cine ti-a pus pozele aici?? :0 hxtp://roamateursxx.freehostking.com/profile.php?user
tu ti-ai facut profilu asta? hxtp://roamateursxx.freehostking.com/profile.php?user
Tu ti-ai pus pozele aici ? hxtp://roamateursxx.freehostking.com/profile.php?user
Acestea sunt noile mesaje si domeniu care se raspandeste prin Yahoo! Messenger de curand, iar daca l-am publicat aici ati ghicit despre ce este vorba: DIN NOU VIRUS !
Este noua varianta a virusului descris aici. Domeniul anterior a fost inchis, asa ca… s-a creat altul. Virusul este deja la a 3-a varianta.
Mai precis, la accesare acelui site, utilizatorului i se propune descarcarea “Shockwave Player” pentru afisarea completa a continutului paginii:
“Aceasta pagina nu se poate afisa deoarece nu aveti instalata ultima versiune de Macromedia Shockwave player.“
Titlul paginii este destul de provocator, in orice caz: “Profilul tau porno”.
Daca pana acum erau folosite codec-uri false sau kit-uri de instalare false pentru Adobe Flash Player, hackerii s-au orientat spre mai putin folositul Adobe Shockwave Player.
Dand click pe bara de atentionare veti fi redirectionati spre site-ul: hxtp://www.girlshare.ro/82**61.3, iar mai nou http://dl.fisier.ro/files/dh5k**ngf335je/setup.exe.html. Odata rulat virusul creeaza mai multe fisiere: %System%\pxdr.exe (denumiri aleatorii din 4, 5 sau 6 caractere), %System%\YahooAuth2.dll, C:\WINDOWS\system32\libeay32.dll, C:\WINDOWS\system32\ssleay32.dll si de asemenea isi asigura rularea la fiecare pornire a Windows-ului.
In plus, trimite mass-uri prin Yahoo! messenger, mesajul fiind cel indicat la inceputul postarii.
Detectia sa este inca medie pe VirusTotal: 16 din 41 de programe antivirus. Virusul fura de asemenea si parola Yahoo! Messenger.
Pentru DEVIRUSARE urmati pasii de mai jos:
Devirusare AUTOMATA (Varianta III functioneaza doar pentru Windows 2000 si XP):
Varianta I:
Descarcati si instalati Malwarebytes Anti-Malware. Scanati PC-ul complet si stergeti la final infectiile gasite apasand Remove selected.
Varianta II:
Scanati PC-ul cu BitDefender online si stergeti infectiile gasite.
Varianta III:
1. Descarcati: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
2. Apoi, creeati un fisier nou de tip .txt cu Notepad si scrieti in el ce e mai jos in citat:
File::
C:\Windows\system32\yxpb.exe
C:\WINDOWS\system32\ssleay32.dll
C:\WINDOWS\system32\libeay32.dll
C:\Windows\system32\YahooAuth2.dll
3. Denumesti fisierul CFScript.txt apoi trage-l peste ComboFix.exe asa cum e aratat in poza de mai jos.
4. Apoi asigurati-va ca ati inchis toate programele care ruleaza (yahoo messenger, firefox, etc) si rulati ComboFix (e posibil sa porneasca automat dupa drag and drop). Va va intreba daca sa inceapa curatirea. Confirmati cu Yes de fiecare data. Nu-l opriti in timp ce scaneaza si dezinfecteaza sistemul. E posibil ca in timpul rularii lui desktop-ul sa dispara, dar nu va ingrijorati.
La final PC-ul va fi restartat.
Apoi schimbati-va parola contului Yahoo!
Devirusare MANUALA (pentru Windows 7, Windows Vista (x86 si x64) si Windows XP x64):
1. Deschideti My Computer, navigati in meniul Tools > Folder options (Windows XP) sau Organize > Folder and search options (Windows Vista si 7)
2. Bifati optiunea “Show hidden files and folders” si debifati optiunea “Hide extensions for known file types” (vezi poza de mai jos).
3. Deschideti Task Manager si dati End Task procesului yxpb.exe.
Cautati fisierele: C:\Windows\system32\yxpb.exe, C:\WINDOWS\system32\ssleay32.dll, C:\WINDOWS\system32\libeay32.dll, C:\Windows\system32\YahooAuth2.dll si stergeti-le manual.
Daca primiti o eroare in timpul stergerii, folositi programul Unlocker.
Schimbati-va la final parola Yahoo!
UPDATE 31.01.2010: Adaugarea noilor mesaje + actualizarea metodei pentru devirusare.
Loading ...
astazi am primit si eu un mess cu aceasta adresa,stiam ca e virus ,Norton oricum a blocat site-ul.
[...] este doar de a le folosi pentru spargerea conturilor bancare, casutelor de e-mail, etc. Ultimul virus care circula pe messenger si cu care v-am tinut la curent, face acest lucru de [...]
salut,
daca nu gasesc fisierele
C:\Windows\system32\yxpb.exe si
C:\Windows\system32\YahooAuth2.dll
inseamna ca sunt curat ?
nici in task nu le am gasit.
mersi
@mikee: Da, esti probabil curat. Inca o metoda de verificare este, daca trimiti sau nu mass-uri prin messenger.
Am Luat si eu Virusul Da NU Gasesc C:\Windows\system32\yxpb.exe
dar C:\Windows\system32\YahooAuth2.dll l-am gasit si sters sunt curat sau nu
@Ilie: Mai trimiti mass-uri prin yahoo! messenger?
Trimite-mi te rog prin e-mail un log HijackThis.
dak ai putea sa Imi Spui mai Pe Inteles Ca Nu prea le am cu astea
@Ilie: Ce anume nu ai inteles? Crearea log-ului este explicata clar. Da click aici: http://www.faravirusi.com/2008/10/16/hijackthis-log-instructiuni/
bine ca am apucat sa citesc acests articol…chiar azi dimineata am primit acel mesaj de la o persoana din lista de messenger…am dat click pe link si intr-adevar imi cerea sa instalez adobe shockwave ccea ce evident ca nu am facut…
[...] Mai multe detalii aici si aici. [...]
eu am gasitC:\Windows\system32\YahooAuth2.dll dar nu pot sa l sterg…ceva idei?
@paul: Fisierul yahooauth2.dll este inofensiv daca este singur. Trimite-mi un log HijackThis prin e-mail pentru a vedea daca mai ai virusul activ.
Radu am sters fisierul yahooauth2.dll si acum imi da erori ca nu il gaseste .. ce sa fac sa reinstalez Y!M ?????
@Ilie: Cand primesti eroarea respectiva?
Poti reinstala Yahoo! messenger.
massuri nu mai trimit din cate am vazut dar totusi sa fi scapat asa de usor?
Eroarea o primesc dupa ce deschid PC-ul si Cand e deschis cateodata
Si dupa ce imi apare eroarea dau OK si imi dispare Icoana din Task Bar 
da pot intra pe el daca dau pe Icoana de pe Desktop Y!M
Radu daca ma poti ajuta cu ceva TE ROG [-o< am Un prieten la care tot i dispar Foldere din PC nu ma poooti ajuta cu ceva ???????[-o<
@Ilie: Spune-i sa-mi trimita un log HijackThis pentru inceput. Ce antivirus foloseste ?
Buna! Am luat si eu virusul si incerc sa scap de el. Am postat logul meu HijackThis la postarea ta unde descrii cum se face. te rog ajuta-ma!
Radu mie tot imi apare eroarea aia si am reinstalat dinou Y!M uite aici un screen http://img246.imageshack.us/img246/3473/problemag.png Aceasta eroare mi-a aparut chiar cand am deschis PC-ul
@Ilie: Pai nu are nici o legatura cu Yahoo! messenger. Denumirea fisierului: jlwitys.exe este clar a unui virus. Du-te la Start > Run, scrie: msconfig si in noua fereastra aparuta cauta in tab-ul “Startup” orice intrare care are denumirea fisierului amintit. Debifeaza casuta din dreptul sau si restarteaza PC-ul.
Eu nu pot sa finalizez instalarea lui Combofix. imi spune ceva de genul “u can not renam comfix as combofix [1] ” cam asa ceva…
Ce sa fac?
@zorro: Ai probabil o versiune mai veche de combofix in aceeasi locatie.
Ceau,
Eu folosesc Ubuntu si am dat click fara sa ma uit la link,stupid me…in fine, nu am dat sa imi instaleze nici un adobe ci am inchis pagina ca mi-am dat seama ca e o prostie.nu vad sa trimita messul nimic,dar este vreo posibilitate sa se instaleze pe linux?
mersi
@Andra: Virusul nu actioneaza pe Linux. Don’t worry!
Mai multe detalii despre acest virus plus un utilitar de dezinfectie puteti gasi aici.
Numele virusului este random si din aceasta cauza unii dintre voi nu gasesc acel fisier.
Ar fi bun si un plugin de abonare la comentarii.
@Teofil: Script-ul tau sterge doar cele 3 .dll-uri, ceea ce face si metoda prezentata de mine. Nu sterge nimic generic.
@Radu: Analizeaza putin codul si vezi ca sterge modificarile din registri cu tot cu acel executabil.
se pare ca in fiecare zi apare cate un alt site
Am Eset Smart Security 4, cu update la zi. N-a blocat nimic. E asa de slab? A mai patit cineva acest lucru?
[...] “tu ti-ai facut profilu asta?” – Virus! Nu se poate spune ca este o idee foarte noua sau ca e ceva original, dar iata ca functioneaza. Astazi dimineata, dupa ce mi-am deschis pc-ul, primesc la interval de aproximativ 2 min, urmatorul mesaj de la doi dintre cei din lista mea de YM: tu ti-ai facut profilu asta? http://roamateursxx.freehostking.com/profile.php?user=ID. Nu obisnuiesc sa dau curs invitatiilor primite pe mess de a accesa diferite link-uri si se pare ca bine fac. Despre ce este vorba? Dand curs invitatiei vei accesa un site si iti vei infecta pc-ul si va trimite automat si catre cei din lista ta acelasi mesaj. Inca o dovada in plus ca sa NU ACCESATI tot ceea ce primiti pe YM! Detalii suplimentare despre acest virus si cum sa scapi de el: http://www.faravirusi.com [...]
Spuneti mi si mie un antivirus bun. Am nod32, dar am observat ca nu este prea eficient. Ms
@dragos: Avira, Avast!, Kaspersky sunt mai bune decat NOD32.
Ms. Dar din ce am inteles, niciun antivirus nu vede acesti virusi sau ce or fi.
@ radu: inca o intebare stupida poate dupa cate rasp. ai dat deja. virusul se instaleaza doar daca vrei sa descarci Adobe Shockwave, nu? doar accesarea linkului primit pe mess nu infecteaza calcu, asa-i?
@ana: Nu e stupida. E normal sa intrebi pentru a fi sigur.
Virusul nu se instaleaza la accesarea link-ului. Doar daca rulezi fisierul propus spre descarcare te vei infecta.
@radu: 10x a lot. si totusi, curiozitatea m-a facut sa ma uit in taskmanager si din greseala am dat cu ochii de alt exe, care, din cate am gasit pe net, incetineste mult calcu… paizhao.exe, de la ZSMCSNAP. cine stie cate nebunii mai ruleaza fara sa stiu eu, si eu ma enervez pe bietul calculator
@ana: Trimite-mi un log HijackThis prin e-mail si ma voi uita despre ce e vorba.
[...] This post was mentioned on Twitter by Radu, Richard Marius Ilie and Dragos, yo9fah. yo9fah said: RT: @faravirusi http://roamateursxx.freehostking.com/profile.php – Site infectat propagat prin Yahoo! Messenger:cine http://bit.ly/bpjBGv [...]
salut radu.am primit acest link si am facut prostia sa dau click, dar cand a fost sa descarc adobe nu mi l-a descarcat.si nicu nu cred ca a trimis la cineva din lista mea acest mesaj.nu sunt pe calc si nu cred ca are nici un antivirus, und em apot uita sa vad daca il gasesc sau nu?ms
@daniel: Daca nu ai descarcat asa-zisul adobe nu te-ai infectat. Stai linistit.
Poti sa-mi trimiti prin mail un log HijackThis pentru siguranta.
[...] Au primit azi o gramada mesajul ăsta printre care si eu. Am avut noroc ca inainte sa dau click pe link am dat search pe Google. Informații AICI [...]
Cel mai rapid a fost NORTON , el a fost primu care a stiut, din pacate KIS a fost in intarziere cu 2 zile
.
Inca virusi de astia n-am mai luat.Am facut cum ai scris acolo sper sa fi scapat de el.Ms pt tutorial:P
Am pus si eu cateva detalii aici, am analizat pe VirtualBox ieri.
http://rstcenter.com/forum/19709-inca-un-virus-yahoo.rst
Salut. Exista un program cu care pot afla parola de mess de pe calculatorul propriu? Stiu ca e funny, dar am uitat parola dupa ce am schimbat-o ieri:D Pot intra pt ca mi-a retinut-o, dar nu o mai stiu.
l-am scanat cu bitdefender si mi-a gasit un virus… il si sterge sau doar imi zice ca il am?
@ramona: Il sterge la final.
Radu, raspunde-mi si mie, te rog, daca stii vreun program. Nu-mi mai amintesc parola, dar o am salvata la mess. Ms
ca sa se instaleze acest virus trebuia sa downloadezi un setup.exe si sa il rulezi nu-i asa? eu am dat click pe acel link, am dat accept la chestia aia cu shockware dar apoi nu s-a mai intamplat nimic.. doar ma redirectiona pe alta pagina… probabil a fost o eroare de la IE (uneori e bine sa iti mai dea si erori browserul
)
am cautat acele fisiere, dar nu am gasit nimic in system32
am gasit in schimb pe astea doua C:Program FilesMirclibeay32.dll, C:Program FilesMircssleay32.dll
ele am vazut ca sunt utilizate de mirc, daca le sterg mai mult ca sigur nu o sa mai mearga mircul
am scanat cu bitdefender online (varianta II recomandata aici si nu am gasit nimic)
am i safe or not?
thanks
@Bubu: Poti sa-mi trimiti un log HijackThis pentru a fi siguri. In principiu esti curat, adica PC-ul tau este.
Vinovati mai sunt si providerii servicilor de hosting pentru ca nu au la fiecare fisier o optiune prin care se poate raporta continutul acelui fisier. Mai ales ca atunci cand vrei sa contactezi vreun adiminstrator al site-ului respectiv nu gasesti nici o adresa de contact.
@lulu bulu: Corect, iar cei care au o adresa de mail la Contact nu raspund de cele mai multe ori.
mi`am luat o tzeapa de zile mari…mi`a aparut pe desktop o iconitza de genu Install_NSS. e valabil k si la combofix.exe? ms
shockwave`ul l`am instalat dp macromedia….am sanse sa fiu infectat?
@adi: Daca nu ai rulat nimic de pe acest site nu te-ai infectat.
care zici ca ii ce mai buna varianta? eu am aplicat primele 2 cu bitdefender si Malwarebytes Anti-Malware
@vlad: Oricare din cele doua este buna.
Mai ai probleme acum?
din cate vad nu ! da daca mai am cum se mainifesta si cum observ?
dar vreau sa instalez din nou Y.M.! ce zici e ideee buna sau trebui sa imi schimb si parola cum am citit la alti?
Da, este indicata schimbarea parolei. Nu are rost reinstalarea yahoo! messenger.