Worm no PC...nao fui o unico o qfazer ?

so tem um em letras grandes...depoois tem dois explorer em letra pequena... mas esses sao os normais right ?

portanto primeiro vou ao gestor e termino os programas...depois vou ao hijackthis e faço os fixes...e em seguida vou ao disco eliminar o autorun ? se tiver algo errado n hesites...e desde ja um grande obrigado

alias so tem um explorer em letra pequena o outro eh o EXPLORER (a nossa vitima)
 
sim, em principio dve-se resolver

mas será normal ter 2 explorer (letras pequenas)? so se for o do windows e um do iexplorer


PS. Apaga o autorun e apaga também o EXPLORER em letras grandes
 
Última edição:
Salvador_ disse:
luikki eu neste momento n estou no meu computador estou noutro com um problema identico... este computador n tem anti virus nem firewall e sim usa o IE... eu por outro lado aconteceu me o mesmo e so' uso Opera tenho o NOD 32 com updates 3 a 3 horas e firewall em software, e tou atras de um router tmb... mas por partilharmos as mesmas caracteristicas neste problema pensei q ao resolver deste conseguirei igualmente resolver o meu....

quanto a essas linhas percebo q sejam trojan mas ao fazer fix o disco ira correr normalmente novamente ? qnd clico vai abrir ? obrigado...
Clicar para expandir...

Ir à internet sem antivirus ou firewall é suicidio para o computador :004:
 
PJTuga disse:
sim, em principio dve-se resolver

mas será normal ter 2 explorer (letras pequenas)? so se for o do windows e um do iexplorer


PS. Apaga o autorun e apaga também o EXPLORER em letras grandes
Clicar para expandir...

boas...eu terminei c ele no gestor...corri o hijack e depois fui ao disco apagar o autorun e o explorer... fiz um reboot... e aquelas letrinhas do disco etc...ja foi tudo....mas por alguma razao ele continua a vir ao de cima no hijack...assim q fiz o reboot fui ao gestor de tarefas e la tava ele...
 
Salvador_ disse:
boas...eu terminei c ele no gestor...corri o hijack e depois fui ao disco apagar o autorun e o explorer... fiz um reboot... e aquelas letrinhas do disco etc...ja foi tudo....mas por alguma razao ele continua a vir ao de cima no hijack...assim q fiz o reboot fui ao gestor de tarefas e la tava ele...
Clicar para expandir...

olha, edita o post em que colocas-te o conteúdo do autorun. apaga essa parte
é que esse codigo permite ao people criar mais "virus" parecidos com o que apanhas-te


Vai a iniciar->executar e escreve
msconfig

vai ao separador arranque e desactiva-o
 
Última edição:
Boas...desculpem la' o incomodo again... agora estou mesmo no meu computador... e corri o hijack... como aconteceu no outro la tinha o autorun no meu disco com as linhas "do virus" e fui correr o log do hijack ao site q vcs recomendaram e disse q n havia nada de mal por isso parece q o meu antivirus smp fez o seu trabalho... de qq das maneiras so' pela prevençao... aqui deixo o log se notarem algo de suspeito avisem:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 18:00:40, on 04-09-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\mmm.exe
C:\WINDOWS\VistaDrive\VistaDrive.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Raxco\PerfectDisk\PDAgent.exe
C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
H:\Programas\HiJackThis\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = IE
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [PowerTweak Menu] C:\WINDOWS\system32\mmm.exe
O4 - HKLM\..\Run: [VistaDrive] C:\WINDOWS\VistaDrive\VistaDrive.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [LXPNewUser] %SystemRoot%\System32\TrunksLXP-NUserFix.cmd (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [LXPNewUser] %SystemRoot%\System32\TrunksLXP-NUserFix.cmd (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LXPNewUser] %SystemRoot%\System32\TrunksLXP-NUserFix.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LXPNewUser] %SystemRoot%\System32\TrunksLXP-NUserFix.cmd (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: ,C:\WINDOWS\system32\rserver30\r3god.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: Radmin Server V3 (RServer3) - Famatech International Corp. - C:\WINDOWS\system32\rserver30\RServer3.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

--
End of file - 6293 bytes


so ha um q aparece uma cruz de unnecessarily e q eh a linha:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Kind

Safe
Safe

Unnecessary (deactivated) entry that can be fixed. This entry was classified from our visitors as good.


mt obrigado pela ajuda q ja prestaram sem duvida nenhuma este forum eh de um valor magnifico...
 
Na minha escola num curso de Informática, os computadores em sua grande maioria estão com esse programa malicioso, que faz com que todas as unidades, quando se clica com o botão direito, aparecer caracteres estranhos no Abrir e no Explorar. Fiz o procedimento de usar o HiJackThis, (conhecido de eliminar vírus e malware de registro). No primeiro computador que rodei o HiJackThis, não encontrei nenhum autorun suspeito, e fechei o Explorer.EXE com o Open process manager. Na primeira vez funcionou e o Explorer voltou ao normal. Agora já que como se usava o DeepFreeze, e não foi salva a alteração, o programa malicioso ficou resistente ao HijackThis. Ele está burlando os dois programas e está persistente, como foi dito (não sai nem com formatação). Gostaria que alguém solucionasse este problema duma forma eficiente, e que não cause transtornos, sem ter que recorrer à um técnico ou perder dados e ter que reinstalar. O explorer alterna de maiúsculas e minúscula no gerenciador de tarefas. Rodei o processo Open process manager, com o botão Run, e ele sai no Executar. E além disso tudo o programa malicioso bloqueia de ser ver os arquivos ocultos, mas não os protegidos pelo sistema, o que também impossibilita de se ver o autorun e se fazer a remoção. Agradeço resposta.
 
Última edição pelo moderador:
inicia em modo de segurança

identifica os ficheiros suspeitos e apaga-os

corre o AV, spybot, ad-aware e com jeitinho corre todas as ferramentas anty-spyware do hiren boot cd

tudo em modo de segurança
 
experimenta criar um ficheiro do bloco de notas em branco com o nome "autorun.inf" e copias para a raiz dos varios discos/partiçoes e quando pede se pretende substituir dizes que sim.
vais substituir o que estiver por outro sem instruçoes basicamente
 
apoc disse:
inicia em modo de segurança

identifica os ficheiros suspeitos e apaga-os

corre o AV, spybot, ad-aware e com jeitinho corre todas as ferramentas anty-spyware do hiren boot cd

tudo em modo de segurança
Clicar para expandir...
Problema resolvido

O pendrive da minha professora estava contaminado por este tal programa malicioso, e talvez foi contaminado por outros tantos, em casa como na escola. Abri num computador de cobaia (um Windows XP Professional).Todas as pastas do pendrive dela estavam em modo oculto. Parece ser outro o programa malicioso que não deixa ver os arquivos ocultos (Ferramentas-Opções de pasta-Modos de exibição...), por tanto desconhecimento deles, até micros que não são de uso dos alunos estão com esses programas maliciosos (no caso este que digo este só bloqueava o acesso a exibição de arquivos ocultos, nada mais). Entrei no Linux, em Live CD, removi tudo quanto era vírus e malwares (pasta RECYCLER, AutoRun.inf, trojans por si próprios eram os programas maliciosos-Ex:RavMon.exe). Feito este procedimento abri sem preocupação no Windows XP Profesional o pendrive, descontaminado no Linux, desocultei as pastas pelo Windows XP Professional (talvez vítimas do Conficker segundo meu professor), e entreguei para ela. Ela só usa McAfee. O computador cobaia, por teste, foi formatado, e felizmente o programa que deixava o Explorer com caracteres estranhos se foi, não grudando no pc (precisando recorrer a formatação física- como no caso do tópico). Só faltou a professora se conscientizar de não abrir o pendrive com a reprodução automática, ou clicando duas vezes (o jeito certo é clicar com o botão direito do mouse e clicar em Explorar para evitar executá-los). Se o pendrive já foi aberto na casa dela e se lá estiver com o programa malicioso no computador, aquele dos caracteres estranhos, recomendei a ela formatar o micro. O AutoRun.Inf sozinho parece ser o causador dos problemas. Agradeço a prontidão.
 
Última edição pelo moderador:
p5k-vm disse:
experimenta criar um ficheiro do bloco de notas em branco com o nome "autorun.inf" e copias para a raiz dos varios discos/partiçoes e quando pede se pretende substituir dizes que sim.
vais substituir o que estiver por outro sem instruçoes basicamente
Clicar para expandir...
Tenho um colega que já tentou utilizar esta técnica, e os programas maliciosos, em geral, burlam isso. Ele pode vir gravado como autorun.inf, AutoRun.inf, AUTORUN.INF OU Autorun.inf. Mesmo se for criada uma pasta com o nome autorun.inf, é possível criar um autorun contaminado mesmo assim. O problema mais grave é haver um programa malicioso que bloqueie de ver os arquivos ocultos no Explorer. No caso de haver uma pasta com esse nome, é possível usar uma instrução em lotes para removê-lo, recomendada pela Trend Micro. Não testei com esse autorun. Aqui vai a instrução completa (pode-se modificá-la de acordo com a necessidade):
<@echo off
:: SET_NO_DRIVE_OTORUN
reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0x0ff /f

:: GET_DRIVES
for /f "tokens=1 delims=:" %%j in ('reg query hklm\system\mounteddevices ^| findstr \DosDevices\') do (
echo %%j >> drives
)

:: REMOVE_\DosDevices\_PREFIX
for /f "tokens=3 delims=\" %%j in (drives) do (
echo %%j >> drives.txt
)
del /q /f drives > nul

:: REMOVE_SPACE
for /f "tokens=1 delims= " %%j in (drives.txt) do (
echo %%j: >> drives
)
del /q /f drives.txt > nul

:: CHECK_DRIVE_TYPE
for /f %%j in (drives) do (
fsutil fsinfo drivetype %%j | findstr "Fixed " >> fdtype
fsutil fsinfo drivetype %%j | findstr "Removable " >> frtype
)
del /q /f drives > nul

:: GET_FDRIVES
for /f "tokens=1* delims= " %%j in (fdtype frtype) do (
echo %%j >> dtype
)
del /q /f fdtype > nul
del /q /f frtype > nul

:: REMOVE_SPACE1
for /f "tokens=1 delims= " %%j in (dtype) do (
echo %%j >> drives
)
del /q /f dtype > nul

:: DEL_DRIVE_A_FROM_LIST
sort drives >> sort
type sort | findstr "A" > nul
if errorlevel 0 for /f "tokens=1 skip=1" %%j in (sort) do (
echo %%j >> sorted
)
del /q /f drives > nul
del /q /f sort > nul

:: CREATE_OTORUN_FOLDER
for /f %%j in (sorted) do (
md %%j\<i>AUTORUN.INF</i>
attrib +s +h +r /d /s %%j\<i>AUTORUN.INF</i>
)
del /q /f sorted > nul

echo Press any key to close this window..
pause > nul>
Copie para o bloco de notas e salve (dê o nome de DISABLE para ficar claro) e renomeie para a extensão .BAT.
Uso o Avira Personal Free, e ele dá conta até das replicações, até por exemplo, de worms que modificam o autorun. Obrigado pela resposta.
 
Última edição pelo moderador:
Inicie sessão ou registe-se para poder participar.
Back
Topo