice cum scap de el:(
gata multam am scapat
Buna ziua,
Am avut acest virus si am reusit in parte sa scap de el dar am ramas cu mesajul windows cannot find “vshost.exe” cand dau double click pe c:\, d:\, e:\ pe unitati optice nu am incercat.
Daca ma puteti ajuta.
Multumesc mult.
@giro73: am pus instructiuni si pentru acea eroare. Stergerea fisierului autorun.inf din radacina partitiei urmata de restart sau aplicarea metodei descrise in postare urmata de restart rezolva problema.
Buna. Am si eu probleme cu acest virus,insa nu pe windows xp,ci pe vista. In toate acele link-uri de mai sus,am cautat si nu am gasit nimic din ce sa spus si am urmat exact pasii. problema mea este la deschiderea pc-ului care imi da eroara c:\users\alpha\appdata\local\temp\vshost32.exe. cum o pot face sa nu mai apara?
Multumesc anticipat
@Bello: Du-te la Start >> Run, scrie msconfig, apasa Enter. Acolo navighezi la Startup si debifezi vshost32.exe. Apoi confirmi cu OK\Apply.
Eu am alta varianta, in loc de “Fucked by MJ.BIF” eu am avut (ca l-am sters) MJ is gay.BIF … Si nu gasesc nici services.exe
Si mai am o intrebare…virusul se baga in adresa sau in tot calcul?
@Emilien: nu inteleg intrebarea. In ce adresa sa se bage ?
Virusul se copiaza in respectivele locatii. Ultimele fisiere sunt listate aici: http://www.faravirusi.com/2009/08/06/hahah-michael-jackson-gay-virusul-se-modifica/
@Radu: Mi-am dat seama…eu credeam ca se pune pe ID, deoarece am avut un virus care mi-a distrus un id…ID: IdMess@yahoo.com (la asta ma refeream)…
Si… mc pt link>:D<
ms frate sunt cel mai fericit ca am scapat de virus fara sami seinstalez windowsul !!!! esti tare rau in acest domeniu ms ica odata !
Cu placere andrey.
eu nu am la startup vshost 32.exe,nu am gasit asa ceva,si nu mi se deschide partitia D cu dublu klik,ma ajuti si pe mine?sperrr.Va felicit pentru ce faceti aici pe acest blog si la mai multa siguranta pe net!!!!!!
si eu am scapat de virus dar nu pot deschide partitiile in care nu este windowsul (E si F) si nici nu am la startup…ce fac?
@Emilien: sterge din fiecare partitie vshost.exe si autorun.inf dupa ce le-ai deschis cu Explore. Apoi urmezi instructiunile de aici: http://www.faravirusi.com/2009/05/06/nu-se-deschide-partitia-la-dublu-click-drive-is-not-accessible-access-is-denied/#more-1059
Stiu ca pot cu explore…dar este destul de enervant:)
Eh .. Ce sa facem =D … Cea mai buna defensiva e o buna ofensiva …
)
Luati si voi un antivirus bun … din cate am inteles avira e free si face fata foarte bine contra virusilor …
Asa ca fiti pregatiti =P
Romanului nu-i place nimic … nici cand e gratis
Mc mult de tot:X…am rezolvat:) esti cel mai tare \m/
Dupa ce scanez cu Malware ce fac?
(>
@Bia: Apesi “Show results” si apoi apesi “Remove selected”. Iti va cere restart si confirmi cu Yes.
am incercat cu Malware shi mi s-au shters 162 de virushi din calculator dar mesajul inca se mai trmite.acum mai incerc shi cu alte programe dar nu am nici un rezultat
URASC HACKERII!de ce isi bate lumea joc dee Michael Jackson????cand il prind pe ala care a fakut virusu il omor
Radu Te rog din suflet sa ma contactezi cat mai repede pe id ul asta MEsAx.cStrike@ahoo.com ca numai suport imi bag picioarele in el simt ca turbez am facut ce am facut si numi iese
te rog daca se poate cat mai repede ca arunc pc ul pe geam 
.. TE rogg. .:( [-o<
RAdu ast de ceva timp te rog raspunde-mi ca eu numai rezist mult cu saracia asta ~X(
(( nush cum mai rezist akum 
(
bah ajutatima adika fak apel la radu cai mester:in primu rand eu am in c:…..temp/am vshost.exe,my munnaked,si in loc de 177.. am alte 5 dupa nu gasesc service.ce fak ce sterg?cand am scanat cu malwave si kasperky sau ceva de genu si gasesc numai host si autorun ce fak?
pitbull: Trimite-mi te rog un log HijackThis prin e-mail.
Nu pot deschide nici un folder.Cand dau dublu click mi le da in taskbar si nici de acolo nu le pot accesa.am icnercat maximize si nimic.Nu imi deschide nici my computer nici explorer nimic…doar programele executabile si la poze merge,muzica…dar la foldere nu…Ma poate ajuta cineva? Multumesc