Despre virusii care vin de pe Facebook sau care pretind ca sunt aplicatii de Facebook am mai scris, iar astazi iata ca o fac din nou.

De ce?

Pai a aparut o noua varianta a acestui virus, care chiar daca se raspandeste prin Yahoo messenger de data aceasta se foloseste de o aplicatie de facebook care cu ceva timp in urma putea fi accesata la urmatoarea adresa: http://apps.facebook.com/laslenas/photo.php?=100001765568988

Atentie – pe viitor este posibil sa apara noi aplicatii de acest gen ce vor raspandii malware, iar de aceea este bine ca de fiecare daca cand descarcati ceva sa va uitati cu atentie la ce extensie are fisierul. Virusii de windows au extensii ca: exe, pif, com, scr, etc

Dupa accesarea acestei aplicatii vi se va oferii descarcarea urmatorului fisier ce contine acest virus hxxp://laslenas.net/images/facebook-pic000934519.exe iar apoi se va deschide o pagina de Myspace.

Componenta virusului de Facebook

Creeaza fisierul executabil nvsvc32.exe  in folderul de windows pe care apoi il ruleaza si este vizibil in Task Manager:

%windir%\nvsvc32.exe

nvsvc32.exe – este si un fisier legitim – NVIDIA Display Driver Service dar numai daca acesta se afla in folderul system32

Virus Facebook - procese - Task Manager

Virusul creeaza urmatoarele chei de registri:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run

“NVIDIA driver monitor”=”c:\\windows\\nvsvc32.exe”

Virus facebook - autoruns

Mod de devirusare

Download  Utilitar de Devirusare

Rata de detectie

Conform site-ului VirusTotal in acest moment virusul este detectat doar de 6 antivirusi:

ClamAV0.96.4.02011.01.26BC.Heuristic.Trojan.SusPacked.BF-6.A

Emsisoft5.1.0.12011.01.26IM-Worm.Win32.Yahos!IK

IkarusT3.1.1.97.02011.01.26IM-Worm.Win32.Yahos

Prevx3.02011.01.26Medium Risk Malware

SUPERAntiSpyware4.40.0.10062011.01.26Trojan.Agent/Gen-FakeAlert

VIPRE82042011.01.26Trojan.Win32.Generic.pak!cobra

Nu poti accesa Facebook-ul iata cum rezolvi problema

In 99% daca altceva iti merge orice alt site din internet este vorba de setarile pe care virusul le-a facut prin calculatorul vostru.

Una dintre aceste setari si care pur si simplu blocheaza accesul la Facebook este ca modifica fisierul hosts ce se afla in locatia %windir%/system32/drivers/etc indiferent de sistemul de operare (doar pentru Windows).

Pentru a putea reaccesa Facebook-ul v-a trebui sa restaurati fisierul hosts explicat in acest articol.

Cum puteti scapa de cel mai actual virus ce se raspandeste prin chat-ul de Facebook vedeti aici

UPDATE – extensie sau aplicatie la nivel de browser

Cel mai nou virius sa zicem asa, care nu este de fapt un fisier executabil este o extensie in browser ce posteaza pe wall-uri filmulete porno false. De fapt ele sunt o simpla poza pe care daca dati click o sa vi se ceara sa instalati un plugin. Dupa ce a-ti dat click pe install plugin, browserul vostru o sa va ceara acceptul de a instala o extensie.

Film porno fals pe Facebook

De obicei aplicatia este intitulata Extension Youtube urmata de versiunea acestei, insa daca in extensii aveti si alte aplicatii pe care stiti ca nu le-ati instalat voi ar fi bine sa le dati remove.

Pentru a scapa de aceasta aplicatie nedorita nu trebuie decat sa navigati in browserul vostru la categoria extensii si/sau aplicatii si sa o indepartati prin simpla apasare a butonului Uninstall, Eliminare sau Remove.

Indeparteaza Extensia Youtube din Google Chrome

Mergeti in dreapta sus pe cheie dati click pe Optiuni/Options, mergeti pe Extensii /Extensions si in partea dreapta dati click pe Eliminati/Remove.

 atentie: Google Chrome nu vine cu nici o extensie preinstalata, cu aplicatii da.

Indeparteaza Extensia Youtube din Mozilla FireFox

Mergeti pe butonul FireFox din stanga sus, dati click pe Add-ons, apoi click pe Extensions si in partea dreapta dati remove la extensia Youtube.