virusi de calculator

[WebkinzVideos989]

am vazut de multe ori virusi pe messenger chiar de la persoane de incredere chiar de la mama mea si mi sa parut cam ciudat ca mama mea numi trimite mie mesaje de genul "intra pe siteul X" sau "uite ce tare e pe site-ul Y".Am intrebat pe cineva de ce am primit astfel de mesaje si mia spus ca multe link-uri sunt trimise de un virus pe yahoo care nu are nici un fel de efect daca, doar daca il intrebi inainte de al accesa daca site-ul este un virus (daca e online) Sau pursisimplu nu dai click chiar daca persoana e online si il intrebi la scoala cand e online etc....


Concluzie:
ATENTIE LA MESAJELE CU SITE-URI/LINK-URI DE DOWNLOAD ETC.....!!!!!!

[Alexa17]

eu niciodata cand primesc vreun e-mail dubios nu il deschid il sterg din calculator

[WebkinzVideos989]

si eu
noroc cu mama mea care primeste informatii despre cei mai noi virusi ca sa nui luam si o sa le postez aici normal daca ma lasa deea(parca asa o cheama pe administratora)

[Manzu]

stiu cum poti trimite virusi pe mess, apesi cltr+shift+r, cred si trimiti mesaje virusate la cel cu care vorbesti.... dar sa nu incercati asta, bine?

[Alexa17]

pai cred ca te lasa pt ca e important
daca ai vreun astfel de virus periculos(cum ar fi trojan sau altele) ti-ar putea afla si datele personale
da asa o cheama

[Alexa17]

stiu cum poti trimite virusi pe mess, apesi cltr+shift+r, cred si trimiti mesaje virusate la cel cu care vorbesti.... dar sa nu incercati asta, bine?

wow! nu as incerca asa ceva niciodata

[ClaudiaMissy]

eu cand primesc mailuri le deschid doar ca sa fac un cont sa trb sa il avtivezi sau desvhis daca e ceva important de scoala ca imi trimite doamna mea si colegii....dar cu restul le citesc doar titlul atat

[WebkinzVideos989]

stiu cum poti trimite virusi pe mess, apesi cltr+shift+r, cred si trimiti mesaje virusate la cel cu care vorbesti.... dar sa nu incercati asta, bine?

normal ca nu ca nu sunt nebun!!!!!si imi pot imagina cum se va simti cel care primeste virusul

[deea98]

stiu cum poti trimite virusi pe mess, apesi cltr+shift+r, cred si trimiti mesaje virusate la cel cu care vorbesti.... dar sa nu incercati asta, bine?

asta nu e virus
iti trimiti datele sa iti apara alt nume , nu id`ul de mess
asta il foloseam mai demult cand ma plictiseam de un nume

[Manzu]

ma rog, stiu ca am folosit ceva de genu asta, si cel cu care vorbeam a trebuit sa-si duca calcul la reparat din cauza virusului.....

[deea98]

ma rog, stiu ca am folosit ceva de genu asta, si cel cu care vorbeam a trebuit sa-si duca calcul la reparat din cauza virusului.....

era ceva de genu si ii trimiteai ceva si i se virusa calku ...dar sa scos smecheria

[WebkinzVideos989]

Nu dati click pe vreun link daca nu vreti sa va buliti calcul!!!!!
De cateva zile circula pe Yahoo! messenger un nou virus (denumit Palevo) care trimite cateva link-uri ca cele de mai jos, precedate de un text:


fotooo ha http://www.facebook-style.com/image.php?=pic346436.JPG=
hahaha footo http://tinyurl.com/38bj2cp – nume fisier: ano.exe si descarca hxtp://82.114.87.46/a2re.jpg
http://hit-img.com/image.php
hahaha footo http://www.toplmages.com/image.php
foto: http://msearch-lmages.com/image.php
foto: http://save.infos-blog.net/photos/pic08052010-jpg.scr
foto: http://jbillu.net/image/IMG08052010-JPG.scr
foto: http://space4lamges.com/image.php
foto: http://facrebook-img.net/photo.php
foto: http://lmg001.com/getimage.php
foto: http://spacelmagesfor.com/getimage.php
foto: http://www.flaceboolk-img.com/image.php
foto: http://forestphotos.net/getimage.php
foto: http://myspacee-img.com/getimage.php
foto: http://fotolmg.com/getimage.php
foto: http://easyuploadphoto.com/getimage.php
foto: http://emoticlmages.com/getimage.php
foto: http://onlinelmages.com/getimage.php
foto: http://lmages4vip.com/image.php
foto: http://lmages1.com/image.php
foto: http://205.234.171.116/suspended.page/IMAGE-www.facebook.com-0412478-JPG.exe
foto: http://moourl.com/0r0xm
foto: http://flacksbooks.com/image.php
foto: http://qwx.si/a7t
foto: http://cubaslmages.com/image.php
foto: http://i.phatobuckats.com/image.php
foto: http://drm-lmages.com/image.php
foto: http://urlmages.com/image.php
foto: http://ficasebokse.com/image.php
foto: http://photos4vpspace.com/image.php
foto: http://bflmages.com/image.php
foto: http://dlmages.com/image.php
foto: http://space4l.com/image.php
foto: http://imsn-lmages.com/image.php
foto: http://space4foto.com/image.php
foto: http://phlmages.com/image.php
foto: http://viplmages.com/image.php
foto: http://discophotos.net/image.php
foto: http://fotolucky.net/image.php
foto: http://walletimages.com/image.php
foto: http://privfotos.com/image.php
foto: http://photo4urspace.com/image.php
foto: http://lmagesspot.com/image.php
foto: http://keralawebhosting.biz/image.php
foto: http://memorylmages.com/image.php
foto: http://mbi-photos.com/image.php
foto: http://wallerimages.com/image.php
foto: http://foto-spaces.com/image.php
foto: http://joblin.co.nz/image.php
foto: http://margaretiamges.com/image.php
foto: http://beautyphotoson.com/image.php
foto: http://photos-fb.com/image.php
foto: http://facebook-lmg.com/image.php
foto: http://lmagesbucket.com/image.php
foto http://facebook-lmages.com/image.php
foto: http://facebook-imb.com/image.php
foto: http://lmb-space.com/image.php
foto: http://myspace-imb.biz/image.php
foto: http://lmages-space.com/image.php
foto: http://yungimages.net/image.php
foto: http://mimapic.com/image.php
foto: http://post-photos.com/image.php
foto: http://limpskr.com/image.php
foto: http://kompnk.com/image.php
foto: http://yunphotos.net/image.php
foto: http://domeimg.com/image.php
foto: http://vertiphotos.com/image.php
foto: http://twittersphoto.com/image.php
foto: http://myphotoarchives.net/image.php
foto: http://mycomimg.com/image.php
foto: http://funwiththisguy.com/image.php
foto: http://red-myspace.com/image.php
foto: http://ariafotos.com/image.php
foto: http://zhelefun.com/image.php
foto: http://tviceimg.com/image.php
foto: http://tuesimages.com/image.php
foto: http://ceceliaimg.com/image.php

Odata accesat acest link primit pe messenger de la un contact din lista, vi se va oferi spre descarcare un fisier cu o denumire asemanatoare cu cea de mai jos:

IM56245.JPG-www.myspace.com.exe

Cei mai multi nu vor vedea extensia de la final .exe, deoarece Windows-ul vine setat by default sa nu afiseze extensia unui fisier. (Mare greseala dupa parerea mea)


Pentru a nu lungi vorba, iata cum puteti scapa de acest intrus:

Metoda 1: Descarcati Malwarebytes Anti-Malware.
Instalati-l si la sfarsit asigurati-va ca ati bifat urmatoarele: Update Malwarebytes’ Anti-Malware si Launch Malwarebytes’ Anti-Malware. Apoi apasati Finish
Dupa lansarea programului, selectati Perform quick scan (sau Full scan, dar dureaza mult mai mult) si apoi apasati pe Scan.
Dupa ce termina apasati OK si apoi Show Results. Asigurati-va ca e totul bifat si apoi apasati Remove Selected.
La final va solicita restartarea PC-ului.

Metoda 2: Descarcati Kaspersky Removal Tool si scanati partitia C:\ cu el, stergand infectiile gasite.

Metoda 3:
Descarcati ComboFix si salvati-l pe Desktop.
Apoi asigurati-va ca ati inchis toate programele care ruleaza (Yahoo Messenger, MozilaFirefox, etc) si rulati ComboFix. Va va intreba daca sa inceapa sa curete sistemul. Confirmati cu Yes de fiecare data. Nu-l opriti in timp ce scaneaza si dezinfecteaza sistemul. E posibil ca in timpul rularii lui desktop-ul sa dispara, dar nu va ingrijorati.
La sfarsit va afisa rezultatele scanarii. Salvati acel fisier si trimiteti-mi continutul prin e-mail.

Metoda 4: Faceti un log HijackThis, trimiteti-mi-l prin e-mail si va voi da solutia manuala de dezinfectie, adaptata fiecarui utilizator in parte.
Este nevoie uneori si de aceasta solutie, fiindca virusul creeaza denumiri aleatorii ale fisierelor.

Pentru cei interesati de mai multe detalii, virusul creeaza urmatoarele fisiere:
%Windir%\infocard.exe (acesta va fi si procesul activ; sunt folosite si alte denumiri, cum ar fi net.exe sau net1.exe)
%Windir%\mds.sys
%Windir%\mdt.sys
%Windir%\winbrd.jpg

De asemenea urmatoarele chei registry ii apartin:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = "%Windir%\infocard.exe"]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = "%Windir%\infocard.exe"]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = "%Windir%\infocard.exe"]

Prin aceste intrari in registry-ul Windows, virusul isi asigura rularea la fiecare pornire a computer-ului.

[WebkinzVideos989]

Iata ca situatia devine tragi-comica. Apar virusi ce trimit mesaje prin yahoo! messenger (in numar mare ultimele 3 saptamani), iar acum… cireasa de pe tort: utilitare false care pretind ca ar devirusa un computer afectat de acesti virusi.

Bat pariu ca atat virusul cat ai “utilitarul” sunt create de aceeasi persoana, dar nu avem dovezi, asa ca… mai asteptam declaratiile oficiale.
Utilitarul este de asemenea un virus, de tip Trojan.Downloader.
Detectia lui la 3-4 zile dupa aparitie era de 19/41 conform VirusTotal.com. Detectia actuala este: 22/41 conform VirusTotal.com

Odata rulat trimite mesaje tuturor contactelor din lista de prieteni (prin Yahoo! messenger):

intra aici hxxp://www.dr-malware.ro/ instaleaza programu ala ca imi dai tot timpu niste massuri ciudate

Asta este o intruchipare perfecta a proverbului romanesc: “Hotul striga: Hotii !”. Daca ai nefericita idee de a accesa link-ul primit, te va intampina o pagina cu mesajul:

Un nou virus autohton infecteaza computerele pe care este instalat Yahoo Messenger
Avira a semnalat prezenta unui nou virus autohton care infecteaza computerele pe care este instalat programul de Instant messaging de la Yahoo acest virus se transmite atat cat in mesaje spam IM cat si e-mail precum pe stickuri de memorie

Dezinfectarea dureaza doar 2 minute si o puteti descarca gratuit aici.




Avira avertizeaza, dar culmea: ni se sugereaza dezinfectia cu un utilitar minune. Nu era mai logica instalarea Avira ?
Pe de alta parte, site-ul incearca sa copieze website-ul francez: dr-malware.com al carui footer l-au si copiat fara sa se gandeasca prea mult.

[WebkinzVideos989]

Expertii Kaspersky Lab Romania atrag atentia utilizatorilor de programe IM (instant messaging) referitor la perfectionarea atacurilor informatice prin intermediul acestor canale de comunicare. Trojan-IM.Win32.Agent.ae este un cal troian care simuleaza dialogul cu o persoana existenta in lista de Messenger a utilizatorului infectat, indemnandu-l sa acceseze un anumit link (vezi poza de mai jos).



Website-ul indicat in link-ul primit directioneaza utilizatorul catre un blog aparent onest – romanisme2009.blogspot.com (vezi poza de mai jos), nu catre un fisier executabil, care ar putea fi suspectat ca fiind malware. Odata ajuns pe blog-ul respectiv, vizitatorul este rugat sa descarce un „codec” sau „plug-in” special pentru a vedea continutul video publicat pe acel site. Bineinteles, fisierul descarcat nu este altceva decat un virus.

Mesajul trimis este:

o cunosti? hxxp://romanisme2009.blogspot.com/



„Acesta este un exemplu al unei adevarate strategii de inginerie sociala”, spune Stefan Tanase, Senior Researcher Kaspersky Lab. „Mesajele vin de la unul dintre prietenii pe care ii avem in lista de Messenger, pe linii de text diferite, imitand perfect o conversatie reala. Majoritatea dintre noi avem incredere in persoanele cu care interactionam zilnic online, de aceea nu le suspectam ca ar putea avea intentii malitioase. Astfel se explica si numarul mare de accesari ale link-ului respectiv, si cele peste 10.000 de download-uri ale falsului codec in mai putin de 24 de ore, conform statisticilor de pe www.fisier.ro”, completeaza Tanase.




Kaspersky Lab a adaugat in baza de date cu semnaturi detectia pentru Trojan-IM.Win32.Agent.ae, a blocat adresele URL ale blog-urilor respective, a notificat www.blogspot.com si www.fisier.ro despre atacuri, iar in momentul de fata niciun website utilizat de infractorii cibernetici nu mai este functional.

Pana la momentul actual, atacurile informatice prin Yahoo! Messenger utilizau numai fraze in limbi straine, redactate pe o singura linie text. Însa, aceasta metoda nu s-a dovedit a fi la fel de eficienta ca cea identificata acum, deoarece utilizatorii ignorau majoritatea mesajelor primite. Mai multe detalii despre aceste atacuri gasiti in articolul scris de Stefan Tanase, la adresa http://www.kaspersky.ro/blog/troianul_care_vorbeste_pe_yahoo_messenger_in_romana.

[WebkinzVideos989]

Va anuntam ieri despre troianul care “vorbeste” romaneste si trimite mesaje cu link spre un blog infectat.

Daca primul site fusese sters de catre blogspot.com, a fost lansat un altul: o-lume-nebuna-de-tot, hostat de acelasi site de blogging.

Blog-ul contine aparent un clip intitulat “Se intampla in romania zilelor noastre“. Pentru vizionarea lui aveti nevoie (spun ei) de DivX Web Player, un codec perfect legitim si cunoscut, insa… aici intervine CONTRAFACEREA: link-ul de download pentru acesta este unul fals si fisierul descarcat este un virus.

Pana la ora actuala site-ul girlshare.ro (care-l hosteaza) afisa peste 11.000 de descarcari.



Troianul, odata rulat, va trimite mesajul urmator:

o cunosti? hxxp://o-lume-nebuna-de-tot.blogspot.com
cand esti sa intrii sa imi zici daca o sti
sa intrii sa imi zici ce parere ai ca sigur recunosti personaju

Interesant ca detectia lui este foarte mare si in principiu orice utilizator ar trebui sa fie protejat.



NU accesati niciodata site-urile trimise de prieteni fara a-i intreba daca mesajul este trimis cu adevarat de acesta.
De asemenea, NU descarcati niciodata codec-uri sau alte fisiere nesolicitate sau care sunt gazduite de un site de file sharing !

Pentru DEVIRUSARE puteti folosi antivirusul instalat si actualizat, sau Kaspersky Removal Tool.

UPDATE 29.11.2009: Fisierul este acum urcat pe filehost.ro sub denumirea filehost_et2.exe cu peste 18000 descarcari.

[WebkinzVideos989]

Celebrul virus antimanele: Win32\Antiman (Spoofer.Win32.DNS.b sau TR/Agent.242688.1) revine.
Desi a fost detectat pentru prima data in iunie 2008, se pare ca inca multi producatori nu-l au in baza de date. Virusul este unul cu specific romanesc care se manifesta astfel:

1. In folder-ul c:\Documents and Settings\Adminstrator\ este prezent fisierul: User-Console.exe si de asmenea valoarea HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
C:\Documents and Settings\Administrator\User-Console.exe in Registry.
2. Se lanseaza la fiecare pornirea a calculatorului si cauta in Pc-ul victimei “manele” pe care le va sterge. Printre cuvintele cautate sunt: adicopil, adiminune, adriancopil, neakalu, nelupeste, nicupaleru, nynobeto, paranghelya, petricacercel etc
3. Modifica fisierul hosts pentru a bloca accesul la site-uri ce pot contine asemenea melodii:

127.0.0.1 hi5.com
127.0.0.1 images.hi5.com
127.0.0.1 static.hi5.com
127.0.0.1 picshi5.com
127.0.0.1 photos1.hi5.com
127.0.0.1 photos.hi5.com
127.0.0.1 api.hi5.com
127.0.0.1 www.images.hi5.com
127.0.0.1 www.static.hi5.com
127.0.0.1 www.pics.hi5.com
127.0.0.1 www.photos1.hi5.com
127.0.0.1 www.photos.hi5.cm
127.0.0.1 www.api.hi5.com
127.0.0.1 www.a.hi5modules.com
127.0.0.1 a.hi5modules.com
127.0.0.1 www.ro.netlog.om
127.0.0.1 ro.netlog.com
127.0.0.1 www.en.netlog.com
127.0.0.1 en.netlog.com
127.0.0.1 www.fr.netlog.com
127.0.0.1 fr.netlog.com
127.0.0.1 ingeri.ro
127.0.0.1 www.ingeri.ro
127.0.0.1 e-dragoste.ro
etc

4. Se raspandeste prin Yahoo! Messenger trimitand urmatoarele mesaje:

e misto programul, pt poze… e prea tare ;
e pentru winamp, foarte tare programul;
foarte fain prog… pentru poze; chiar tare programul… pt winamp;
super fain programul, e pentru imagini;
incearca-l, e misto programul… pt muzica;
programu asta e PREA TARE… e pentru poze;

urmat de

revin… brb ; brb… revin; tre sa plec… revin imediat ;
brb… revin ; revin imediat…

dupa care se trimite fisierul infectat ce poate avea denumiri diferite.



Detectia lui este de doar 19/40 de antivirusi prezenti pe virustotal.com: http://www.virustotal.com/analisis/5466ac699abf919f9936034fca6ab894
Dr. Web, McAfee, Panda, Symantec, TrendMicro NU detecteaza inca acest virus.

Dezinfectie: Stergeti manual fisierul si cheia registry infectata (punctul 1) si folositi HostsExpert pentru a curata fisierul hosts.
Daca antivirusul il detecteaza o scanare cu acesta si o restabilirea a fisierului hosts este de asemenea o metoda, chiar mai simpla.

[Alexa17]

am o intrebare:
daca primesc vreun astfel de mesaj cu virus,nu il deschid dar il sterg din calculator mai am vreo problema?

[WebkinzVideos989]

Acesta este noul mesaj si domeniu care se raspandeste prin Yahoo! Messenger de curand, iar daca l-am publicat aici ati ghicit despre ce este vorba: DIN NOU VIRUS ! (sau poate nu?!)
Este noua varianta a virusului descris aici. Domeniul anterior a fost inchis, asa ca… s-a creat altul.

Mai precis, la accesare acelui site, utilizatorului i se propune descarcarea “Shockwave Player” pentru afisarea completa a continutului paginii:

“Aceasta pagina nu se poate afisa deoarece nu aveti instalata ultima versiune de Macromedia Shockwave player.“

Titlul paginii este destul de provocator, in orice caz: “Profilul tau ...(aici era un cuvant urat)”.
Daca pana acum erau folosite codec-uri false sau kit-uri de instalare false pentru Adobe Flash Player, hackerii s-au orientat spre mai putin folositul Adobe Shockwave Player.




Dand click pe bara de atentionare veti fi redirectionati spre site-ul:

hxtp://www.filehost.ro/74**22/shockwave_exe/
Fisierul descarcat de acolo este … veti spune: “virus”. Ei bine nu, este doar o pacaleala. Fisierul este un kit vechi de BS Player perfect curat, iar manevra aceasta este identica cu ce s-a intamplat mai demult cu site-urile si virusii de pe blogspot.com.



Detalii aici.

Asta ma face sa cred ca cel care a creat virusii este una si aceeasi persoana.
Speram ca “Experimentul” sau s-a incheiat aici, dar mi-e teama sa nu apara si alte site-uri care distribuie malware-ul.

ATENTIE! Este posibil ca in cursul zilei de azi sau maine, site-ul sa distribuie virusi, chiar daca acum este doar o farsa. Asa ca nu-l accesati si nici nu descarcati nimic de acolo.

[WebkinzVideos989]

am o intrebare:
daca primesc vreun astfel de mesaj cu virus,nu il deschid dar il sterg din calculator mai am vreo problema?

nu dar decat va tin la curent cu ultimele tactiti ale hackerilor pentru a infecta calculatoarele

[Alexa17]

wow..multumesc de raspuns ma speriasem mai ales ca eu nu prea ma pricep la calculatoare
multumim ca ne tii la curent cu noii virusi

[WebkinzVideos989]

eu am 12 ani si stiu multe ca unul de 31, poate chiar mai mult (nu te supara deea admin)
si imi place sa ajut oameni asa ca va tin la curent si nu uitati sa intrati zilnic la subiectul meu ca zilnic voi pune cate unul macar despre virusi

[WebkinzVideos989]

Acum cateva zile am fost atentionat asupra unui nou virus propagat prin Yahoo! Messenger. Acesta trimite mesaje tuturor contactelor din lista, mesaj in limba spaniola (or fi de la fratii nostrii plecati la munca ).
Urma un link spre o arhiva ce continea un virus de tip Trojan.Buzus.

Acesta este conceput pentru a fura datele personale, incluzand parole, conturi bancare, etc.
Creeaza aleator fisiere cu denumirile: iexplorer7.exe, w7services.exe, winupdater09.exe, Hotfix-KB5504305, pwrmgr.exe, ncsjapi32.exe, rundll94.exe, rs32net.exe, de obicei localizate in %SYSTEMROOT%\System32\

Mesajele trimise erau urmatoarele:

Mira la foto nueva!! vela antes de que la suba.
hx tp://demostrar.mejorphotos.info:86/resultado/1480/IMAGEN042.JPG.zip

DIOS MIO! no puedo creer que tuviste sexo con los tres!!!
ht xp://demostrar.mejorphotos.info:86/resultado/1480/IMAGEN042.JPG.zip

crees que pudiera tener sexo con ellos el fin de semana pasado?
htx p://descargar.mejorphotos.info:86/resultado/1283/IMAGEN0035.JPEG.zip

In momentul aparitiei (10.11.2009) detectia era urmatoarea:
tp://www.virustotal.com/analisis/df580464f8904be4cf2d5cfc396d852de535c95fbbc781ead7b182acbbf310da-1257885205



Momentan link-urile sunt inactive, dar este posibil sa fie reactivate si functionale.
Ceea ce am spus si alta date e valabil si acum: NU accesati link-urile primite pe Yahoo! messenger decat daca aveti confirmarea ca sunt trimite de persoana de la care par sa provina.
Fiti suspiciosi cand mesajul trimis nu este in romana, ci in engleza, spaniola, franceza, etc.

[Manzu]

nu prea ma intereseaza virusii, dar am luat de pe net un program cu care mi-am facut vreo 234557 de bani pe club penguin.... si nu mint!!!! am fost fan club penguin si inca mai sunt... am avut abonament dinala smecher

[WebkinzVideos989]

Da, ati citit bine: Michael Jackson nu a murit, insa nu este vorba despre cantaret, ci despre virusul care-i poarta numele si care inca incearca sa infecteze curiosii si amatorii de senzational.

Conform blog-ului F-Secure, ultima varianta se propaga sub forma atasamentului cu numele MichaelJackson.jpg.exe. Tehnica extensiei duble este veche. Fisierul are denumirea + o extensie a unui tip de fisier cunoscut: .jpeg (poza), .doc, etc.

Cum majoritatea utilizatorilor nu au activata optiunea de a vedea extensia fisierelor, nu vor observa a doua extensie care este si cea reala. Aceasta este de cele mai multe ori .exe sau .com, ambele reprezentand fisiere executabile.
De data aceasta virusul, desi este executabil, afiseaza totusi si o poza, dupa cum era extensia falsa, pentru ca utilizatorul sa nu banuiasca farsa. Interesanta tactica!

Odata deschis, executabilul copiaza un bot de tip Mirc si afiseaza imaginea de mai jos:



Dupa aceasta, virusul se conecteaza la un server IRC in Germania numit corina.ath.cx si va primi comenzi de la canalul #bran.

[WebkinzVideos989]

nu prea ma intereseaza virusii, dar am luat de pe net un program cu care mi-am facut vreo 234557 de bani pe club penguin.... si nu mint!!!! am fost fan club penguin si inca mai sunt... am avut abonament dinala smecher

eu am 100000000 ca am avut versiunea 9.1 la penguin storm nu??
P.S. Si eu am fost dar mama nu ma facut membru din aceeasi cauza din care nu ma face nici pe webkinz

[WebkinzVideos989]

nu prea ma intereseaza virusii, dar am luat de pe net un program cu care mi-am facut vreo 234557 de bani pe club penguin.... si nu mint!!!! am fost fan club penguin si inca mai sunt... am avut abonament dinala smecher

daca vrei sa te pacaleasca bine ca virusii astia noi de 1 saptamana/1 luna actioneaze cand acel id de la care primesti acel link sau program de la o persoana care este conectata si cand iti vine mesajul el nu poate raspund ci iti raspunde zirusul dupa 20 secunde ca sa fie sigur ca ai intrat.
Daca manzu zice ca nu e nevoie nu mai scriu ca in plus eu vroiam sa va ajut si imi luam din timpul de webkinz.
"TOPIC CLOSED"

[Manzu]

pai strangeti banii necesari si convinge-o pe mama ta sa-ti faca inca un card pe care vei pune doar suma de banii necesari. adica vrei abonamentul deluxe de o luna, pui doar 2 dolari, cat costa. daca vrei pe 3 luni pui doar cat costa el etc... astfel cei de la ganz nu vor lua mai mult.. nu inchide topicul!!!! si oricum, eu nu intru pe mess

[WebkinzVideos989]

pai strangeti banii necesari si convinge-o pe mama ta sa-ti faca inca un card pe care vei pune doar suma de banii necesari. adica vrei abonamentul deluxe de o luna, pui doar 2 dolari, cat costa. daca vrei pe 3 luni pui doar cat costa el etc... astfel cei de la ganz nu vor lua mai mult.. nu inchide topicul!!!! si oricum, eu nu intru pe mess

daca nu stiai eu nu pot inchide topicul dar nu voi mai posta mesaje decat cu virusi puternici si nu personal pentru tine

[Manzu]

ok :albino:

[Webkinz Romania]

ganz nu ia mai multi bani de pe card

[WebkinzVideos989]

ganz nu ia mai multi bani de pe card

mama nu va crede , dar eu stiu ca voi nu mintiti

[Webkinz Romania]

ii poti spune sa ne contacteze daca vrea mai multe detalii

[WebkinzVideos989]

ii poti spune sa ne contacteze daca vrea mai multe detalii

timitemi si mie numarul de telefon pe privat
OFF:Cred ca ne-am cam abatut de la subiect

[Webkinz Romania]

scrie aici: http://webkinzromania.blogspot.com/search/label/contact

[WebkinzVideos989]

ok

[WebkinzVideos989]

nu am mai primit mesaje pe e-mail de virusi in ultimul timp si ma bucurasem pentru o secunda dar un ghinion
nu cred ca vam spus asa ceva:
De mult timp, virusii “inventati” de straini foloseau tehnica “codec-ului fals”. Intrai pe un site care continea niste clipuri video si ti se cerea descarcarea unui nou codec pentru a putea urmari respectivul clip. Codec-ul nu era altceva decat un virus.

Astazi am vazut poate primul virus romanesc ce foloseste aceeasi tehnica. Am primit doua mesaje prin Yahoo! messenger ce suna cam asa:

Ia uite ce face prietena ta http://www.video****.haos.ro/

Ocunosti pe fata din clip? http://video***1.jos.ro/

Ajuns acolo ti se cerea descarcarea Kilfos Codec (la o asemenea denumire sper ca nu au cazut foarte multi in plasa)
Kilfos codec

Urmand link-ul indicat pentru descarcare, ajungeai pe site-ul filehost.ro de unde trebuia sa descarci si sa instalezi klitsetup.exe. Fisierul a fost adaugat ieri, pe 13.07.2009 si a fost descarcat deja de peste 1300 de persoane.
Odata rulat acesta incearca sa descarce alte fisiere de pe internet, porneste de fiecare data cand porneste PC-ul ruland din locatia C:\windows\nvcsvc32.exe. Trimite mesaje catre contactele din lista de Yahoo! messenger si foarte probabil sa fure si parola contului de messenger (datorita faptului ca persoana care a trimis mesajul era permanent deconectata).

Din pacate detectia lui este foarte slaba: doar 7 din 42 de antivirusi prezenti pe virustotal.com. AVIRA protejeaza din nou utilizatorii impotriva ultimelor amenintari gratie motorului euristic performant. Restul de 6 produse ce-l detecteaza le gasiti in poza atasata mai jos:

Pentru dezinfectie folositi Dr. Web CureIT, scanand si stergand infectiile gasite. De asemenea schimbati-va parola contului Yahoo! dupa stergerea virusului.

[WebkinzVideos989]

Ghost Antivirus este un program anti-spyware de tip rogue. Este promovat prin intermediul unor Troieni care pretind sa fie codec-uri video sau actualizari flash absolut necesare pentru a urmari continutul online.

Programul va afisa numeroase alerte false si va efectua scanari ale PC-ului detectand in mod eronat sute de infectii.

Toate acestea au scopul de a induce in eroare utilizatorul, cu scopul de a achizitiona acest program. Fisierele detectate sunt fie inexistente, fie curate, iar alertele nu trebuie luate in considerare.

SysProtector


Programul foloseste diverse tehnici pentru a fi foarte dificil de indepartat. Mai intai, dezactiveaza Task Manager, pentru a nu putea termina procesul asociat acestui program. Apoi instaleaza un alt virus, al carui nume este de forma onin.exe, cum ar fi spre exemplu atforonin.exe, fiind creat in diferite parti ale folderului Windows. Alaturi de procesul GhostAV.exe, va opri orice soft de securitate ce ruleaza si de asemenea va restarta permanent Explorer.exe ducand la imposibilitatea accesari programelor de pe Desktop sau a altora foldere din My Computer.

Programul creeaza urmatoarele fisiere\foldere:

* c:\Program Files\Ghost Antivirus\
* c:\Program Files\Ghost Antivirus\GhostAV.exe
* c:\Program Files\Ghost Antivirus\register.ico
* c:\Program Files\Ghost Antivirus\unins000.dat
* c:\Program Files\Ghost Antivirus\uninst.ico
* c:\Program Files\Ghost Antivirus\web.ico
* c:\Program Files\Ghost Antivirus\working.log
* c:\Program Files\Ghost Antivirus\Languages\
* c:\Program Files\Ghost Antivirus\lib\
* c:\Program Files\Ghost Antivirus\lib\ghost.sql
* c:\Program Files\Ghost Antivirus\lib\Infected.wav
* c:\Program Files\Ghost Antivirus\lib\listing.cfg
* c:\Program Files\Ghost Antivirus\lib\version.db
* c:\Program Files\Ghost Antivirus\lib\WMILib.dll
* c:\WINDOWS\system32\.dll
* c:\WINDOWS\system32\.dll
* c:\Documents and Settings\All Users\Desktop\Ghost Antivirus.lnk
* c:\Documents and Settings\All Users\Start Menu\Programs\Ghost Antivirus\
* c:\Documents and Settings\All Users\Start Menu\Programs\Ghost Antivirus\Ghost Antivirus Home Page.lnk
* c:\Documents and Settings\All Users\Start Menu\Programs\Ghost Antivirus\Ghost Antivirus.lnk
* c:\Documents and Settings\All Users\Start Menu\Programs\Ghost Antivirus\Purchase License.lnk
* %UserProfile%\Application Data\Ghost Antivirus\
* %UserProfile%\Application Data\Ghost Antivirus\settings.ini
* %UserProfile%\Application Data\Ghost Antivirus\uill.ini
* %UserProfile%\Application Data\Ghost Antivirus\unins000.exe
* %UserProfile%\Application Data\Ghost Antivirus\Uninstall Ghost Antivirus.lnk
* %UserProfile%\Application Data\Ghost Antivirus\lib\
* %UserProfile%\Application Data\Ghost Antivirus\lib\links.txt
* %UserProfile%\Application Data\Ghost Antivirus\lib\properties
* %UserProfile%\Application Data\Ghost Antivirus\lib\times.conf
* %UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Ghost Antivirus.lnk
* %UserProfile%\Local Settings\Application Data\Microsoft\Internet Explorer\iGSh.png
* %UserProfile%\Local Settings\Application Data\Microsoft\Internet Explorer\iMSh.png
* %UserProfile%\Local Settings\Application Data\Microsoft\Internet Explorer\iPSh.png
* %UserProfile%\Local Settings\Application Data\Microsoft\Windows\pguard.ini
* %UserProfile%\Local Settings\Application Data\Microsoft\Windows\services.exe
* \onin.exe



Ii sunt asociate cheile registry:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ghost Antivirus_is1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
HKEY_CURRENT_USER\Software\Microsoft\FTP “SearchDir” = “c:\program files\Ghost Antivirus\”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run “onin”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “Ghost Antivirus”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce “3P_UDEC”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent “URIAPRO[1.1.3.9]”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe “Debugger” = “?”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe “RealDebugger” = “?”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon “RealLogonType” = “1″

Log-ul HijackThis va afisa intrarea:

O4 – HKCU\..\Run: [Ghost Antivirus] “C:\program files\Ghost Antivirus\GhostAV.exe” /s
O4 – HKCU\..\Policies\Explorer\Run: [onin] “onin] “\onin.exe”

DEVIRUSARE:

1. Porniti PC-ul in Safe Mode with Networking. Pentru aceasta restartati PC-ul si apasati tasta F8 de mai multe ori inainte de incarcarea Windows-ului pana obtineti ecranul de mai jos.
Dupa alegerea modului mentionat apasati tasta Enter si asteptati incarcarea completa a Windowsului.

safe mode

2. Descarcati si instalati Malwarebytes Anti-Malware. Scanati PC-ul complet (Full scan) si stergeti la final infectiile gasite apasand Remove selected.

Daca ai reusit sa cureti aceasta infectie, iti recomand sa cumperi versiunea PRO a Malwarebytes Anti-Malware pentru a te proteja si pe viitor de astfel de amenintari, avand in vedere ca nu au fost detectate\eliminate de antivirusul tau actual.

[WebkinzVideos989]

Cutremurul din Haiti a adus trafic nesperat pe multe site-uri si tragedia care a lovit arhipelagul american a indoliat multe familii.

Din pacate, “baietii rai” nu au scrupule si rezultatele Google sunt “otravite” cu multe site-uri false ce redirectioneaza spre produse antivirus de tip rogue.
Cel mai promovat este Live PC Care a carui descriere si devirusare o voi prezenta mai jos:

Live PC Care este un program anti-spyware de tip rogue. Este promovat prin intermediul unor Troieni care pretind sa fie codec-uri video sau actualizari flash absolut necesare pentru a urmari continutul online.
Programul va afisa numeroase alerte false si va efectua scanari ale PC-ului detectand in mod eronat sute de infectii, fisierele respective fiind create chiar de Live PC Care.

Toate acestea au scopul de a induce in eroare utilizatorul, cu scopul de a achizitiona acest program. Fisierele detectate sunt fie inexistente, fie curate, iar alertele nu trebuie luate in considerare.

Pentru a scapa de acest nepoftit cititi detaliile de mai jos:

Programul creeaza urmatoarele fisiere\foldere:

* c:\Documents and Settings\All Users\Application Data\117fc
* c:\Documents and Settings\All Users\Application Data\117fc\LP339.exe
* c:\Documents and Settings\All Users\Application Data\117fc\LPCG.ico
* c:\Documents and Settings\All Users\Application Data\117fc\8233.mof
* c:\Documents and Settings\All Users\Application Data\117fc\mozcrt19.dll
* c:\Documents and Settings\All Users\Application Data\117fc\sqlite3.dll
* c:\Documents and Settings\All Users\Application Data\117fc\LPCGSys\vd952342.bd
* c:\Documents and Settings\All Users\Application Data\LPCGSys
* c:\Documents and Settings\All Users\Application Data\LPCGSys\lpcg.cfg
* %UserProfile%\Application Data\Live PC Care
* %UserProfile%\Application Data\Live PC Care\cookies.sqlite
* %UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Live PC Care.lnk
* %UserProfile%\Desktop\Live PC Care.lnk
* %UserProfile%\Recent\cb.drv
* %UserProfile%\Recent\CLSV.sys
* %UserProfile%\Recent\DBOLE.exe
* %UserProfile%\Recent\DBOLE.sys
* %UserProfile%\Recent\exec.dll
* %UserProfile%\Recent\fan.exe
* %UserProfile%\Recent\FW.dll
* %UserProfile%\Recent\hymt.drv
* %UserProfile%\Recent\kernel32.drv
* %UserProfile%\Recent\PE.tmp
* %UserProfile%\Recent\ppal.dll
* %UserProfile%\Recent\ppal.sys
* %UserProfile%\Recent\runddl.dll
* %UserProfile%\Recent\SM.dll
* %UserProfile%\Start Menu\Live PC Care.lnk
* %UserProfile%\Start Menu\Programs\Live PC Care.lnk
* c:\Program Files\Mozilla Firefox\searchplugins\search.xml


Ii sunt asociate cheile registry:

HKEY_CURRENT_USER\Software\3
HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}
HKEY_CLASSES_ROOT\xp_5ea56.DocHostUIHandler
HKEY_CURRENT_USER\Software\Classes\Software\Microsoft\Internet Explorer\SearchScopes “URL” = “http://search-gala.com/?&uid=7&q={searchTerms}”
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download “RunInvalidSignatures” = “1″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform “[xSP_2:117fc3395e69e29f71abba93a68c4181_7]”
HKEY_CLASSES_ROOT\Software\Microsoft\Internet Explorer\SearchScopes “URL” = “http://search-gala.com/?&uid=7&q={searchTerms}”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “Live PC Care”
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download “CheckExeSignatures” = “no”

In log-ul HijackThis apar urmatoarele intrari:

O4 – HKLM\..\Run: [Live PC Care] “C:\Documents and Settings\All Users\Application Data\117fc\LP339.exe” /s /d


DEVIRUSARE:

1. Descarcati si instalati Malwarebytes Anti-Malware. Scanati PC-ul complet si stergeti la final infectiile gasite apasand Remove selected.

[andrei ss]

ati auzit ca cei de la compania APPLE dau 1 milion de dolari omului care reuseste sa viruseze mac-ul?

[Manzu]

da??? doamne ce dusii.... daca virusesi un calculator si te prinde politia, inchisoare scrie pe tine. iar un milion de dolari+ 16 ani de inchisoare sau chiar mai mult

[Alexa17]

da??? doamne ce dusii.... daca virusesi un calculator si te prinde politia, inchisoare scrie pe tine. iar un milion de dolari+ 16 ani de inchisoare sau chiar mai mult

poate si pe viata

[WebkinzVideos989]

da??? doamne ce dusii.... daca virusesi un calculator si te prinde politia, inchisoare scrie pe tine. iar un milion de dolari+ 16 ani de inchisoare sau chiar mai mult

sa nu incercati ca e grav si inchisoarea este casa ta dupa aceea

[andrei ss]

cei de la Apple vor sa dovedeasca ca mac-ul nu poate fi virusat

[WebkinzVideos989]

cei de la Apple vor sa dovedeasca ca mac-ul nu poate fi virusat

sa incerce link-ul:http://goggle.com/ (el distruce calculatorul dupa 30 de minute de intrare in caloculator dar nu stiu daca e la fel si pe mac).

[ClaudiaMissy]

Aici ne contiunam discutia

[Manzu]

cred ca toti, mai putin kkryss, avem calculatoare vechi.......

[galbior]

CALCULATOARE !! Scriem parerile noastre si mai invatam de la altii !!
Sper sa ne distram.
cerem sugestii, incercam sa rezolvam probleme etc. inpreuna

[Manzu]

ma pricep destul de bine la calculatoare......... ma pricep destul de bine si la instalatul de programe de pe net.......

[ClaudiaMissy]

facusem si eu unul..dar lasa,voi ce marca de calc. aveti??eu am samsung

[Manzu]

eu asus........

[Continut sponsorizat]