O que é esse vírus alemão (?) e como posso me livrar dele?

Então, depois de passar vários dias lutando contra essa coisa, eu finalmente me livrei disso. Tenho certeza que acertei o caminho certo, mas ao longo do caminho encontrei alguns itens suspeitos que poderiam ter contribuído. Aqui estão os passos necessários para limpá-lo.

A primeira coisa que fiz foi verificar todos os locais de início automático no Windows. Eu segui este artigo aqui . A maioria dos locais é limpa, exceto:

1. %código%
   • Essa chave tinha um segundo caminho apontando para HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
2. %código%
   • Esse nó tinha uma chave C:\Documents and Settings\NetworkService\Application DataA52917-B4FC-4f02-AE3B-BF55D9351F4A\msvcs.exe chamada HKLM\Software\Microsoft\Windows\CurrentVersion\Run , que estava apontando para o arquivo msvcs.exe na chave REG_SZ .
3. %código%
   • Esse nó tinha dois outros nós que pareciam suspeitos para mim. Eles foram nomeados 2C508BD5-F9C6-4955-B93A-09B835EC3C64 e Userinit . Ambos os nós tinham chaves que apontavam para um arquivo HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify e foram configurados com um evento \toldvw32 . Pesquisando no Google não produziu nenhum resultado significativo na época, então fui em frente e os removi. Não parece haver problemas em ter feito isso ainda.

O verdadeiro problema é que torlfsvses file. Se alguém conseguir sobreviver, ele se replicará em todos os perfis de usuário da máquina. Uma vez que ele estava conectado ao perfil toldvw32.dll , ele sempre se certificaria de que existisse nos outros perfis.

Existem três locais onde WlStartupEvent existe. Eles são:

1. msvcs.exe
2. NetworkService
3. %código%
   • Não temos 100% de certeza sobre este, mas encontramos dois arquivos suspeitos: msvcs.exe e {PROFILE}/Application Data/09A52917-B4FC-4f02-AE3B-BF55D9351F4A . Eu fui em frente e os removi sem problemas (até agora pelo menos).

Espero que isso ajude alguém no futuro. Isso funcionou para mim. Se você tem um computador que tinha / tem isso e está ligado a um domínio, verifique também a pasta de perfil do usuário no servidor, também há uma cópia. Escusado será dizer que não faça login nesse perfil diretamente no servidor, porque você só vai se divertir muito depois disso ...

Além disso, não é possível limpá-lo pelo Modo de segurança se o perfil em que você está se registrando estiver infectado. Eu usei UBCD4Win para limpar o que vi, depois fiz o resto no modo de segurança.

Agora, eu sei que o consenso geral é de bombardear o computador e começar do zero, mas isso nem sempre é possível em um ambiente de negócios. Depois que eu tinha limpado e confirmado limpo por várias ferramentas antivírus eu corri {PROFILE}/Start Menu/Programs/Startup na unidade, desfragmentou-o com MyDefrag (4.3.1) e o computador funciona perfeitamente como se nunca tivesse acontecido. Portanto, o uso de nuking no computador nem sempre é o melhor curso de ação, já que o @Synetech apontou para si mesmo.

Por último, o Kaspersky foi instalado no computador, mas de alguma forma foi desativado e foi assim que o vírus (malware?) passou e fez o que fez. Eu não sou um fã de software antivírus, na verdade, eu não tenho nenhum em meus 6 ou mais computadores que eu tenho, mas em um ambiente onde você tem tecnicamente desafiado pessoal, é uma boa idéia tê-lo e é também uma boa ideia certificar-se de que está realmente em e atualizado.

Isso é todo tipo de pessoa incrível. Espero que outra pessoa possa se beneficiar dessa resposta no futuro.

Como já foi dito repetidas vezes, a única maneira segura de eliminar um vírus é formatar seu computador e reinstalar as coisas uma a uma.

Dito isso, isso não é tecnicamente um vírus, mas um novo tipo de malware que faz com que você pague para removê-lo, o que você não deve fazer sob nenhuma circunstância, porque está contribuindo para o crime organizado.

Quanto tempo você já gastou tentando consertar o PC?

Você pode achar que inicializar com algo como um live CD do Ubuntu para copiar todos os dados para um disco rígido USB removível, formatá-lo e reinstalá-lo é, na verdade, a maneira mais rápida de resolver esse problema.

Eu já vi isso acontecer uma e outra vez em que mais horas são gastas tentando remover vírus ou malwares do que o simples backup, formatação e reinstalação.

Eu sei que você não quer fazer isso, você preferiria usar uma ferramenta para corrigir o problema, mas acho que você economizará tempo fazendo uma instalação limpa e também saberá que o malware realmente desapareceu .

O seu computador provavelmente funcionará mais rápido, o que geralmente é o caso em uma nova instalação.

Parece ser o BKA Trojan (os primeiros resultados são links para o site do scareware , então não use esses). Parece que o consenso é reinstalar ou usar mais softwares anti-malware.

A reinstalação deve ser um último recurso; tentando removê-lo é melhor. O pior que pode acontecer é que você acaba reinstalando de qualquer maneira e "desperdiça" algum tempo aprendendo algumas coisas.

Pode parecer bobo / óbvio, mas você tentou pressionar Alt + F4 na janela?

Posso sugerir que experimente mais alguns softwares para testá-los (executá-los no modo de segurança para obter melhores resultados):

• SUPERAntiSpyware (use a versão portátil)
• Autoruns (para eliminar o local de origem)
• HijackThis (para analisar o sistema de forma bastante direta)
• WinSpy ++ (para remover o atributo mais alto da janela, embora possa redefini-lo a cada dois segundos)
• ComboFix (último recurso de terra queimada)

Outra coisa para tentar é procurar rapidamente na guia Processos do Gerenciador de Tarefas para tentar descobrir de que processo (s) o trojan está sendo executado, e tentar matá-lo (você não precisa ver o Gerenciador de Tarefas para matá-lo , você pode digitar as primeiras letras do nome EXE, e pressionar Del , então Espaço ), mas certifique-se de que a opção Always-On-Top do Task Manager esteja selecionado; apenas no caso.

(Nota: acho engraçado que o trojan esteja usando o logotipo do Windows 7, embora o Alex tenha indicado que é um sistema XP. suspiro )

Este parece ser um novo scareware. Até onde eu vejo, isso ainda não foi descrito pelos especialistas em antivírus. Ele ameaça excluir o conteúdo do disco e processá-lo por usar uma cópia ilegal do Windows.

Proponho que você desligue o computador infectado, remova o disco e copie o conteúdo do disco para algum local seguro. Então você também pode tentar novamente um virusscan enquanto estiver conectado a um computador diferente (não inicializando este disco infectado).

Pessoalmente, gostaria de fazer backup dos dados e fazer uma nova instalação. Uma vez que um malware estava em uma janela, não há como ter certeza de que todos os rastreamentos foram removidos, porque, depois de terem controle do computador, continuarão tentando usá-lo / seus dados / sua conta bancária. Em casos como este, parece ser normal carregar mais malware no computador.

Os usuários deste computador devem alterar suas senhas, se o banco estiver pronto, verificar suas contas bancárias e definir um novo PIN.

Ah, e não pague. Se você fizer isso, ele poderá solicitar que as permissões de administrador "consertem" suas janelas e, em seguida, o rootkit para você.

A maioria dos malwares, mas não todos, pode ser manualmente removida com execução automática .

Tente o seguinte procedimento:

• faça o download do autoruns no link acima e execute-o diretamente do arquivo zip
• deixe digitalizar (se puder)
• procure dois tipos de entradas - aquelas com sem assinatura e, mais importante, entradas que digam ' arquivo não encontrado '. O segundo tipo é típico de vírus que se inserem em várias partes do sistema que são executadas durante a hora de início (mas, na inicialização, removem temporariamente o arquivo infectado e o tornam acessível apenas na próxima reinicialização). Ao desmarcar as entradas problemáticas / suspeitas, você pode enfraquecer o malware ao ponto de ele não estar mais ativo no sistema (e se você desmarcar algo que é necessário, você sempre poderá ativá-lo novamente).

Agora, se você não pode executar autoruns que seriam devido ao vírus que já está bloqueando - no entanto, os vírus raramente farão isso.

Este procedimento é surpreendentemente eficiente, mas é claro que isso se deve apenas aos vírus que não o direcionam. Você sempre pode tentar.

Depois de passar por isso, você pode usar

• process explorer para verificar se existem processos estranhos em execução no seu sistema
• tcpview para auditar e monitorar sua atividade de rede

O uso dessas ferramentas não é trivial (requer conhecimento do comportamento normal do sistema), mas no caso de

• o software anti-vírus regular não reconhece a ameaça ainda nem vai arrancar para o linux e tentar limpar com clamav
• você realmente deseja tentar limpá-lo e tentar evitar a reformatação

você pode tentar seguir o procedimento que eu dei.