Meus caros, mas uma vez estou aqui para dar um help ao pessoal “curioso e desatento” que usa a internet e todos os seus recursos. Já são mais de 20 contactos meus que tiveram este problema de virus que se propaga pelo msn messenger, orkut, ou outro irc qualquer. O primeiro caso aconteceu quando um amigo meu tentou mandar-me um link dizendo que ele havia coleccionado as melhores fotos que retratavam a nossa amizade. Eu que já sou desconfiado por default reparei que o link direccionava-me para um ficheiro executável e um outro dado importante, a mensagem estava num português Brasileiro. Como é lógico não aceitei o mesmo. Houve ainda um outro caso em que a mensagem estava em inglês (E a pessoa que me enviou não sabia falar inglês)
O mais recente caso trata-se de um virus que enviava a seguinte mensagem seguida de um link: “nossa olha o acidente que a menina do BBB 8 teve, horrivel” “http://4np.net/ddli/score/BBB8_Acidente.php” (Não vá me cometer o erro de clicar neste link!). Se a mensagem fosse verdadeira, teria link para algum site ou blog contendo as fotos e informações dos novos participantes do BBB8, mas, o infeliz tem um link estranho que ao ser clicado pede para fazer download de um arquivo executável pelo Windows (um .scr). O arquivo executável contém o vírus Heur.Downloader, que se instala e se auto-replica para os seus amigos toda vez que tu te conectares ao messenger.
A dica de sempre é: NÃO CLIQUE EM LINKS DE E-MAILS, MSN MESSENGER, ORKUT OU OUTRO IRC. E qualquer link que pedir para fazer o download de um ficheiro, cancele, esqueça, apague e avise para quem te enviou, pois o “curioso” se contaminou primeiro e vai ficar enviando isso sempre, para ti e todos os contactos dele.
Aos aflitos aqui vai a solução para este problema!
Este virus é “malandro”, alguns antivirus nem dão por ele porque alguém já me reportou o seguinte: Estou usar o kaspersky 7.0, e ele detectou um vírus no meu PC, que é o seguinte:
“Possibly infected: virus Heur.Downloader (modification) c:\system volume
information\_restore{e619b87b-b21f-4fab-a8ee-2f00a5ac127e}\rp470\a0137302.exe”
Parece que ele fica “variando/alterando”, ontem eu fiz o scan e pedi para excluir, porém, hoje eu um outro scan e ele foi encontrado novamente.
Resolvendo…
Faça o download do HijackThis
- Coloque o ficheiro numa pasta própria em C:\;
- Dê um duplo clique no HijackThis e clique em Do a system scan and save a logfile;
- Copie o conteúdo do bloco de notas cole na sua resposta.
- Faça o download do ComboFix
- Desactive, temporariamente, o antivírus;
- Dê um duplo-clique no combofix.exe e tecle “1″ para prosseguir o Fix. Pode demorar algum tempo.
- O ComboFix poderá reiniciar o PC automaticamente para completar o processo de remoção.
- Quando acabar, será gerado um log, que estará em C:\ComboFix.txt.
- Não clique na Janela do ComboFix, nem o feche clicando no X, enquanto estiver em execução, pois senão irá parar e o seu desktop ficará em branco.
- Para parar ou sair do ComboFix, tecle “N”.
- Cole o ComboFix.txt na sua resposta.
- Ok, o log está limpo
- Recomendo uma manutenção no computador para exclusão dos ficheiros temporários, desnecessários e entradas inválidas no registo. Faça o download do CCleaner: - Abra o programa e clique em Executar Limpeza;
- Após isto, clique em Erros > Procurar erros > Corrigir Erros
- Desactive e active novamente a Restauração do Sistema Se estiveres ainda assim com problemas useo NOD32, com a sua actualização mais recente e configure-o adequadamente, para fazer um scan completo no Registo do sistema.
Espero ter podido ajudá-lo!
Arquivado em: Virus
This path is not a problem :
c:\system volume
information\_restore{e619b87b-b21f-4fab-a8ee-2f00a5ac127e}\rp470\a0137302.exe
Since is only used when you do a SYSTEM RESTORE (My Computer + right clic –> system restore )
eu penso que deve-se limpar este path: c:\system volume
information\_restore{e619b87b-b21f-4fab-a8ee-2f00a5ac127e}\rp470\a0137302.exe, porque depois destas alterações o sistemas pode tornar-se instável e poderá ser necessário posteriormente fazer-se um restauro do sistema e se isso for feito com este registo iinfectado, o sistema será reinfectado!
copiar o bloco de notas e colar a minha resposta como assim? e tambem nao encontro nenhuma pasta n disco com o nome system Volume. nao consigo executar o combofix pois aparece m k é uma operaçao invalida. podiam explicar melhor para m ajudar… obrigado
onde colo o conteudo do bloco de notas?
Tu só terás de fzr esta operação com o hijack this, se depois de passares um antivirus e eliminares o virus, quando voltares a fazer um scan voltares a encontrar o mesmo virus no system Volume information, que é uma entrada do registo do sistema.
Uma outra solução para este problema é desinstalar o windows messenger, apagar a sua respectiva pasta na unidade c: e os arquivos recebidos, faça um scan com um bom antivirus ou antispyreware actualizado e depois podes voltar a instalar o messenger (é só não voltar a cometer a besteira de aceitar qualquer coisa ainda que seja de alguém conhecido).
nao percebo..onde diz:
“..do bloco de notas cole na sua resposta.”
“Cole o ComboFix.txt na sua resposta.”
qual resposta??
obg ai mano, acho q eu ja cai no erro.
kal resposta?
A mim aconteceu me isto ontem a tarde, mandaram me:
nossa olha o acidente que a menina do BBB 8 teve um acidente horrivel…
sem querer carreguei e fiquei então com este virus…
Eu fiz download desse hijackthis não sei se isto vai funcionar…
será???
mas qual resposta????
alguem com de nome de lisalisa_23452 (endereço skype) de virginia USA, pediu-me q eu aderisse à webpage dela e enviou um link: http://www.zenzuu.com (ou ponto qlqr coisa). É tipo o MYSPACE do skype. Falamos algumas horas. Ela disse q cada pessoa q aderisse ela ganharia 1$ e eu o fiz. Acha q já xtó infectado?
Que resposta??? não entendi o lance da resposta!!!
Esse Win32 Heur foi o pior virus que ja peguei…