Hardware.com.pt

[banido]

poderá ser um rootkit... praticamente indetectavel pela maioria dos anti-virus.

Os rootkits mais recentes, utilizam tecnicas para enganar os antivirus, mais populares.



As minhas sugestoes:

1 - Usa antivirus, que tenha a opção rescue disc... onde possas correr o antivirus fora do ambiente windows. Kaspersky por exemplo.

2 - Antivirus, que tenham uma capacidade heuristica superior... e/ou um rootkit scan. Exemplo... Kaspersky ultima versao... ou mesmo o avg antirootkit, que é free.
Ou um que já utilizei com resultados positivos, prevx 2.0 (30 dias trial)
Este, mais vocacionado, para malwares desconhecidos.


Isto é para a detecção... na maioria das vezes... é só metade do caminho. Porque quase sempre... estes "bichos" depois de detectados... ainda dificultam bastante a remoção.

[alr_tech]

boas

é uma ideia...

de qq maneira valida o mdm que tens... se é mesmo o da M$...

outro ficheiro esquisito é o lnhost.exe....
valida do que é?
há referências a virus e outras um componente do Vista...

tens de validar tudo o que seja arranque tem de ser algo que inicializa com o arranque do windows em modo normal...

cumps

[Manuela]

Olá.


Amanhã vou tentar resolver o problema com as sugestões do banido. Só não vou conseguir instalar o kaspersky porque o file é um msi installer.

alr_tech: o que é isso de validar?

Também já dei conta da história lnhost.exe... acho que o problema reside aí mas já procurei no google e não vi nada.

Cumps.

M.

[alr_tech]

boas

validar?
se tu tinhas instalado aquela coisa que emula o Vista....
parece que lá está essa lnhost..

cumps

[Manuela]

boas

validar?
se tu tinhas instalado aquela coisa que emula o Vista....
parece que lá está essa lnhost..

cumps

Agora fui de vez... não percebi nada...

Eu não tinha nada instalado que emula o vista...

M

[alr_tech]

boas

então é bicho...
faz pesquisas....

em safe mode... desactiva o seu arranque...
e vê se gera msg de erro...

torna a validar tudo...

cumps

[Manuela]

Olá...

Tenho aqui os logs dos avg rootkit e panda:

AVG:

C:\WINDOWS\system32\drivers\srosa.sys,Hidden driver file
c:\Programas\Movie Maker\Shared,Hidden Directory
c:\Programas\Movie Maker\Shared\Empty.txt,Hidden File
c:\Programas\Movie Maker\Shared\Filters.xml,Hidden File
c:\Programas\Movie Maker\Shared\news.png,Hidden File
c:\Programas\Movie Maker\Shared\paint.png,Hidden File
c:\Programas\Movie Maker\Shared\Sample1.jpg,Hidden File
c:\Programas\Movie Maker\Shared\Sample2.jpg,Hidden File
c:\Programas\Seagate Software\Shared,Hidden Directory
c:\Programas\Seagate Software\Shared\amzi4.dll,Hidden File
c:\Programas\Seagate Software\Shared\cabanner.bmp,Hidden File
c:\Programas\Seagate Software\Shared\cawmark.bmp,Hidden File
c:\Programas\Seagate Software\Shared\Cdo32.dll,Hidden File
c:\Programas\Seagate Software\Shared\cebanner.bmp,Hidden File
c:\Programas\Seagate Software\Shared\cewmark.bmp,Hidden File
c:\Programas\Seagate Software\Shared\crtslv.dll,Hidden File
c:\Programas\Seagate Software\Shared\EnterpriseAddReport.exe,Hidden File
c:\Programas\Seagate Software\Shared\EnterpriseAPSBridge.dll,Hidden File
c:\Programas\Seagate Software\Shared\ExportModeller.dll,Hidden File
c:\Programas\Seagate Software\Shared\favorites.dll,Hidden File
c:\Programas\Seagate Software\Shared\keycode.dll,Hidden File
c:\Programas\Seagate Software\Shared\ltkrn11n.dll,Hidden File
c:\Programas\Seagate Software\Shared\Olapdbmg.dll,Hidden File
c:\Programas\Seagate Software\Shared\Olapdbmg.tlb,Hidden File
c:\Programas\Seagate Software\Shared\pg32conv.dll,Hidden File
c:\Programas\Seagate Software\Shared\rdwiz.dll,Hidden File
c:\Programas\Seagate Software\Shared\rdwiz_en.ini,Hidden File
c:\Programas\Seagate Software\Shared\regwiz.exe,Hidden File
c:\Programas\Seagate Software\Shared\Rule1.dfa,Hidden File
c:\Programas\Seagate Software\Shared\Rule1.llr,Hidden File
c:\Programas\Seagate Software\Shared\Rule1jp.dfa,Hidden File
c:\Programas\Seagate Software\Shared\Rule1jp.llr,Hidden File
c:\Programas\Seagate Software\Shared\s2sqlprs.dll,Hidden File
c:\Programas\Seagate Software\Shared\SAStarter.dll,Hidden File
c:\Programas\Seagate Software\Shared\sscdlg.cnt,Hidden File
c:\Programas\Seagate Software\Shared\sscdlg.dll,Hidden File
c:\Programas\Seagate Software\Shared\sscdlg.gid,Hidden File
c:\Programas\Seagate Software\Shared\Sscdlg.hlp,Hidden File
c:\Programas\Seagate Software\Shared\sscrc.dll,Hidden File
c:\Programas\Seagate Software\Shared\sscsdk80.dll,Hidden File
c:\Programas\Seagate Software\Shared\Sstree32.dll,Hidden File
c:\WINDOWS\ime\shared,Hidden Directory
c:\WINDOWS\system32\drivers\hidr.exe,Hidden File
c:\WINDOWS\system32\drivers\srosa.sys,Hidden File
g:\Coisas\Creative Zen Neeon\Programa\CTShared\Shared,Hidden Directory
g:\Coisas\Creative Zen Neeon\Programa\CTShared\Shared\Burp.dll,Hidden File
g:\Coisas\Creative Zen Neeon\Programa\CTShared\Shared\CDASvc.exe,Hidden File
g:\Coisas\Creative Zen Neeon\Programa\CTShared\Shared\CdrwUpdt.exe,Hidden File
g:\Coisas\Creative Zen Neeon\Programa\CTShared\Shared\CTAudCD.dco,Hidden File
g:\Coisas\Creative Zen Neeon\Programa\CTShared\Shared\CTBurnCD.dco,Hidden File
g:\Coisas\Creative Zen Neeon\Programa\CTShared\Shared\CTHtml.dll,Hidden File
g:\Coisas\Creative Zen Neeon\Programa\CTShared\Shared\CTIntrfc.dll,Hidden File
g:\Coisas\Creative Zen Neeon\Programa\CTShared\Shared\CTLogDB.dll,Hidden File
g:\Coisas\Creative Zen Neeon\Programa\CTShared\Shared\CTMStore.exe,Hidden File
g:\Coisas\Creative Zen Neeon\Programa\CTShared\Shared\CTMStore.ocx,Hidden File
g:\Coisas\Creative Zen Neeon\Programa\CTShared\Shared\CTMuVo.dco,Hidden File
g:\Coisas\Creative Zen Neeon\Programa\CTShared\Shared\CTMyComp.dco,Hidden File
g:\Coisas\Creative Zen Neeon\Programa\CTShared\Shared\CTNeeon.dco,Hidden File
g:\Coisas\Creative Zen Neeon\Programa\CTShared\Shared\CTNJB3.dco,Hidden File
g:\Coisas\Creative Zen Neeon\Programa\CTShared\Shared\CTPCML.dco,Hidden File
g:\Coisas\Creative Zen Neeon\Programa\CTShared\Shared\CTRegSvr.exe,Hidden File
g:\Coisas\Creative Zen Neeon\Programa\CTShared\Shared\CTSUApp.exe,Hidden File
g:\Coisas\Creative Zen Neeon\Programa\CTShared\Shared\CTSUSDK.dll,Hidden File
g:\Coisas\Creative Zen Neeon\Programa\CTShared\Shared\CTTranQ.dll,Hidden File
g:\Coisas\Creative Zen Neeon\Programa\CTShared\Shared\CTUnzip.dll,Hidden File
g:\Coisas\Creative Zen Neeon\Programa\CTShared\Shared\CTVidCD.dco,Hidden File
g:\Coisas\Creative Zen Neeon\Programa\CTShared\Shared\MFInfo.dll,Hidden File
g:\Coisas\Creative Zen Neeon\Programa\CTShared\Shared\Muce.dll,Hidden File
g:\Coisas\Creative Zen Neeon\Programa\CTShared\Shared\MuVoPHlp.dll,Hidden File
g:\Coisas\Creative Zen Neeon\Programa\CTShared\Shared\MxLib.dll,Hidden File
g:\Coisas\Creative Zen Neeon\Programa\CTShared\Shared\PdtIdMgr.pid,Hidden File


PANDA:

PATH ROOTKIT_NAME HIDDEN
C:\WINDOWS\system32\hldrrr.exe FALSE
C:\WINDOWS\system32\drivers\hidr.exe TRUE
C:\WINDOWS\system32\drivers\srosa.sys TRUE
C:\WINDOWS\system32\drivers\srosa.sys TRUE
C:\WINDOWS\system32\drivers\srosa.sys TRUE
C:\WINDOWS\system32\drivers\srosa.sys TRUE
C:\WINDOWS\system32\drivers\srosa.sys TRUE
C:\WINDOWS\system32\drivers\srosa.sys TRUE
C:\WINDOWS\system32\drivers\srosa.sys TRUE


Cumps.


M

[banido]

C:\WINDOWS\system32\drivers\srosa.sys

Penso que será isto!


No site viruslist, tem instruções de remoção:

http://www.viruslist.com/en/viruses/encyclopedia?virusid=21780028

[alr_tech]

boas

é bicho mesmo....

e apanhaste cá um f.m.... (favor vários... )

googla .... por hidr.exe, srosa.sys... hldrrr.exe..

vê aqui..
e ainda....

são exemplos...
encontras dezenas de outros...

para uma máquina não ligada à rede.... valida os programas que fizeste download ou te passaram...

cumps

[Manuela]

Oi.

Eu já tinha percebido que o problema era mesmo s srosa.sys.

Com o rootkit da panda, ficou tudo resolvido. O problema é que pelo meio dei cabo do media player e do assistente de procura do explorer.exe. Pelo menos foi só o que reparei até agora.

Obrigado pela ajuda


M

[alr_tech]

boas

cada um dos nomes que te indiquei refere-se a uma infestação diferente...
provavelmente um deles foi o cavalo de troia que puxou os outros ..

continua a pesquisar até não aparecer mais nada...

cumps

[Ganondorf]

Boas ppl! Eu tinha exactamente o mm problema e felizmente já ta resolvido... excepto um problema. Nao consigo executar certos exe. O meu antivirus ainda n abre, mm ja tendo eliminado alguns virus... (n sei se foram todos). Alguem sabe se será mm virus?

[alr_tech]

boas

o problema dos virus é que dão cabo de certos programas...
a maioria deles tenta dar cabo dos antivirus e antiadware, substtituindo o código original por o do virus...
(assim, como software do windows....)

em resumo...
depois da desinfecção vais ter de desinstalar os softwares afectados....

e instalar de novo os ditos...
com um bocado de sorte substitui-se só o exe ou a dll afectada...

cumps

[Ganondorf]

Ya, exacto. Foi isso mm k tive de fazer...
Obgd ppl!