Aviso: não consegue ficar logado? É culpa de um WORM!

Autor Mensagem
Admin
Moderador
# fev/06
citar


Veja como remover o tal worm:

http://linhadefensiva.uol.com.br/2006/02/msn-sua-foto/

pagode nem morto
Veterano
# fev/06
citar · votar


Obrigado por avisar! Por isso que quando eu formatei o HD voltou tudo ao normal...

pagode nem morto
Veterano
# fev/06
citar · votar


Poxa, mas eu não me lembro de ter recebido esse worm. Deve ter sido meu irmão então...

Ed_Vedder
Veterano
# fev/06
citar · votar


Admin

Não tem outro link ai mano?

a palavra msn ta bloqueada aqui =(

maggie
Veterana
# fev/06
citar · votar


O TEXTO

Foi encontrado um novo worm que se espalha pela rede do comunicador instantâneo da Microsoft. Semelhante ao worm Olha Minha Foto, que se espalhou pelo MSN em dezembro de 2005, a mensagem enviada pelo novo worm sugere que o usuário tenha encontrado uma foto sua na Internet.

A mensagem enviada pelo worm é a seguinte:

Acho q ví uma foto sua na net e vc mesmo olha ai >>> http://www11.rapidupload.com/file.php?filepath=[removido]

Como o arquivo malicioso foi enviado ao servidor “RapidUpload”, não é possível saber que o link leva a um executável (EXE).

Ao clicar no link, o download do arquivo “suafoto.exe” é iniciado. Ao ser executado, o cavalo-de-tróia faz o download de outro código malicioso, que é salvo como ‘configipchain.exe’. Esse, por sua vez, cria o arquivo SVCH0ST.EXE (com um zero ao invés de um ‘o’), que é iniciado junto com o Windows.

O arquivo SVCH0ST.EXE também é copiado para a pasta “Inicializar” do menu Iniciar.

Screenshot: SVCH0ST.EXE no menu iniciar

A praga, além de se espalhar via MSN, também monitora a atividade no Internet Explorer, possivelmente para roubar senhas em serviços home banking.
Remoção do worm

Para remover o worm é necessário apagar os arquivos criados e as entradas no registro. A ferramenta, até o momento, foi apenas testada em um computador de teste.

http://linhadefensiva.uol.com.br/files/bat/msn-suafoto.bat

A ferramenta deve ser executada em Modo de Segurança. Para entrar no Modo de Segurança é necessário pressionar F8 durante a inicialização do Windows. Caso precise de instruções mais detalhadas, veja o documento da Symantec sobre o assunto.

Você deve fazer o download da ferramenta em Modo Normal e salvá-la no C:\ ou algum lugar de fácil acesso. Não é recomendo salvar nos Meus Documentos e na área de trabalho, já que o usuário do Modo de Segurança pode ser diferente do usuário normal e você não poderá acessar a ferramenta se ela estiver em um desses lugares.
Perguntas & Respostas

Como sei que estou infectado? Como sei se a ferramenta funcionou?

Basta verificar a presença do SVCH0ST.EXE no “Inicializar” ou “Iniciar” no Menu Iniciar, como mostra a figura acima.

É importante que você não confunda com o svchost.exe, que fica na pasta system32, tem nome em letras minúsculas e possui um “o” no lugar do zero. Esse é um arquivo legítimo do Windows que não deve ser removido.
Por que preciso do Modo de Segurança? O que fazer lá?

O Modo de Segurança certifica que o malware não está rodando para que a ferramenta possa apagar os arquivos sem interferência do worm. Se a ferramenta não funcionou para você, pode ser porque você a rodou em Modo Normal. Depois de iniciar o computador no Modo de Segurança, basta executar a ferramenta e reiniciar o computador. Não é necessário nenhum passo adicional (a não ser que a ferramenta não consiga apagar os arquivos, veja abaixo).

Se você entrou no computador no Modo de Segurança por meio do msconfig (como instrui o tutorial da Symantec), você deve rodar o msconfig no Modo de Segurança e desativar a opção para iniciar no Modo de Segurança. Depois basta reiniciar o computador que ele será reiniciado em Modo Normal.
A ferramenta de remoção diz que ocorreu um erro ou o arquivo SVCH0ST.EXE continua no menu iniciar

Nesse caso, execute o computador no Modo de Segurança. Rode a ferramenta. Após isso, apague os arquivos seguintes arquivos:

* C:\WINDOWS\configipchain.exe
* C:\WINDOWS\system32\SVCH0ST.EXE — Importante: Não confunda com o svchost.exe!
* O SVCH0ST.EXE no “Inicializar” ou “Iniciar” do Menu Iniciar

A ferramenta não vai conseguir apagar o “SVCH0ST.EXE” do menu Iniciar em versões do Windows que não sejam em Português, portanto é necessário que você o remova manualmente.
Tenho outros vírus/ainda não consegui me livrar da praga

A Linha Defensiva oferece um serviço gratuito para a remoção de vírus. Para isso, você deve criar um cadastro em nosso fórum e colocar um log do HijackThis em um tópico no fórum Remoção de Malware. Você pode obter instruções para a postagem no tópico Antes de Postar.

Ed_Vedder
Veterano
# fev/06
citar · votar


aqui não funcionou...

maggie
Veterana
# fev/06 · Editado por: Moderador
citar · votar


O LINK

http://linhadefensiva.uol.com.br/files/bat/msn-suafoto.bat


http://rapidshare.de/files/13727586/msn-suafoto.bat.html

A ferramenta deve ser executada em Modo de Segurança. Para entrar no Modo de Segurança é necessário pressionar F8 durante a inicialização do Windows

maggie
Veterana
# fev/06
citar · votar


AdAware
http://www.lavasoftusa.com/software/adaware/

Firefox :)
http://www.mozilla.com/firefox/

Ed_Vedder
Veterano
# fev/06
citar · votar


Agora funcionou aqui... seguinte... peguei o worm com o Ad-Aware Personal.

Admin
Moderador
# fev/06
citar · votar


Ed_Vedder
realmente resolveu o problema?

maggie
Veterana
# fev/06
citar · votar


Ed_Vedder
Agora funcionou aqui... seguinte... peguei o worm com o Ad-Aware Personal.

é nóis

Ed_Vedder
Veterano
# fev/06
citar · votar


Admin

então man... num primeiro momento resolveu... ai tive que fechar a janela e pimba... tive que logar novamente... agora parece que normalizou =)

Admin
Moderador
# fev/06
citar · votar


Ed_Vedder
parece que normalizou =)

Normalizou como? Bichado ou consertado? Resolveu ou não resolveu o problema?

maggie
Veterana
# fev/06
citar · votar


Ed_Vedder
faça o
Full Scan
e apague o que tiver lá

Ed_Vedder
Veterano
# fev/06
citar · votar


Admin

Normalizou consertado =)

maggie

Yes Sir, ja tinha feito =)

Admin
Moderador
# fev/06
citar · votar


çó. =)

Ed_Vedder
Veterano
# fev/06
citar · votar


Admin

muita brecha esse Xp... eu recebo o e-mail da empresa alem do meu pessoal (empresa@dominio.com.br) esse e-mail sua foto caiu no da empresa... deletei na hora, nem abri o corpo da mensagem, e mesmo assim ele instalou o trojan...

Admin
Moderador
# fev/06
citar · votar


Ed_Vedder
nem abri o corpo da mensagem, e mesmo assim ele instalou o trojan...

Se vc usa XP com service pack 2 instalado eu acredito é que vc vacilou e clicou no link lá.

Ed_Vedder
Veterano
# fev/06
citar · votar


Admin

qualé, ta pensando que eu não sou bobo...

Admin
Moderador
# fev/06
citar · votar


uh... tô. hahahaha... =)

maggie
Veterana
# fev/06
citar · votar


eu acho...

Ed_Vedder
Veterano
# fev/06
citar · votar


maggie
eu acho...

vc cale-se =D

Ed_Vedder
Veterano
# fev/06
citar · votar


Admin

Então, se fechar a janela... tem que logar novamente =(

Admin
Moderador
# fev/06
citar · votar


Ed_Vedder
fica fuçando nas preferencias do IE... abrindo email pornô... isso que dá.

Ed_Vedder
Veterano
# fev/06
citar · votar


Admin

hahaha

qual é... sou um cidadão consciente, não um fanático.

Deji
Veterano
# fev/06 · Editado por: Deji
citar · votar


tem que ser muito amador pra pegar um worm

Ed_Vedder
Veterano
# fev/06
citar · votar


Deji

=(

Deji
Veterano
# fev/06
citar · votar


Ed_Vedder
({)

Kirk_Hammett
Veterano
# fev/06
citar · votar


Que bom que descobriram =)

TASIVA
Veterano
# fev/06
citar · votar


nada a ver
é tudo culpa do ruivo hering
mas eu num descobri nenhum treco desses no pc.....continua..;P
ah deixa pra la mesmo

Enviar sua resposta para este assunto
        Tablatura   
Responder tópico na versão original
 

Tópicos relacionados a Aviso: não consegue ficar logado? É culpa de um WORM!