tu esti aici
) http://profilexx.001webs.com/profile.php?user=[Id-ul tau]
Acesta este mesajul care se raspandeste prin Yahoo! Messenger de curand, iar daca l-am publicat aici ati ghicit despre ce este vorba: VIRUS !
Mai precis, la accesare acelui site, utilizatorului i se propune descarcarea “Shockwave Player” pentru afisarea completa a continutului paginii:
“Aceasta pagina nu se poate afisa deoarece nu aveti instalata ultima versiune de Macromedia Shockwave player.“
Titlul paginii este destul de provocator, in orice caz: “Profilul tau porno”.
Daca pana acum erau folosite codec-uri false sau kit-uri de instalare false pentru Adobe Flash Player, hackerii s-au orientat spre mai putin folositul Adobe Shockwave Player.
Dand click pe bara de atentionare veti fi redirectionati spre site-ul: hxtp://www.porky2**.lx.ro/install.exe. Odata rulat virusul creeaza mai multe fisiere: %System%\lfbk.exe, %System%\YahooAuth2.dll si de asemenea isi asigura rularea la fiecare pornire a Windows-ului.
In plus, trimite mass-uri prin Yahoo! messenger, mesajul fiind cel indicat la inceputul postarii.
Detectia sa este inca medie pe VirusTotal: 15 din 41 de programe antivirus.
Pentru DEVIRUSARE urmati pasii de mai jos:
Devirusare AUTOMATA (pentru Windows 2000 si XP):
1. Descarcati: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
2. Apoi, creeati un fisier nou de tip .txt cu Notepad si scrieti in el ce e mai jos in citat:
File::
C:\Windows\system32\pxdr.exe
C:\Windows\system32\YahooAuth2.dll
3. Denumesti fisierul CFScript.txt apoi trage-l peste ComboFix.exe asa cum e aratat in poza de mai jos.
4. Apoi asigurati-va ca ati inchis toate programele care ruleaza (yahoo messenger, firefox, etc) si rulati ComboFix (e posibil sa porneasca automat dupa drag and drop). Va va intreba daca sa inceapa curatirea. Confirmati cu Yes de fiecare data. Nu-l opriti in timp ce scaneaza si dezinfecteaza sistemul. E posibil ca in timpul rularii lui desktop-ul sa dispara, dar nu va ingrijorati.
La final PC-ul va fi restartat.
Devirusare MANUALA (pentru Windows 7, Windows Vista x64 si Windows XP x64):
1. Deschideti My Computer, navigati in meniul Tools > Folder options (Windows XP) sau Organize > Folder and search options (Windows Vista si 7)
2. Bifati optiunea “Show hidden files and folders” si debifati optiunea “Hide extensions for known file types” (vezi poza de mai jos).
3. Deschideti Task Manager si dati End Task procesului pxdr.exe.
Cautati fisierele: C:\Windows\system32\pxdr.exe si C:\Windows\system32\YahooAuth2.dll si stergeti-le manual.
Daca primiti o eroare in timpul stergerii, folositi programul Unlocker.
Loading ...
NIS 2010 este la datorie
bravo Radu ,aceste stiri de genul asta sunt foarte utile mai ales pentru cei incepatori care sunt tentati sa deschida mai tot ce primesc pe mess,spun asta pentru ca stiu sa ma feresc si nu las totul in seama programului de securitate,faci o treaba buna,multi ani inainte cu site-ul si mai adu asemenea informati de genul asta,sunt foarte utile pe tema de securitatea pc-ului.
so far so good
merci!
@Cornel A: Ai fost infectat?
da, am urmat pasii si deocamdata e ok, vad eu maine ce se intampla mai departe
Perfect. Daca mai ai probleme revino aici si te vom indruma in continuare.
Ce antivirus folosesti? Actualizeaza-l si fa si cu el o scanare completa a PC-ului.
nu merge. trebuia sa fac asta inainte sau dupa ce s’a virusat?
@alexandru: Metoda este pentru devirusare, deci o aplici dupa ce ai fost infectat. Ai rulat fisierul ?
Kaspersky nu il vede
))=)), NORTON il vede. O sa ma mut iar pe Norton
tocmai am primit acest mesaj pe messenger. intai m-am speriat, apoi am dat click. ceva parea ciudat asa ca am dat search pe google si am gasit acest site. multam frumos!
Am primit si eu un asemenea link. M-am gandit ca e ceva de genul, dar antivirusul nu a zis nimic nici cand am intrat pe link, nici cand am luat fisierul. L-am deschis si tot nimic
A dat eroare in timp ce se instala totusi 
)
Kaspersky apropo
Buna seara , am descarcat kaspersky remove tool 2010 de pe site-ul KASPERSKY , si nu a durat mult de descarcat , l-am instalat si Avastul 5 a sarit ca e WIN32 BEAGLE RTK…..doua drivere ce se numesc UTIXMZCZ.SYS…..am observat cand aveam KIS 2009 i nstalt ca imi apareau aceste drivere ca vulnerabilitati si trebuia sa fac update cu niste patchuri la windows , de la microsoft…..sa fie alarma falsa nu prea cred…..deci le-am trimis la la cei de la Avast sa le verifice….nu descarcati softuri de pe site-ul lor , cred ca e periculos…..nu mma asteptam la as ceva din partea unei firme de nivelul asta…..poate cineva sa ma lamureasca in acest caz??!!!:(
eu am blocat site-ul profilexx si cel de pe care se ia fisierul install.exe din antivirus (folosesc Avast 5 si pare mai bun ca orice am folosit pana acm, Kaspersky, BitDefender, Norton, Avira). O sa imi fac o lista cu site-uri periculoase, niciodata nu se stie cand dau peste ele asa ca e mai bine sa mi le opreasca antivirusul
Chiar nu inteleg de ce KASPERSKY nu stie nimic de el
.
Radu felicitari pentru astfel de articole,foarte folositoare.Intr-adevar Norton Internet Security 2010 se comporta excelent la astfel de amenintari,din curiozitate (stiti voi de ce a murit pisica)am vrut sa intru pe link si nu m-a lasat…
Eu nu sunt incepatoare si nu am luat in viata mea un virus de pe mess/net/etc. Trebuie sa recunosc ca cel ce s-a gandit la mesaj a fost genial
) ! E imposibil sa nu te uiti (mai ales dak esti fata)… caci la baieti mai e cum mai e..:P
Mersi pt program. Nu stiam site-ul . O sa-l recomand prietenilor !
@Sabrina: Cu placere. Sper sa-ti fim de ajutor oricand vei avea nevoie.
Pacat ca nu merge decat pe Windows 2000 si XP!
@Mia: Ce anume? Virusul sau metoda de dezinfectie ?
Metoda. Am urmat pasii de mai sus si mi-a afisat un mesaj cum ca ComboFix nu poate rula decat pe Windows 2000 sau XP. Iar eu am Windows 7 64-bit. In orice caz, nu am gasit fisierele respective in system32, asa ca nu sunt sigura ca a fost infectat calculatorul. Aveam BitDefender Internet Security 2010, dar nu era actualizat, asa ca nu m-a avertizat cand am accesat linkul. Dupa actualizare si scanarea sistemului, nu mi-a gasit virusul acesta.
@Mia: Intr-adevar, ComboFix functioneaza doar pe 32 bits, nu si pe 64 bits. Daca nu ai fisierele respective nu esti infectata.
Am primit si eu un astfel de pm pe yahoo messenger, dar nu am instalat acel program dubios. Sunt curios cu ce afecteaza acest virus un pc mai exact.
Good to know that!
Altadata o sa fiu mai atenta cu “plug-in”-urile astea.
eu am urmat pasii si la sfarsit mia apartu in txt. cu log lam scos si am resetat eu calculatorul (ne se resetase) e bine?
@rares: Da, este bine.
oke merci deci sper sa nu mai am probleme am intreabat pentru ca ziceai acolo ca se va reseta singur si nu a facuto! mersi din suflet
Eu am download-at fisierul install.exe dar nu i-am dat drumul.(m-am prins cu intarziere+ parea ciudat sa se numeasca numai install.exe) si nu stiu daca am luat virusul sau nu. numai fisierul asta l-am gasit C:\Windows\system32\YahooAuth2.dll
@bogdan: Atat timp cat nu ai rulat fisierul nu ai fost infectat.
Am facut si eu cum spuneai. Rularea a durat cateva secunde..sper ca facusem bine. Am restartat. Insa in C a ramas folderul system32.. E normal? Scuza incepatorii..:D
@paul@: Folder-ul system32 din C:\Windows este PERFECT Legitim. NU-L sterge, pentru ca nu-ti mai porneste PC-ul.
Sau ai C:\system32 doar ?
Am primit si eu azi…. am dat click de curiozitate sa vad daca face ceva AVG-ul si linkul a fost dezactivat…. Sper sa nu s-a agatzat nimik…
Salut!
Win 2003 Server se infecteaza cu zdreanta asta de “shockwave”?
Multumesc.
m-am ales si eu virusul asta. iar combo fix nu e compatibil nici cu versiunea de windows pe care o folosesc eu. in fine, mi-am instalat avast, mi l-a gasit, pare sa fie ok pana acum. totusi, vreau sa stiu daca in afara de massul ala tampit se mai intampla chestii nasoale. thx
Mie nu mi-a disparut folderul system32..trebuia?
“m-am ales si eu CU virusul asta” am vrut sa spun.:P
Eu primesc un mare “warning!!” cand duc fisierul pe ComboFix. Imi spune sa nu il rulez.
@ella: Dezactiveaza temporar antivirusul in timpul rularii ComboFix. Unele programe antivirus detecteaza componente ale acestuia ca SPR sau not-a-virus, prevenind rularea lui.
Mersi pentru indrumare. Am urmat instructiunile si acum astept sa vad daca am scapat sau nu de virus. O singura intrebare am… Cand rula antivirusu mi-a dezactivat virtual driveu stiti cumva cum pot sa il activez inapoi?
combo fix trebuie sa ramana instalat?
@rares: ComboFix nu se instaleaza, ci doar se ruleaza. Nu exista installer pentru el.
mia aparut in local disck c $avg8.valut$ ce este?
A mai avut deja 2 mirrors virusul.
[...] This post was mentioned on Twitter by Radu and Lorin Nicolae, yo9fah. yo9fah said: RT: @faravirusi http://profilexx.001webs.com–Site Infectat propagat prin Yahoo! Messenger (Devirusare): tu esti aici ) http://bit.ly/9Mpn9E [...]
Imi cer scuze pentru postul meu de mai sus,pentru rescrierea MBR-ului :http://support.microsoft.com/kb/69013/ro
Am rulat programu si nu mi-a mers,folosesc si eu windows7, am gasit in systre32 fiesierul YahooAuth2.dll, in schimb nu am gasit pe celalalt lfbk.exe.
Am sters dll-ul, merge sters si asa? sau numai cu programu?
@DeN: Merge sters si manual .dll-ul si orice fisier al virusului, insa pentru unele vei avea nevoie de Unlocker.
dupa ce am sters dll-ul, la restartarea calculatorului imi apre o eroare: igyacva.exe – the program can`t start because YahooAuth2.dll is missing from your computer. Try reinstalling the program to fix this problem.
Ce ar mai trebui sa sterg? poate stii cumva
Radu am o intrebare dupa ce am urmat toti pasii ce trebuie sa se intample cu fisierul CFScript.txt?
@Hel: Fisierul CFScript.txt il poti sterge.
@fzcsm: Ai link pentru ComboFix in postare. Iata-l din nou: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Eu nu am ComboFix.De unde il pot lua?
Am o intrebare.Daca nu am instalat Programul ala Microwave sau cum ii zice este infectat computerul?Eu doar l-am downloadat si nu mergea nu se intampla nimic.
io am urmat pasii astia si pare sasi fi revenit calcu:-s
in orice caz…treaba buna cu programu
@Seby: Ne bucuram ca PC-ul tau este curat.
@O BLONDA: Virusul se ia doar accesand acel site si ruland fisierul oferit. Daca nu ai facut asta, nu l-ai luat.