V-am tinut la curent cu noul virus pentru Yahoo! Messenger ce se propaga cu mare repeziciune. Acesta trimite mesajul tuturor contactelor din lista, doar cand persoana infectata este online:
HAHA Michael Jackson Gay
>> http://looool.machiaeljack**ndied.com
HAHA Michael Jackson Gay
OMG Michael Jackson = gay > http://rofl.machiaeljack**ndied.com
LOL WTF !!!
Curiosilor care dau click, li se va oferi pentru descarcare\rulare fisierul: IMG07092009.jpg–www.MichaelJackson.com ce este hostat pe site-ul: freewebtown.com
De ieri virusul s-a modificat putin si mai creeaza un fisier in plus, iar unul din cele vechi are denumirea schimbata. Iata mai jos lista completa a fisierelor create la rularea acestui fisier infectat:
C:\Documents and Settings\<user>\Local Settings\Temp\174094.exe
C:\Documents and Settings\<user>\Local Settings\Temp\MichaelJackson_SUCKS.PIF (sau orice fisier ce contine “MichaelJackson”. Ex: M.Jackson_GAY.pif, MichaelJackson_gay.pif, LOL_MichaelJackson.pif)
C:\Documents and Settings\<user>\Local Settings\Temp\svchost32.exe
C:\Documents and Settings\<user>\Local Settings\Temp\vshost32.exe
C:\vshost.exe
C:\autorun.inf
Daca aveti mai multe partitii, ultimele doua fisiere vor exista pe fiecare: vshost.exe si autorun.inf.
Este creata si cheia registry: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] “BootMgr”=”C:\\DOCUME~1\\\\LOCALS~1\\Temp\\svchost32.exe”
Detectia actuala a virusului poate fi vazuta aici: http://www.virustotal.com/analisis/06ea221f365142359f3a9648136e13ad28b50b40488075665f97bb345353dcbe-1249558494
DEZINFECTIE:
1. Automata: Scanati complet PC-ul cu Malwarebytes Anti-Malware si\sau cu Kaspersky Removal Tool
2. Manuala: Stergeti toate fisierele de mai sus si cheia registry, astfel: stergeti intai primele 4 fisiere listate de mine folosind Unlocker (vezi detalii mai jos). Dupa restartarea PC-ului, intrati in My Computer, click-dreapta pe fiecare partitie, alegeti Explore si stergeti si celelalte doua fisiere care apar acolo: vshost.exe si respectiv autorun.inf
IMPORTANT! Pentru a gasi toate fisierele mergeti in My Computer >> Tools >> Folder Options >> View si bifati “Show hidden files and folders” si de asemenea debifati “Hide protected operating system files”. Confirmati apoi cu OK.
Pentru stergerea unor fisiere este posibil sa aveti nevoie de Unlocker. Cand un fisier nu poate fi sters prin metoda clasica si apare mesajul de “file in use”, instalati Unlocker, click-dreapta pe fisier si selectati Unlocker. Acolo alegeti Delete si fisierul va fi sters. (Uneori va cere restart-ul PC-ului)
La finalul devirusarii descarcati apoi si rulati ATF-Cleaner. Bifati toate casutele si apasati “Empty selected”.
Pentru rezolvarea erorii: “Windows cannot find vshost.exe” la dublu-click pe o partitie, folositi solutia descrisa aici: http://www.faravirusi.com/2009/05/06/nu-se-deschide-partitia-la-dublu-click-drive-is-not-accessible-access-is-denied/
Daca primiti si alte mesaje suspecte prin Yahoo! Messenger nu ezitati sa ni le trimiteti pentru analiza la adresa: faravirusicom@gmail.com
ACTUALIZARI
3.09.2009: Adaugate noile mass-uri
9.09.2009: Adaugate noile mass-uri si denumirea fisierului
Loading ...
[...] infectaţi computerul… -Dacă totuşi apăsaţi pe acele linkuri, puteţi urma sfaturile de aici şi de aici. Aţi avut probleme cu acest [...]
Am o problema ! Nu gasesc C:\vshost.exe si C:\autorun.inf ( am windowsul bagat in C )
Eu am scanat odata cu Malwarebytes Anti-Malware si nu mai trimite massul dar tot gasesc fisierele cu exceptia celor mentionate mai sus…
si pc’ul se comparta ciudat.
@Mihai: Malwarebytes Anti-Malware va adauga in cursul zilei de azi detectia si devirusare completa pentru acest virus (noua varianta). Momentan nu sterge chiar complet. Sterge manual sau scaneaza cu Kaspersky Removal Tool in continuare.
Se pare ca Avira are unele probleme cu detectia…
@Devirusare: multi altii au probleme. Ce am listat e doar detectia dropper-ului si anume fisierul descarcat initial. Acesta copiaza mai departe acea lista de fisiere din care multe au o detectie si mai slaba.
Intebare ! Daca trag un Cd acum cu nero nu se ia virusul pe CD ???
@Miha: Nu. Insa nu ai reusit sa scapi de el? O scanare cu Malwareybtes Anti-Malware il rezolva garantat. Au actualizat baza de semnaturi.
la mine nu mai da mass-uri aiurea, am facut toti acei pasi, dar acum daca stau pur si simplu in fata pc-ului intra singur pe pagini XXX, ceea ce nu a facut niciodata
@Tudor: trimite-mi un log HijackThis prin e-mail.
@ tudor….si eu am aceeasi problema…imi intra de nebun pe site`uri XXX si nu stiu de ce…
Radu … nu gasesc cheia…ma poti ajuta ?
frate te rog eu sa imi zici: deci: am sters autorun.inf si vshost.exe
Avand LastXP v.22 in loc de Documents and settings am users
virusu nu cred ca la gasit pt k in c:/users/administrator/local settings/temp/ nu mai gasesc nici un fisier cu numele de sus. dar problema e ca am incercat ambele solutii sa rezolve problema ca nu gaseste vshost.exe si nothing… help? am sters autorun si vshost de pe toate partitiile
@Steryman: Last XP este o copie piratata de Windows. Cine garanteaza ca nu avea virusi deja in ea ?
am mai gasit ceva….cand intru in local disck c imi apare fereastra aceia cu run de la virus..pot intra cu click dreapta open
Am aceeasi problema.Am urmat toti pasii enumerati de tine , insa cele 2 file-uri(vshost.exe si respectiv autorun.inf), reapar dupa fiecare delete ( chiar si cu Unlocker ). Daca stie cineva o solutie,postati.Respect.
@Dude: ai urmat toate instructiunile de la dezinfectie manuala ? Fisierele din Temp nu se vad decat daca bifezi sau debifezi (functie de caz) optiunile din Folder Options. Ai detalii in postare.
Scuze pt double post.Am omis problema cea mai grava.Mi se creaza o conexiune , pe langa cea default pe care o am (prin user&pass),numita “x-connect”, care ma deconecteaza apoi ma impiedica sa ma reconectez la internet.I really need help.Thank you.
scuza-ma de double post… frate am sters aseara ce am gasit adica autorun.inf si vshost.exe de pe toate partitiile dar azi cand am deschis calcul… iar mi se deschideau 500 de pagini porno. stiu cum sa scap de asta temporar dau ctrl alt del si inchid vshost32.exe. se pare totusi ca mai exista fisiere de la virus pe undeva dar in /Users/Administrator/Local Settings/Temp nu gasesc nimic
PLS help abia am reinstalat windowsul ca sa scap de lag nu am chef sa il mai reinstalez din nou…
si apropo am facut manuala chestia nu cu malwarebytes anti-malware ala
trebuie doar sa scanez cu Malwarebytes Anti-Malware?
deci….eu miam reinstalat windosul am formatat disc local C si tot imi apare virusul am scanat PC cu Malwarebytes Anti-Malware si chiar nu la gasit:((si fisierele alea din C pe care ar trebui sa le stergem nu le gasesc NU EXISTA LA MINE:((
si am o intrebare de ce cu Malwarebytes Anti-Malware imi apare un numkar de virusi si cu Kaspersky Removal Tool imi apare alt numar de virusi dar total altii??
@wooody57: probabil ai si alti virusi in afara de asta. Posteaza sau trimite-mi prin e-mail un log HijackThis.
La fel ca si voi am primit si eu un astfel de mess iar ca un copil de 10 ani am dat click mi sa deschis o aplicatia dar din fericire am reusit sa o inchid la timp…
Sunt dezamagit de eset pt ca nu detecteaza acest virus…
eu am gasit autorun si vshost in e dar tot imi face probleme compu
(
fratilor va rog sa-mi spuneti si mie cum se sterg fisierele C:\vshost.exe
C:\autorun.inf eu le sterg si ele reapar iar am folosit si un Unlocker dar nimic si nu stiu ce sa fac am scanat compul de 2 ori cu un anti-malware si cu kaspersky si nimic … nimic
@alex: Ai gasit toate fisierele indicate de mine si le-ai sters?
Stergi autorun.inf din partitia respectiva si nu mai ai probleme dupa restart. Ai indicatii si in postare. Citeste cu atentie!
Ma sincer asa va trebuie!!! Cum sa fii atat de credul si sa dai click pe link-uri in limba engleza primite ca mass???
partea nasoala e ca mi-a venit de la un prieten care nu umbla cu prostiisi uitr asa l-am deschis
pana la urma am reusit la a 3-a scanare sa scap cat de cat de nenorocit dar acu alta nenorocire cand dau dublu click pe D:sau pe E: imi apare o eroare care zice ca windows nu gaseste “vshost.exe” alta nebunie ……
eu zic sa formatati tot hdd si dupaia reinstalarea windosulwi . ATENTIE sa nu aveti nici un stic wsb bagat in pc sau sa nu mai utilizati sticuri care leati utilizat cand a fost pc-ul infestat. multumesc pentru sfat lui adrian.
@kosty: e o idee foarte proasta ce propui tu. Ia mult timp, si apoi virusul se copiaza pe toate partitiile. Reinstalezi, ai intrat pe alta partitie si s-a reactivat. Si ce ai rezolvat?
Dezinfectia dureaza maxim 15 minute si este eficienta.
..multumesc mult pt sfaturi , am stat o zi intreaga sa scot virusu, si nu am putut,multumesc inca odata
Buna! Am avut si eu virusul acesta si astazi am scanat pc-ul cu Malware + schimbarea parolei id-ului si intr-adevar a gasit toate acele fisiere care sunt afisate si aici.Le-a sters si totul pare a fi in regula, adica nu mai trimite mass-uri. DAR acum am descoperit o problema care pare minora si cel mai probabil asa e: Cand intru in My Computer si vreau sa intru in Local Disk (D:) apare urmatoarea eroare <> si nu-l pot deschide decat daca dau click dreapta-Explore.
Ma poate lamuri si pe mine cinva in legatura cu ce s-a intamplat, daca se poate rezolva si cum anume, va rog?
P.S.: Acum am mai dat inca o scanare cu Malware si imi spune ca nu a gasit nimic ce poate fi periculos.
Aceasta e eroarea, vad k nu a aparut mai sus: <>
Windows cannot find ‘vshost.exe’.Make sure you typed the name correctly and then try again.To search for a file, click the Start button and then click search.
Shi eu am o problema , am gasit C:\Documents and Settings\\Local Settings\Temp\174094.exe (lam sters), shi C:\vshost.exe cu avast (la sters antivirusu) , mia cerut resetare pentru scanare completa , iam dat YES , scanarea completa nu mia gasit nimik suspect , compu era clean , dar dupa ce sa resetat compu(dupa scanarea completa) fisierul C:\Documents and Settings\\Local Settings\Temp\174094.exe e iar acolo , shi nu pot scapa de el , in rest nu am celelalte fisiere. Inca ceva , cand intram in C sau D nu vedeam vshost.exe , dar avastu la gasit . ce pot sa fak
astept raspuns plz
@Smenaru90: Ai bifat sa vezi fisierele ascunse si cele de sistem cum este indicat?
da , normal
Eu am scanat cu programu` asta si a mers
..nu mai am nici un virus..cel putin asa`mi arata` 
?
[...] [Descoperă.ro] şi [FaraVirusi.com] SHARETHIS.addEntry({ title: "Cum să îndepărtezi virusul cu “Michael Jackson is [...]
Buna seara,
Am avut si eu virusul,acum n u mai am probleme,nu stiu cat va tine…
Domnule Radu,am 2 intrebari,
In timp ce faceam dezinfectarea manuala am pus si Malwarebytes Anti-Malware sa lucreze,bun dupa ce am terminat manualu,am dat la ATF-Cleaner sa lucreze si acum totul pare in regula,nu XXX,nu probleme la partitii,nu probleme massuri nu nimic
Acum intrebarile:
1.Cat va tine “lucrarea”?
2.Am facut ceva gresit cand am lucrat manual si automat?
Va rog raspuns,
Multumesc anticipat,si multumesc pentru tutorial
@Robert: daca in acest moment nu mai ai nici unul din acele fisiere e totul in regula.
Daca ai mai multe partitii asigura-te ca intri in fiecare din ele prin click-dreapta >> Explore si stergi fisierele vshost.exe si autorun.inf. In acest fel vei scapa definitiv de el.
Nu mai am absolut nimic,
Multumesc enorm pentru ajutor,numai bine
o mica problema cand dau scan la MawarBytes … mi-a detectat si virusul acesta si nu ii pot da heal
(
[img]http://i29.tinypic.com/104hh21.jpg[/img] dati 1 reply si ajutatima va rog mc !
@ENACHACHE: ai la finalul articolului si instructiuni pentru aceasta eroare. Chiar ultimul rand.
Eu am reusit sa-l elimin numai cu superantispaware,cu malwarebyte n-a mers.
[...] IMPORTANT: Instructiuni de devirusare pentru ultima varianta a virusului gasiti in acest articol. [...]
nu gasesc C:\vshost.exe C:\autorun.inf , nu imi apar ce sa fac ???
@awm: Ai bifat afisarea fisierelor ascunse si de sistem conform instructiunilor? Poti scana PC-ul complet cu Malwarebytes Anti-Malware si le va sterge automat in cazul in care exista.
am o intrebare daca atunci cand am luat virusul am avut bluetooth-ul in calculator are ceva? banuiesc ca da
Buna, am descarcat ATF-CLEANER si cred ca odata cu curatirea calculatorului mi s-a stres toate parolele si nu-mi mai pot accesa mailul si nici YM. Ce pot face pt. recuperarea lor,pt. ca am trimis o gramada de rapoarte la YAHOO> si nu primesc raspuns?
Va rog ajutati-ma!!!!
Multumesc!
@daviana: ATF-Cleaner nu-ti sterge parolele Yahoo! messenger. Curata doar fisierele temporare stocate in PC.
Nu-ti cunosti parola de la contul Yahoo! ? Foloseste-o pentru logare.
Sigur ca-mi cunosc parola. Imi accesez zilnic de ani de zile contul cu aceeasi parola…
De a doua zi dupa ce am folosit ATF-ul inexplicabil nu-mi mai pot accesa contul.
De la yahoo nu primesc nicicum acel formular ce ti-l ofera pt. completarea intrebarii secrete ca sa iti poti recupera parola ci imi apare “sorry your password can’t be reset online”.
Am incercat si pt. alt ID, se poate seta parola online. Nu stiu ce s-a intamplat cu contul meu….
@daviana: ATF-Cleaner nu are nici o legatura.
Altceva s-a intamplat cu contul tau.
L-am rulat si eu si l-am recomandat la multi. Este curat 100% si nu are asemenea efecte.
Poate ca ti-a furat cineva parola. Ce eroare primesti la accesarea contului?
Ce antivirus folosesti? Trimite-mi daca vrei prin e-mail un log HijackThis pentru a vedea ce se intampla.
eu nu gasesc fisierele acolo unde ai spus si am bifat si defifat cum ai spus. am facut o scanare cu malware (a gasit ceva)si una cu karsperski, (care a gasit un win32.agent), desi massuri nu mai dadea, mai aveam doar eroarea la deschiderea partitiilor. dar desi acum nu gasesc ce spui, am dat un search si am vshost si svchost prin alte locuri, de ex C:/WINDOWS/Prefetch ori C:/WINDOWS/system32 etc.
pana la urma ce risc daca nu devirusez? parola YM am schimbat o…
@narciss: nu sterge la intamplare. Vshost.exe e diferit de svchost.exe. Svchost.exe este un fisier al Windows-ului fara de care PC-ul nu mai porneste. Vshost.exe este virus.
Ai rezolvarea pentru partitie, chiar la final.