UPDATE By Radu FaraVirusi(com) on May 2, 2010
De cateva zile circula pe Yahoo! messenger un nou virus care trimite cateva link-uri ca cele de mai jos, precedate de un text:
foto: http://discophotos.net/image.php
foto: http://fotolucky.net/image.php
foto: http://walletimages.com/image.php
foto: http://privfotos.com/image.php
foto: http://photo4urspace.com/image.php
foto: http://lmagesspot.com/image.php
foto: http://keralawebhosting.biz/image.php
foto: http://memorylmages.com/image.php
foto: http://mbi-photos.com/image.php
foto: http://wallerimages.com/image.php
foto: http://foto-spaces.com/image.php
foto: http://joblin.co.nz/image.php
foto: http://margaretiamges.com/image.php
foto: http://beautyphotoson.com/image.php
foto: http://photos-fb.com/image.php
foto: http://facebook-lmg.com/image.php
foto: http://lmagesbucket.com/image.php
foto http://facebook-lmages.com/image.php
foto: http://facebook-imb.com/image.php
foto: http://lmb-space.com/image.php
foto: http://myspace-imb.biz/image.php
foto: http://lmages-space.com/image.php
foto: http://yungimages.net/image.php
foto: http://mimapic.com/image.php
foto: http://post-photos.com/image.php
foto: http://limpskr.com/image.php
foto: http://kompnk.com/image.php
foto: http://yunphotos.net/image.php
foto: http://domeimg.com/image.php
foto: http://vertiphotos.com/image.php
foto: http://twittersphoto.com/image.php
foto: http://myphotoarchives.net/image.php
foto: http://mycomimg.com/image.php
foto: http://funwiththisguy.com/image.php
foto: http://red-myspace.com/image.php
foto: http://ariafotos.com/image.php
foto: http://zhelefun.com/image.php
foto: http://tviceimg.com/image.php
foto: http://tuesimages.com/image.php
foto: http://ceceliaimg.com/image.php
Odata accesat acest link primit pe messenger de la un contact din lista, vi se va oferi spre descarcare un fisier cu o denumire asemanatoare cu cea de mai jos:
IM56245.JPG-www.myspace.com.exe
Cei mai multi nu vor vedea extensia de la final .exe, deoarece Windows-ul vine setat by default sa nu afiseze extensia unui fisier. (Mare greseala dupa parerea mea)
Pentru a nu lungi vorba, iata cum puteti scapa de acest intrus:
Metoda 1: Descarcati Malwarebytes Anti-Malware.
Instalati-l si la sfarsit asigurati-va ca ati bifat urmatoarele: Update Malwarebytes’ Anti-Malware si Launch Malwarebytes’ Anti-Malware. Apoi apasati Finish
Dupa lansarea programului, selectati Perform quick scan (sau Full scan, dar dureaza mult mai mult) si apoi apasati pe Scan.
Dupa ce termina apasati OK si apoi Show Results. Asigurati-va ca e totul bifat si apoi apasati Remove Selected.
La final va solicita restartarea PC-ului.
Metoda 2: Descarcati Kaspersky Removal Tool si scanati partitia C: cu el, stergand infectiile gasite.
Metoda 3:
Descarcati ComboFix si salvati-l pe Desktop.
Apoi asigurati-va ca ati inchis toate programele care ruleaza (Yahoo Messenger, MozilaFirefox, etc) si rulati ComboFix. Va va intreba daca sa inceapa sa curete sistemul. Confirmati cu Yes de fiecare data. Nu-l opriti in timp ce scaneaza si dezinfecteaza sistemul. E posibil ca in timpul rularii lui desktop-ul sa dispara, dar nu va ingrijorati.
La sfarsit va afisa rezultatele scanarii. Salvati acel fisier si trimiteti-mi continutul prin e-mail.
Metoda 4: Faceti un log HijackThis, trimiteti-mi-l prin e-mail si va voi da solutia manuala de dezinfectie, adaptata fiecarui utilizator in parte.
Este nevoie uneori si de aceasta solutie, fiindca virusul creeaza denumiri aleatorii ale fisierelor.
Pentru cei interesati de mai multe detalii, virusul creeaza urmatoarele fisiere:
%Windir%infocard.exe (acesta va fi si procesul activ; sunt folosite si alte denumiri, cum ar fi net.exe)
%Windir%mds.sys
%Windir%mdt.sys
%Windir%winbrd.jpg
De asemenea urmatoarele chei registry ii apartin:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun [Firewall Administrating = „%Windir%infocard.exe”]
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionTerminal ServerInstallSoftwareMicrosoftWindowsCurrentVersionRun [Firewall Administrating = „%Windir%infocard.exe”]
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun [Firewall Administrating = „%Windir%infocard.exe”]
Prin aceste intrari in registry-ul Windows, virusul isi asigura rularea la fiecare pornire a computer-ului.
SURSA: By Radu FaraVirusi(com) on May 2, 2010
8 răspunsuri
Felicitari, atat pentru solutie, cat si pentru faptul ca blogul a fost citat:D De doua zile ma confruntam si eu, la fel ca multi utilizatori de YM cu acest pacatos de virus… Si navigand pe net in cautare de stiri am descoperit pe site-ul Antenei 3 aceasta solutie. Mi-am „permis” sa iti citez si eu blogul, cu link fireste:D Keep up the good work!!!
placerea a fost de partea mea
Imi pare nespus de bine ca am dat de situl dumneavoastra pentru ca de citeva luni ma lupt ce aceste e-mailuri pe care prima data le-am deschis, pina sa-mi dau seama de ca ordinatorul e spionat grav, cred ca si prin camera, deoarece nu o pot folosi pe msn, nici face poze, si la o incercare de a da camera pe msn a aparut o poza pe pagina persoanei cu care vorbea cu tot ce era deschis la mine pe ordinator.Am tot scanat dar daca eu nu stiu ce e bun si ce e rau nu a dat rezultate, am sa postez aici rezultatele azi cind am sa fac un scan Hijack.
interesant blog… cam putine articole da in rest e ok
Foarte destept vorbesti de o problema apoi mai pui 3 comentarii de la asa zise 3 persoane ..ca e bine asa creste (nu-i asa! ) credibilitatea..ca sa iti downloadeze programul dupa zite ..frumos si acolo iti da lumea toate datele super…;)
LOL. nu inteleg cum puteti sa va virusati… primu lucru cand instalezi un sistem de operare, este sa il instalezi cu conexiunea la internet oprita, dupa care instalezi drivere si dai restart de cate ori ai nevoie si apoi instalezi un ANTIVIRUS cu antispyware, antiphishing, antispam,firewall,antiRootkit , si apoi poti sa te conectezi la internet si sa iti dai update la antivirus.Asa te protejezi.Insa cum multi dintre voi habar nu au cu ce se mananca un sistem de operare si prefara sa cheme un prieten care sa ii bage un windows customizat si un antivirus crackuit nu stiu de ce va mai mirati ca luati virusi.Bine va face!!!
@bitu
probabil nu ai inteles… este vorba despre un mesaj de tip mass pe care un Yahoo Messenger VIRUSAT il trimite AUTOMAT la toate persoanele din lista. Apare ceva de genul”photo:D… „si un link. DACA SE DA CLICK PE LINK SE IA VIRUSUL, NU DACA INSTALEZI YAHOO MESSENGER!!!