RenatoMejias

Solução para o vírus win32.Perlovga.a

91 posts neste tópico

Tivemos um problema recentemente em minha faculdade, todos os pendrives que plugavamos acusava um vírus, o antivírus que usamos lá é o F-Secure, ele acusava os vírus win32.perlovga.a e duas variações do vírus small e assim você não conseguia abrir o pendrive, porém se mandassemos eliminar os vírus ele acusava que faltava o arquivo copy.exe e também não abria a pendrive. Porém isso ocorria apenas se tentassemos executá-la pelo Meu Computador, se executassemos pelo Windows Explorer não acusava nenhum erro. Neste post estarei escrevendo como fiz para solucionar o problema.

Numa análise prévia com o Hijackthis encontrei a seguinte entrada:

F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe

Lógicamente dei fix nesta entrada, porém os problemas persistiram.

Fiz uma pesquisa no google e encontrei o seguinte site:

http://forum.kaspersky.com/index.php?showtopic=21881

Achei interessante sobre o que falam sobre a presença de um arquivo chamado copy.exe e svchost.exe no editor de registro do Windows, assim fui no regedit e procurei tudo o que tivesse esse conteúdo, encontrei uma chave com o seguinte caminho:

E:\Copy.exe

copypq3.jpg

e outra com:

C:\Windows\svchost.exe

svchostbu8.jpg

Exclui as duas, assim quando plugava o pendrive na máquina não acusava mais vírus (desde que fosse um pendrive não infectado, porque se fosse infectado reinfectava de novo).

Vale a pena ressaltar que existem mais 4 arquivos que devem ser excluídos também, que são os seguintes:

C:\Windows\svchost.exe

C:\Windows\xcopy.exe

C:\Windows\system32\temp1.exe

C:\Windows\system32\temp2.exe

Porém quando eu limpava a pendrive com o F Secure e tentava rodar já no computador limpo ele me acusava falta do arquivo copy.exe, então compreendi que era algum arquivo que estava escondido no pendrive que tentava executar, fui no DOS, entrei na raiz da pendrive e dei um attrib -r -s -h para mudar o atributo dos arquivos ali. Veja na imagem abaixo o resultado:

malditoly0.jpg

Assim bastou excluir esse autorun.inf para parar de dar erro e o pendrive conseguiu executar normalmente.

Com outra pendrive infectada fiz o mesmo procedimento, nelas, porém, além do autorun.inf tinha os seguintes arquivos:

host.exe e copy.exe, e eram eles que infectavam as máquinas.

Programei uma ferramenta em Delphi para limpar as pendrives, porém ainda não testei, farei isto essa semana, se der certo disponibilizarei o programa para o pessoal.

[EDITANDO]

Esqueci de mecionar que o primeiro sintoma deste malware é a seguinte tela alguns segundos depois da inicialização:

temp2yh6.jpg

depois disso é preciso finalizar o processo temp1.exe para poder excluir as chaves do regedit.

[/EDITADO]

[EDITADO]

Hoje (20/03/2007) descobri mais uma coisa interessante sobre esse vírus, ele também gera uma pasta oculta na raiz do pendrive chamada Recycled e dentro dessa pasta tem 2 arquivos, que são: Driveinfo.exe e voinfo.dll, se trata de um worm e para removê-lo é preciso fazer o seguinte:

* Interromper o serviço inetsrv.exe

* Apagar o arquivo C:\Windows\system32\inetsrv.exe

* Apagar a chave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\inetsrv

* Apagar a pasta Recycled da raiz do pendrive

* Reiniciar

[/EDITADO]

Link para o programa:

http://dicasweb.com.br/forum/index.php?aut...ds&showfile=147

Qualquer dúvida é só postar.

Editado por RenatoMejias

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá RenatoMejias,

Interessante observação sobre a remoção do referido malware.

Parabéns :legal:

Fiquemos com DEUS.

Compartilhar este post


Link para o post
Compartilhar em outros sites

"fui no DOS, entrei na raiz da pendrive e dei um attrib -r -s -h "explica melhor este passo ,o que é o DOS desculpa a ignorância mas estou aflito com este problema ate já mandei esse vírus para a pen de um amigo.Não a consigo formatar porque diz que esta protegida contra a escrita

Editado por filopox

Compartilhar este post


Link para o post
Compartilhar em outros sites

Terminei de desenvolver uma ferramenta que limpa isso do pendrive, ainda não consegui fazer limpar completamente do computador, me envie uma MP com seu e-mail que eu eu lhe enviarei esse programa.

Obs: Todos os casos que vi com esse problema era possível formatar a pen, verifique se o problema é o mesmo.

Compartilhar este post


Link para o post
Compartilhar em outros sites

sim o problema é o mesmo peço que responda á minha questão é muito importante

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ok, já enviei no seu e-mail, veja bem, trata-se de um programa ainda em teste, não posso garantir que resolverá seu problema.

Outra coisa, antes de limpar seu pendrive é necessário limpar o computador, se aparece aquela tela do temp2.exe quer dizer que a máquina está infectada, para isso siga meu primeiro post, note que vou editá-lo hoje, pois hoje mesmo descobri mais uma coisa sobre esse vírus.

Compartilhar este post


Link para o post
Compartilhar em outros sites

obrigado pelo programa.Agora o meu problema é o seguinte:quando tento mandar alguma coisa para a pen diz que o disco está protegido contra escrita ,mas esta informação é falsa porque já exprimentei noutro computador e funcionou bem

Compartilhar este post


Link para o post
Compartilhar em outros sites

Se você estiver tentando gravar em um MP3 verifique se o Hold não está pressionado, vou lhe enviar o programa novamente porque fiz várias alterações nele, dessa vez limpe a pendrive e o computador.

Obs: Teria como você me enviar novamente seu e-mail por MP, é que fiz uma limpeza em minha caixa de entrada. :P

Editado por RenatoMejias

Compartilhar este post


Link para o post
Compartilhar em outros sites

Quero agradecer toda a atenção . Demorei a responder porque formatei o disco fartei-me do vírus que para mim não é vírus é um trojam, envio mais dados para o problema o meu antivírus nada detectou (Kaspersky Internety Segurity)

Eliminar Virus "win32.Perlova.A Trojan (copy.exe & host.exe)" parcialmente

(O ficheiro "Autorun.ini" é o cousador de este problema todo eleminem-o:

1º-Abrir o(s) disco(s) duro(s)\Amovivel com o o lado direito do rato, e cliquem na opção "Abrir".

2º-Eleminar o ficheiro "Autorun.ini".)

1º-Abrir o executar e escrever "regedit" e clicar em ok.

2º-Abrir os seguintes directórios "O meu computador\Hkey_current_user\software\microsoft\windows\currentversion\explorer"

3º-Dentro deste directório eliminar a pasta"MountPoints2"

4º-Por o anti-virus a fazer uma verificação no(s) disco(s) duro(s) e eliminar todos os virus que ele encontrar.

5º-Na pasta "O meu computador" ir a "Ferramentas-Opções de pastas..." clicar na em "Ver" e seleccionar as seguintes opções "Mostrar ficheiros ocultos" e "Ocultar ficheiros protegidos do sistema operativo (Recomendado)".

6º-Abrir o directório "C" com o lado direito do rato e eliminar o ficheiro "Autorun.ini" e verificar se os ficheiros "copy.exe" e "host.exe" não estão lá.

7º-Se o anti-virus não detectou os ficheiros, inicie o computador em "modo de segurança" e elimine-os voce mesmo".

Editado por filopox

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ola, acho que meu servidor está com este virus, toda vez que tento mapear uma pasta do servidor em uma maquina cliente, o avast detecta um virus o win32:perlovga e não deixa eu mapear a pasta da rede, ja olhei no servidor e não há nenhum copy.exe, svchost.exe, temp1.exe ou temp2.exe

você tem alguma ideia para me ajudar?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Se o problema estiver na rede complica um pouco mais, porque você terá que desconectar a rede e verificar qual a máquina que está infectada, depois executar o procedimento de limpeza que menciono acima.

Quanto ao fix que desenvolvi falta pouco para concluir-lo, só falta fazer ele gerar o log, ai disponibilizarei aqui no fórum.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Prezado Renato,

Peguei o mesmo trojan na faculdade em que trabalho. Não consigo remover os arquivos, nem formatar o pen-drive (MP3 Foston), nem gravar ou deletar qualquer arquivo (há uma mensagem dizendo que o pen está protegido contra gravação... não sei como desabilitar isso...).

Se possível, envie-me o programinha DOS para remoção.

Abraços,

xevious2@uol.com.br

Compartilhar este post


Link para o post
Compartilhar em outros sites
Se o problema estiver na rede complica um pouco mais, porque você terá que desconectar a rede e verificar qual a máquina que está infectada, depois executar o procedimento de limpeza que menciono acima.

Quanto ao fix que desenvolvi falta pouco para concluir-lo, só falta fazer ele gerar o log, ai disponibilizarei aqui no fórum.

como faço para dar este comando no DOS"entrei na raiz da pendrive e dei um attrib -r -s -h para mudar o atributo dos arquivos ali."

Compartilhar este post


Link para o post
Compartilhar em outros sites

Oi Renato,

Eu recebo a mesma mensagem quando tento abrir meu HD pelo Meu Computador.

Editado por aiston12

Compartilhar este post


Link para o post
Compartilhar em outros sites

aiston12, vamos continuar daqui a resolução do seu problema, vou falar com algum moderador para exclui aquele outro post que você fez em Dúvidas sobre Malwares :legal:

Vamos ao problema:

1 - Configure o Windows para mostrar todos os arquivos, veja aqui como fazer

2 - Após feito esse procedimento, abra o Windows Explorer, clique com o botão da direita em cima de C:\ e clique na opção Explorar, provavelmente não dará esse erro de copy.exe, procure nessa pasta um arquivo chamado autorun.inf se encontrá-lo delete-o. Após isso vá em Executar e digite regedit, clique em Editar e depois em Localizar, mande procurar por copy.exe, se você encontrar algo assim:

Unidade:\copy.exe

mande apagar.

3 - Reincie o computador

Depois volte aqui e diga se funcionou.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Renato,

Deu tudo certo graças a Deus e muito obrigado pela sua ajuda. Tanto o meu HD quanto meu Pendrive estão resolvidos.

Grato.

Compartilhar este post


Link para o post
Compartilhar em outros sites
aiston12, vamos continuar daqui a resolução do seu problema, vou falar com algum moderador para exclui aquele outro post que você fez em Dúvidas sobre Malwares :legal:

Vamos ao problema:

1 - Configure o Windows para mostrar todos os arquivos, veja aqui como fazer

2 - Após feito esse procedimento, abra o Windows Explorer, clique com o botão da direita em cima de C:\ e clique na opção Explorar, provavelmente não dará esse erro de copy.exe, procure nessa pasta um arquivo chamado autorun.inf se encontrá-lo delete-o. Após isso vá em Executar e digite regedit, clique em Editar e depois em Localizar, mande procurar por copy.exe, se você encontrar algo assim:

Unidade:\copy.exe

mande apagar.

3 - Reincie o computador

Depois volte aqui e diga se funcionou.

Renato,

Deu tudo certo tanto no HD quanto no Pendrive, graças a Deus, te agradeço muito pela ajuda, vou resolver o problema do meu amigo que me transferiu este virus.

Grato

Compartilhar este post


Link para o post
Compartilhar em outros sites

Perfeito, em breve meu programa estará 100% completo, é difícil pela falta de tempo, estou na semana de provas na faculdade, não posso completar essa semana ainda. Mas tentarei fazer no fim de semana.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Renato,

Deu tudo certo tanto no HD quanto no Pendrive, graças a Deus, te agradeço muito pela ajuda, vou resolver o problema do meu amigo que me transferiu este virus.

Grato

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá Renato, sou nova por aqui e gostaria muito de agradecer a dica...deu certo!!!

Abraço :D

Compartilhar este post


Link para o post
Compartilhar em outros sites
sim o problema é o mesmo peço que responda á minha questão é muito importante

:o olá renato,meu nome é iolanda,em 1 ano ja formatei meu pc 18 vezes ´por conta desse wim 32,se puder me mande um i-mail me ajudando quanto a isso obrigada.

Editado por iolanda

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá iolanda, prefiro que os problemas sejam resolvidos aqui no fórum, porque assim fica o registro de tudo que está acontecendo.

Você já tentou seguir meus procedimentos indicados acima?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Oi Renato.

Eu estou com este virus em um cliente e a situação é um pouco diferente.

Meu cliente trabalha com o servidor clusterizado e este virus está em uma das pastas dentro da pasta compartilhada do cluster. Embora tenha feito alguns procedimentos que você indicou, os arquivos copy.exe e host.exe não apareceram no diretorio, mesmo usuando o attrib.

Um ideia talvez é tirar o volume do cluster, tentar identificar os arquivos copy.exe e host.exe novamente e se eu conseguir achá-los, elimina-los e depois refazer o cluster. O que você acha ? <_<

Se você ou algum colega já passou por esta situação, por gentileza me passe alguma dica.Tks. Ianelli

Compartilhar este post


Link para o post
Compartilhar em outros sites
Oi Renato.

Eu estou com este virus em um cliente e a situação é um pouco diferente.

Meu cliente trabalha com o servidor clusterizado e este virus está em uma das pastas dentro da pasta compartilhada do cluster. Embora tenha feito alguns procedimentos que você indicou, os arquivos copy.exe e host.exe não apareceram no diretorio, mesmo usuando o attrib.

Um ideia talvez é tirar o volume do cluster, tentar identificar os arquivos copy.exe e host.exe novamente e se eu conseguir achá-los, elimina-los e depois refazer o cluster. O que você acha ? <_<

Se você ou algum colega já passou por esta situação, por gentileza me passe alguma dica.Tks. Ianelli

Certo, em uma rede ele se comporta diferente. Se tem uma máquina na rede infectado ele sempre infectará as pastas compartilhadas, tive o mesmo problema em minha faculdade, resolvi assim:

- Desconectei fisicamente todas as máquinas da rede inicialmente

- Efetuei uma limpeza em cada estação com os procedimentos indicados acima

- No final limpei o servidor onde estavam as pastas compartilhadas

No que reconectei a rede ele não voltou mais.

Embora tenha feito alguns procedimentos que você indicou, os arquivos copy.exe e host.exe não apareceram no diretorio, mesmo usuando o attrib.

Verifique se o Autorun.inf está presente, se estiver, delete-o.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá Renato, como vai? Prazer em falar com você. Meu nome é Hamilton, e estou tendo problemas com o meu computador. Espero que você possa me ajudar.

Em primeiro lugar, gostaria de ressaltar que sou absolutamente inexperiente nestes tipos de procedimento...desculpe as perguntas/comentários estúpidos que possam se seguir.

Tentei os passos que você recomenda para remoção do vírus win32perlovga...exclui o tal arquivo autorun.inf mas no regedit, não encontrei o copy.exe...(no resultado da busca, só apareceu um copy.exe como final de um arquivo super grande...C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe, é esse que eu tenho que excluir??)

continuo com problemas para acessar o drive c: e agora na inicialização ele dá umas mensagens de arquivos faltando (svchost.exe e C:\Windows\system32\temp2.exe pelo que eu me lembro, mas acho que tem mais um)

o autorun.inf ainda está na minha lixeira...

Qualquer ajuda é bem vinda

Muito obrigado, e grande abraço

Hamilton

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!


Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.


Entrar Agora

  • Quem Está Navegando   0 membros estão online

    Nenhum usuário registrado visualizando esta página.