Virus Yahoo http://ow.ly/23U3V?=http://facebook.com/photo.php

Cu mai bine de o luna in urma va povesteam despre un virus ce se raspandeste cu rapiditate pe yahoo messenger.

Datorita faptului ca timp-ul trece, facebook-ul prinde avand si oamenii uita prin ce au trecut, a aparut o noua versiune a acelui virus de care va povesteam.

La fel ca si acela, acesta poate avea diferite functii, printre care si una de backdoor ori de keyloggher, deoarece acesta se conecteaza “server1.beetrootmusic.com” pe portul 2345. Pe viitor la fel ca si versiunea anterioara de Pavelo,  acesta ar putea suferii modificari, dar dupa parerea mea cred ca de data aceasta o sa fie unele mult mai dezvoltate fata de ce erau in trecut.

Virus nou pe messenger - Devirusare jusched

Virus nou pe messenger - Devirusare jusched

Deocamdata acest virus hxxp://ow.ly/23U3V?=http://facebook.com/photo.php nu se raspandeste decat prin Yahoo messenger avand o dimensiune de doar 72K si vine sub denumirea n11975310_09.JPG-www.facebook.exe.

Mesaje pe Yahoo Messenger ce contin virusul:

foto 😀 http://ow.ly/23U3V?=http://facebook.com/photo.php
foto 😀
http://julietgardiner.com/photo.php

Chiar daca in denumire exista domeniul Facebook, aceasta este inserata doar pentru a pacali utilizatorul si cum asta nu ar fi indeajuns acest virus nu este detectat in prezent decat de 4 antivirusi.

Iata si raportul conform VirusTotal la aceasta ora aici. Singuri antivirusi care au reactionat pana in prezent si au scos semnaturi pentru aceasta noua varianta de virus Pavelo ar fi AVG – SHeur3.AGEN, COMODO – P2PWorm.Win32.Palevo.GZA , McAfee-GW-Edition – Heuristic.LooksLike.Worm.IrcBot.B si Sophos Mal/Rimecud-D:

Ce face acest nou virus de tip Pavelo

In momentul de fata acest virus nu este foarte complicat de inlatura deoarece nu isi creeaza decat un singur fisier si anume jusched.exe direct in folderul Windows.

Aceasta denumire nu este aleasa intamplator deoarece denumirea executabilul este una foarte cunoscuta, fiind folosita de catre Java.

Devirusare jusched.exe

Pentru a devirusa sau pentru a scapa de acest virus nu trebuie facut altceva decat stegerea acestui fisiere:

C:\windows\jusched.exe sau %Windir%\jusched.exe

Pentru a scapa de acest virus va trebui sa dati urmatoarele comenzi in Comand prompt sau CMD pe rand.

Pentru a deschide comand prompt-ul dati click pe butonul de START mergeti pe RUN scrieti cmd si apoi dati click pe OK

  • taskkill /f /im jusched.exe
  • del /f /a %Windir%\jusched.exe

Prima comanda este de inchidere a procesului virusului, iar a doua este de stergere.

Pentru acest virus am facut si o unealta ce va scapa de acest virus, ea putand fi descarcata de pe link-ul de mai jos.

  • Descarca antivirusu pentru:
  • http://ow.ly/23U3V?=http://facebook.com/photo.php
    1. Devirusare says:

      Metoda cu fisierul bat creat functioneaza doar pe XP 🙂

      Pe Vista/7 fisierul este creat in alta locatie.

      Eu propun metoda cu ComboFix si daca o sa fie semnat o sa fie un scan cu MalwareBytes Anti-Malware si gata 🙂

    2. Ionut says:

      @ Devirusare
      Avand in vedere ca ti am vazut mesajul, asa repede am rulat virusul si pe un Windows 7 si sa stii ca versiunea asta se baga tot in folderul Windows. Deci asa cum am facut eu bat-ul e OK.
      Apropo de metoda ta nu zic ca nu merge, dar eu unul intotdeauna am preferato pe asta, fara programe din alta parte instalate – (mai sigur si eficient parerea mea).

    3. Gigi says:

      Parerea mea este ca te inseli. Acum 2 luni cand a aparut prima data virusul am facut un removal asemanator. Se poate vedea pe blog cat si pe Softpedia unde am lansat 5 variante in functie de virus. Nu am copiat absolut nimic, comenzile de delete sunt diferite. Azi e prima oara cand iti vizitez site-ul.

    4. Ionut says:

      @Gigi
      Imi cer scuze daca am facut vreo confuzie, dar mi sa parut foarte ciudat faptul ca si tu si eu ne-am gandit cam in acelasi timp sa punem de doua ori taskkill la process.
      Mult succes in continuare.

    5. Gigi says:

      Vezi că pe Vista şi 7 fisierul se creează în C:\Users\Public. Removalul tău funcţionează pe XP dar pe Vista şi 7 doar închide procesul.
      Cu bine.

    6. Ionut says:

      Merci dar eu am testat pe Windows 7 fara UAC activat si creeaza in c:\Windows\ oricum am sa il modific pentru 2 linii in plus nu conteaza.

    7. Alex says:

      eu nu il gasesc nici in windows nici in public … sunt pe windows 7 … vreun sfat cineva ?

    8. Ionut says:

      Pai virusul are denumirea jusched.exe si se afla in c:\Windows dar vezi ca e ascuns.

      Pentru devirusare trebuie doar sa rulezi programul pe care l-am facut.

      Daca nu il vezi in folderul Windows chiar daca ai posibilitatea sa vezi fisierele ascunse si cele de sistem, atunci de unde stii ca esti virusat cu acest tip de virus?

    9. […] ca nu de foarte mult timp am anuntat un virus aici ce se raspandeste prin messenger si cu o luna si ceva in urma aici anuntasem primul virus de […]

    10. […] Pentru versiunea care trimite linkuri gen “ow.ly facebook”, click aici! […]

    11. R3n3gad3 says:

      Lol. Scanu cu virus total e o porcarie! Si eu am dat click pe ala cu foto 😀 si bitdefenderu l-a oprit imediat chiar inainte sa descarc ceva. Era un fel de chestie ce umbla prin Vault. In fine, am BitDefender Internet Security2010, toate actualizarile facute…

    12. Ionut says:

      Avand in vedere ca articolul e destul de vechi iti dai seama ca mai toti antivirusii au deja semnaturi pentru acest virus si virustotal pastreaza scanarile in functie de md5-ul fisierului.

    13. Stresatu:)) says:

      Multumesc pentru tutorial:))
      Este asa de simplu de facut ca si varumeo de 9 ani a scapat de virus cu bine:))

    14. Devirusare says:

      Noile versiuni altereaza fisierele Windows + creeaza si alte fisiere decat cele mentionate mai sus.

      C:\WINDOWS\jusched.exe, C:\Users\Public\jusched.exe, c:\do.exe, c:\wos.exe, c:\tolo.exe
      %userprofile%\aleator.exe, %userprofile%\secupdat.dat, c:\toof.exe
      %userprofile%\local settings\temp\rnk.exe, c:\windows\rgemua.exe, rgemub.exe %userprofile%\local settings\temp\rnf…bat
      C:\RECYCLER\S-1-5-21-1665246806-7966420593-103610923-5365\yv8g67.exe

      Solutie: Kaspersku Virus Removal Tool daca aveti alt antivirus(daca aveti deja Kaspersky pe PC, scan cu el) si MalwareBytes Anti-Malware.

    15. […] a aparut o noua varianta a acestui virus, care chiar daca se raspandeste prin Yahoo messenger de data aceasta se foloseste de o […]

    16. Love_fifa_2009 says:

      eu am cv de genu    httpȘ//s3.tinyphotohd.com/dl.php?d4q1f&res=Picture13.JPG

    17. TutorialePc says:

      merci de virus … o sa incerc sa il testez ca vad ca are detectie mica, dar daca tu ai facut vreun test as fi incantat sa citesc ce ai gasit.

    Lasa un comentariu

    Contact Link-exchange Windows tools and scripts
    Powered by WordPress | Designed by: Themes Gallery | Thanks to wordpress 4 themes, Download Premium WordPress Themes and