[Solutie] Virusul “is this you ? ? doiop.com/photos**.php”

De cateva ore se raspandeste pe Yahoo! Messenger un nou virus, din familia Palevo, din cate se pare.
Metoda este cea clasica: trimite un link “perfid” care induce in eroare utilizatorul si dupa click i se ofera un virus spre descarcare.

Mesajul este unul din urmatoarele:



is this you? http://migre.me/2R00Q
is this you? http://doiop.com/photos99271.php
is this you? http://doiop.com/photos22715.php
is this you? http://doiop.com/images5.php
is this you? http://ow.ly/3kdpM?=http://www.facebook.com/profile.php
is this you? http://doiop.com/photos13.php
is this you? http://doiop.com/photos615.php
is this you? http://doiop.com/photos726.php
is this your pic? http://doiop.com/photoses.php
is this you? http://facebookzl.net/profile.php
is this you? http://facebookiy.com/profile.php
Is this you ? http://facebookq.net/profile.php
is this you ? ? http://facebookui.net/profile.php

Adresa facebookui.com sau altele asemanatoare pot induce pe cei mai multi in eroare, site-ul fiind cu totul altul de fapt, neavand legatura cu celebra retea de socializare.
Fisierul descarcat pretinde ca este o poza, dar are extensia finala .exe si doar icon-ul imita pe cel al unei poze.
Are denumirea: PIC675799074533-JPG-www.facebook.com.exe

Odata rulat creeaza fisierul C:\WINDOWS\jusched.exe, care va porni odata cu PC-ul si va trimite mesaje in mod automat tuturor prietenilor din lista Yahoo! messenger.

Mai pot fi create fisierele: c:\do.exe, c:\wos.exe, c:\tolo.exe, %userprofile%\local settings\temp\rnk.exe, c:\windows\rgemua.exe
Detectia lui este una foarte mica: doar 14 din 42 de Antivirusi de pe VirusTotal.com. Felicitari Comodo pentru promptitudine.

Iata care sunt solutiile pentru DEVIRUSARE:

1. Descarcati Malwarebytes Anti-Malware. Scanati PC-ul rapid (sau complet daca nu functioneaza scanarea rapida) si stergeti la final infectiile gasite apasand Remove selected.

2.Descarcati ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Creati un fisier nou de tip .txt cu Notepad si scrieti in el ce e mai jos in citat:

File::
C:\Users\Public\jusched.exe
C:\WINDOWS\jusched.exe

Denumiti-l CFScript.txt si trageti-l peste ComboFix, asa cum este aratat in poza de mai jos:

jusched.exe poza


Apoi asigurati-va ca ati inchis toate programele care ruleaza (yahoo messenger, firefox, etc)
Dezactivati temporar protectia Antivirus!
Rulati apoi ComboFix. Va va intreba daca sa inceapa curatirea. Confirmati cu Yes de fiecare data. Nu-l opriti in timp ce scaneaza si dezinfecteaza sistemul. E posibil ca in timpul rularii lui desktop-ul sa dispara.

Daca ai reusit sa cureti aceasta infectie, iti recomand sa cumperi versiunea PRO a Malwarebytes Anti-Malware pentru a te proteja si pe viitor de astfel de amenintari, avand in vedere ca nu au fost detectate\eliminate de antivirusul tau actual.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

19 responses to “[Solutie] Virusul “is this you ? ? doiop.com/photos**.php””

  1. calin

    ai gresit ca virusu e din 29 28 nu de cateva ore cum ai scris . cel putin mie primu mass de genu a aparut in 29 pe la ora 19 20

  2. Andrei R.

    vezi ca mai a aparut o “forma”, tot palevo cred ca e: is this you? hxtp://doiop.com/photos6.php

  3. Tweets that mention [Solutie] Virusul “is this you ? ? facebook**.net/profile.php” -- Topsy.com

    […] This post was mentioned on Twitter by Radu, YO9FAH. YO9FAH said: [Solutie] Virusul “is this you ? ? facebookui.net/profile.php”: http://bit.ly/eANQ3w […]

  4. Andrea B

    Buna ziua.
    Am o problema sper sa ma puteti ajuta. De cateva zile am observat ca e ceva neregula cu calculatorul meu , mi-a venit prin yahoo messenger mesajul :
    is this you? hxtp://doiop.com/photos6.php de la o persoana din lista mea si eu bineinteles nestiind despre ce este vorba si cu toate ca eram sceptica , am dat click dar dupa nici un minut l-am inchis. Am descarcat Malwarebytes Anti-Malware , iar cand ii dau scanare la show results apare :
    Malwarebytes’ Anti-Malware 1.50
    http://www.malwarebytes.org

    Database version: 5256

    Windows 5.1.2600 Service Pack 2
    Internet Explorer 7.0.5730.11

    06.12.2010 16:18:31
    mbam-log-2010-12-06 (16-18-31).txt

    Scan type: Quick scan
    Objects scanned: 132272
    Time elapsed: 1 minute(s), 47 second(s)

    Memory Processes Infected: 0
    Memory Modules Infected: 0
    Registry Keys Infected: 0
    Registry Values Infected: 0
    Registry Data Items Infected: 2
    Folders Infected: 0
    Files Infected: 0

    Memory Processes Infected:
    (No malicious items detected)

    Memory Modules Infected:
    (No malicious items detected)

    Registry Keys Infected:
    (No malicious items detected)

    Registry Values Infected:
    (No malicious items detected)

    Registry Data Items Infected:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Delete on reboot.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Delete on reboot.

    Folders Infected:
    (No malicious items detected)

    Files Infected:
    (No malicious items detected)
    Si nu reusesc nicicum sa le sterg , am dat cred ca de vreo 10 ori restart , dupa fiecare scanare si de fiecare data imi reapar. Vreau sa va spun ca am descarcat si kaspersky si mi-a gasit : MEM:Rootkit.Win32.TDSS.fa , am incercat sa-l sterg , nu s-a putut , iar dupa aceea mi-a aparut o fereastra sa-i dau restart ca sa stearga virusul si surpriza se pare ca l-a sters pt ca nu mai apare nicaieri. Va rog frumos sa-mi spuneti ce as putea sa fac sa scap de virusi , ca de cel putin o saptamana ma tot chinui. Va multumesc din suflet.

  5. Nick

    @ Andreea B
    Se pare că ai scăpat de el,dacă am înţeles eu bine ! Ce soluţie de securitate foloseşti ?
    PS. Mai scanează o dată cu MBAM!

    1. Andrea B

      Nick
      Intr-adevar se pare ca am scapat de virusul Trojan pt ca am facut ce mi-a spus Radu si nu mi-a gasit nici un virus. Am mai scanat odata cu MBAM , dar am acelasi rezultat ca cel prezentat aici , din pacate de acestea nu am scapat. Folosesc doar Eset Smart Security.

  6. ionut

    buna ziua,
    azi am primit si eu link ul acesta” is this you? hxtp://doiop.com/photos6.php “,nestiind ce este si venind de la un prieten din lista am dat click pe el,in acel moment mi s au cerut sa efectuez urmatoarele operatii:EXECUTARE, SALVARE, REVOCARE.mi s a parut cam suspect asa k am dat revocare,este posibil sa fi luat virusul?
    multumesc

  7. Edy

    Daca am dat click si apoi am iesit repede am luat virusul ? 😀
    Multumesc !

    1. Andrei R.

      Daca nu ai descarcat fisierul nu ai luat nimic.

      1. Gigi

        Chiar daca descarca, tot nu se infecteaza. Conteaza sa deschizi manual fisierul. 😉

        1. Andrei R.

          A intrebat daca a luat, nu daca s-a infectat… bine, aici e de finete raspunsul, dar da, pt a te infecta trebuie sa il executi…

  8. Costiiiii

    Am auzit de un virus ;Japonez; transmis prin Yahoo Messenger : DACA nu mai poti schimba poza de la avatar ai luat virusul estui infestat… . NU pot sa mai schmb avatarul ce sa intamplat?

  9. adrian

    iti trimit acum un email (hijack..)

Leave a Reply