Hardware.com.pt

[riapa]

Boas!

Ontem quando liguei o pc o panda deu alert que o IE tinha sofrido um ataque para tentar mudar a "StartPage..." e eu fiz bloquear request...
Nisto aparecem estes ficheiros no meu ambiente de trabalho (após ter bloqueado a tentativa de alteração do IE):


Assim que os apaguei (não sei se foi a causa) o meu fundo de ecrã ficou:


Sempre que clicava em cima dele ia para um site marado qualquer. Bloqueei as ligações à rede e fui à pasta WINDOWS, apagar a pasta onde essa mer** tava instalada (apenas tinha imgs).
Dps sempre que eu queira mudar o wallpaper ele dava este erro e não mudava:


Lá consegui uma vez não sei como...

Meti logo o Panda a fazer full scan e o Spybot. De vez em quando iam aparecendo estas mensagens:



e instalou-se um icon a piscar na minha taskbar:


que por vezes dava a mensagem:


Quando o Spybot detectou o que era:


Fiz remove, e o icon parou de piscar e os avisos a aparecer... Reiniciei o pc e parecia que estava tudo bem. Liguei-me à net inclusive e nada. Hj quando liguei o pc repetiu-se tudo! Deve ser um worm que quando se liga à net faz isto (tipo o blaster...)

Como me safo?

[Electrico]

O meu deus, ainda usas internet explorer? És bastante corajoso.

Penso que para resolveres isso tens de entrar em modo de segurança, no start up carrega F8, depois corres os programas de antivirus e anti spyware.

No fim dos scans apagas tudo o que eles dizem ser uma ameaça e reinicias o pc. Penso que isso resolverá.

Mas por favor não uses mais o internet explorer .

[riapa]

Nepia uso o FireFox... mas o IE ta instalado na mesma... vou tentar isso!

[Electrico]

Mas por exemplo tu quando vais ao MSN (se usares) e carregares no icon para ler as mensagens de correio ele vai abrir o internet explorer. Logo aí vais tar a usá-lo. A melhor solução a usares sempre o firefox para ver tudo, principalmente e-mails.

Cumps.

[riapa]

O meu tá configurado para abrir com o Firefox. Odeio o IE nunca o uso acredita

[riapa]

Bem já os removi em Modo Segurança... ele detectou um novo, um ficheiro .txt que acho que era o responsável pelo arranque do vírus...
Só que agora continua a detectar na mesma os outros 2 (imagem acima)...

[Carlos_Silva]

Bem já os removi em Modo Segurança... ele detectou um novo, um ficheiro .txt que acho que era o responsável pelo arranque do vírus...
Só que agora continua a detectar na mesma os outros 2 (imagem acima)...

Consegues explicar melhor? Não percebi mt bem isso de detectar na mesma os outros 2 ...

Já agora, sinceramente não acho que estejas lá mt bem protegido com o Panda, mas é só uma opinião.

Tenta explicar melhor, eu acho k tb já tive esse problema ...

Cumps.

[alr_tech]

boas

existem no forum diversas entradas com outras ideias...
alem de um inamovível com diversos programas

corre ainda o adware, superantispyware, etc..

depois, ainda tenta o panda online, o karpeski, etc...

cumps

[riapa]

Pah nunca tive razão de queixa ele sempre bloqueou tudo o que era ataques alem disso tenho firewall no router (e tenho licenças de graça pó panda, se não já tinha mudado).
Porcaria do imageshacke e imagevenue, não percebo porque é que removem as imgs

Bom então os "files" que disse são:


Em modo de segurança detectou mais um que era um ficheiro de texto. Esse foi apagado e já não voltou mais. Agora estes (da img) sempre que faço uma pesquisa aparecem, mas por agora não tenho tido os problemas anteriormente obtidos. Se eu for ao regedit e remove-las à mão (sim puk parece que o spybot não as apaga) há stress?:roll:

ps: eu sei que é completamente fora do contexto, sorry mas se tiver que instalar o XP de novo, vou usar o que me dão na faculdade que é mais recente e já traz o SP2 e as actualizações feitas (pois o meu XP já é antigo, ainda n tem SP, tenho que instalar à parte) só que é em inglês e eu curtia ter em PT... Existe algum add-on ou maneira de meter em PT ou é impossível?

[alr_tech]

boas

não o spybot remove isso...
o problema é que deves ter alguma coisa no arranque...
e/ou um serviço em memória que te torna a infectar...
(como alguns vermes modernos mudam o nome..)

por isso é necessário validar o arranque..
o spybot tem uma função para isso..
ou mesmo o hijackthis..

informa aí a coisa...

cumps

[riapa]

Como é que se chama isso no spybot para eu usar? Se for o Inicialização do Sistema não tem la nada de anormal que já tive a ver

[riapa]

News!
Removi os ficheiros que o Spybot acusava à mão e agora já não os detecta... será que estou desinfectado?:roll:

[alr_tech]

boas

News!
Removi os ficheiros que o Spybot acusava à mão e agora já não os detecta... será que estou desinfectado?:roll:

já te respondi...
valida...

existem no forum diversas entradas com outras ideias...
alem de um inamovível com diversos programas

corre ainda o adware, superantispyware, etc..

depois, ainda tenta o panda online, o karpeski, etc...

cumps

[riapa]

Afinal ainda não se encontra resolvido a 100%
Tinha um ficheiro no arranque (que curiosamente só o msconfig é que o mostrava, mais nenhuma aplicação) que se chamava edl.exe que se encontrava na pasta windows... Era esse o executável responsável por tudo isto. Agora que apagado já não há problemas.

Mas tal como disse, ainda não está a 100% pois ainda me falta remover um Zlob.Downloader.vcd que o spybot detecta sempre, e quando este o apaga, se reiniciar-mos o pc ele volta de novo:




Tou a tentar arranjar maneira de me ver livre dele permanentemente.

[riapa]

Pessoal acho que arranjei solução! Pelo menos agora não é detectado nada, nem nada é criado sempre no arranque... Cá vai a minha proposta de solução:

Apagar:

- C:\Windows\privaty_safe
- C:\Windows\dat.txt
- C:\windows\edl.exe

- HKEY_CLASSES_ROOT\bonrep.StockBar

- HKEY_CLASSES_ROOT\bonrep.ToolBar.1


Usar spybot para localizar no registo, Smitfraud-C. e remover à mão todas as dependências ou seja:
Apagar:

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E1C6E3E-FD4E-42C8-B60B-5EC7D23728D2}

- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7E1C6E3E-FD4E-42C8-B60B-5EC7D23728D2}

- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSVPS.MSVPSApp

NOTA: Confirmem os caminhos com o Spybot, apaguem os ficheiros com o Spybot, vão ao regedit ver que ficheiros apagou o spybot ....E.... se quando reiniciarem eles ainda se encontrarem lá apaguem então à mão (façam o mesmo que o Spybot fez...) Reiniciem e testem de novo (a mim resolveu).

Usar spybot para localizar no registo, Zlob.Downloader.vcd e remover à mão todas as dependências ou seja:

Apagar:

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VideoPlugin


Por fim usem o SmitfraudFix (desliguem o antivirus pois ele irá pensar que é um vírus) corram, e dps no report vêm os files infected...
Ex:

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\bonrep.dll FOUND !
C:\WINDOWS\ipwypkmg.dll FOUND !
C:\WINDOWS\kbdctrl.dll FOUND !
C:\WINDOWS\neobus.dll FOUND !
C:\WINDOWS\qdertu.exe FOUND !
.
.
.


Apaguem-nos (tudo o que tiver "FOUND!", deveram necessitar do Unlocker) reiniciem o pc e façam de novos scans com o SmitfraudFix e Spybot.

Se não detectar nada penso que esteja resolvido