edusantos
Power Member
Viva!
Recentemente fiquei com o PC infectado por mais um daqueles malditos virus de inicialização que se espalham através de pendrives...
Já tive alguns destes "bichos", aqui no PC, como o tel.xls.exe (Trojan.Win32.VB.atg | Win32/Dzan | Worm_vb.bnr), que consegui remover sem problemas com a seguinte ferramenta:
http://www.hgcomo.org/Site/index.php?option=com_content&task=view&id=18&Itemid=1&date=2007-11-01
-------
O primeiro problema, está no facto de existirem centenas de virus destes. E ainda não encontrei o nome deste. O que tem dificultado a pesquisa.
O autorun.inf está alojado em todas as unidades do computador e teima em não desaparecer. Juntamente com ele encontra-se um ficheiro executável (.exe) que a cada vez que o computador é reiniciado gera um nome/caracteres diferentes. Se o ficheiro .exe tivesse um nome específico ajudava e muito... arrr
Exemplo de nome do .exe:
zecldyntl.exe
ertmytra.exe
etc...
A pendrive formatei sem problemas, e está limpinha.
Já editei o registo do windows e apaguei chaves suspeitas, já eliminei processos, já apaguei entradas do arranque do windows, inclusive através do registo, atraves do crap cleaner, e através do comando msconfig, e NADA!
Os ficheiros teimam em reaparecer.
Experimentei utilizar a ferramenta PenCleaner, e aquilo só removeu o autorun.inf, no relatório final diz que o nome de código do virus é: W32.Resik.A (Small.i)
Mas pelas pesquisas que vi os sintomas são totalmente diferentes. (a pencleaner detectou o autorun.inf e deduziu que o virus alojado no meu pc se tratava do W32.Resik.A (Small.i), visto ser a unica coisa em comum, terem um ficheiro chamado autorun.inf deve ter "confundido")... Mas o W32.Resik.A não é o virus que tenho no meu PC isso tenho eu certeza absoluta.
Aqui está o log do hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:39:04, on 13-09-2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programas\Unlocker\UnlockerAssistant.exe
D:\Programas\SAGEM\SAGEM F@st 800-840 E4\dslmon.exe
D:\WINDOWS\System32\wuauclt.exe
D:\WINDOWS\explorer.exe
D:\WINDOWS\System32\autorunez.exe
D:\Programas\Mozilla Firefox\firefox.exe
D:\WINDOWS\system32\NOTEPAD.EXE
D:\Programas\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sapo.pt
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.sapo.pt/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hiperligações
F2 - REG:system.ini: Shell=explorer.exe "D:\WINDOWS\Fonts\wmsncs.exe"
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Wmsncs Service] D:\WINDOWS\Fonts\wmsncs.exe
O4 - HKLM\..\Run: [NvidMediaCenter] D:\Programas\Ficheiros comuns\System\wmsncs.exe
O4 - HKLM\..\Run: [Spool Driver Service] D:\WINDOWS\System32\spool\drivers\wmsncs.exe
O4 - HKLM\..\Run: [Wins Service] D:\WINDOWS\System32\wins\wmsncs.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "D:\Programas\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKLM\..\Run: [Autorun233] autorunez.exe
O4 - HKLM\..\RunServices: [Autorun233] autorunez.exe
O4 - HKLM\..\RunOnce: [Autorun233] autorunez.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\Run: [Spool Driver Service] D:\WINDOWS\System32\spool\drivers\wmsncs.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [Wins Service] D:\WINDOWS\System32\wins\wmsncs.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [ttool] D:\WINDOWS\9129837.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [Autorun233] autorunez.exe (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [Autorun233] autorunez.exe (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Autorun233] autorunez.exe (User 'Default user')
O4 - Global Startup: DSLMON.lnk = D:\Programas\SAGEM\SAGEM F@st 800-840 E4\dslmon.exe
O4 - Global Startup: wmsncs.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{3092C0C8-B9AD-4D10-95FF-709D56F445A4}: NameServer = 212.55.154.174 212.55.154.190
O17 - HKLM\System\CS1\Services\Tcpip\..\{3092C0C8-B9AD-4D10-95FF-709D56F445A4}: NameServer = 212.55.154.174 212.55.154.190
--
End of file - 3613 bytes
Lembrar que tenho duas instalações do Windows XP. Ambas infectadas com o mesmo virus.
As informações que dei possivelmente não devem ser muito uteis para resolver o problema mas é uma luz...
Vou googlar mais um pouco para ver se encontro algo.
Cumprimentos
Recentemente fiquei com o PC infectado por mais um daqueles malditos virus de inicialização que se espalham através de pendrives...
Já tive alguns destes "bichos", aqui no PC, como o tel.xls.exe (Trojan.Win32.VB.atg | Win32/Dzan | Worm_vb.bnr), que consegui remover sem problemas com a seguinte ferramenta:
http://www.hgcomo.org/Site/index.php?option=com_content&task=view&id=18&Itemid=1&date=2007-11-01
-------
O primeiro problema, está no facto de existirem centenas de virus destes. E ainda não encontrei o nome deste. O que tem dificultado a pesquisa.
O autorun.inf está alojado em todas as unidades do computador e teima em não desaparecer. Juntamente com ele encontra-se um ficheiro executável (.exe) que a cada vez que o computador é reiniciado gera um nome/caracteres diferentes. Se o ficheiro .exe tivesse um nome específico ajudava e muito... arrr
Exemplo de nome do .exe:
zecldyntl.exe
ertmytra.exe
etc...
A pendrive formatei sem problemas, e está limpinha.
Já editei o registo do windows e apaguei chaves suspeitas, já eliminei processos, já apaguei entradas do arranque do windows, inclusive através do registo, atraves do crap cleaner, e através do comando msconfig, e NADA!
Os ficheiros teimam em reaparecer.
Experimentei utilizar a ferramenta PenCleaner, e aquilo só removeu o autorun.inf, no relatório final diz que o nome de código do virus é: W32.Resik.A (Small.i)
Mas pelas pesquisas que vi os sintomas são totalmente diferentes. (a pencleaner detectou o autorun.inf e deduziu que o virus alojado no meu pc se tratava do W32.Resik.A (Small.i), visto ser a unica coisa em comum, terem um ficheiro chamado autorun.inf deve ter "confundido")... Mas o W32.Resik.A não é o virus que tenho no meu PC isso tenho eu certeza absoluta.
Aqui está o log do hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:39:04, on 13-09-2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programas\Unlocker\UnlockerAssistant.exe
D:\Programas\SAGEM\SAGEM F@st 800-840 E4\dslmon.exe
D:\WINDOWS\System32\wuauclt.exe
D:\WINDOWS\explorer.exe
D:\WINDOWS\System32\autorunez.exe
D:\Programas\Mozilla Firefox\firefox.exe
D:\WINDOWS\system32\NOTEPAD.EXE
D:\Programas\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sapo.pt
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.sapo.pt/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hiperligações
F2 - REG:system.ini: Shell=explorer.exe "D:\WINDOWS\Fonts\wmsncs.exe"
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Wmsncs Service] D:\WINDOWS\Fonts\wmsncs.exe
O4 - HKLM\..\Run: [NvidMediaCenter] D:\Programas\Ficheiros comuns\System\wmsncs.exe
O4 - HKLM\..\Run: [Spool Driver Service] D:\WINDOWS\System32\spool\drivers\wmsncs.exe
O4 - HKLM\..\Run: [Wins Service] D:\WINDOWS\System32\wins\wmsncs.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "D:\Programas\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKLM\..\Run: [Autorun233] autorunez.exe
O4 - HKLM\..\RunServices: [Autorun233] autorunez.exe
O4 - HKLM\..\RunOnce: [Autorun233] autorunez.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\Run: [Spool Driver Service] D:\WINDOWS\System32\spool\drivers\wmsncs.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [Wins Service] D:\WINDOWS\System32\wins\wmsncs.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [ttool] D:\WINDOWS\9129837.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [Autorun233] autorunez.exe (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [Autorun233] autorunez.exe (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Autorun233] autorunez.exe (User 'Default user')
O4 - Global Startup: DSLMON.lnk = D:\Programas\SAGEM\SAGEM F@st 800-840 E4\dslmon.exe
O4 - Global Startup: wmsncs.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{3092C0C8-B9AD-4D10-95FF-709D56F445A4}: NameServer = 212.55.154.174 212.55.154.190
O17 - HKLM\System\CS1\Services\Tcpip\..\{3092C0C8-B9AD-4D10-95FF-709D56F445A4}: NameServer = 212.55.154.174 212.55.154.190
--
End of file - 3613 bytes
Lembrar que tenho duas instalações do Windows XP. Ambas infectadas com o mesmo virus.
As informações que dei possivelmente não devem ser muito uteis para resolver o problema mas é uma luz...
Vou googlar mais um pouco para ver se encontro algo.
Cumprimentos