terça-feira, 6 de janeiro de 2009

Prof. Abrahao VS. Virus Maldito

Hoje perdi o dia inteiro tentando remover um vírus de uma máquina aqui do trabalho. Tentei de tudo e até agora nada. Pra vocês terem uma idéia, nem o VIRUSTOTAL.com consegue determinar que vírus é esse. Só alguns resultados genéricos.

O desgraçado coloca no pendrive um arquivo "autorun.inf" (que não é texto e sim um binário) que chama outro nomeado como "jwgkvsq.vmx".

Montei até uma instalação numa máquina virtual para tentar rastrear o comportamento do danado, mas ainda não obtive sucesso para eliminá-lo.

Se alguém aí tiver uma solução, POR FAVOR me dê um toque!!!

9 comentários:

Carlos Fran disse...

Danado ele...
Bom, pela descrição que vc fez (quase nenhuma. praticamente todos os vírus de Pen... copiam um arquivo inf e mais alguns outros binários para discos removíveis.
Mas recomendo executar o Bankerfix remove muita coisa.
Mas caso já tenha utiliza ou não resolva, faça uso do Hijackthis (fecha todos os programas e execute "run scanner e save logfile" (+/- menos isso). Se não entender nada... manda o logo file pra mim :)
Tem um vídeo sobre em http://www.download.com/Trend-Micro-HijackThis/3000-8022_4-10227353.html

Mais se quiser ir adiantando, dar um pesquisada no Regedit pelo nome dos arquivos ligados ao vírus e delete.

Se achar complicado, e quiser uma visita, só ligar para mim (UTI Informática) :)

EDSON disse...

ola! o kaspersky detectou e eliminou num piscar de olhos.

Fernando Moura disse...

Opa!
Também estava com esse probleminha desgraçado rsrsrsrs
Aonde trabalho parece que a rede interna pegou o danadinho... varios tecnicos tbm estao tendo problemas com ele
Uma maneira de "supostamente" elimina-lo e usando o combofix, ou o bankerfix... que eu na verdade duvido um pouco se realmente tira ele ou o install dele =x

de tanto ficar griiilado q toda maquina q eu montava tinha q usar o pendrive pra instalar os programas padrao da loja direto infectava, isso foi dois dias xingando esse fdm, ai hj peguei e comecei a "fuça" e acabei achando uma forma de pelo menos bloquear o "autorun" dele...

ele se aloca na pasta recycler dos drivers q se coloca na cpu... nisso a maquina que estiver com o virus ja cria um autorun.inf em binario automaticamente, fazendo assim a ligação ao blablabla.vmx


"mas isso e nescessario fazer depois q tiver supostamente tirado o virus com algum fixer como o combofix...
ai depois q tiver exibindo os arquivos ocultos normalmente faço esse processo..."

nas utimas linhas do arquivo autorun .inf "cerca de 58kb o arquivo" tem essa linha de comando:
(...)shelLExECUte =RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedr(...)

Dai eu apenas renomeei um numero da pasta que o blablabla.vmx fika alojado... (exemplo... antes: S-5-3-42... | Depois: S-6-3-42...)
Pronto, depois disso a execução do vmx ta bloqueada...
Mass fazendo isso quando vc for abrir o drive clicando duas vezes vc vai ter a msg de erro em que o arquivo .vmx nao foi econtrado...
Dai pra parar de dar esse erro coloquei antes das linhas binarias que o arquivo.inf tem uma linha de comando de abrir um arquivo .txt;
Nisso ele bloqueia o .vmx e nao da o erro de falha de busca do arquivo .vmx
Tentei so mudar o autorun.inf por um outro qualquer, mas nao deu, parece que o arquivo chave que gera o virus sabe quando é ou nao é o .inf que ele cria

e com isso da pra meio que bloquear a "expansao" do fdp em outras maquinas novas aqui da loja ate que ache uma solução definitiva pra esse novo autorun.inf ¬¬

E sim o Kaspersky encontra e elimina o .vmx... "adoro esse antvirus" mas ainda duvido q algum ant tira ele por completo =X
flws abraços xD

Anônimo disse...

Olá!!!!

Naverdade esse vírus se aloja em uma dll do S.O., e na chave de registro do Windows. Então toda vez que vc colocar o pen
drive, o virus volta pra ele atravé de um comando criado por ele.

EM MEU PC ELE ESTAVA EM:
D:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx




Tente fazer esse procedimento, eu fiz e funcionou em um pc que tive o mesmo problema com esse virus:

1º - REALIZE UMA VARREDURA COM UM BOM ANTIVIRUS NO PEN DRIVE E REMOVA O VIRUS (EU UTILIZEI O AVASTE E FUNCIONOU).
2º - FAÇA UM BACKUP DOS ARQUIVOS DO PENDRIVE E FORMAT-O.
3º - AGORA VÁ EM EXECUTAR E DIGITE: REGEDIT, PARA ENTRAR NA CHAVE DE REGISTRO DO WINDOWS.
4º - EM EDITAR, CLIC EM LOCALIZAR E DIGITE O NOME DO VIRUS, NO CASO: jwgkvsq.vmx, E TENTE LOCALIZA-LO.
NO MEU PC ESTAVA EM:
HKEY_USERS/S-1-5-21-2052111302-2025429265-682003330-1003/SOFTWARE/
MICROSOFT/WINDOWS/CurrentVersion/EXPLORER/MountPoints2/{3c621fcc-eecf-11dd-877a-002215bbb908}/
SHELL/AUTORUN/COMMAND

E COM O VALOR DE:
D:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx


5º - APÓS LOCALIZAR E SE O LOCAL FOR O MESMO, DÊ DOIS CLIC´S EM PADRÃO QUE FICA AO LADO DIREITO, E REMOVA O VALOR(DEIXE EM BRANCO).

6º - FAÇA UMA VARREDURA NA PASTA WINDOWS E REMOVA O VIRUS.

7º - REINICIE O PC.


PRONTO!!!

NO MEU CASO FUNCIONOU PERFEITAMETE.

FAÇA UMA NOVA VAREDURA COM O ANTIVIRUS NO PEN DRIVE E NA PASTA WINDOWS PARA SE CERTIFICAR.


EM MEU CASO, RESOLVEU.

CARLOS LIMA

Anônimo disse...

Pode Ajudar:

http://www.linhadefensiva.org/forum/index.php?showtopic=90307

Victorunico disse...

Tinha o mesmo problema. O virus que encontrei com o AVAST foi o "Win32: Rootkit-gen [Rtk]" no arquivo "jwgkvsq.vmx" do meu PenDriver, ao pesquisar no Google, encontrei, além deste blog, referências a um virus "Win32: confidenciali [Wrm]" num blog em inglês que mencionava que o comportamento também se aplica a outros dispositivos portáteis, como máquina fotográfica.
O arquivo foi removido pelo AVAST. Mas ao abrir o PenDriver aparece um aviso referente à não localização do arquivo blablabla.vmx na pasta Recycle\numeros-chatos...
E no lugar do icone de unidade de disco do Meu Computador referente ao PenDriver aparece um icone de pasta comum (aquela amarelinha).

Apliquei o procedimento recomendado pelo Antônio.

Um AutoRun.inf (arquivo de sistema) é instalado pelo virus no PenDriver como arquivo oculto. Observando seu comportamento, notei que cria uma chave de registro (Padrão) em alguma pasta com esse caminho genérico no Registro: HKEY_USERS\S-1-5-21-583907252-839522115-318595907-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{...}\Shell\AutoRun\command

com VALOR:

C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

Tal como observado por Antônio... só que com aquele nominho estranho "ahaezedrn" no final (não sei a que se refere).

Como o AutoRun.ini é um arquivo de sistema e não pode ser deletado, eu simplesmente renomeei, deletando a extensão do arquivo, ficando só "AutoRun".

Funcionou. O icone de unidade de disco voltou a aparecer normalmente quando pluga o pendriver. E parou de aparecer o aviso chato.
Como o AVAST eliminou o arquivo do virus, beleza. Tenho certeza que na minha máquina não vai ter problema mais.

Mas obviamente o pendriver será infectado de novo se colocar em outro pc infectado.

Paulino Nascimento disse...

a solucao e colocar o pendriver numa maquina com o windows recem instalodo e com antiviros tambem instalado e atualizado e depois que o antiviros tiver instalado de preferencia o nortom coloca o pendriver e scanea que o norton tira na hora ou simplismente e so plugar

Anônimo disse...

no CMD os comandos
E: (letra do pendrive)
attrib -r -s -h autorun.inf

permite que o mesmo seje apagado.. :X alias, meu computador está infectado com o VMX, toda vez que ponho um pendrive nele, o virus aparece no pendrive (infecta), instalei vários antivirus, vários "tiraram" o virus, inclusive o kaspersky, mas logo colocando o pendrive, o avast! berra dizendo que um arquivo .inf foi encontrado no pen. possuo a função que desativa autorun ativada no meu computador, via diretiva de grupo. Toda vez que vou abrir o pen, escrevo a letra dele na aba do windows explorer, evitando qualquer autorun. mesmo assim, logo que ponho o pen, ele infecta.
como saber se você está infectado? nenhum site de anti-virus ou microsoft abre.
:X
ps: os procedimentos desse site não funcionaram. O ...VMX é um rootkit, ele pode se esconder de qualquer processo que roda no sistema. talvez o Rootkit Remover funcione...

solução mais simples (ao meu ver): formatar :P mais rápido
teste se você está infectado: www.microsoft.com
ou
www.avast.com

Edigley Alexandre disse...

Tenho um CD (imagem ISO) do Kaspersky que roda sem instalação no PC. Basta inserir o CD, reiniciar e dar boot pelo para o CDROM. Ele varre todo o sistema. É um pouco demorado o processo, mas quando usava o windows XP, ele dava contado recado.

Abraço!