Vírus ou linhas de registro?

19 de fevereiro de 2002

Estou com um problema no Windows da minha empresa. Alguém acessou alguma coisa que modificou o registro do windows da seguinte forma:

Modificou várias chaves que referenciam URLs como "SearchUrl"", "SearchBar", "StartPage" com o valor de "http://mycpworld.com" que acaba acessando uma página de pornografia Infantil, mas isso não é o mais preocupante, o que realmente está me incomodando é que eu altero todas as chaves com essas referências e quando eu reinicio a máquina elas voltam todas, e não se trata de um backup de registro que se auto restaura, e esse fato já está me prejudicando na minha firma pois o meu patrão foi acessar a internet e esta página está como página inicial.

Bom como solução provisória eu criei um arquivo de entradas de registro e coloquei no iniciar do menu programas, mas o problema é que tem que confirmar se quer mesmo alterar o registro e deixa a iniciação da máquina mais lenta para uma máquina de escritório.

Agradeço toda a ajuda possível e peço a discussão sobre o tema neste fórum, Obrigado!

Bruno Barros · 20 de fevereiro de 2002

Ola maxpirovani, tudo bom?

Bem..." tudo bom" pelo o que li não esta, no entanto vamos encontrar uma solução...

Para que possamos cortar esse mal pela raíz, preciso de mais informações...

Vamos lá:

1-Qts usuários utilizam este micro?

2-Este micro está em Rede?

3-Caso esteja, qual o nível de Privilégio?

4-Qual SO?

5-Quais os valores que você criou para o registro e de que forma colocou para se auto-inicializar?

Para início, acho que é suficiente. Responda este mini-questionário para podermos resolver este problemão!

Um abraço,

AirCraft · 20 de fevereiro de 2002

Uma coisa básica pra você verificar também é ter um anti-vírus atualizado no seu computador, se for vírus, tu vai poder removê-lo e estar mais seguro.

Mas pegar as informações sem detalhamento é meio complicado.

Skater17 · 22 de fevereiro de 2002

além de passar o norton 2002 atualizado, passe o windoctor do norton utilities... em último caso, reinstale o windows em outra pasta... depois vá reinstalando tudo de novo...

Krad Nale · 4 de março de 2002

Pode ser que algué de "sacanagem", ou um Cracker mau-intencionado tenha instalado um programa residente que muda o registro a cada inicialização, ou algum script do Windows (wscript). Tente o sgte :

- Cheque a chave "RUN" do registro e procure por algum programa estranho. Talvez possa ir testando cada um até achar o "intruso".

- Desinstale (Painel de Controle - Adicionar / Remover programas - aba "Instalação do Windows") o programa "Windows Scripting Host", peguei um vírus de script uma vez que usa esse programa para executar scripts maléficos. Se após a desinstalação o arquivo "C:\Windows\wscript.exe" ainda existir, delete-o. Talvez se ele estiver executando não seja possível apagá-lo, então reinicie em DOS e apague essa peste (perdi todos os meus dados por causa dele ... ).

- Scripts do VB podem executar sob Windows98 ou sob o Outlook Express. Procure por arquivos com extensão "*.vbs" ou "*.hta". E se possível, use outro cliente de e-mail.

Bem, pelo menos é esse o perfil de PC que tenho hoje. Checo tudo que é estranho no PC, atualizo meu AntiVírus toda semana e sempre estou olhando o Registry.

Se não funcionar, "FORMAT C:" nele ! ! !

Té mais ...

Bruno Barros · 7 de março de 2002

Olá maxpirovani,

Primeiramente, desculpe pela demora....

Estou com um problema no Windows da minha empresa. Alguém acessou alguma coisa que modificou o registro do windows da seguinte forma:
Modificou várias chaves que referenciam URLs como "SearchUrl"", "SearchBar", "StartPage" com o valor de "http://mycpworld.com"

Parte I:

Os valores citados, são encontrados nas seguintes chaves:HKCU (Current User), HKLM (Local Machine) e HKU (User) mais propriamente dito:

1-HKCU:"Start Page";"Search Page"

2-HKU:"Start Page";"Search Page"

3-HKLM:"Search Bar";"Search Page";"Start Page";

Vamos realizar uma diferenciação destas chaves/valores:

1-HKEY_CURRENT_USER (HKCU)

A informação contida dentro das CHAVES HKCU, pertence ao usuário que estiver conectado no momento, dái a designação "Current_User / Usuário Atual". Seu conteúdo vem do usuário atual, que é armazenado sob uma subchave username (nome do usuário) abaixo da chave HKU (HKEY_USER). Se o sistema estiver configurado para multiplos usuários, ou se o usuário desviar do prompt de senha pressionando a tecla ESCAPE, a HKCU extrai seus dados da subchave .default encontrada da HKU.

Quanto aos valores especificados:

1-Caminho:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main

"Start Page" : página Inicial do aplicativo

"Search Page": Realiza a procura pela determinada página.

Solução: Apague o conteúdo dos valores citados.

2-HKEY_USER (HKU)

Como descrito no tópico anterior:

"Seu conteúdo vem do usuário atual, que é armazenado sob uma subchave username (nome do usuário) abaixo da chave HKU (HKEY_USER). Se o sistema estiver configurado para multiplos usuários, ou se o usuário desviar do prompt de senha pressionando a tecla ESCAPE, a HKCU extrai seus dados da subchave .default encontrada da HKU."

Em outras palavras...

As configurações HKU, se estende a todos os usuários da máquinas. A chave HKCU possui uma cópia perfeita da HCU, sendo acrescentado alguns ítens que se desrespeita ao "usuário atual" que a HCU não possui.

Quanto aos valores especificados:

1-Caminho:

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main

"Start Page" : página Inicial do aplicativo

"Search Page": Realiza a procura pela determinada página.

Solução: Apague o conteúdo dos valores citados.

3-HKEY_LOCAL_MACHINE (HKLM)

Aqui estarei brevemente resumindo...

Esta chave possui todas as informações inerentes aos programas e funções da máquina.

Quanto aos valores especificados:

1-Caminho:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

"Start Page" : página Inicial do aplicativo

"Search Page": Realiza a procura pela determinada página.

"Search Bar":Mesmo efeito da "Serch Page".

Solução: Apague o conteúdo dos valores citados.

Parte II:

A breve solução que encontrei foi criar um arquivo texto contendo entradas de Registro que quero que sejam modificadas, renomeei o arquivo com a extensão .reg e coloquei no iniciar do windows e toda a vez que se reeinicia a máquina então tenho que confirmar a mudança do registro, e isso deixa a máquina mais lenta.

Para retirar a confirmação da importação, adicione a opção /S (Modo silencioso)

Qualquer dúvida, poste uma mensagem ou mande um messenger.

Um abraço,

Daniel Barros · 11 de abril de 2002

Já tive esse problema e era um virus dentro de um arquivo tmp ....

Ele era executado pelo registro assim :

regedit wueiry987.tmp

esse tmp adicionava as linhas no registro modificando a pagina inicial toda vez que eu dava boot no micro.

linucs · 19 de novembro de 2002

a melhor coisa a fazer, format c:/ q /q/ autotest e instale o win novamente

Chiamarelli · 19 de fevereiro de 2003

Olá amigos, esse problema também aconteceu comigo na firma q eu trabalho... um virus com um script malicioso temtou entrar no meu sistema...mas eu consegui excluir a tempo,´porém ele instalou um arquivo .Dat na pasta Cookies...tentei excluir e não consegui... este arquivo continha um script q em intervalos de 30 min a 1 hora disparavam varias pagina de sites pornograficos q ficavam explodindo na tela simultaneamente !!!!

Bom conclusão... tentei de todo e a unica auternativa foi Format c: e reistalar o Win !!!!

E faça isso enquanto o arq. não se espalhou pele rede !!!!

Boa sorte !!! Té + !!! ??? ???