1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.
  2. A secção Microsoft/Windows encontra-se actualmente em processo de reestruturação.
    Remover anúncio

ameaça encontrada mas nao removida!!!!

Discussão em 'Windows 7 e anteriores' iniciada por Stlkr, 21 de Fevereiro de 2008. (Respostas: 10; Visualizações: 1328)

  1. Stlkr

    Stlkr Power Member

    alguém me pode dizer o porquê de o avg detectar isto e nao remover? já corri anti-spywares e tudo e o resultado é sempre este... nunca remove esta ameaça ao sistema...podem me explicar que tipo de ameaça é para o sistema? se possivel como resolver?

    ajudem-me sff não sei que tipo de ameaça é nem o que fazer para a remover...:005:


    [​IMG]
     
  2. lightMC

    lightMC Power Member

    Posta aqui o conteúdo do ficheiro que está nessa localização. abre-o com o bloco de notas.
     
  3. Korben_Dallas

    Korben_Dallas Zwame Advisor

    Algum programa tem um handle nesse ficheiro e por isso não o consegue apagar.

    Inicia em Safe Mode e já deves conseguir apagar. Caso contrario corre o msconfig e inicia em diagnostic mode.

    Também podes sacar o Process Explorer e pesquisar pelo handle a esse ficheiro e matá-lo.
     
  4. soaked

    soaked Power Member

    E se foi bem feito possivelmente esse handle está no processo «winlogon» que não consegues matar. É vital ao windows.
    Da unica vez que apanhei isso tive mesmo de formatar.

    You need EXPERT backup.


    MAs resumindo, o virus deve-te ter alterado o ficheiro de hosts, o que faz com que qq ligação que tentes faz<er à net acede 1º a uns ips que estão nesse ficheiro, é como uma tabela de redireccionamentos (axo eu, um entendido que explique melhor sff).
    Esse virus alterou-te o ficheiro de hosts, que é o ficheiro que manda nas ligações e meteu lá uns ips manhosos.

    Se tiveres outra máquina, tenta ver que ip's estão lá e compara-los com os ip's que estão aí.
    penso que se reiniciares em «safe mode» consegues alterar esse ficheiro, penso que de outro modo não consegues.

    Mete aí o conteudo do ficheiro pra o ppl te ajudar melhor

    cumps
     
  5. Stlkr

    Stlkr Power Member

    [​IMG]isto é o que tem dentro da pasta dos etc, depois no host tem muita cena e acho que não convem tar a postar tudo, posto algumas cenas...

    # Start of entries inserted by Spybot - Search & Destroy
    127.0.0.1 007guard.com
    127.0.0.1 www.007guard.com
    127.0.0.1 008i.com
    127.0.0.1 008k.com
    127.0.0.1 www.008k.com
    127.0.0.1 00hq.com
    127.0.0.1 www.00hq.com
    127.0.0.1 010402.com
    127.0.0.1 032439.com
    127.0.0.1 www.032439.com
    127.0.0.1 1001-search.info
    127.0.0.1 www.1001-search.info
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100888290cs.com
    127.0.0.1 100sexlinks.com
    127.0.0.1 www.100sexlinks.com
    127.0.0.1 10sek.com
    127.0.0.1 www.10sek.com
    127.0.0.1 123topsearch.com
    127.0.0.1 www.123topsearch.com
    127.0.0.1 132.com
    127.0.0.1 www.132.com
    127.0.0.1 136136.net
    127.0.0.1 www.136136.net
    127.0.0.1 139mm.com
    127.0.0.1 www.139mm.com
    127.0.0.1 163ns.com
    127.0.0.1 www.163ns.com
    127.0.0.1 171203.com
    127.0.0.1 17-plus.com
    127.0.0.1 1800searchonline.com
    127.0.0.1 www.1800searchonline.com

    ....

    isto é so um bocado do que tem...porque akilo é enorme...

    fiz isso do safe mode, fiz um scan e nada...ficou lá na mesma, e o que acontece é que estou sempre com o pc com spywares, deve ser devido a eu ser encaminhado para páginas manhosas, pois eu faço o scan com o antispyware e ele encontra remove, se fizer novamente encontra mais... eu tentei colar aqui o conteúdo todo do bloco de notas e não dava o browser mocava-se todo e tinha mesmo de fechá-lo para além de notar a net mais lenta...deve ser por causa disso...será que não há outra forma sem ser format c: ? não me dava muito geito fazer isso neste momento...tenho muito pouco tempo para isso...
     
    Última edição: 23 de Fevereiro de 2008
  6. Stlkr

    Stlkr Power Member

    tem calma que para tudo há solução...ou quase tudo mas penso que não há necessidade de foramtares o pc...só mesmo em ultimo recurso...em relação à net estar muito lenta isso é bem possivel, visto que alguns sites estao a ir para ip's manhosos é normal que fique lenta para além de te infectar o pc...vai-te prevenindo fazendo scans exaustivos enquanto esperas que alguém te dê uma resposta de o que fazer para eliminares essa ameaça...sinceramente também não sei, mas já agora estou curioso... alguém pode dizer o que fazer nestes casos?
     
  7. soaked

    soaked Power Member

    Portanto para te explicar, tudo o que vês com o caracter # é um comentário, não deve ligar mt importancia. Neste caso do meu ficheiro a linha com que te deves preocupar é a ultima (127.0.0.1 localhost). É a unica que deves ter, salvo raras excepções, posso te dizer que no meu caso tenho mais 2 ip's que são ligações a bd's oracle e que não postei aqui por razões obvias.

    Tenta alterar o teu ficheiro para esse, mas de qq maneira faz backup do teu, podes lá ter algum ip que possa ser relevante.

    Já agora aqueles backups foste tu que fizeste? Se não foste pode ser que tenhas lá o ficheiro original, o que se for caso disso, esse virus ou script é original, lol.

    Cumps


    # Copyright (c) 1993-1999 Microsoft Corp.
    #
    # This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
    #
    # This file contains the mappings of IP addresses to host names. Each
    # entry should be kept on an individual line. The IP address should
    # be placed in the first column followed by the corresponding host name.
    # The IP address and the host name should be separated by at least one
    # space.
    #
    # Additionally, comments (such as these) may be inserted on individual
    # lines or following the machine name denoted by a '#' symbol.
    #
    # For example:
    #
    # 102.54.94.97 rhino.acme.com # source server
    # 38.25.63.10 x.acme.com # x client host

    127.0.0.1 localhost
     
    Última edição: 24 de Fevereiro de 2008
  8. Stlkr

    Stlkr Power Member

    eu tentei alterar o ficheiro mas não consegui...não haverá um programa qualquer que corrija isso? é que pelo que estou a ver não deve de ser muito simples assim...se o avg o detectou deve de haver forma de corrigir e alterar o ficheiro...será que não tem nenhum programa que o faça?

    :'(
     
  9. soaked

    soaked Power Member

    Tentaste alterar em safe-mode?

    http://support.microsoft.com/kb/923947/pt

    experimenta o NoAdware, que remove automaticamente, não sei se detecta isso mas tenta.
    Googla por isso.


    Tb tens o HiJackthis, mas esse é basicamente manual, tens que perceber de processos e dll's para saber o que tás a fazer.



    pra editar o hosts file, tens aqui um link (atençao eu nunca verifiquei isso, pesquisei agora no google como alterar o host file)
    http://www.mvps.org/winhelp2002/hosts.htm

    tens lá um texto mais abaixo que te dá um link para um software pa editar os hosts
    « HostsMan is a freeware application that lets you manage your Hosts file.»




    cumps
     
    Última edição: 25 de Fevereiro de 2008
  10. Sahaqiel

    Sahaqiel Power Member

    Para alterar o ficheiro a coisa mais fácil a fazer não seria por exemplo correr o LiveCd do Ubuntu mais recente? Tanto quanto sei permite escrever em ntfs.

    A questão continua, alterar o quê exactamente...
     
  11. scriptKid

    scriptKid Power Member


    Isso nao quer dizer que haja infecção de virús! Apenas te informa que o ficheiro /etc/host foi alterado. Afinal de contas no output do AVG tens um check a verde e "ameaças=0". Repara outra vez no output...
    Cabe-te a ti decidir se a alteracao ao ficheiro representa uma ameaça real.

    Pelas primeiras linhas que mostraste eu diria que não. O que aconteçe é que deves ter um ad blocker instalado, e de cada vez que indicas que nao queres receber mais publicidade de um host o blocker ignora o trafego desse site editando o ficheiro /etc/hosts. Assim, da próxima vez que se tente estabelecer uma ligacao ao site 007guard.com o computador envia packets para ele proprio (loopback).

    Conclusão : esclarece-te do significado do ficheiro em

    http://vlaurie.com/computers2/Articles/hosts.htm

    Depois vê novamente o ficheiro e se todas as linhas começarem por
    127.0.0.1

    e se de facto tiveres um ad-blocker, nao te preocupes.

    Não vale a pena formatar o disco. Mais vale temporariamente desinstalar o software antiadware e verificar se o ficheiro continua a ser alterado :)

    EDIT: Só agora é que vi, até está escrito que as alterações foram produzidas pelo SpyBot !!! Antivirus+antispyware no seu melhor !

    :lol:
     
    Última edição: 26 de Fevereiro de 2008

Partilhar esta Página