http://roamateursxx.freehostking.com/profile.php – Site infectat propagat prin Yahoo! Messenger

cine ti-a pus pozele aici?? :0 hxtp://roamateursxx.freehostking.com/profile.php?user
tu ti-ai facut profilu asta? hxtp://roamateursxx.freehostking.com/profile.php?user
Tu ti-ai pus pozele aici ? hxtp://roamateursxx.freehostking.com/profile.php?user

Acestea sunt noile mesaje si domeniu care se raspandeste prin Yahoo! Messenger de curand, iar daca l-am publicat aici ati ghicit despre ce este vorba: DIN NOU VIRUS !
Este noua varianta a virusului descris aici. Domeniul anterior a fost inchis, asa ca… s-a creat altul. Virusul este deja la a 3-a varianta.

Mai precis, la accesare acelui site, utilizatorului i se propune descarcarea “Shockwave Player” pentru afisarea completa a continutului paginii:

Aceasta pagina nu se poate afisa deoarece nu aveti instalata ultima versiune de Macromedia Shockwave player.

Titlul paginii este destul de provocator, in orice caz: “Profilul tau porno”.
Daca pana acum erau folosite codec-uri false sau kit-uri de instalare false pentru Adobe Flash Player, hackerii s-au orientat spre mai putin folositul Adobe Shockwave Player.

pagina virusata roamateursxx

Dand click pe bara de atentionare veti fi redirectionati spre site-ul: hxtp://www.girlshare.ro/82**61.3, iar mai nou http://dl.fisier.ro/files/dh5k**ngf335je/setup.exe.html. Odata rulat virusul creeaza mai multe fisiere: %System%\pxdr.exe (denumiri aleatorii din 4, 5 sau 6 caractere), %System%\YahooAuth2.dll, C:\WINDOWS\system32\libeay32.dll, C:\WINDOWS\system32\ssleay32.dll si de asemenea isi asigura rularea la fiecare pornire a Windows-ului.


In plus, trimite mass-uri prin Yahoo! messenger, mesajul fiind cel indicat la inceputul postarii.

fake shockwave player

Detectia sa este inca medie pe VirusTotal: 16 din 41 de programe antivirus. Virusul fura de asemenea si parola Yahoo! Messenger.

Pentru DEVIRUSARE urmati pasii de mai jos:

Devirusare AUTOMATA (Varianta III functioneaza doar pentru Windows 2000 si XP):

Varianta I:

Descarcati si instalati Malwarebytes Anti-Malware. Scanati PC-ul complet si stergeti la final infectiile gasite apasand Remove selected.

Varianta II:

Scanati PC-ul cu BitDefender online si stergeti infectiile gasite.

Varianta III:

1. Descarcati: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

2. Apoi, creeati un fisier nou de tip .txt cu Notepad si scrieti in el ce e mai jos in citat:

File::
C:\Windows\system32\yxpb.exe
C:\WINDOWS\system32\ssleay32.dll
C:\WINDOWS\system32\libeay32.dll
C:\Windows\system32\YahooAuth2.dll

3. Denumesti fisierul CFScript.txt apoi trage-l peste ComboFix.exe asa cum e aratat in poza de mai jos.

combofix drag

4. Apoi asigurati-va ca ati inchis toate programele care ruleaza (yahoo messenger, firefox, etc) si rulati ComboFix (e posibil sa porneasca automat dupa drag and drop). Va va intreba daca sa inceapa curatirea. Confirmati cu Yes de fiecare data. Nu-l opriti in timp ce scaneaza si dezinfecteaza sistemul. E posibil ca in timpul rularii lui desktop-ul sa dispara, dar nu va ingrijorati.
La final PC-ul va fi restartat.

Apoi schimbati-va parola contului Yahoo!

Devirusare MANUALA (pentru Windows 7, Windows Vista (x86 si x64) si Windows XP x64):
1. Deschideti My Computer, navigati in meniul Tools > Folder options (Windows XP) sau Organize > Folder and search options (Windows Vista si 7)

2. Bifati optiunea “Show hidden files and folders” si debifati optiunea “Hide extensions for known file types” (vezi poza de mai jos).
folder options

3. Deschideti Task Manager si dati End Task procesului yxpb.exe.
Cautati fisierele: C:\Windows\system32\yxpb.exe, C:\WINDOWS\system32\ssleay32.dll, C:\WINDOWS\system32\libeay32.dll, C:\Windows\system32\YahooAuth2.dll si stergeti-le manual.
Daca primiti o eroare in timpul stergerii, folositi programul Unlocker.

Schimbati-va la final parola Yahoo!

UPDATE 31.01.2010: Adaugarea noilor mesaje + actualizarea metodei pentru devirusare.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

96 responses to “http://roamateursxx.freehostking.com/profile.php – Site infectat propagat prin Yahoo! Messenger”

  1. vlad

    multumesc! si daca mai am probleme si nu stiu de ele cum se manifesta acestea??

  2. vlad

    SI CUM IMI SCHIMB PAROLA CA AM UITAT !! :d :)))

  3. vlad

    radu am inchis pc si lam redeschis! si la task manager imi apare yahooAUservice la processes! ACESTA ESTE VIRUSUL ? AM SCAPAT DE EL SAU NU !

    P.S. toate celelalte C:\Windows\system32\yxpb.exe, C:\WINDOWS\system32\ssleay32.dll, C:\WINDOWS\system32\libeay32.dll, C:\Windows\system32\YahooAuth2.dll nu apar

  4. vlad

    aha ! MULTUMESC MULT CA AI DESCHIS ACEST SITE ! AM MAI INTRAT PE EL SI MA AJUTAT MULT 😀 :))

  5. bogdan

    am primit si eu mass-ul asta ….nu stiam ce-i cu el si am accesat site-ul ala.scria ca,continutul nu poate fi vizionat deoarece nu am ultima versiune de adobe shockwave player si am deschis sa-l instalez dar internet explorer m-a redictionat catre alta pagina si nu am downladat sau instalat nimic de acolo.e posibil sa fi fost infectat cu virusul asta?pot sa dau mass-uri si n-am vazut nici fisierele alea in system32.multumesc

  6. bogdan

    @Radu:Multumesc mult…ma simt “usurat” acum;).

  7. tu ti-ai facut profilu asta? http://roamateursxx.freehostking.com/profile.php?user= | STau Pe Net

    […] va anunt ca exista si o rezolvare pentru a inlatura acest virus nou ! Mai multe detalii despre inlaturarea virusului “tu ti-ai facut profilul asta” gasiti aici ! Succes […]

  8. Milu'

    Dada, daca nu dai click pe install esti ok nu?

  9. Cristina

    am primit si eu un mass din asta si prima oara m-am speriat..am crezut ca e o gluma de-a colegilor mei..in fine..am dat click, mi-a spus ca nu am adobe shockwave instalat…am dat click unde zicea ca se instaleaza..m-a bagat intr-o pagina de filehost dar nu mi-a aparut nici o fereastra de download si nici de install…m-am infectat?

  10. Dody

    Radu,imi vine sa te pup!!!!!! Aveam o neliniste legata de instalarea idiotului dar sunt HAPPY!!!!! Eu am dat click pe link si apoi m-am oprit…nu am descarcat programul cerut. Deci…nu l-am luat!!! Muuuuuuuuah! 🙂

  11. Nick

    Dody, pupa-l pe Radu ,da’ platonic,ca zău, ne dai fiori la toți! 😆

  12. Dody

    Nick,il pup cat se poate de platonic! :))) Chiar nu am avut alta intentie, nu mi-as permite un gest deplasat!

  13. Nick

    @Dody
    Glumeam,mah… 😆

  14. ala

    spybot nu-l vede

  15. cristina

    am primit ieri un mesaj in engleza care zicea ceva de genul “your photos…” am dat clik pe el si in momentul urmator a inceput sa trimita mesaje automat celor din lista mea

    nu am instalat nimic de pe acel link

    de 2 zile incerc sa scanez cu avir si cu simantec am incercat ,am dezinstalat tot ce tine de y/m si cand deschid din nou adresa de yahoo trimite mesaje automat celor din lista mea de mess .
    ce sa fac pleaseee?

  16. Iulian

    Salutare,

    Am scris un comentariu recent referitor la virusul care trimite singur mesaje la fel ca Cristina … Am scanat cu Dr. Web CureIT a gasit ceva troieni, i-am sters dar dupa ce am instalat messenger 10 iar trimite mesaje in toata lista. O sa incerc si cu Malwrebytes sa vad ce gaseste.

    P.S: Super tare siteul, tin sa te felicit din toate punctele de vedere.

  17. deea.ss

    buna.am urmat si eu pasii pt devirusare,asa cum ai descris tu aici..insa acum de fiecare data cand aprind compu imi apare mesajul “your sql server installation is either corrupt or has been tampered with (unknown page id).please run setup”. ce inseamna asta? am gresit ceva cand am facut devirusarea sau cum? sper sa-mi raspundeti si mie 😛 ms ms ms

  18. dragos d

    radu..se pare k circula un nou link virusat pe yahoo mess………..vine cu mesajul asta… vi esta foto tuya en facebook, esta bn funny….. dupa care urmeaza un link………….hxttp://www4.tinypicturebox.com:88/resultado/nj39ak4/MVC-NuevoPic0025.JPEG.zip se pare k este un nou virus , bafta

  19. dragos d

    radu………..eu nu am clc infectat u trojan.buzus……….. dar primesc de la altii prin yahoo mess sub forma de mass………..app .. de securitate nu-mi fac griji pentru k folosesc norton 360 versiunea 4 shi pe langa norton am malwarebytes anti-malware shi a-squared free 4.5………..cred k am o securitate destul de buna……asa zic eu

  20. Iulian

    Salutare,

    Am urmat procedura cu Karpesky Live cd, am downloadat de pe linkul trimis de Radu pentru o scanare, problema e ca imaginea copiata pe un Cd nu boot-eaza, am incercat pe mai multe calculatoare/laptopuri si imi da eroare de boot …. vroiam doar sa intreb daca a mai incercat cineva cu varianta asta. Problema mea era cu un virus care imi dezactiva orice antivirus instalam .
    Mersi,

  21. Iulian

    Prima data am dat Make data disc, dupa aia am dat Burn Image si acum merge….mersi mult si scuze .

  22. dany82

    combofix este un virus mediu eu l-am descarcat dar am norton 2010 si la sters imediat deci ….. ce trebuie facut ?

  23. BUFFI GABONTZ

    VREAU SA STIU DACA PERSOANA INFECTATA PRIMESTE MESAJE DE LA PRIETENI IN CONTINUARE SI DACA LE POATE SCRIE IN ACELASI MOD CA PANA ACUM?

  24. liviu

    cel mai bun antivirus este Linux ( sunt sute de distributii ), in prezent folosesc Linux mint si rad mereu de cei care ia virusi

  25. ina

    Am ales varianta 2. Am dat scan si la final mi-a aratatca am 2 fisiere infectate. Acum am scapat de virus?

Leave a Reply