Será Virus que anda Por Ai???

[nelux]

Caros amigos,
Venho por este meio, pedir uma ajudinha ao pessoal.
Desde alguns dias a tras, estou a ter uns problemas com varios computadores daqui da zona.
Os bichos que tem sessões isto é varios logins de users diferentes estao a iniciar sessão e termina logo.
Mesmo no meu pc de casa com 1 login que é o meu isto esta a acontecer...faço iniciar sessão e faz iniciar e sai logo...

Alguem ja teve estes sintomas no pc.

SO.Windows XP pro


nelux

 

[maiaalves]

aconteceu-me o mesmo, tal e kual, gostava ke alguém me explicasse como se propaga e como nos precaver!obrigada

 

[StoneSour]

Caros amigos,
Venho por este meio, pedir uma ajudinha ao pessoal.
Desde alguns dias a tras, estou a ter uns problemas com varios computadores daqui da zona.
Os bichos que tem sessões isto é varios logins de users diferentes estao a iniciar sessão e termina logo.
Mesmo no meu pc de casa com 1 login que é o meu isto esta a acontecer...faço iniciar sessão e faz iniciar e sai logo...

Alguem ja teve estes sintomas no pc.

SO.Windows XP pro


nelux

isso é um virus, que muda uma chave de registo, tens de entrar em modo segurança,

mas ja nao me lembro qual a chave a mudar, vou peskisar se encontrar posto aki

abraço

 

[helldanger1]

_http://support.microsoft.com/kb/320299/pt-br

Mais completo

_http://www.dicasweb.com.br/forum/lofiversion/index.php/t745.html

 

[maiaalves]

não estarás enganado?não consegui entrar no pc nem em modo de segurança

 

[StoneSour]

tens aki em ingles mas da para perceber, da um trabalho ainda grande mas da para resolver:

http://thinkinginpixels.com/quick-fixes/fix-windows-xp-log-onlog-off-loop/

se reparares antes das perguntas, tens a pagina 1,2 e 3,

o virus elimina userinit.exe da pasta C:\WINDOWS\SYSTEM32

o procedimento visa em restaurar esse ficheiro

bom trabalho e boa sorte

abraço

 

[nelux]

oias amigo, no meu caso existem os dois sistemas uns deixa entrar por modo segurança e outro tb nao da hehehehe

 

[StoneSour]

oias amigo, no meu caso existem os dois sistemas uns deixa entrar por modo segurança e outro tb nao da hehehehe

na soluçao que te dei nao precisas de entrar em modo de segurança...apenas fazer boot com o cd que la está explicado...

 

[nelux]

sim sim entendi amigo...akele abraço e obrigado

 

[helldanger1]

oias amigo, no meu caso existem os dois sistemas uns deixa entrar por modo segurança e outro tb nao da hehehehe

Se consegues entrar por um faz isto,menu executar sfc/ scannow (com o cd do xp dentro da drive) repara os ficheiros em falta

 

[StoneSour]

_http://support.microsoft.com/kb/320299/pt-br

Mais completo

_http://www.dicasweb.com.br/forum/lofiversion/index.php/t745.html

o problema é que ele nao consegue fazer logon na maquina, ja tive um caso destes e nem em modo segurança entrava :Espi42:

tens que se fazer akela operaçao da copia do ficheiro, e limpar o virus ou se nao akilo passado umas horas ou dias volta ao mesmo

abraço

 

[helldanger1]

o problema é que ele nao consegue fazer logon na maquina, ja tive um caso destes e nem em modo segurança entrava :Espi42:

tens que se fazer akela operaçao da copia do ficheiro, e limpar o virus ou se nao akilo passado umas horas ou dias volta ao mesmo

abraço

Ja agora convem relembrar de desativar o sistem restore,senao volta tudo ao mesmo
Obrigado Stone
Cerveja Gforum
hell

 

[StoneSour]

Ja agora convem relembrar de desativar o sistem restore,senao volta tudo ao mesmo
Obrigado Stone
Cerveja Gforum
hell

sim depois da limpeza desactivar o system restore :espi28:

:38: Cerveja Gforum

 

[meditas]

é assim eu tb tive o mesmo problema, mas consegui entrar em modo de segurança! é assim nao sei de onde veio o virus... fiz umas peskisas e descobri que e um virus que se entranha no sistema e fica registado nos processos do pc. a soluçao foi reinstalar o winsows....

um conselho... divide o disco em varias partiçoes!! cria uma so para o SO e programas e a outra para guardares as tuas coisas. assim se tiveres um problema qualquer nao perdes ficheiros!

abraço

 

[helldanger1]

sim depois da limpeza desactivar o system restore :espi28:

:38: Cerveja Gforum

Stone aia aiaiaiaiai depois ????? antes.... limpa(esta desativado ,depois de estar limpo ) activa nao será ?


Cerveja Gforum
hell

 

[«Crow»]

Em principio é um cavalo de troia...

Se voltar a activar-se tens aqui outro metodo

Quando infecta os seguintes ficheiros são criados em %Temp%:

1 %Temp%\3.tmp 125 bytes 0x7C5F5A68051F6B0C0E9A2AD33C40D415
2 %Temp%\archive.arq 84.660 bytes 0x266E8DD7F9372DAE4AFA09E44EDAD257
3 %Temp%\flash_wizard.exe
%System%\wscrntfy.exe 315.392 bytes 0xDB5FAC56693476E750B589FB1907C488
4 [file and pathname of the sample #1] 139.264 bytes 0x868135F0440BF6258B08A4BD73FD876C

Dependendo das versões o nome pode variar: flash_update1.exe, flash_activex.exe, ou outros
São criados também um monte de pequenos ficheiros *.tmp de ~1Kb

Cria tambem este novos processos:

wscrntfy.exe %System%\wscrntfy.exe 327.680 bytes
[filename of the sample #1] [file and pathname of the sample #1] 139.264 bytes
flash_wizard.exe %Temp%\flash_wizard.exe 327.680 bytes

Novas chave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
unsrvc = "%System%\wscrntfy.exe -runservice"

wscrntfy.exe arranca cada vez k o Windows abre

Solução entrar em modo de segurança e eliminar a chave de registro modificada

Solução passo a passo:

1-Entrar no windows em modo de segurança

2-Abrir o editor de registo.

3- Ir a [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

4-Procurar o Valor Userinit
Se o Pc está infectado deve estar assim Userinit = "%System%\wscrntfy.exe -runservice" devemos mudar para o valor original de Userinit = "%System%\userinit.exe,"

 

[StoneSour]

Stone aia aiaiaiaiai depois ????? antes.... limpa(esta desativado ,depois de estar limpo ) activa nao será ?


Cerveja Gforum
hell

:Espi06: :Espi06: :Espi06:

tens toda a razao, respondi mal :desculpa:

desactiva primeiro, assim é que está correcto Cerveja Gforum

obrigado pela atençao

abraço

 

[StoneSour]

Em principio é um cavalo de troia...

Se voltar a activar-se tens aqui outro metodo

Quando infecta os seguintes ficheiros são criados em %Temp%:

1 %Temp%\3.tmp 125 bytes 0x7C5F5A68051F6B0C0E9A2AD33C40D415
2 %Temp%\archive.arq 84.660 bytes 0x266E8DD7F9372DAE4AFA09E44EDAD257
3 %Temp%\flash_wizard.exe
%System%\wscrntfy.exe 315.392 bytes 0xDB5FAC56693476E750B589FB1907C488
4 [file and pathname of the sample #1] 139.264 bytes 0x868135F0440BF6258B08A4BD73FD876C

Dependendo das versões o nome pode variar: flash_update1.exe, flash_activex.exe, ou outros
São criados também um monte de pequenos ficheiros *.tmp de ~1Kb

Cria tambem este novos processos:

wscrntfy.exe %System%\wscrntfy.exe 327.680 bytes
[filename of the sample #1] [file and pathname of the sample #1] 139.264 bytes
flash_wizard.exe %Temp%\flash_wizard.exe 327.680 bytes

Novas chave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
unsrvc = "%System%\wscrntfy.exe -runservice"

wscrntfy.exe arranca cada vez k o Windows abre

Solução entrar em modo de segurança e eliminar a chave de registro modificada

Solução passo a passo:

1-Entrar no windows em modo de segurança

2-Abrir o editor de registo.

3- Ir a [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

4-Procurar o Valor Userinit
Se o Pc está infectado deve estar assim Userinit = "%System%\wscrntfy.exe -runservice" devemos mudar para o valor original de Userinit = "%System%\userinit.exe,"

sim deve ser essa a soluçao, mas ha alguns casos que nao se consegue entrar em modo segurança :Espi42:

mas obrigado pela dica ja vou anotar

abraço

 

[nelux]

Caros amigos so queria agradecer, porque com a vossa ajuda ja esta tudo okapa.