tu esti aici
) http://profilexx.001webs.com/profile.php?user=[Id-ul tau]
Acesta este mesajul care se raspandeste prin Yahoo! Messenger de curand, iar daca l-am publicat aici ati ghicit despre ce este vorba: VIRUS !
Mai precis, la accesare acelui site, utilizatorului i se propune descarcarea “Shockwave Player” pentru afisarea completa a continutului paginii:
“Aceasta pagina nu se poate afisa deoarece nu aveti instalata ultima versiune de Macromedia Shockwave player.“
Titlul paginii este destul de provocator, in orice caz: “Profilul tau porno”.
Daca pana acum erau folosite codec-uri false sau kit-uri de instalare false pentru Adobe Flash Player, hackerii s-au orientat spre mai putin folositul Adobe Shockwave Player.
Dand click pe bara de atentionare veti fi redirectionati spre site-ul: hxtp://www.porky2**.lx.ro/install.exe. Odata rulat virusul creeaza mai multe fisiere: %System%\lfbk.exe, %System%\YahooAuth2.dll si de asemenea isi asigura rularea la fiecare pornire a Windows-ului.
In plus, trimite mass-uri prin Yahoo! messenger, mesajul fiind cel indicat la inceputul postarii.
Detectia sa este inca medie pe VirusTotal: 15 din 41 de programe antivirus.
Pentru DEVIRUSARE urmati pasii de mai jos:
Devirusare AUTOMATA (pentru Windows 2000 si XP):
1. Descarcati: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
2. Apoi, creeati un fisier nou de tip .txt cu Notepad si scrieti in el ce e mai jos in citat:
File::
C:\Windows\system32\pxdr.exe
C:\Windows\system32\YahooAuth2.dll
3. Denumesti fisierul CFScript.txt apoi trage-l peste ComboFix.exe asa cum e aratat in poza de mai jos.
4. Apoi asigurati-va ca ati inchis toate programele care ruleaza (yahoo messenger, firefox, etc) si rulati ComboFix (e posibil sa porneasca automat dupa drag and drop). Va va intreba daca sa inceapa curatirea. Confirmati cu Yes de fiecare data. Nu-l opriti in timp ce scaneaza si dezinfecteaza sistemul. E posibil ca in timpul rularii lui desktop-ul sa dispara, dar nu va ingrijorati.
La final PC-ul va fi restartat.
Devirusare MANUALA (pentru Windows 7, Windows Vista x64 si Windows XP x64):
1. Deschideti My Computer, navigati in meniul Tools > Folder options (Windows XP) sau Organize > Folder and search options (Windows Vista si 7)
2. Bifati optiunea “Show hidden files and folders” si debifati optiunea “Hide extensions for known file types” (vezi poza de mai jos).
3. Deschideti Task Manager si dati End Task procesului pxdr.exe.
Cautati fisierele: C:\Windows\system32\pxdr.exe si C:\Windows\system32\YahooAuth2.dll si stergeti-le manual.
Daca primiti o eroare in timpul stergerii, folositi programul Unlocker.
Related posts:
- http://realhot.001webs.com/profile.php – Site infectat propagat prin Yahoo! Messenger
- http://roamateursxx.freehostking.com/profile.php – Site infectat propagat prin Yahoo! Messenger
- http://supercool.001webs.com/profile.php – Experiment “Virus” prin Yahoo! Messenger
- ALERTA: Nou virus propagat prin Yahoo! Messenger (mesaje in spaniola)
- Virusi noi pentru Yahoo! Messenger – Metoda de Devirusare
Loading ...
mda daupa 24 de ore incepe sa itzi faca probleme flash player-u si asta nu s-a intmaplat numai la mine ci si la cunoscutzi. eu cred ca virusul asta e mult mai bun decat pare si nu cred c poate fi sters ata de usor. asta e parea mea. bag mana in foc ca problemele inca nu s-au incheiat. spor la treaba!
am si eu o intrebare…. pot sterge combo si txt? si as vrea sa mai stiu daca pot, si cum as putea sa scap si de windows recovery sa nu imi mai apara cand deschid faza cu boot.
@vitosh: sterge combo si cfscript.txt
[...] aici ati ghicit despre ce este vorba: DIN NOU VIRUS ! (sau poate nu?!) Este noua varianta a virusului descris aici. Domeniul anterior a fost inchis, asa ca… s-a creat [...]
Salut, yahooauth2.dll era folosit de “kdxgp.exe” din system32, kdxgp.exe fiind si singurul fisier cu iconita InternetExplorer din system32; nu am gasit alte informatii despre acest proces; nu s-ar putea sa fie v2 pt lfbk.exe?
cred ca functioneaza.
va multumesc pentru informatii.
o seara placuta.
era sa fac prostia
, dar nu m-a lasat sa-l deschid 
), am avut noroc ca l-a blocat antivirusul
daca am intrat pe site, am luat ala dar cand am vrut sa-l instalez mi-a dat eroare si s-a inchis fereastra. se intampla ceva ?
ps: am avast
eu nu gasesc cele doua .exe si .dll in system 32. am vista. trebuie urgent sa devirusez pt ca trimit intruna astfel de mesaje
pot sterge sau muta combofix? si mai vreau sa stiu daca pot scapa de pagina boot pe care a creat-o windows recovery si cum anume ca nu imi apare in add/remove programs…. ms anticipat
Am primit mesajul si nu am instalat nimic, oricum super ca cineva a postat instructiuni pentru devirusare. Felicitari Radu!
mai concret,cu ce afecteaza calc-ul acest virus??
…inca nu stiu sigur dak l-am sters …
cu windows7 nu e compatibil ComboFix …
[...] iar daca l-am publicat aici ati ghicit despre ce este vorba: DIN NOU VIRUS ! Este noua varianta a virusului descris aici. Domeniul anterior a fost inchis, asa ca… s-a creat altul. Virusul este deja la a 3-a [...]
[...] iar daca l-am publicat aici ati ghicit despre ce este vorba: DIN NOU VIRUS ! Este noua varianta a virusului descris aici. Domeniul anterior a fost inchis, asa ca… s-a creat altul. Virusul este deja la a 3-a [...]
eu miam reinstalat windowsul si dupa ma incerkt ce scrie mi sus, dar nu am gasit nik in task manager de genul pxdr.exe.si am cautat in calculator fisierele: C:\Windows\system32\pxdr.exe si C:\Windows\system32\YahooAuth2.dll si nu leam gasit nici p alea, ceea ce inseamna k sunt clean, asa-i?astept raspuns:D o zi buna!
@FloRyn: Nu era necesara reinstalarea Windows-ului. Daca nu ai acele fisiere inseamna ca nu ai varianta aceasta de virus.
dar inseamna k am alta?eu am dat sa instalez shokcwave ala, si nu ma lasa sal instal.e posibil sa fiu ik infectat?
@FloRyn, trimite-mi prin e-mail un log HijackThis si-ti voi spune precis daca ai acest virus sau nu.
ok, urmez instructiunile de pe acea pagina d unde il downloadez?
Multumim pentru ajutor, insa la mine nu a mers…adica am windows 7 si nu e compatibil, si mai e si neajunsul ca de fiecare data cand deschid calculatorul imi apare o eroare. Cred ca o sa-mi reinstalez windows-ul sau mai bine raman cu ubuntu si gata, pentru ca asa nu mai pot sa stau, deoarece desi am cautat si am sters tot ce era legat de virus tot se mai trimite link, si o prietena era sa faca infarct, saraca, s-a speriat asa tare, a inceput sa si planga
PS: si eu am kaspersky si nu a vazut nimic
@Elena: Se pot sterge manual conform ghidului. Apoi schimbi parola yahoo si reinstalezi yahoo! messenger.
ei bne?sunt infectat sau nu?
@elena:cred k tipa sa speriat rau knd a aflat k are profil porno:|nasol,sper k iai spus si ei despre asta k e un virus si nu e real profilul
@FloRyn: Nu esti infectat.
ok, multumesc
Si in afara ca trimite mass cu acel link, ce face acest virus?
@Corina: Fura parola contului Yahoo!
Radu ti-am trimis un logo pe email,dll-ul l-am gasit si l-am sters dar executabilul ba,am wind7X64 si imi apare System32 si SysWOW64,in ultimul am gasit dll-ul….. faravirusicom@gmail.com aici am trimis email-ul cred ca e bine,astept cu nerabdare raspunsul tau,multumesc anticipat.
un system restore ar rezolva ceva ?
te rog raspunde si mie : ” daca am intrat pe site, am luat ala dar cand am vrut sa-l instalez mi-a dat eroare si s-a inchis fereastra. sunt infectat ?
ps: am avast
@Razvan: Depinde, daca ti-a dat eroare este probabil sa nu te fi infectat. Verifica daca ai vreunul din fisierele enuntate de mine. Daca nu, Pc-ul tau este curat.
System Restore rezolva si el problema.
@ Razvan dai disable la system restore si dai o scanare cu Dr Web CureIt sau stergi manual fisierele respective.
[...] “tu ti-ai facut profilu asta?” – Virus! Nu se poate spune ca este o idee foarte noua sau ca e ceva original, dar iata functioneaza. Astazi dimineata, dupa ce mi-am deschis pc-ul, primesc la interval de aproximativ 2 min, urmatorul mesaj de la doi dintre cei din lista mea de YM: tu ti-ai facut profilu asta? http://roamateursxx.freehostking.com/profile.php?user=ID. Nu obisnuiesc sa dau curs invitatiilor primite pe mess de a accesa diferite link-uri si se pare ca bine fac. Despre ce este vorba? Dand curs invitatiei vei accesa un site si iti vei infecta pc-ul si va trimite automat si catre cei din lista ta acelasi mesaj. Inca o dovada in plus ca sa NU ACCESATI tot ceea ce primiti pe YM! Detalii suplimentare despre acest virus si cum sa scapi de el: http://www.faravirusi.com [...]
Un big f*** you autorului acestui virus.
am primit si eu pe mess exact acelasi mesaj si am incercat sa instalez ce imi cerea pe site. nu am reusit asa ca am instalat Macromedia shockwave player din alta parte (inca il mai am instalat), apoi am aflat ca e virus. Am urmat pasii de aici iar acum imi merge foarte greu calculatorul. S-ar putea a fi sters ceva program?. Ma puteti ajuta, va rog?
@Diana: Trimite-mi un log HijackThis prin e-mail pentru a vedea despre ce e vorba.
Care metoda ai urmat-o pentru devirusare?
Radu, am incercat devirusarea automata. Cum pot sa iti trimit logul? la adresa de la Contact?
mai da cum ii zice la virusu asta
si ce face el concret
@mitza21: Denumirea lui o vezi in link-ul de pe virustotal.com, data de diversi producatori AV.
Virusul porneste odata cu Windows-ul, fura parola contului Yahoo!, trimite mesaje celor din lista si cam atat.
dar trimite si fara sa fi logat???
Buna! Vad ca esti un fel de geniu al messengerului…Am si eu o problema…nu cred ca e legata de virusi …Crezi ca ma poti ajuta?
@Camelia: Nu m-as numi geniu al messengerului.
Daca nu poti posta aici, trimite-mi un e-mail cu problema ta si in masura posibilitatilor te voi ajuta.
Omu nuj daca esti un geniu al messengerului cum zice tanti camelia mai din deal, oricum foarte buna initiativa ta! Am tinut la status zile intregi link spre acest site si mi-au multumit f multi prieteni care au avut probleme cu acest virus! si eu iti multumesc tie! keep up the good work!
@Cristi: Multumesc si ma bucur ca ti-am fost de folos.
eu am primit ieri un astfel de link si bineinteles nestiind ce e am dat clik si cand am vazut ca nu se deschide nimic am intrat pe google si am dat search si am vazut ca e vb de un virus…atunci am sters persoana respectiva din lista de mess l-am trecut la ignor si am sters si messul, am reinstalat altul nou si acum stau si ma gandesc daca virusul este inca???/ eu am macbookpro, dar mi-am instalat pe el windows si ca antivirus am unul care vad ca nimeni nu-l prea foloseste nod32. radu spune-mi si mie te rog daca tre sa mai intru sa fac devirusarea asta de care zici tu…eu nici nu prea ma pricep la calculatoare. multumesc frumos!
@alma: Virusul se instaleaza doar in momentul in care descarci si instalezi fisierul respectiv. Daca doar accesezi pagina nu te vei infecta. Nu este nevoie sa stergi persoana respectiva din lista. Prezenta ei nu iti infecteaza tie PC-ul.
In plus, link-ul de care vorbim aici e dezactivat deja. Exista alta adresa.
Deci nu esti infectata.
…si mi-am schimbat si parola de mess. astept un raspuns, ca stau ca pe ace
)) daca sunt mapetza si am luat plasa…:D
multumesc frumos
SALUT RADU,ITI MULTUMESC PT EXPLICATIILE DE MAI SUS.AM PRIMIT ACEL MESAL PE MESS,DE LA O PRIETENA.MIRAT,SI NESTIIND CUM DE AM ASA CEVA,(ACEL PROFIL),AM INTRAT,DAND CLICK.ULTERIOR IMI SPUNEA SA DESCRAC CEVA,PT A VIZIONA PAGINA.NU AM FACUT-O.AM STERS IMEDIAT MESAJUL.DIN CE AM INTELES DIN RASPUNSUL TAU DAT ALMEI,NU SUNT ,,INFECTAT”CU ACEL VIRUS,DEOARECE NU AM DESCARCAT CE IMI SPUNEA NU?AS DORI,DACA SE POATE UN RASP PE EMAILUL MEU,SAU AICI… P.S.-DACA MAI AM INTREBARI (SUNT INCEPATOR IN ALE PC-LOR),VA POT SCRIE TOT AICI?
@DINU: Desigur, poti sa intrebi linistit.
am luat si eu un astfel de virus tot dintr’un mass de la o FATA si am dat scan cu Combofix si stau de mai bine de jumate de ora pe mess si nu mai dau mass’uri sper ca sa sters virusu am windows vista home basic ..si mi sau facut 2 foldere in D: $RECYCLE.BIN si eRData pot sa sterg acuma combofix?
[...] Mai multe detalii şi metode de curăţare găsiţi aici. [...]