Ir ao conteúdo
  • Cadastre-se
HU4N

Vírus Que Bloqueia Muita Coisa

Recommended Posts

Olá boa tarde.

 

Eu tenho uma máquina em serviço aqui onde trabalho que tá me dando problemas.

 

Primeiramente onde trabalho tem vários vírus pois é uma empresa grande.

 

1 - O vírus fáz com que a máquina não seja vista pela rede (mesmo "pingando").

2 - Ele bloqueia o acesso ao Firewall.

3 - Bloqueia o acesso ao regedit e mostra a mensagem "A edição do Registro foi desativada pelo Administrador".

 

https://drive.google.com/file/d/0B8LD8e8slSjtbTBwZ0NPUS1OUmc/edit?usp=sharing

Obs.: Aqui não temos acesso a outro tipo de site pra mandar fotos.

 

4 - Ele cria várias replicas dele por todas as pastas do PC.

 

https://drive.google.com/file/d/0B8LD8e8slSjtdUxNVWlrbzF6OXc/edit?usp=sharing

Obs.: Aqui não temos acesso a outro tipo de site pra mandar fotos.

 

Não sei se o LOG do DDS vai resolver pois ele não tem acesso ao Regedit.

 

DDS:

DDS (Ver_2012-11-20.01) - NTFS_AMD64
Internet Explorer: 8.0.7600.16385
Run by scan at 19:26:15 on 2014-07-27
Microsoft Windows 7 Ultimate   6.1.7600.0.1252.55.1046.18.1981.1414 [GMT -3:00]
.
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
============== Running Processes ===============
.
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\system32\taskhost.exe
C:\Windows\SysWOW64\rserver30\RServer3.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
C:\Windows\SysWOW64\rserver30\FamItrfc.Exe
C:\Windows\SysWOW64\rserver30\FamItrfc.Exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Program Files (x86)\ZaraSoft\ZaraRadio\ZaraRadio.exe
C:\Windows\System32\svchost.exe -k secsvcs
C:\Windows\SysWOW64\rserver30\FamItrf2.Exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\System32\cscript.exe
.
============== Pseudo HJT Report ===============
.
mWinlogon: Userinit = userinit.exe
uRun: [ccleaner] "C:\Program Files\CCleaner\CCleaner64.exe" /AUTO
uRun: [tjqsdeo] zzqcxicojzgksqunu.exe
uRun: [mzdc] C:\Users\scan\AppData\Local\Temp\gjdsqebqohryjkrnxilf.exe
mRun: [mzdc] ijbokwrearzenmrltc.exe
mRun: [slvaosfkyh] C:\Users\scan\AppData\Local\Temp\gjdsqebqohryjkrnxilf.exe
mExplorerRun: [gvbcmm] gjdsqebqohryjkrnxilf.exe
mExplorerRun: [fru] C:\Users\scan\AppData\Local\Temp\srhsmwpaujpszwzr.exe
StartupFolder: C:\Users\scan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MUSICA MÊS DE JULHO 2014 -  SELEÇÃO FNB.lst
uPolicies-Explorer: NoDriveTypeAutoRun = dword:1
uPolicies-System: DisableRegistryTools = dword:1
mPolicies-Explorer: NoActiveDesktop = dword:1
mPolicies-Explorer: NoActiveDesktopChanges = dword:1
mPolicies-Explorer: NoDriveTypeAutoRun = dword:1
mPolicies-System: ConsentPromptBehaviorAdmin = dword:0
mPolicies-System: ConsentPromptBehaviorUser = dword:0
mPolicies-System: EnableInstallerDetection = dword:0
mPolicies-System: EnableLUA = dword:0
mPolicies-System: EnableSecureUIAPaths = dword:0
mPolicies-System: EnableUIADesktopToggle = dword:0
mPolicies-System: EnableVirtualization = dword:0
mPolicies-System: PromptOnSecureDesktop = dword:0
mPolicies-System: DisableRegistryTools = dword:1
TCP: Interfaces\{13219C9A-8C05-41D0-BEED-D120E9669E7A} : NameServer = 192.168.26.254
SSODL: WebCheck - <orphaned>
x64-SSODL: WebCheck - <orphaned>
.
============= SERVICES / DRIVERS ===============
.
R1 raddrvv3;raddrvv3;C:\Windows\SysWOW64\rserver30\raddrvv3.sys [2009-10-9 68704]
R2 RServer3;Radmin Server V3;C:\Windows\SysWOW64\rserver30\rserver3.exe [2009-10-9 1242504]
R3 mirrorv3;mirrorv3;C:\Windows\System32\drivers\rminiv3.sys [2009-10-9 5632]
R3 RTL8167;Realtek 8167 NT Driver;C:\Windows\System32\drivers\Rt64win7.sys [2009-6-10 187392]
.
=============== Created Last 30 ================
.
2014-07-24 21:30:27    --------    d-----w-    C:\Program Files\CCleaner
2014-07-20 17:09:34    165376    ------w-    C:\Windows\SysWow64\unrar.dll
2014-07-20 17:09:33    232448    ------w-    C:\Windows\SysWow64\mp3fhg.acm
2014-07-20 17:09:33    217088    ------w-    C:\Windows\SysWow64\yv12vfw.dll
2014-07-20 17:09:33    151552    ------w-    C:\Windows\SysWow64\ac3acm.acm
2014-07-20 17:09:32    790528    ------w-    C:\Windows\SysWow64\xvidcore.dll
2014-07-20 17:09:32    134144    ------w-    C:\Windows\SysWow64\xvidvfw.dll
2014-07-20 17:09:32    108032    ------w-    C:\Windows\SysWow64\ff_vfw.dll
2014-07-20 17:09:30    --------    d-----w-    C:\Program Files (x86)\K-Lite Codec Pack
2014-07-19 22:49:59    --------    d-----w-    C:\Windows\pss
2014-07-19 22:12:23    765952    ------w-    C:\Windows\SysWow64\zzqcxicojzgksqunu.exe
2014-07-19 22:12:23    765952    ------w-    C:\Windows\SysWow64\vzukjywmlfqykmurcosnd.exe
2014-07-19 22:12:23    765952    ------w-    C:\Windows\SysWow64\tvoczmiwtluakkqlueg.exe
2014-07-19 22:12:23    765952    ------w-    C:\Windows\SysWow64\srhsmwpaujpszwzr.exe
.
==================== Find3M  ====================
.
.
============= FINISH: 19:26:30,25 ===============
 

 

attach:

 

.
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2012-11-20.01)
.
Microsoft Windows 7 Ultimate
Boot Device: \Device\HarddiskVolume1
Install Date: 29/04/2013 16:12:28
System Uptime: 27/07/2014 10:25:27 (9 hours ago)
.
Motherboard: MEGA |  | G41T-M7 LGT
Processor: Intel® Celeron® CPU        E3300  @ 2.50GHz | CPU 1 | 2493/200mhz
.
==== Disk Partitions =========================
.
C: is FIXED (NTFS) - 98 GiB total, 66,994 GiB free.
D: is FIXED (NTFS) - 368 GiB total, 366,965 GiB free.
.
==== Disabled Device Manager Items =============
.
==== System Restore Points ===================
.
RP57: 06/07/2014 00:00:02 - Ponto de Verificação Agendado
RP58: 14/07/2014 00:00:02 - Ponto de Verificação Agendado
RP59: 21/07/2014 08:36:17 - Ponto de Verificação Agendado
RP61: 24/07/2014 10:05:29 - Operação de restauração
.
==== Installed Programs ======================
.
CCleaner
K-Lite Mega Codec Pack 6.3.0
Radmin Server 3.4
Radmin Viewer 3.4
WinRAR 4.01 (32-bit)
ZaraRadio 1.6.2
.
==== End Of File ===========================
 

 

Boa Sorte :)


uRun: [tjqsdeo] zzqcxicojzgksqunu.exe
uRun: [mzdc] C:\Users\scan\AppData\Local\Temp\gjdsqebqohryjkrnxilf.exe
mRun: [mzdc] ijbokwrearzenmrltc.exe
mRun: [slvaosfkyh] C:\Users\scan\AppData\Local\Temp\gjdsqebqohryjkrnxilf.exe
mExplorerRun: [gvbcmm] gjdsqebqohryjkrnxilf.exe
mExplorerRun: [fru] C:\Users\scan\AppData\Local\Temp\srhsmwpaujpszwzr.exe

 

2014-07-19 22:12:23    765952    ------w-    C:\Windows\SysWow64\zzqcxicojzgksqunu.exe
2014-07-19 22:12:23    765952    ------w-    C:\Windows\SysWow64\vzukjywmlfqykmurcosnd.exe
2014-07-19 22:12:23    765952    ------w-    C:\Windows\SysWow64\tvoczmiwtluakkqlueg.exe
2014-07-19 22:12:23    765952    ------w-    C:\Windows\SysWow64\srhsmwpaujpszwzr.exe

 

Esses processos acima foram deletados juntamente com os arquivos mas continua o vírus.

 

 

Hoje a máquina está com o vírus, mas inativo pois eu parei a arvore de processos do vírus.

Entretanto ele ainda tem efeito pois se espalha e bloqueia o Regedit, que usamos constantemente.

 

Obrigado!!!!

No gerenciador de Tarefas também aparecia o processo jvox.exe (acho que é assim o nome).

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro HU4N

 

Eu tenho uma máquina em serviço aqui onde trabalho que tá me dando problemas. 
Primeiramente onde trabalho tem vários vírus pois é uma empresa grande.

 

 

De acordo com as regras:

 

 

ATENÇÃO

  • Logs em que o autor do tópico não seja o dono do computadornão serão analisados.
  • Tópicos com logs de computadores de empresas não serão analisados.
  • Procure ajuda do setor de informática da sua empresa. Caso a empresa não possua uma equipe de suporte, deverá recorrer a empresas que prestam este serviço.
  • Note que nosso trabalho é voluntário e gratuito, visando ajudar usuários finais e não prestar consultoria

 

 

Link: http://forum.clubedohardware.com.br/topic/558719-leia-antes-de-postar-criando-um-novo-t%C3%B3pico/

 

O tópico será trancado.

 

Grato pela compreensão.

 

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×