Possível duplicata:
O que fazer se meu computador estiver infectado por um vírus ou malware?
Eu estava olhando para um PC, cujo usuário reclamou que não conseguia se conectar à Internet e que o PC estava reiniciando aleatoriamente.
O PC executa o WinXP SP3. Ao examinar, descobri que o serviço Wireless Zero Configuration foi interrompido. Ativei isso e a internet voltou a funcionar (o pc conectado via wifi). Então iniciei o Firefox e naveguei até gmail.com. Não lancei nenhum outro programa, exceto algumas janelas do Explorer.
Foi então que percebi que uma janela havia aparecido (não era um pop-up). Tinha o ícone da pasta do explorer e em vez do conteúdo da pasta do explorer, mostrava uma página do hotmail, com um usuário chamado "Homer Stinson" logado. A barra de título estava vazia e não havia barras de ferramentas. Perguntei ao cliente se esse era o seu ID de e-mail, mas ele disse que não. Abri o gerenciador de tarefas, que não mostrava esta janela do explorer na aba Aplicativo. Voltei para a janela 'não autorizada' e descobri que a página de configurações do hotmail agora estava aberta, que mais tarde mudou para a página de edição de perfil do hotmail para o mesmo usuário. Eu não estava clicando em nada. Então, de repente, a janela se fechou.
Verifiquei os locais de execução automática e iniciei uma verificação do Malwarebytes Anti Malware que deu um resultado relativamente limpo. O sistema também contou com uma instalação atualizada do AVG.
Não quero uma solução para este problema de vírus (?). Perguntei isso aqui porque queria saber se alguém encontrou algo semelhante. Que tipo de malware pode ser esse?
O usuário não tinha visto uma janela semelhante antes e eu deveria ter feito capturas de tela.
(PS:Homer Stinson é um nome imaginário. Procurei o outro nome real com algumas palavras-chave relevantes, mas não consegui encontrar uma postagem de discussão sobre vírus/malware.)
ATUALIZAR:
Quando verifiquei o PC mais tarde, apareceu um erro de DEP, fechando o PC.
(caixa de diálogo de erro dep, cortesia do Google Images)
ATUALIZAÇÃO 2:
No dia seguinte, encontrei a mesma janela estranha de registro de e-mail, várias vezes, cada vez registrando um ID de e-mail no AOL, Hotmail ou Yahoo (acho que não havia barra de endereço). Uma dessas capturas de tela está anexada.
Eu poderia interagir com a página, como clicar em links e inserir texto. Tentei inserir algum texto quando o outro 'usuário' estava digitando e movi o controle para uma caixa de texto normal, quando o outro 'usuário' estava digitando no campo de senha (a senha que vi eram caracteres aleatórios). O outro 'usuário' entretanto continuou com o cadastro, embora eu não tenha notado o 'usuário' preenchendo o captcha, e por isso não posso dizer se o 'outro' era uma pessoa real ou um bot.
Executei verificações do AVG, Malwarebytes e Spybot e recebi alguns adware, erros de registro e erros de redirecionamento de arquivo Hosts. O Malwarebytes não conseguiu corrigir o problema do arquivo hosts. Linha 0.1.) O Malwarebytes ainda apresentou o mesmo erro de redirecionamento de arquivo de hosts na nova verificação.
Eu poderia corrigir o problema da DEP adicionando a opção AlwaysOff à linha de inicialização do sistema, mas as janelas de registro de e-mail me preocuparam.
Executei portas ativas e descobri que o explorer.exe estava conversando com um IP remoto. A captura de tela segue.
Mesmo depois de matar o explorer.exe e reiniciá-lo, ele ainda se conectaria a ips remotos, todos resolvidos para.correspondência.nomes de domínio .yahoo.*.
Lembro também que o serviço Firewall/ICS do Windows estava desabilitado e não iniciava.
Como o pc tinha backup de documentos, procedi com a reinstalação do SO, porém gostaria de saber que tipo de malware estava enfrentando?
Alguém se deparou com um problema semelhante? Qualquer informação será apreciada.
PS: Sinta-se à vontade para editar a pergunta para maior clareza.
Responder1
Mais informações sobre esse endereço pop1 http://www.robtex.com/dns/pop1.plus.mail.vip.sp2.yahoo.com.html
Sim, é um vírus winlogon.exe
Não há necessidade de reinstalar.
Siga a ordem abaixo para desinfetar adequadamente o seu PC
1.) Faça um disco AV de inicialização, inicialize a partir do disco e verifique o disco rígido, remova todas as infecções encontradas. Eu prefiro o disco Kaspersky. O novo disco Kaspersky 2010 pode atualizar os arquivos AV dat se você estiver conectado à Internet no momento da verificação e é sugerido que você atualize antes da verificação.
http://www.techmixer.com/free-bootable-antivirus-rescue-cds-download-list/
2.) Em seguida: Instale o MBAM gratuito, execute o programa e vá para a guia Atualizar e atualize-o, depois vá para a guia Scanner e faça uma verificação rápida, selecione e remova tudo o que encontrar.
http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html
3.) Quando o MBAM terminar, instale a versão gratuita do SAS, execute uma verificação rápida e remova o que ele seleciona automaticamente. http://www.superantispyware.com/download.html
Esses dois últimos não são softwares AV como o Norton, eles são scanners sob demanda que só verificam problemas quando você executa o programa e não interferem no AV instalado. Eles podem ser executados uma vez por dia ou semana para garantir que você não esteja infectado. Certifique-se de atualizá-los antes de cada verificação diária semanal.
.
Responder2
Você tem algum tipo de software de gerenciamento remoto, como o LogMeIn, instalado? Se este for um computador da empresa, você deve conversar com o departamento de TI sobre isso e descobrir o que eles fazem.
Responder3
Trabalho de detetive:
- Existem pelo menos6 pessoascom o nome de "Homer Stinson" nos Estados Unidos. Então este pode ser um nome real.
- A estranha janela de e-mail é aInscreva-se no WebMail da AOL, então o vírus está no processo de criação de uma nova conta do AOL WebMail.
- O servidor
pop1.plus.mail.vip.sp2.yahoo.com
é um Yahoo! servidor de e-mail. O vírus provavelmente está fazendo a mesma coisa por lá também.
O vírus pode criar novas contas para enviar spam ou tentar por força bruta detectar nomes de contas existentes. Provavelmente faz parte de algum bot de spam.
Pelo fato de você ter tantos sintomas, eu acho que o seu vírus é na verdade um trojan e pode ter trazido alguns "amigos". Já ouvi falar de casos em que dezenas de vírus foram instalados devido a uma única infecção por trojan.
O computador pode estar tão infectado que pode ser quase impossível descobrir onde a infecção começou. Se ainda estiver curioso, você pode usar vários dosantivírus on-lineserviços para verificar o computador, fazendo uma lista de todos os vírus encontrados. Baixe também vários CDs de inicialização de produtos antivírus conhecidos e execute-os fora do Windows. Para uma limpeza completa, use também Spybot S&D e Lavasoft Ad-Aware.
A única solução é formatar todos os discos rígidos e reinstalar o Windows. Este computador não pode ser recuperado. Seu esforço para rastrear o vírus pode não valer o tempo gasto.
Responder4
Não acredito tecnicamente que a pergunta foi respondida como você queria. O que isso era, simplesmente, era um pouco de malware de botnet. Um botnet é um grupo de computadores infectados com malware, que trabalham juntos para realizar alguma tarefa, seja ela maliciosa ou não. O que esse código estava fazendo, ou possivelmente a pessoa, era usar o computador como uma fachada legítima para criar grandes quantidades de contas em vários sites. Muito provavelmente, quem quer que estivesse no controle do Botnet tinha mais do que apenas aquele PC trabalhando para ele. Se não fosse um acordo do tipo botnet, então simplesmente um cara usava aquele computador como uma espécie de proxy, para esconder o que estava fazendo e fazer com que essas contas criadas parecessem legítimas. O malware em si é realmente muito simples. Ele usou algum tipo de esquema de phishing para colocar o software no computador, e o software foi configurado para impedir que o PC o visse ou fizesse algo a respeito. A janela que apareceu foi basicamente um tour de force, olhe para mim, veja o que posso fazer. nada disso era realmente necessário para esse tipo de coisa.