Un nou virus se raspandeste pe Yahoo Messenger in ultimele 2 zile. Face parte din familia Buzus.
Mesajul trimis este:
cuanto tu crees que esta foto tenga de vejez? jeje http://p11.safepicturebox.com/data/541378/MiFoto012.JPG.zip
estoy oficialmente instalado en mi nueva casa y tome muchas pics http://rs83.sfotoblog.com/files/g8sn3a1m30/DSC-IMAGEN29.JPG.zip
te ves rebien en esta foto. http://www1.crazyphotosend.com/saved/54874/DSC-MiFoto02.JPEG.zip
puedo poner esta foto tuya en mi blog porfavor? http://www.crazyphotosend.com/cache/46326/MiFoto3.JPEG.zip
Mira me nuevo look. que te parece? http://sv84.megapicturebox.com/uploads/13467457/IMAGEN028.JPEG.zip
como se ve esta foto? lo tome con mi camara nueva. http://www2.megapicturebox.com/userfiles/790923/DVC-IMAGEN04.JPG.zip
Mira me nuevo look. que te parece? http://sv84.megapicturebox.com/uploads/13467457/IMAGEN028.JPEG.zip
En serio que no recuerdo esta foto. Sera que ya estaba boracho http://www1.megapicturebox.com/userfiles/834605/MVS-IMAGEN011.JPEG.zip
soy tan buena persona que tome miles de fotos del concierto de ayer http://www1.megapicturebox.com/userfiles/9df53b3d6/MVC-IMAGEN016.JPEG.zip
Quedaron en la madre los dos carros despues del accidente. http://sv23.mfotoblog.com/uploads/6659861/DSC-IMAGEN012.JPG.zip
edite esta foto… crees que se ve bien? la acabo de crear en photoshop http://www3.mfotoblog.com/uploads/1346536/IMAGEN006.JPEG.zip
dime que piensas de estas dos camisas que me quiero comprar http://www4.mfotoblog.com/uploads/2463652/IMAGEN012.JPG.zip
Virusul creaza procesul wmpdt1.exe in folderul System32.
(C:\WINDOWS\system32\wmpdt1.exe ).
Detectie pe VirusTotal.com:
http://www.virustotal.com/analisis/eef52b77b06b…..
Devirusare automata:
Descarcati Dr.Web CureIT. Se va descarca un fisier cu nume random pentru a nu fi recunoscut/inchis de virus.
Dublu click pe el si apasati “Start” pentru a scana PC-ul.
Stergeti infectiile gasite.
Descarcati Malwarebytes Anti-Malware 1.46.
Instalati programul si la sfarsit asigurati-va ca ati bifat urmatoarele:
Update Malwarebytes’ Anti-Malware
Launch Malwarebytes’ Anti-Malware
Apasati Finish.
Dupa lansarea programului, selectati Perform full scan si apasati pe Scan.
Dupa ce termina click pe OK si apoi pe Show Results.
Asigurati-va ca e totul bifat si apoi click pe Remove Selected.
Multumesc lui Official pentru script.
15 Responses to “Devirusare http://p11.safepicturebox.com/data/541378/MiFoto012.JPG.zip”
Trackbacks/Pingbacks
- Tweets that mention Devirusare http://www3.mfotoblog.com/uploads/1346536/IMAGEN006.JPEG.zip | Devirusare.com -- Topsy.com - [...] This post was mentioned on Twitter by Lucian. Lucian said: RT @Devirusare: Devirusare http://www3.mfotoblog.com/uploads/1346536/IMAGEN006.JPEG.zip: Un nou virus se raspandeste ...
Am si eu o intrebare?
De ce trebuie sa ma copiati unu dupa altu fara sa testati un nou virus, mai ales ca el inca e online si poate sa il descarce oricine?
Eu zic ca varianta voastra de data aceasta e total gresita atat cea cu Combofix cat si cea de aici:
Nu vreau sa fac publicitate si daca consideri asta poti sa modifici link-ul, dar ce zici de metoda asta:
Sincer ?
Cine te-a copiat ?!
Tu ai scris cu setarea de permisiuni, eu am trimis virusul la MalwareBytes si l-a semnat si am pus metoda de devirusare directa fara show hidden files & stuff.
Ai oricum am vazut link-ul pe forum de ieri postat de un user, dar nu am avut timp sa scriu articol.
Tu ai metoda ta de devirusare, eu pe a mea
Si a mea e mai rapida si mai simpla
Ionut, eu m-am virusat intentionat, fara masina virtuala. Am vazut ce face virusul si am cautat sa-l inchid si sa-l sterg. Evident n-a mai mers. Asa ca mi-a venit o idee sa inchid explorer.exe si apoi Minune! Am reusit sa-l sterg. Experienta in devirusari si-a spus cuvantul. Cu un script micut am sters un virus dificil de sters.
Evident, Malwarebytes, Avast si altii au detecţie dar pentru mine a fost o provocare sa scot virusul cu ‘mainile goale’.
Nu te-a copiat nimeni. Nu e nimic identic pe site-urile noastre. Si nu uita de contul tau banat de pe Softpedia pentru Spam.
@Gigi (Oficial) nu stiu cum v-ati virusat voi, dar la mine in masina virtuala virusul dupa 30 de secunde dispare din taskmanager deci nu mai ai cum sa il mai inchizi nici macar cu taskkill /IM.
Am incercat si si cu process explorer, am inchis si explorer.exe am inchis si toate svchost-urile in masina virtuala, dar scanarea ip-urilor in retea tot a ramas.
Acum nu zic ca Malwarebytes nu face treaba mai buna, dar … asa cum a zis si Cristi fiecare cu metoda lui de devirusare.
Ia testeaza separat versiunea de 167 kb si cea de 168 kb.
Ionut, ai dreptate. In VMware pe XP dispare din Task Manager. Din pacate nu am XP in PC sa vad daca face la fel si in real. O sa vad ce pot face; din pacate am putin timp la dispozitie azi.
Se poate sa si explicati discutia asta si pentru novici, nu doar experti?
Asta e discutie de copilasi, nu de experti.
Ne certam pe care metoda e mai buna
)
@Gigi(Official)
Eu unul am testat virusul si cred ca cu acel articol facut am acoperit chiar 2 subiecte: cum se deviruseaza + cum se sterge un fisier care nu vrea sub nici o forma sa se stearga, dar asta fara vrun program anume (doar cu ce ne da “natura”…windows-ul).
@Andrei R.
Stergerea unui fisier prin diferite metode printre care si una in care ai atat poze cat si explicatii, eu zic ca 80% nu mai tine de nici un profesionist.
De certat nu cred ca ne certam, in cel mai rau caz as putea spune ca ne contrazicem
am imbunatatit codul tuturor pentru 4 virusi de YM
http://pastebin.com/2WbZ6QE4
inchide procesele fiecarui virus
il sterge din locatiile respective
sterge ce ramane in registrii
adauga site-uri in lista cu site-uri restrictionate din internet explorer
repeta de 2 ori scriptul
lista cu environment variable de la windows, nu mai folositi adrese statice!!!
http://en.wikipedia.org/wiki/Environment_variable#Default_Values_on_Microsoft_Windows
nu va mai certati, mai bine lucrati impreuna
toti sunteti incepatori, mai ales pentru ca va certati pe net, ceea ce nu are rost
n-am vazut la niciunul dintre voi un fisier .bat care sa stearga registrii, am vazut doar .reg-uri care rescriau
cea mai rapida metoda de a sterge virusii este prin .bat
cea mai sigura este prin programe care scaneaza ca: spybot, malwarebytes
superantispyware s-a prostit
inca unul bun ar fi spyware blaster care face update la lista de site-uri interzise din firefox, internet explorer
si scoate scriptul de right click pentru ca este enervant, daca cineva vrea sa-ti copieze site-ul sau sa copieze ceva de pe el, o face oricum
@Devirusare: poate pt voi pare a fi de copilasi, dar eu de exemplu mare lucru nu am inteles.
de exemplu: de unde si cum aflii fisierele create de virus? cu hijack this sau cum?
ex2: cum se face o operatie de stergere in bat? e cea din cmd? Un exemplu ceva?
@Devirusare, pentru voi chiar este joaca de copii, cunosc senzatia, stiu destule persoane pt care daca stii sa instalezi un windows sau chiar un joc dintr-un ISO si deja e WOW… cu toate ca e joaca de copii, cam asa si aici
)
nelamuririle mele sunt cam astea, bine, desigur daca vreti sa imi raspundeti (cu totii):
1)de unde se poate afla exact ce fisiere face un virus? E destul hijackthis?
2)cum se lucreaza cu un fisier .bat? Introduci comenzile exact ca in cmd? imi dai te rog un exemplu de comanda pt sters fisier si alta pt sters folder? (stiu ca erau diferite, dar nu le mai stiu…)
mersi anticipat pt raspuns!
scz de raspuns asa tarziu, dupa… luni, dar nu am fost notificat pe e-mail parca…
@Devirusare: Da, pt tine este joaca de copii, dar pt altii care nu lucreaza in domeniu sau nici nu lucreaza, ci sunt la facultate (cazul meu) sau chiar mai mici, aceste lucruri par a fi covarsitoare. Stiu si eu cum e sa para pt tine un nimic de ex o instalare de windows sau o instalare de joc din ISO si pt altii sa fie cine stie ce complexitate…
Deci, as avea si eu 2 nelamuriri, daca esti amabil sa imi raspunzi:
1) De unde aflu exact ce fisiere a creat virusul? Se poate afla din hijackthis?
2) Cum se lucreaza cu un fisier .bat? Este exact cum se lucreaza din consola? (run->cmd) Care erau comenzile pt sters fisier si folder, sau exista o comanda pt ambele? Eu retin ca erau doua separate…
Mersi anticipat pt raspunsuri, si scz ca am raspunsu dupa nus cate luni, dar abia acum am redat accidental peste topic, nu retin sa fi fost atunci atentionat via e-mail sau nu mai stiu ce s-a intamplat.
Toate cele bune si sarbatori fericite!
Andrei, asteapta sa ti se aprobe commentariile, nu mai posta de multe ori acelasi lucru.
Fisierele create se pot afla si din Hijackthis, doar daca apar.
Dar se testeaza in masini virtuale si se urmaresc in timp real modificarile. Un exemplu: http://www.threatexpert.com/
Comenzile din fisierele BAt sunt aceleasi ca cele din MS DOS in mare parte.
http://www.aumha.org/a/batches.php
scuze, credeam ca nu se trimisese postul (pe alte bloguri apare mesajul, cu “awaiting moderation…”)
mersi frumos pt informatii!
edit: acum vad ca apare si aici, dar cand am postat pe 1 dec, nu aparea
scz again.