Ir ao conteúdo
  • Cadastre-se
DennyPiza

Trojan detectado em CKCNV.EXE

Recommended Posts

Bom dia, eu trabalho no suporte em uma empresa e notei que desde ontem foram aberto vários chamados reportando este vírus.

O anti-vírus da empresa é o Symantec.

Ao meu ver, este é um vírus que se espalha pela rede e substitui o arquivo ckcnv.exe que é um processo normal do Windows. Assim que o sistema operacional nota que o arquivo foi "corrompido", o cd do Windows XP é pedido para a restauração.

Alguém tem mais informações sobre este vírus? Já procurei bastante no google mas a maioria das respostas é sobre o processo original do windows...

Obrigado.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá Denny!

Seria importante ver o local onde se encontra este arquivo. Normalmente ele fica neste local:

C:\WINDOWS\system32\dllcache\

Ou então neste:

c:\windows\system32\ckcnv.exe

Para complementar a segurança do Symantec e deixar seus computadores mais protegidos seria muito importante seguir as dicas deste tutorial:

Dicas para complementar a segurança do seu antivírus

Compartilhar este post


Link para o post
Compartilhar em outros sites

Bom dia Denny,

Também tivemos esse problema aqui na empresa, mas mesmo pesquisando muito não encontrei mais nada.

O Symantec limpou o arquivo mas estou com receio de dar mais alguma problema.

Você descobriu mais alguma coisa?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Antonio, o ckcnv foi encontrado exatamente nessas pastas. Após uns testes cheguei a conclusão que o problema está de fato no anti vírus.

Rodrigo, eu acredito que seja um problema com o Symantec. Efetuei o seguinte teste:

No meu notebook, que nunca foi conectado à rede eu encontrei o ckcnv e confrontei suas propriedades com o de uma máquina "infectada" da rede da empresa. Para minha surpresa os arquivos são exatamente o mesmo.

Minha conclusão é que a Symantec adicionou, em sua última atualização, algum código malicioso às suas definições de vírus que talvez coincida com alguma parte do tal ckcnv, uma vez que tal aplicativo serve para conversão de cookies.

Enviei o problema para o setor de segurança que entrará em contato com a Symantec para averiguar o caso.

Assim que obtivermos resposta eu postarei aqui para constar como referência certa.

Editado por DennyPiza

Compartilhar este post


Link para o post
Compartilhar em outros sites

Deve ser um falso-positivo então do Symantec, realmente é muito importante entrar em contato com eles para que corrijam esse problema.

Para ter certeza de que os computadores estão totalmente limpo de vírus e spywares e também para remover algum malware que esteja nos micros é só fazer um escaneamento online do seu computador com os melhores antivírus online que são:

http://onecare.live.com/site/pt-br/default.htm?mkt=pt-br (OBS: NÃO mande o relatório para a Microsoft durante a execução desta ferramenta online)

http://www.pandasoftware.com/activescan/

http://www.eset.com/onlinescan/index.php

http://support.f-secure.com/enu/home/ols.shtml

http://www.bitdefender.com/scan8/ie.html

http://housecall.trendmicro.com/

http://www.ewido.net/en/onlinescan/

Compartilhar este post


Link para o post
Compartilhar em outros sites

BOA TARDE GURIZADA

Estou com o mesmo problema na empresa em que trabalho, aposto na hipótese de ser um falso positivo symantec tb. Estou testando scan de outros fabricantes e tb não encontrou nada.

segue o link da VIRSCAN.org com o teste feito utilizando vários antivirus.

REPORT VIRSCAN.org

Editado por rpsoca

Compartilhar este post


Link para o post
Compartilhar em outros sites

Galera também utilizo Symantec e estou com o mesmo problema percebi que os usuários aqui na empresa comecaram a reclamar hoje, e foi logo após a atualização de ontem. Estarei também entrando em contato com o suporte da Symantec.

Compartilhar este post


Link para o post
Compartilhar em outros sites

O arquivo CKCNV.EXE é um arquivo de conversão de cookies utilizado pelo Windows.

Ele serve para conversão de alguns códigos que não são reconhecidos pelo IE.

Seu arquivo original têm 7.50kb e em disco 8kb, sua versão original é 6.00.2600.0000 (xpclient.010817-1148).

Alguns viróticos têm a propriedade de isolá-lo e acrescentar um arquivo maior em substituição ao original servindo como cavalo de tróia.

O Norton em suas novas assinaturas incluiu o arquivo, apenas isolando-o na quarentena.

Em algumas máquinas de laboratório o arquivo foi isolado na quarentena, não gerando maiores problemas no WIN, outras máquinas nem deram problemas e algumas não foram isolados. (essa feature já foi corrigida).

Para reverter a situação, entre na quarentena e utilize a opção de retornar o arquivo, mas, tenha certeza que seja o original.

Shalom

Lord Enigm@

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar agora





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×