http://profilexx.001webs.com – Site Infectat propagat prin Yahoo! Messenger (Devirusare)

tu esti aici :)) http://profilexx.001webs.com/profile.php?user=[Id-ul tau]

Acesta este mesajul care se raspandeste prin Yahoo! Messenger de curand, iar daca l-am publicat aici ati ghicit despre ce este vorba: VIRUS !

Mai precis, la accesare acelui site, utilizatorului i se propune descarcarea “Shockwave Player” pentru afisarea completa a continutului paginii:

Aceasta pagina nu se poate afisa deoarece nu aveti instalata ultima versiune de Macromedia Shockwave player.

Titlul paginii este destul de provocator, in orice caz: “Profilul tau porno”.
Daca pana acum erau folosite codec-uri false sau kit-uri de instalare false pentru Adobe Flash Player, hackerii s-au orientat spre mai putin folositul Adobe Shockwave Player.

pagina virusata

Dand click pe bara de atentionare veti fi redirectionati spre site-ul: hxtp://www.porky2**.lx.ro/install.exe. Odata rulat virusul creeaza mai multe fisiere: %System%\lfbk.exe, %System%\YahooAuth2.dll si de asemenea isi asigura rularea la fiecare pornire a Windows-ului.


In plus, trimite mass-uri prin Yahoo! messenger, mesajul fiind cel indicat la inceputul postarii.

fake shockwave player

Detectia sa este inca medie pe VirusTotal: 15 din 41 de programe antivirus.

Pentru DEVIRUSARE urmati pasii de mai jos:

Devirusare AUTOMATA (pentru Windows 2000 si XP):
1. Descarcati: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

2. Apoi, creeati un fisier nou de tip .txt cu Notepad si scrieti in el ce e mai jos in citat:

File::
C:\Windows\system32\pxdr.exe
C:\Windows\system32\YahooAuth2.dll

3. Denumesti fisierul CFScript.txt apoi trage-l peste ComboFix.exe asa cum e aratat in poza de mai jos.

combofix drag

4. Apoi asigurati-va ca ati inchis toate programele care ruleaza (yahoo messenger, firefox, etc) si rulati ComboFix (e posibil sa porneasca automat dupa drag and drop). Va va intreba daca sa inceapa curatirea. Confirmati cu Yes de fiecare data. Nu-l opriti in timp ce scaneaza si dezinfecteaza sistemul. E posibil ca in timpul rularii lui desktop-ul sa dispara, dar nu va ingrijorati.
La final PC-ul va fi restartat.

Devirusare MANUALA (pentru Windows 7, Windows Vista x64 si Windows XP x64):
1. Deschideti My Computer, navigati in meniul Tools > Folder options (Windows XP) sau Organize > Folder and search options (Windows Vista si 7)

2. Bifati optiunea “Show hidden files and folders” si debifati optiunea “Hide extensions for known file types” (vezi poza de mai jos).
folder options

3. Deschideti Task Manager si dati End Task procesului pxdr.exe.
Cautati fisierele: C:\Windows\system32\pxdr.exe si C:\Windows\system32\YahooAuth2.dll si stergeti-le manual.
Daca primiti o eroare in timpul stergerii, folositi programul Unlocker.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

123 responses to “http://profilexx.001webs.com – Site Infectat propagat prin Yahoo! Messenger (Devirusare)”

  1. Camelia

    Buna! Vad ca esti un fel de geniu al messengerului…Am si eu o problema…nu cred ca e legata de virusi …Crezi ca ma poti ajuta?

  2. Cristi

    Omu nuj daca esti un geniu al messengerului cum zice tanti camelia mai din deal, oricum foarte buna initiativa ta! Am tinut la status zile intregi link spre acest site si mi-au multumit f multi prieteni care au avut probleme cu acest virus! si eu iti multumesc tie! keep up the good work!

  3. alma

    eu am primit ieri un astfel de link si bineinteles nestiind ce e am dat clik si cand am vazut ca nu se deschide nimic am intrat pe google si am dat search si am vazut ca e vb de un virus…atunci am sters persoana respectiva din lista de mess l-am trecut la ignor si am sters si messul, am reinstalat altul nou si acum stau si ma gandesc daca virusul este inca???/ eu am macbookpro, dar mi-am instalat pe el windows si ca antivirus am unul care vad ca nimeni nu-l prea foloseste nod32. radu spune-mi si mie te rog daca tre sa mai intru sa fac devirusarea asta de care zici tu…eu nici nu prea ma pricep la calculatoare. multumesc frumos!

  4. alma

    …si mi-am schimbat si parola de mess. astept un raspuns, ca stau ca pe ace :))) daca sunt mapetza si am luat plasa…:D

  5. alma

    multumesc frumos 🙂

  6. DINU

    SALUT RADU,ITI MULTUMESC PT EXPLICATIILE DE MAI SUS.AM PRIMIT ACEL MESAL PE MESS,DE LA O PRIETENA.MIRAT,SI NESTIIND CUM DE AM ASA CEVA,(ACEL PROFIL),AM INTRAT,DAND CLICK.ULTERIOR IMI SPUNEA SA DESCRAC CEVA,PT A VIZIONA PAGINA.NU AM FACUT-O.AM STERS IMEDIAT MESAJUL.DIN CE AM INTELES DIN RASPUNSUL TAU DAT ALMEI,NU SUNT ,,INFECTAT”CU ACEL VIRUS,DEOARECE NU AM DESCARCAT CE IMI SPUNEA NU?AS DORI,DACA SE POATE UN RASP PE EMAILUL MEU,SAU AICI… P.S.-DACA MAI AM INTREBARI (SUNT INCEPATOR IN ALE PC-LOR),VA POT SCRIE TOT AICI?

  7. Ionut

    am luat si eu un astfel de virus tot dintr’un mass de la o FATA si am dat scan cu Combofix si stau de mai bine de jumate de ora pe mess si nu mai dau mass’uri sper ca sa sters virusu am windows vista home basic ..si mi sau facut 2 foldere in D: $RECYCLE.BIN si eRData pot sa sterg acuma combofix?

  8. Subdomenii 001webs.com virusate | MARGEO

    […] Mai multe detalii şi metode de curăţare găsiţi aici. […]

  9. Ionut

    si eu am primit pesajul si am dat sa instalez shokwave si dupa lam inchis repede pentru ca vroiam sa aflu mai multe despre acest site.Oare s-a infectat PC meu? Am vrut sa fiu sigur asa ca am incercat sa urmez acei pasi dau nu am putut gasi pxdr.exe si YahooAuth2.dll nici in task nici in sistem 32. A da am windows 7 Home Premium.

  10. Ionut

    Pai asta am primit ” tu ti-ai facut profilu asta? http://roamateursxx.freehostking.com/profile.php?user=dragon_dinu2009 “

Leave a Reply