Igår chattade frugan med en väninna på MSN. Vänninan skickade följande replik (OBS! gå EJ till länken!!):
” haha!
http://msn-videos.obxhost.net/watch.php?=emailadress@hotmail.com “
Hon råkade trycka på länken och upp kom en YouTube identisk sida som egentligen är en mask för att dölja viruset som installeras. Viruset skickar sedan ovanstående replik till dina MSN kontakter utan att du vet om det och fler drabbas av viruset.
Viruset är väldigt bra gjort, den installerar en dold system fil kallad “updater.com” i din Windows mapp som körs automatiskt i bakgrunden när du startar datorn. Viruset upptäcktes inte när jag scannade den med Kaspersky Anti Virus.
När man klickar på länken får man först ner en java-fil som laddar ner “install_flash_player.exe” från:
- hxxp://www.parkhuset.net/c8563/video/install_flash_player.exe
Den sparas sedan i:
- C:\Windows\system32\install_flash_player.exe
Denna i sin tur skapar följande filer:
- C:\Windows\updater.com
- C:\Windows\admintxt.txt
För att ta bort viruset så ta bort samtliga ovanstående filer. Gör en sökning på filerna för att hitta dem och ta sedan bort dem. Kom ihåg att “updater.com” är satt som dold så du måste visa dolda filer om du ska hitta den manuellt (om du söker efter den borde den hittas dock).
Kolla också om “C:\Windows\updater.com” finns i dina autostart program och ta bort den i sådana fall.
Jag rekommenderar varmt “Startup Control Panel 2.8“, ett väldigt litet program (bara 57.3Kb!!) som installeras i din kontrollpanel. I programmet får du sedan en översikt över alla program som startas samtidigt med datorn och du kan ta bort onödiga program som segar ner datorn, likaså “updater.com” viruset som beskrivits ovan.
17 Comments
Leave a Reply
Recent Photos
Recent Tumblr
- Tears for Gaza In a rough style, by way of unique footage, the... 21 December 2011
- "However, Iranian officials say its forces electronically hijacked the drone and steered it to the..." 9 December 2011
- "It is often in the darkest skies that we see the brightest stars." 20 November 2011
- "The Martyr’s Day is the day of life because one: the martyrs are alive and two: the martyrs..." 14 November 2011
- The Cave 11 November 2011
Recent Delicious
- National Novel Writing Month 5 November 2011[…]
- PhotoSnack | Photo slideshow maker 4 November 2011[…]
- XCode 4 Static Library Pitfalls 24 September 2011Much, much, much has been written on the various processes available to get static libraries to function in XCode. But somehow, these all seemed to have problems for me, in many different ways. In my journey to getting static libraries working I tried all kinds of weird things, and in the end, I think I have something that functions as expected. I have creat […]
Programmet som du rekommenderar där, hjälper den till att ta bort andra program som startas med datorn? Som t ex Paltalk, SE update program osv?
HAHAHA EHSAN! jag känner mig träffad!!
men bra att du tog upp det 
Men Ehsan, det går inte att ta bort C:\Windows\admintxt.txt det står att filen används av ngn och att jag måste stäna ner ngt program för att deleta det. :S
Feras: Japp, programmet går utmärkt att använda till att stoppa andra program för att starta upp. Jag använder det själv för att banta datorn från onödiga program som startar med Windows!
Noha: det är bara för att updater.com skriver till den filen. Stäng ner båda processer med aktivitetshanteraren först sen kan du ta bort dem!
Gonatt!
Ehsan@Bed@iPhone
Jag hittar inte ngt av det ovannämnda men däremot endast system 32…Men jag antar att det nt är viruset eller?
T: System32 är en Windows system mapp som måste finnas där. Har du gjort en sökning efter filerna och inte hittar dem så har du väl antagligen något annat virus?
Jag har tydligen någon variant av detta virus. Hittar admintxt.txt i Windows katalogen, men inte update.com och hittar inte vilken process som skriver till admintxt. Idéer?
Hepp, hittade det nu, Service.app verkar det vara.
hej! jag har raderat updater och admintxt men install flash player finns inte när jagh öppnar mappen system32 och när jag söker på det under sök på alla filer i c: install_flash_player så hittas inget?
Hej Jenny!
Huvudsaken är att du fått bort updater.com då det är den som skickar ut meddelandena. Om install_flash_player inte finns på datorn så är det bara att hurra.
Du är med största sannolikhet befriad från viruset. Men skriv gärna en kommentar om det skulle visa sig vara annorlunda!
hejhej!
jag är nog inte befriat från viruset… internet “stängs av ” hela tiden… typ en gång var femte minut loggas msn ut och ja mitt internet slutar funkar i ca. 1 minut. detta måste bero på viruset!! jag har panik! försökte få bort det genom att gå in på mscongif och sånt, hittade på en engelsk hemsida, startade datorn i safe mode, osv .. men det funkade inte! aah! jag har inte råd att lämna in den just nu 
Snälla hur ska jag göra för att få bort viruset? Asså jag fick den av min kompis, klickade på den men klickade bort snabbt fast den där saken hann komma, fast jag avbröt den? Går den bort då?
Iaf, jag har kollat i mappen system32 men hittar inte install_flash_player och inte updater.app heller!
Men jag är otroligt rädd! Vad ska jag göra?? Jag har sökt på dom där mapparna men datorn hittar inte! Hur ska jag söka dolda filer? Har windows vista! Är dålig på datorer! Snälla hjääälp!
Hur vet man förresten att man har det? Hur blir datorn??!!
Börja med att byta lösenord på ditt MSN Messenger konto.
Sen kan du ladda hem och köra Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.bleepingcomputer.com/combofix/how-to-use-combofix
Du kan även ladda hem och köra Malwarebytes Anti malware
http://www.malwarebytes.org/mbam.php
Båda är gratis
Hej.
Jag sökte igenom datorn efter updater.com.
Jag hittade dock ej ngn fil med det namnet, kryssat i att den ska söka igenom dolda filer, det tar ungefär 2 timmar sen står det att den inte kunde hitta ngn fil med detta namn.
Ngt annat som jag ska söka på, ngt jag ska kryssa i lr dyl som kmr göra sökningen lättare? sedan om jag hittar filen, hur får jag bort den? Jag sökte igenom min windowsmapp manuellt och hittade admintxt.txt och deletade den, först stog det dock att den användes av ett program och kunde därför inte deletas. Gick in på aktivitets hanteraren och avslutade ett program (kommer inte ihåg vilket), hur ska jag sedan kunna deleta updater.com?
(PS. Har runt 500gb hårdisk, därför det tar lång tid?)
The combofix tool is very good use that to get rid of it , worked for me.
AND dont forget to get it out of your startup list if it is still there after combofix is done with it.
Hälsade vare ni alla.
Ville bara få alla oklarheter i luften.
Jag må ha fel, men såhär verkar fallet vara. När man klickar på länken (jag har haft det här viruset innan, men jag spöade det) så har skadan inte börjat. Skadan börjar ske när man installerar programmet som erbjuds eftersom “youtube kräver att du installerar den senaste uppdateringen av java”. Har du installerat detta, så har du viruset, alltså skickar ett program runt den länken till folk. Viruset har inte bemärkts göra något annat än att skicka runt den här filen, vilket verkar lite konstigt, varför? Jo för tänk er när alla har viruset, vad är nästa mål? Att det bara ska vara störigt? Det som händer är inte att man loggas ut eller något sådant, den bara öppnar upp konversations loggar med era kontakter, och skickar länken. Hur som helst. Det som vår snälla bror Ehsan här försökt förklara är att man ska leta upp följande:
* Updater.com
* admintxt.txt
Till det oklara, har du inte updater.com men admintxt, så ta bort admin grejen och vice versa.
.
Detta är inget att klaga över “att ni bara har ett av de” eftersom det bara är bättre då halva grejen är gjord, det är ju som att klaga hos doktorn “jag har bara en halv tumör vad är detta för struntprat?”
Lycka till!