[Solutie] Virusul “hahaha foto nbcsfirm.com/album.php?Facebook.com-IMG…….JPG” pentru Yahoo! messenger

Se raspandeste pe Yahoo! messenger un nou virus, cu o detectie foarte mica: 4 din 43 de Antivirusi pe VirusTotal.com.

Mesajul primit de victime este:


your foto marihedin.se/08.htm?Facebook.com-IMG14329164.JPEG
your foto marihedin.se/08.htm?Facebook.com-IMG98265397.JPEG
your foto http://hulleman.ca/03.htm?Facebook.com-IMG87645713.JPEG
hehehedm http://www.facebook.com.img907.tk/Photo-DSC348825945f5k3x.jpeg
http://bitly.com/wsnk9h?Facebook.com-IMG8Cz2T0I04.JPG
hahaha foto http://bit.ly/AjQVio?Facebook.com-IMG00OV66e.JPG
heheha sexy http://bit.ly/y1cVNx?Facebook.com-IMG456171.JPG
haha foto http://bit.ly/zTB3a3?Facebook.com-IMG7951192.JPG
haha foto http://bit.ly/wBMcsz?Facebook.com-IMG678957.JPG
is this you? LOL htxp://bit.ly/wTQSSG?Facebook.com-IMG788874.JPG
haha foto htxp://www.opuscg.fr/albums.php?Facebook.com-IMG190862.JPG
http://luthergerlach.com/album.php?1128281
is this really you? haha htxp://bit.ly/zHWr5g?Facebook.com-IMG430530.JPG
haha foto hxtp://cahaya.tv/album.php?Facebook.com-IMG086236.JPG
haha foto hxtp://www.red-jiang.com/album.php?Facebook.com-IMG412154.JPG
haha foto htxp://www.alsia.fr/album.php?Facebook.com-IMG090882.JPG
haha foto htxp://www.cfalpha.com/album.php?Facebook.com-IMG632731.JPG
ehahaha foto hxtp://www.elmerforst.com/album.php?Facebook.com-IMG145701.JPG
hahaha foto hxtp://nbcsfirm.com/album.php?Facebook.com-IMG202083.JPG
hahaha foto hxtp://nbcsfirm.com/album.php?Facebook.com-IMG731437.JPG
hahaha foto hxtp://nbcsfirm.com/album.php?Facebook.com-IMG011793.JPG
ehahaha foto hxtp://lightweightsolutions.me/album.php?Facebook.com-IMG354941.JPG
ehahaha foto htxp://www.elmerforst.com/album.php?Facebook.com-IMG929864.JPG
ehahaha foto hxtp://www.elmerforst.com/album.php?Facebook.com-IMG460684.JPG
ehahaha foto htxp://lightweightsolutions.me/album.php?Facebook.com-IMG942512.JPG
ehahaha foto hxtp://lightweightsolutions.me/album.php?Facebook.com-IMG382338.JPG
ehahaha foto http://lightweightsolutions.me/album.php?Facebook.com-IMG893923.JPG
ehahaha foto http://lightweightsolutions.me/album.php?Facebook.com-IMG572142.JPG
haha foto http://www.ukrguide.org/album.php?Facebook.com-IMG171084.JPG
haha foto hxtp://bit.ly/AjMHHT?Facebook.com-IMG464718.JPG
haha foto http://bit.ly/xUZ0dF?Facebook.com-IMG000655.JPG

Malware-ul din familia Kolab, permite atacatorului sa preia controlul PC-ului, sa descarce alti virusi, sa fure date din computer si de asemenea sa se propagheze mai departe pornind odata cu Windows-ul si trimitand mesaje pe messenger.

Accesand acel link, este descarcata arhiva Picture14.JPG_.zip, ce contine fisierul infectat Picture14.JPG_www.facebook.com. Odata rulat creeaza fisierul c:\windows\mdm.exe.

Daca ati descarcat si rulat fisierul, iata care este solutia pentru DEVIRUSARE:


Descarcati Malwarebytes Anti-Malware. Scanati PC-ul rapid (sau complet daca nu functioneaza scanarea rapida) si stergeti la final infectiile gasite apasand Remove selected.

Alternativ, puteti folosi removal-ul nostru: doar XP sau XP/Vista/7.

Multumesc lui Gigi pt atentionare, linkuri si removal.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

30 responses to “[Solutie] Virusul “hahaha foto nbcsfirm.com/album.php?Facebook.com-IMG…….JPG” pentru Yahoo! messenger”

  1. Usr

    solutie:
    1. se opreste procesul mdm.exe [c:\windows\mdm.exe] (procexp –>google)
    2. se elimina din registri: (autoruns, regedit, etc)
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
    Microsoft Firevall Engine c:\windows\mdm.exe
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Microsoft Firevall Engine c:\windows\mdm.exe
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    Microsoft Firevall Engine c:\windows\mdm.exe
    3. se elimina fisierul:
    c:\windows\mdm.exe *

    Asta-i tot.
    *mdm.exe are setate atributele system +hidden

  2. WindowsCluj

    De ce sa accesam un link de la un necunoscut mai ales ca are denumirea de HA HA HA? Cand primesc un link ciudat de la un necunoscut nu-l deschid…mai ales cu denumiri ciudate.

  3. Sergiu Neamt

    Ai fi surprins sa vezi cati il ruleaza, cu toate ca il downloadeaza ca si rar, il despacheteaza, le cere windows-ul confirmare sa-l ruleze (windows 7/vista) si apoi il instaleaza. Se pare ca nici o avertizare nu este suficienta pentru anumiti utilizatori, practic orice virus pe care scrie naked, girl, webcam, nude sau in cazul de fata facebook va fi rulat in mod automat de catre (culmea) aceeasi utilizatori.

  4. Costin

    Salutare tuturor!
    Sunt de acord cu ”Sergiu”, sunt foarte mulți oameni care nu au habar ce-i acela un Windows, dar culmea toți au cont pe facebook … că de’ trebuie să fie la modă. Și când le vorbești cu frumosul și le explici care, cum stă treaba primești la replici ”dure” de-ți vine să te duci…:), dar când nu se mai pornește PC-ul te roagă să i-l repari. Scuzați-mi introducerea acestui comentariu, dar cazuri de acest gen văd tot timpul și nu prea le suport. Recomand MBAM tuturor celor ce vor să-și mențină PC-ul ”curat”.

  5. Daniel

    eu am primit virusul pe Facebook!

  6. Lucian

    Am folosti malwarebytes si nu a gasit nici o infectie, dupa o scanarare completa. am folosit inainte advenced systemcare si a gasit si el ceva, dupa care a curat. sa fie pc-ul atat de bine “curatat” incat malwarebytes sa nu gaseasca nimic. tin sa mentinonez ca am contactat si eu virusul cu “haha photo”

    1. Lucian

      curatat*. deci daca nu am fost destul de clar, exista posibilitatea ca advenced systemcare sa fi curatat atat de bine pc-ul, astfel incat remove-rul de aici de pe site, sau programul malwarebytes sa nu mai gaseasca virusul?multumesc:)

  7. dragos

    si eu am luat virusul respectiv si desi sariti in sus ca nu e posibil sa iei asemenea virus daca il primesti de la cineva pe care nu il cunosti totusi pe facebook este posibil sa il primesti de la un cunoscut! intradevar este prostesc sa deschizi un fisier care nu are o logica fara sa intrebi despre ce e vorba dar curiozitatea invinge uneori atata timp cat te simti protejat de un antivirus
    asa ca pana la urma nu e foarte grav atata timp cat are o rezolvare

  8. Marius C

    Eu am gasit executabilul mdm.exe in c:\users\public\mdm.exe si am modificat bat-ul cu noua cale.

    Multam de patch!

    Toate bune,
    Marius

    1. Gigi

      Nu am testat pe Vista sau 7 asa ca era de asteptat sa fie in alta locatie. Greseala mea.

  9. nelu b

    Am testat si cu malwarebytes nu gaseste nimic.Observ ca intre timp mai multi antivirusi il “simt”.E intr-adevar “o varianta de….”

    1. Gigi

      Tocmai am pus si removal pentru Vista/7. Unii antivirusi nu prea fac fata la multitudinea de versiuni noi ale virusului.

  10. Nelu b

    O bila alba NOD-ului, a fost primul care l-a recunoscut(Si Comodo,insa nu-l definea clar ca virus)

  11. cosmin

    eu am o alta problema eu nu am virusu in PC….am folosit Malware si pe facebook contul meu trimite in continuare la prieteni linkul asta cu HAHAHA…….ce pot sa fac sa nu mai trimita???? sterg contu de facebook????

  12. cosmin

    ok ms

  13. Mihai

    Bună ziua! Mama a pescuit fără să vrea acest virus „ha ha ha” iar antivirusul meu(kaspersky) a detectat următoarele 2 link-uri:

    httk://dl.dropbox.com/u/64230926/Picture19.JPG.zip?1109919196//Picture19.JPG_www.facebook.com
    si
    htxp://dl.dropbox.com/u/64247968/Picture19.JPG.zip//Picture19.JPG_www.facebook.com

    Ce nelamurire am eu: avand un hdd extern, pe care am descarcat fisiere de pe torrenti si pe care le tineam la seed, m-am trezit brusc ca nu mai pot accesa acest hard si-mi cere sistemul sa-l formatez. De ce oare s-a blocat hdd-ul extern si nu cel intern? Daca-l formatez pierd toate informatiile de pe acel hdd si nu vreau asa ceva. Ce solutie alternativa am in afara programului GetDataBack? Multumesc anticipat pt. raspunsul primit.

  14. ion

    eu am primit mesaju pe mes si din greseala pt ca mam grabit am dat pe link dar nu s-a deschis nicio fereastra. poate k am apasat pe mouse dar nu destul de tare. am urmatoare intrebare cand apesi pe link se deschide o fereastra?? sau ceva de genu

  15. Ferentz

    Eu doar am descarcat arhiva, am dezarhivat-o, apoi am sters tot, n-am rulat nimic. Este posibil sa ma infectez si eu?

  16. Moni

    si eu am primit asa ceva de la cea mai buna prietena , care obijnuieste sa imi trimita link.uri de youtube si am crezut ca e la fel , apoi dupa ce am dat “deschidere” au inceput sa se trimita virusii. am descarcat si eu acest program de mai sus. sper sa fei de ajutor

  17. chat « 7uky

    […] [Solutie] Virusul “hahaha foto nbcsfirm.com/album.php?Facebook.com-IMG…….JPG” pentru Yahoo! … […]

Leave a Reply