tu esti aici
) http://profilexx.001webs.com/profile.php?user=[Id-ul tau]
Acesta este mesajul care se raspandeste prin Yahoo! Messenger de curand, iar daca l-am publicat aici ati ghicit despre ce este vorba: VIRUS !
Mai precis, la accesare acelui site, utilizatorului i se propune descarcarea “Shockwave Player” pentru afisarea completa a continutului paginii:
“Aceasta pagina nu se poate afisa deoarece nu aveti instalata ultima versiune de Macromedia Shockwave player.“
Titlul paginii este destul de provocator, in orice caz: “Profilul tau porno”.
Daca pana acum erau folosite codec-uri false sau kit-uri de instalare false pentru Adobe Flash Player, hackerii s-au orientat spre mai putin folositul Adobe Shockwave Player.
Dand click pe bara de atentionare veti fi redirectionati spre site-ul: hxtp://www.porky2**.lx.ro/install.exe. Odata rulat virusul creeaza mai multe fisiere: %System%\lfbk.exe, %System%\YahooAuth2.dll si de asemenea isi asigura rularea la fiecare pornire a Windows-ului.
In plus, trimite mass-uri prin Yahoo! messenger, mesajul fiind cel indicat la inceputul postarii.
Detectia sa este inca medie pe VirusTotal: 15 din 41 de programe antivirus.
Pentru DEVIRUSARE urmati pasii de mai jos:
Devirusare AUTOMATA (pentru Windows 2000 si XP):
1. Descarcati: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
2. Apoi, creeati un fisier nou de tip .txt cu Notepad si scrieti in el ce e mai jos in citat:
File::
C:\Windows\system32\pxdr.exe
C:\Windows\system32\YahooAuth2.dll
3. Denumesti fisierul CFScript.txt apoi trage-l peste ComboFix.exe asa cum e aratat in poza de mai jos.
4. Apoi asigurati-va ca ati inchis toate programele care ruleaza (yahoo messenger, firefox, etc) si rulati ComboFix (e posibil sa porneasca automat dupa drag and drop). Va va intreba daca sa inceapa curatirea. Confirmati cu Yes de fiecare data. Nu-l opriti in timp ce scaneaza si dezinfecteaza sistemul. E posibil ca in timpul rularii lui desktop-ul sa dispara, dar nu va ingrijorati.
La final PC-ul va fi restartat.
Devirusare MANUALA (pentru Windows 7, Windows Vista x64 si Windows XP x64):
1. Deschideti My Computer, navigati in meniul Tools > Folder options (Windows XP) sau Organize > Folder and search options (Windows Vista si 7)
2. Bifati optiunea “Show hidden files and folders” si debifati optiunea “Hide extensions for known file types” (vezi poza de mai jos).
3. Deschideti Task Manager si dati End Task procesului pxdr.exe.
Cautati fisierele: C:\Windows\system32\pxdr.exe si C:\Windows\system32\YahooAuth2.dll si stergeti-le manual.
Daca primiti o eroare in timpul stergerii, folositi programul Unlocker.
Loading ...
Buna seara!Am și eu o întrebare,dacă nu am folosit messu’,tu,zilele astea,este vro șansa sa ma infectat,cumva?Va pup,și va iubesc pe toți.
Nu pot decît sa constat, cu bucurie,ca acest blog,a devenit o atracție și pentru celalalt sex!Vezi tu ,Radu,ca acum nu mai poți fi acuzat ca blogul este “misoginist”
Eu folosesc Skype,pentru rarele momente cînd mai “socializez”.Asta nu prea are problemele lui Yahoo!
@Nick: Da, acum ai unde sa-ti cauti fete.
)
mie nu imi merge..imi da eroare cu cfg script asta…
nu stiu de ce? am win xp sp3
nu e cfg script
Esti sigur ca l-ai denumit EXACT cum scrie in tutorial ? Ai urmat pasii cu atentie ?
Ce antivirus ai?
Ca bine le zici mata Bibicule,da’ numai sa nu se supere Edward…și sa-mi taie din nou macaroana ca postez off-topic!!!
Its Romanien! Sunt mandru de acest virus care este hibridul perfect intre worm si trojan! BTW acum il luatzi doar dk accesatzi siteul deci be aware! Programelul de dezinfectare mi-a lasat o impresie buna chiar dk nu sunt nici 50% convins de el, asha ca cea mai buna solutzie cred ca este o reinstlare de windows pt ca acest virus va poate face hardul inutilizbil and thats sucks so hard!Good luck! Sooper siteul faravirusi!
)
@TOjamz: Nici vorba de formatarea a hard-ului. Se sterg manual cele doua fisiere create si atata tot.
Poate-l confunzi cu virusul Zimuse aparut si el recent. Acolo e alta mancare de peste.
Multumesc in rest pentru aprecieri.
app ymsgr:kill va poate ajuta
)
@TOjamz: Acea comanda inchide yahoo! messenger. Te rog nu promova prea mult astfel de metode si “trucuri”. Scopul FaraVirusi.com este altul.
acu am primit urmatorul mesaj:
cine ti-a pus pozele aici?? :0 hxxp://realhot.001webs.com/profile.php?user=****
[...] iar daca l-am publicat aici ati ghicit despre ce este vorba: DIN NOU VIRUS ! Este noua varianta a virusului descris aici. Domeniul anterior a fost inchis, asa ca… s-a creat altul. Prevad un viitor lung pentru acest [...]
Multumim pentru ajutor, insa la mine nu a mers…adica am windows 7 si nu e compatibil, si mai e si neajunsul ca de fiecare data cand deschid calculatorul imi apare o eroare. Cred ca o sa-mi reinstalez windows-ul sau mai bine raman cu ubuntu si gata, pentru ca asa nu mai pot sa stau, deoarece desi am cautat si am sters tot ce era legat de virus tot se mai trimite link, si o prietena era sa faca infarct, saraca, s-a speriat asa tare, a inceput sa si planga
PS: si eu am kaspersky si nu a vazut nimic
@Elena: Poti sterge manual fisierele respective. Voi actualiza postarea pentru dezinfectie manuala.
Felicitari Radu,de un real folos !
mda daupa 24 de ore incepe sa itzi faca probleme flash player-u si asta nu s-a intmaplat numai la mine ci si la cunoscutzi. eu cred ca virusul asta e mult mai bun decat pare si nu cred c poate fi sters ata de usor. asta e parea mea. bag mana in foc ca problemele inca nu s-au incheiat. spor la treaba!
am si eu o intrebare…. pot sterge combo si txt? si as vrea sa mai stiu daca pot, si cum as putea sa scap si de windows recovery sa nu imi mai apara cand deschid faza cu boot.
@vitosh: sterge combo si cfscript.txt
[...] aici ati ghicit despre ce este vorba: DIN NOU VIRUS ! (sau poate nu?!) Este noua varianta a virusului descris aici. Domeniul anterior a fost inchis, asa ca… s-a creat [...]
Salut, yahooauth2.dll era folosit de “kdxgp.exe” din system32, kdxgp.exe fiind si singurul fisier cu iconita InternetExplorer din system32; nu am gasit alte informatii despre acest proces; nu s-ar putea sa fie v2 pt lfbk.exe?
cred ca functioneaza.
va multumesc pentru informatii.
o seara placuta.
era sa fac prostia
, dar nu m-a lasat sa-l deschid 
), am avut noroc ca l-a blocat antivirusul
daca am intrat pe site, am luat ala dar cand am vrut sa-l instalez mi-a dat eroare si s-a inchis fereastra. se intampla ceva ?
ps: am avast
eu nu gasesc cele doua .exe si .dll in system 32. am vista. trebuie urgent sa devirusez pt ca trimit intruna astfel de mesaje
pot sterge sau muta combofix? si mai vreau sa stiu daca pot scapa de pagina boot pe care a creat-o windows recovery si cum anume ca nu imi apare in add/remove programs…. ms anticipat
Am primit mesajul si nu am instalat nimic, oricum super ca cineva a postat instructiuni pentru devirusare. Felicitari Radu!
mai concret,cu ce afecteaza calc-ul acest virus??
…inca nu stiu sigur dak l-am sters …
cu windows7 nu e compatibil ComboFix …
[...] iar daca l-am publicat aici ati ghicit despre ce este vorba: DIN NOU VIRUS ! Este noua varianta a virusului descris aici. Domeniul anterior a fost inchis, asa ca… s-a creat altul. Virusul este deja la a 3-a [...]
[...] iar daca l-am publicat aici ati ghicit despre ce este vorba: DIN NOU VIRUS ! Este noua varianta a virusului descris aici. Domeniul anterior a fost inchis, asa ca… s-a creat altul. Virusul este deja la a 3-a [...]
eu miam reinstalat windowsul si dupa ma incerkt ce scrie mi sus, dar nu am gasit nik in task manager de genul pxdr.exe.si am cautat in calculator fisierele: C:\Windows\system32\pxdr.exe si C:\Windows\system32\YahooAuth2.dll si nu leam gasit nici p alea, ceea ce inseamna k sunt clean, asa-i?astept raspuns:D o zi buna!
@FloRyn: Nu era necesara reinstalarea Windows-ului. Daca nu ai acele fisiere inseamna ca nu ai varianta aceasta de virus.
dar inseamna k am alta?eu am dat sa instalez shokcwave ala, si nu ma lasa sal instal.e posibil sa fiu ik infectat?
@FloRyn, trimite-mi prin e-mail un log HijackThis si-ti voi spune precis daca ai acest virus sau nu.
ok, urmez instructiunile de pe acea pagina d unde il downloadez?
Multumim pentru ajutor, insa la mine nu a mers…adica am windows 7 si nu e compatibil, si mai e si neajunsul ca de fiecare data cand deschid calculatorul imi apare o eroare. Cred ca o sa-mi reinstalez windows-ul sau mai bine raman cu ubuntu si gata, pentru ca asa nu mai pot sa stau, deoarece desi am cautat si am sters tot ce era legat de virus tot se mai trimite link, si o prietena era sa faca infarct, saraca, s-a speriat asa tare, a inceput sa si planga
PS: si eu am kaspersky si nu a vazut nimic
@Elena: Se pot sterge manual conform ghidului. Apoi schimbi parola yahoo si reinstalezi yahoo! messenger.
ei bne?sunt infectat sau nu?
@elena:cred k tipa sa speriat rau knd a aflat k are profil porno:|nasol,sper k iai spus si ei despre asta k e un virus si nu e real profilul
@FloRyn: Nu esti infectat.
ok, multumesc
Si in afara ca trimite mass cu acel link, ce face acest virus?
@Corina: Fura parola contului Yahoo!
Radu ti-am trimis un logo pe email,dll-ul l-am gasit si l-am sters dar executabilul ba,am wind7X64 si imi apare System32 si SysWOW64,in ultimul am gasit dll-ul….. faravirusicom@gmail.com aici am trimis email-ul cred ca e bine,astept cu nerabdare raspunsul tau,multumesc anticipat.
un system restore ar rezolva ceva ?
te rog raspunde si mie : ” daca am intrat pe site, am luat ala dar cand am vrut sa-l instalez mi-a dat eroare si s-a inchis fereastra. sunt infectat ?
ps: am avast
@Razvan: Depinde, daca ti-a dat eroare este probabil sa nu te fi infectat. Verifica daca ai vreunul din fisierele enuntate de mine. Daca nu, Pc-ul tau este curat.
System Restore rezolva si el problema.
@ Razvan dai disable la system restore si dai o scanare cu Dr Web CureIt sau stergi manual fisierele respective.
[...] “tu ti-ai facut profilu asta?” – Virus! Nu se poate spune ca este o idee foarte noua sau ca e ceva original, dar iata functioneaza. Astazi dimineata, dupa ce mi-am deschis pc-ul, primesc la interval de aproximativ 2 min, urmatorul mesaj de la doi dintre cei din lista mea de YM: tu ti-ai facut profilu asta? http://roamateursxx.freehostking.com/profile.php?user=ID. Nu obisnuiesc sa dau curs invitatiilor primite pe mess de a accesa diferite link-uri si se pare ca bine fac. Despre ce este vorba? Dand curs invitatiei vei accesa un site si iti vei infecta pc-ul si va trimite automat si catre cei din lista ta acelasi mesaj. Inca o dovada in plus ca sa NU ACCESATI tot ceea ce primiti pe YM! Detalii suplimentare despre acest virus si cum sa scapi de el: http://www.faravirusi.com [...]
Un big f*** you autorului acestui virus.
am primit si eu pe mess exact acelasi mesaj si am incercat sa instalez ce imi cerea pe site. nu am reusit asa ca am instalat Macromedia shockwave player din alta parte (inca il mai am instalat), apoi am aflat ca e virus. Am urmat pasii de aici iar acum imi merge foarte greu calculatorul. S-ar putea a fi sters ceva program?. Ma puteti ajuta, va rog?
@Diana: Trimite-mi un log HijackThis prin e-mail pentru a vedea despre ce e vorba.
Care metoda ai urmat-o pentru devirusare?
Radu, am incercat devirusarea automata. Cum pot sa iti trimit logul? la adresa de la Contact?
mai da cum ii zice la virusu asta
si ce face el concret
@mitza21: Denumirea lui o vezi in link-ul de pe virustotal.com, data de diversi producatori AV.
Virusul porneste odata cu Windows-ul, fura parola contului Yahoo!, trimite mesaje celor din lista si cam atat.
dar trimite si fara sa fi logat???