• Sponsored Links

Virus Yahoo http://ow.ly/23U3V?=http://facebook.com/photo.php

Scris de Ionut in data de June 28th, 2010

Cu mai bine de o luna in urma va povesteam despre un virus ce se raspandeste cu rapiditate pe yahoo messenger.

Datorita faptului ca timp-ul trece, facebook-ul prinde avand si oamenii uita prin ce au trecut, a aparut o noua versiune a acelui virus de care va povesteam.

La fel ca si acela, acesta poate avea diferite functii, printre care si una de backdoor ori de keyloggher, deoarece acesta se conecteaza “server1.beetrootmusic.com” pe portul 2345. Pe viitor la fel ca si versiunea anterioara de Pavelo,  acesta ar putea suferii modificari, dar dupa parerea mea cred ca de data aceasta o sa fie unele mult mai dezvoltate fata de ce erau in trecut.

Virus nou pe messenger - Devirusare jusched

Virus nou pe messenger - Devirusare jusched

Deocamdata acest virus hxxp://ow.ly/23U3V?=http://facebook.com/photo.php nu se raspandeste decat prin Yahoo messenger avand o dimensiune de doar 72K si vine sub denumirea n11975310_09.JPG-www.facebook.exe.

Mesaje pe Yahoo Messenger ce contin virusul:

foto :D http://ow.ly/23U3V?=http://facebook.com/photo.php
foto :D http://julietgardiner.com/photo.php

Chiar daca in denumire exista domeniul Facebook, aceasta este inserata doar pentru a pacali utilizatorul si cum asta nu ar fi indeajuns acest virus nu este detectat in prezent decat de 4 antivirusi.

Iata si raportul conform VirusTotal la aceasta ora aici. Singuri antivirusi care au reactionat pana in prezent si au scos semnaturi pentru aceasta noua varianta de virus Pavelo ar fi AVG - SHeur3.AGEN, COMODO - P2PWorm.Win32.Palevo.GZA , McAfee-GW-Edition – Heuristic.LooksLike.Worm.IrcBot.B si Sophos Mal/Rimecud-D:

Ce face acest nou virus de tip Pavelo

In momentul de fata acest virus nu este foarte complicat de inlatura deoarece nu isi creeaza decat un singur fisier si anume jusched.exe direct in folderul Windows.

Aceasta denumire nu este aleasa intamplator deoarece denumirea executabilul este una foarte cunoscuta, fiind folosita de catre Java.

Devirusare jusched.exe

Pentru a devirusa sau pentru a scapa de acest virus nu trebuie facut altceva decat stegerea acestui fisiere:

C:\windows\jusched.exe sau %Windir%\jusched.exe

Pentru a scapa de acest virus va trebui sa dati urmatoarele comenzi in Comand prompt sau CMD pe rand.

Pentru a deschide comand prompt-ul dati click pe butonul de START mergeti pe RUN scrieti cmd si apoi dati click pe OK

  • taskkill /f /im jusched.exe
  • del /f /a %Windir%\jusched.exe

Prima comanda este de inchidere a procesului virusului, iar a doua este de stergere.

Pentru acest virus am facut si o unealta ce va scapa de acest virus, ea putand fi descarcata de pe link-ul de mai jos.

  • Descarca antivirusu pentru:
  • http://ow.ly/23U3V?=http://facebook.com/photo.php
    • Tags: ,
    • http://www.devirusare.com Devirusare

      Metoda cu fisierul bat creat functioneaza doar pe XP :)

      Pe Vista/7 fisierul este creat in alta locatie.

      Eu propun metoda cu ComboFix si daca o sa fie semnat o sa fie un scan cu MalwareBytes Anti-Malware si gata :)

    • http://www.tutorialepc.ro Ionut

      @ Devirusare
      Avand in vedere ca ti am vazut mesajul, asa repede am rulat virusul si pe un Windows 7 si sa stii ca versiunea asta se baga tot in folderul Windows. Deci asa cum am facut eu bat-ul e OK.
      Apropo de metoda ta nu zic ca nu merge, dar eu unul intotdeauna am preferato pe asta, fara programe din alta parte instalate – (mai sigur si eficient parerea mea).

    • http://www.blogger-warning.blogspot.com Gigi

      Parerea mea este ca te inseli. Acum 2 luni cand a aparut prima data virusul am facut un removal asemanator. Se poate vedea pe blog cat si pe Softpedia unde am lansat 5 variante in functie de virus. Nu am copiat absolut nimic, comenzile de delete sunt diferite. Azi e prima oara cand iti vizitez site-ul.

    • http://www.tutorialepc.ro Ionut

      @Gigi
      Imi cer scuze daca am facut vreo confuzie, dar mi sa parut foarte ciudat faptul ca si tu si eu ne-am gandit cam in acelasi timp sa punem de doua ori taskkill la process.
      Mult succes in continuare.

    • http://www.blogger-warning.blogspot.com Gigi

      Vezi că pe Vista şi 7 fisierul se creează în C:\Users\Public. Removalul tău funcţionează pe XP dar pe Vista şi 7 doar închide procesul.
      Cu bine.

    • http://www.tutorialepc.ro Ionut

      Merci dar eu am testat pe Windows 7 fara UAC activat si creeaza in c:\Windows\ oricum am sa il modific pentru 2 linii in plus nu conteaza.

    • Alex

      eu nu il gasesc nici in windows nici in public … sunt pe windows 7 … vreun sfat cineva ?

    • http://www.tutorialepc.ro Ionut

      Pai virusul are denumirea jusched.exe si se afla in c:\Windows dar vezi ca e ascuns.

      Pentru devirusare trebuie doar sa rulezi programul pe care l-am facut.

      Daca nu il vezi in folderul Windows chiar daca ai posibilitatea sa vezi fisierele ascunse si cele de sistem, atunci de unde stii ca esti virusat cu acest tip de virus?

    • Pingback: Virus www3.mfotoblog.com/uploads/1346536/IMAGEN006.JPEG.zip | Tutoriale PC

    • Pingback: Cum scap de virusul “image :D” pe Yahoo Messenger « Filip Pacurar

    • http://www.xdreamcss.forumz.ro R3n3gad3

      Lol. Scanu cu virus total e o porcarie! Si eu am dat click pe ala cu foto :D si bitdefenderu l-a oprit imediat chiar inainte sa descarc ceva. Era un fel de chestie ce umbla prin Vault. In fine, am BitDefender Internet Security2010, toate actualizarile facute…

    • http://www.tutorialepc.ro Ionut

      Avand in vedere ca articolul e destul de vechi iti dai seama ca mai toti antivirusii au deja semnaturi pentru acest virus si virustotal pastreaza scanarile in functie de md5-ul fisierului.

    • Stresatu:))

      Multumesc pentru tutorial:))
      Este asa de simplu de facut ca si varumeo de 9 ani a scapat de virus cu bine:))

    • http://devirusare.com/2010/06/28/devirusare-httpow-ly23u3vhttpfacebook-comphoto-php/ Devirusare

      Noile versiuni altereaza fisierele Windows + creeaza si alte fisiere decat cele mentionate mai sus.

      C:\WINDOWS\jusched.exe, C:\Users\Public\jusched.exe, c:\do.exe, c:\wos.exe, c:\tolo.exe
      %userprofile%\aleator.exe, %userprofile%\secupdat.dat, c:\toof.exe
      %userprofile%\local settings\temp\rnk.exe, c:\windows\rgemua.exe, rgemub.exe %userprofile%\local settings\temp\rnf…bat
      C:\RECYCLER\S-1-5-21-1665246806-7966420593-103610923-5365\yv8g67.exe

      Solutie: Kaspersku Virus Removal Tool daca aveti alt antivirus(daca aveti deja Kaspersky pe PC, scan cu el) si MalwareBytes Anti-Malware.

    • Pingback: Virus de Facebook | Tutoriale PC

    • Love_fifa_2009

      eu am cv de genu    httpȘ//s3.tinyphotohd.com/dl.php?d4q1f&res=Picture13.JPG

    • http://tutorialepc.ro TutorialePc

      merci de virus … o sa incerc sa il testez ca vad ca are detectie mica, dar daca tu ai facut vreun test as fi incantat sa citesc ce ai gasit.

    Powered by WordPress | © 2009 TutorialePC.ro. Toate drepturile rezervate