tu esti aici
) http://profilexx.001webs.com/profile.php?user=[Id-ul tau]
Acesta este mesajul care se raspandeste prin Yahoo! Messenger de curand, iar daca l-am publicat aici ati ghicit despre ce este vorba: VIRUS !
Mai precis, la accesare acelui site, utilizatorului i se propune descarcarea “Shockwave Player” pentru afisarea completa a continutului paginii:
“Aceasta pagina nu se poate afisa deoarece nu aveti instalata ultima versiune de Macromedia Shockwave player.“
Titlul paginii este destul de provocator, in orice caz: “Profilul tau porno”.
Daca pana acum erau folosite codec-uri false sau kit-uri de instalare false pentru Adobe Flash Player, hackerii s-au orientat spre mai putin folositul Adobe Shockwave Player.
Dand click pe bara de atentionare veti fi redirectionati spre site-ul: hxtp://www.porky2**.lx.ro/install.exe. Odata rulat virusul creeaza mai multe fisiere: %System%\lfbk.exe, %System%\YahooAuth2.dll si de asemenea isi asigura rularea la fiecare pornire a Windows-ului.
In plus, trimite mass-uri prin Yahoo! messenger, mesajul fiind cel indicat la inceputul postarii.
Detectia sa este inca medie pe VirusTotal: 15 din 41 de programe antivirus.
Pentru DEVIRUSARE urmati pasii de mai jos:
Devirusare AUTOMATA (pentru Windows 2000 si XP):
1. Descarcati: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
2. Apoi, creeati un fisier nou de tip .txt cu Notepad si scrieti in el ce e mai jos in citat:
File::
C:\Windows\system32\pxdr.exe
C:\Windows\system32\YahooAuth2.dll
3. Denumesti fisierul CFScript.txt apoi trage-l peste ComboFix.exe asa cum e aratat in poza de mai jos.
4. Apoi asigurati-va ca ati inchis toate programele care ruleaza (yahoo messenger, firefox, etc) si rulati ComboFix (e posibil sa porneasca automat dupa drag and drop). Va va intreba daca sa inceapa curatirea. Confirmati cu Yes de fiecare data. Nu-l opriti in timp ce scaneaza si dezinfecteaza sistemul. E posibil ca in timpul rularii lui desktop-ul sa dispara, dar nu va ingrijorati.
La final PC-ul va fi restartat.
Devirusare MANUALA (pentru Windows 7, Windows Vista x64 si Windows XP x64):
1. Deschideti My Computer, navigati in meniul Tools > Folder options (Windows XP) sau Organize > Folder and search options (Windows Vista si 7)
2. Bifati optiunea “Show hidden files and folders” si debifati optiunea “Hide extensions for known file types” (vezi poza de mai jos).
3. Deschideti Task Manager si dati End Task procesului pxdr.exe.
Cautati fisierele: C:\Windows\system32\pxdr.exe si C:\Windows\system32\YahooAuth2.dll si stergeti-le manual.
Daca primiti o eroare in timpul stergerii, folositi programul Unlocker.
Loading ...
Buna! Vad ca esti un fel de geniu al messengerului…Am si eu o problema…nu cred ca e legata de virusi …Crezi ca ma poti ajuta?
@Camelia: Nu m-as numi geniu al messengerului.
Daca nu poti posta aici, trimite-mi un e-mail cu problema ta si in masura posibilitatilor te voi ajuta.
Omu nuj daca esti un geniu al messengerului cum zice tanti camelia mai din deal, oricum foarte buna initiativa ta! Am tinut la status zile intregi link spre acest site si mi-au multumit f multi prieteni care au avut probleme cu acest virus! si eu iti multumesc tie! keep up the good work!
@Cristi: Multumesc si ma bucur ca ti-am fost de folos.
eu am primit ieri un astfel de link si bineinteles nestiind ce e am dat clik si cand am vazut ca nu se deschide nimic am intrat pe google si am dat search si am vazut ca e vb de un virus…atunci am sters persoana respectiva din lista de mess l-am trecut la ignor si am sters si messul, am reinstalat altul nou si acum stau si ma gandesc daca virusul este inca???/ eu am macbookpro, dar mi-am instalat pe el windows si ca antivirus am unul care vad ca nimeni nu-l prea foloseste nod32. radu spune-mi si mie te rog daca tre sa mai intru sa fac devirusarea asta de care zici tu…eu nici nu prea ma pricep la calculatoare. multumesc frumos!
@alma: Virusul se instaleaza doar in momentul in care descarci si instalezi fisierul respectiv. Daca doar accesezi pagina nu te vei infecta. Nu este nevoie sa stergi persoana respectiva din lista. Prezenta ei nu iti infecteaza tie PC-ul.
In plus, link-ul de care vorbim aici e dezactivat deja. Exista alta adresa.
Deci nu esti infectata.
…si mi-am schimbat si parola de mess. astept un raspuns, ca stau ca pe ace
)) daca sunt mapetza si am luat plasa…:D
multumesc frumos
SALUT RADU,ITI MULTUMESC PT EXPLICATIILE DE MAI SUS.AM PRIMIT ACEL MESAL PE MESS,DE LA O PRIETENA.MIRAT,SI NESTIIND CUM DE AM ASA CEVA,(ACEL PROFIL),AM INTRAT,DAND CLICK.ULTERIOR IMI SPUNEA SA DESCRAC CEVA,PT A VIZIONA PAGINA.NU AM FACUT-O.AM STERS IMEDIAT MESAJUL.DIN CE AM INTELES DIN RASPUNSUL TAU DAT ALMEI,NU SUNT ,,INFECTAT”CU ACEL VIRUS,DEOARECE NU AM DESCARCAT CE IMI SPUNEA NU?AS DORI,DACA SE POATE UN RASP PE EMAILUL MEU,SAU AICI… P.S.-DACA MAI AM INTREBARI (SUNT INCEPATOR IN ALE PC-LOR),VA POT SCRIE TOT AICI?
@DINU: Desigur, poti sa intrebi linistit.
am luat si eu un astfel de virus tot dintr’un mass de la o FATA si am dat scan cu Combofix si stau de mai bine de jumate de ora pe mess si nu mai dau mass’uri sper ca sa sters virusu am windows vista home basic ..si mi sau facut 2 foldere in D: $RECYCLE.BIN si eRData pot sa sterg acuma combofix?
[...] Mai multe detalii şi metode de curăţare găsiţi aici. [...]
si eu am primit pesajul si am dat sa instalez shokwave si dupa lam inchis repede pentru ca vroiam sa aflu mai multe despre acest site.Oare s-a infectat PC meu? Am vrut sa fiu sigur asa ca am incercat sa urmez acei pasi dau nu am putut gasi pxdr.exe si YahooAuth2.dll nici in task nici in sistem 32. A da am windows 7 Home Premium.
@Ionut: Virusul acesta este vechi. Cel mai probabil ai alta varianta. Ce link ai primit de fapt?
Pai asta am primit ” tu ti-ai facut profilu asta? http://roamateursxx.freehostking.com/profile.php?user=dragon_dinu2009 “