http://realhot.001webs.com/profile.php – Site infectat propagat prin Yahoo! Messenger

cine ti-a pus pozele aici?? :0 hxtp://realhot.001webs.com/profile.php?user=****

Acesta este noul mesaj si domeniu care se raspandeste prin Yahoo! Messenger de curand, iar daca l-am publicat aici ati ghicit despre ce este vorba: DIN NOU VIRUS !
Este noua varianta a virusului descris aici. Domeniul anterior a fost inchis, asa ca… s-a creat altul. Prevad un viitor lung pentru acest virus, din pacate.

Mai precis, la accesare acelui site, utilizatorului i se propune descarcarea “Shockwave Player” pentru afisarea completa a continutului paginii:

Aceasta pagina nu se poate afisa deoarece nu aveti instalata ultima versiune de Macromedia Shockwave player.

Titlul paginii este destul de provocator, in orice caz: “Profilul tau porno”.
Daca pana acum erau folosite codec-uri false sau kit-uri de instalare false pentru Adobe Flash Player, hackerii s-au orientat spre mai putin folositul Adobe Shockwave Player.

pagina virusata real_hot

Dand click pe bara de atentionare veti fi redirectionati spre site-ul: htxp://dl.fisier.ro/files/occmkk7fah**4rd/install.exe.html. Odata rulat virusul creeaza mai multe fisiere: %System%\pxdr.exe, %System%\YahooAuth2.dll si de asemenea isi asigura rularea la fiecare pornire a Windows-ului.


In plus, trimite mass-uri prin Yahoo! messenger, mesajul fiind cel indicat la inceputul postarii.

fake shockwave player

Detectia sa este inca medie pe VirusTotal: 9 din 41 de programe antivirus.

Pentru DEVIRUSARE urmati pasii de mai jos:

Devirusare AUTOMATA (Varianta III functioneaza doar pentru Windows 2000 si XP):

Varianta I:

Descarcati si instalati Malwarebytes Anti-Malware. Scanati PC-ul complet si stergeti la final infectiile gasite apasand Remove selected.

Varianta II:

Scanati PC-ul cu BitDefender online si stergeti infectiile gasite.

Varianta III:

1. Descarcati: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

2. Apoi, creeati un fisier nou de tip .txt cu Notepad si scrieti in el ce e mai jos in citat:

File::
C:\Windows\system32\pxdr.exe
C:\Windows\system32\YahooAuth2.dll

3. Denumesti fisierul CFScript.txt apoi trage-l peste ComboFix.exe asa cum e aratat in poza de mai jos.

combofix drag

4. Apoi asigurati-va ca ati inchis toate programele care ruleaza (yahoo messenger, firefox, etc) si rulati ComboFix (e posibil sa porneasca automat dupa drag and drop). Va va intreba daca sa inceapa curatirea. Confirmati cu Yes de fiecare data. Nu-l opriti in timp ce scaneaza si dezinfecteaza sistemul. E posibil ca in timpul rularii lui desktop-ul sa dispara, dar nu va ingrijorati.
La final PC-ul va fi restartat.

Devirusare MANUALA (pentru Windows 7, Windows Vista x64 si Windows XP x64):
1. Deschideti My Computer, navigati in meniul Tools > Folder options (Windows XP) sau Organize > Folder and search options (Windows Vista si 7)

2. Bifati optiunea “Show hidden files and folders” si debifati optiunea “Hide extensions for known file types” (vezi poza de mai jos).
folder options

3. Deschideti Task Manager si dati End Task procesului pxdr.exe.
Cautati fisierele: C:\Windows\system32\pxdr.exe si C:\Windows\system32\YahooAuth2.dll si stergeti-le manual.
Daca primiti o eroare in timpul stergerii, folositi programul Unlocker.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

32 responses to “http://realhot.001webs.com/profile.php – Site infectat propagat prin Yahoo! Messenger”

  1. Dragos

    Kaspersky iar nu stie de el :)).

  2. BEsmart

    Norton e pe problema :)).Cei dintai raman primii:)).

  3. adi

    daca nu am dat click pe download shockwave ala nu am luat virusul nu?

  4. InfoMalware

    Recomandata ar fi ca toti utilizatori ce primesc \ descarca fisiere suspecte sa le scaneze pe VirusTotal \ NoVirusThanks \ VirScan … ca sa se asigure ca este un program legitim si nu un malware

  5. DragosII

    Eu l`am deschis cu Safer RUN din KIS , si da o eroare 😉

  6. ripnix

    site-ul a fost suspendat,
    hxtp://realhot.001webs.com/profile.php

    si se pare ca shi locatia unde a fost hostuit fishierul e suspendata, poate sters de pe server
    http://dl.fisier.ro/files/occmkk7fah5f4rd/install.exe.html

    asta e raportul dupa scanarea .exe-ului
    http://www.virustotal.com/analisis/c085bc9738dca68a0242683ac0a825440af09f4a08fe74a441e0f8efefb313c5-1264752905

  7. Un nou virus pe messenger ! | Blogu` Lu` George

    […] ai fost infectat , vă puteţi informa aici cum să scăpaţi de acest virus . January 7, 2010 — Bazi – Gripa Porcina [ Parodie ] (1) […]

  8. madsparow

    se pare ca oferta pt online armor ++ este slab functionala pt ca deabia la al 3 mail am reusit sa obtin licenta dar se pare ca au probleme cu locatia de download a kitului de instalare , acuma sa vedem cand vor rezolva problema .

  9. jiji

    si daca am dat clic,am windows 7 , si acele fisiere nu le-am gasit inseamna ca nu am luat??

  10. madsparow

    @ Radu vezi ca si tu ai probleme cu postarea comentariilor , imi da eroare in marea majoritatea a cazurilor ca pagina nu este disponibila .

  11. madsparow

    aceasta pagina este indisponibila

  12. Rifleman2k9

    Si pt vista pe x32(x86) ???

  13. jiji

    eu am primit linkul de la o prietena disperata ca uite domne mi-a facut cineva cont aiurea! m-am gandit eu k e ceva necurat dar am zis sa incerc sa-i dau un raspuns ,inafara de…stai linistita e un virus,asa ca am incercat sa downloadez prgramul,dar mi-a dat eroare! acele fisiere nu le-am gasit deci cred ca nu l-am luat

  14. jiji

    mda…chior mai sunt! eu am intrat pe celalalt site,cel cu bsplayerul:)) deci…rezolvat

  15. ella

    Eu nu gasesc pxdr.exe in task manager, si nici in system32, decat YahooAuth2.dll pe care nu il pot sterge.

  16. Mikay

    >>> ella, foloseste “Unlocker” ca sa stergi “YahooAuth2.dll”

  17. ana

    nici eu nu gasesc acel fisier. am sters doar yahooauth2.dll si acum imi apare o eroare cand deschid calculatorul. ce mai este de facut?

  18. mihaitzabest

    Eu habar n-aveam de site-u asta.Am primit azi mesaju respectiv pe mess si cum nu stiam am dat click dar norok cu pretenu’ Avast care mi detectat imediat virusul.Am cauat informatii despre siteu asta si asa am ajuns aici si m-am documentat:D

  19. Dalin

    Radu am sters fisierele alea , dar am o problema cand intru pe hi5 spre ex sa imi vad profilul mi se blocheaza cam 15 secunde si imi apare o eroare care zice “A script in this movie is causing Adobe Flash PLayer 10 to run slowly. If it continues to run , your computer may become unresponsive. Do you want yo abort the script?” si trebuie sa dau neaparat Yes ca sa pot merge mai departe , dar tot se blocheaza dupa cateva secunde :(( Ideea e ca nu mi-a mai aparut aceasta eroare pana ieri cand am intrat pe site-ul ala si am descarcat install.exe si l-am rulat . Ajutor va rog 🙁 Multumesc !

  20. Dragos

    Nici pana acum KASPERSKY nu stie de acest virus, o sa va anunt cand o sa afle :)).

  21. mihiam1980

    voi incerca sa fac un utilizatar de dezinfectie

  22. mihiam1980
  23. Mikay

    >>> ana, ce eroare iti apare?

    >>> Dalin, daca ti-ai devirusat calculatorul, instaleaza Adobe Flash Player de aici: http://get.adobe.com/shockwave/ si pe urma vezi daca iti mai face asa cand intri pe hi5.

  24. Dalin

    Am reinstalat Windows Xp , si acu am dezinstalat Adobe Flash Player . Ce mi-ai dat sa downloadez ala e shockwave 😀 nu imi da erori , doar ca mie frica sa instalez dinnou Adobe Flash Player ca iara imi eroarea aia chiar daca am reinstalat tot. 🙂 Multumesc

  25. daniela_18

    Va rog sa ma ajutati si pe mine !! Azi am intrat pe net sa vad niste poze cu catzelusi si dintr-o data mi-a aratat ceva ca are virusi site-ul , mi s-a inchis compu ,l-am deschis si acum nu pot sa intru pe messenger ! Acum in timp ce scriu asta imi arata cred ca vreo 30 de erori si nu stiu ce sa ii fac ? Antivirusul pe care in am nu face fatza !Doar pentru ca am intrat sa vad o poza am luat un virus asa de afurisit ? :((

  26. ovidiu

    am folosit una din solutii pt devirusare (malearebytes) dar acum..a aparut o alta problema. mi-am deschis messul chiar si de pe alt calc….se blocheaza si la un moment dat chiar se inchide…help pls!!!

Leave a Reply