Ir para conteúdo

Foto

Solução para o vírus win32.Perlovga.a


  • Por favor, faça o login para responder
90 respostas neste tópico

#1
RenatoMejias

RenatoMejias

    Assistente Emérito

  • Emérito
  • 2.137 posts
  • Sexo:Masculino
  • Local:Mauá - SP
Tivemos um problema recentemente em minha faculdade, todos os pendrives que plugavamos acusava um vírus, o antivírus que usamos lá é o F-Secure, ele acusava os vírus win32.perlovga.a e duas variações do vírus small e assim você não conseguia abrir o pendrive, porém se mandassemos eliminar os vírus ele acusava que faltava o arquivo copy.exe e também não abria a pendrive. Porém isso ocorria apenas se tentassemos executá-la pelo Meu Computador, se executassemos pelo Windows Explorer não acusava nenhum erro. Neste post estarei escrevendo como fiz para solucionar o problema.

Numa análise prévia com o Hijackthis encontrei a seguinte entrada:

F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe

Lógicamente dei fix nesta entrada, porém os problemas persistiram.

Fiz uma pesquisa no google e encontrei o seguinte site:

http://forum.kaspers...showtopic=21881

Achei interessante sobre o que falam sobre a presença de um arquivo chamado copy.exe e svchost.exe no editor de registro do Windows, assim fui no regedit e procurei tudo o que tivesse esse conteúdo, encontrei uma chave com o seguinte caminho:

E:\Copy.exe

Imagem Postada

e outra com:

C:\Windows\svchost.exe

Imagem Postada

Exclui as duas, assim quando plugava o pendrive na máquina não acusava mais vírus (desde que fosse um pendrive não infectado, porque se fosse infectado reinfectava de novo).

Vale a pena ressaltar que existem mais 4 arquivos que devem ser excluídos também, que são os seguintes:

C:\Windows\svchost.exe
C:\Windows\xcopy.exe
C:\Windows\system32\temp1.exe
C:\Windows\system32\temp2.exe

Porém quando eu limpava a pendrive com o F Secure e tentava rodar já no computador limpo ele me acusava falta do arquivo copy.exe, então compreendi que era algum arquivo que estava escondido no pendrive que tentava executar, fui no DOS, entrei na raiz da pendrive e dei um attrib -r -s -h para mudar o atributo dos arquivos ali. Veja na imagem abaixo o resultado:

Imagem Postada

Assim bastou excluir esse autorun.inf para parar de dar erro e o pendrive conseguiu executar normalmente.

Com outra pendrive infectada fiz o mesmo procedimento, nelas, porém, além do autorun.inf tinha os seguintes arquivos:

host.exe e copy.exe, e eram eles que infectavam as máquinas.

Programei uma ferramenta em Delphi para limpar as pendrives, porém ainda não testei, farei isto essa semana, se der certo disponibilizarei o programa para o pessoal.

[EDITANDO]

Esqueci de mecionar que o primeiro sintoma deste malware é a seguinte tela alguns segundos depois da inicialização:

Imagem Postada

depois disso é preciso finalizar o processo temp1.exe para poder excluir as chaves do regedit.

[/EDITADO]

[EDITADO]
Hoje (20/03/2007) descobri mais uma coisa interessante sobre esse vírus, ele também gera uma pasta oculta na raiz do pendrive chamada Recycled e dentro dessa pasta tem 2 arquivos, que são: Driveinfo.exe e voinfo.dll, se trata de um worm e para removê-lo é preciso fazer o seguinte:

* Interromper o serviço inetsrv.exe
* Apagar o arquivo C:\Windows\system32\inetsrv.exe
* Apagar a chave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\inetsrv
* Apagar a pasta Recycled da raiz do pendrive
* Reiniciar
[/EDITADO]

Link para o programa:

http://dicasweb.com....ds&showfile=147

Qualquer dúvida é só postar.

Editado por RenatoMejias, 11 agosto 2008 - 22:08.

Renato Victor Mejias
Saiba o que é o ARIS //Junte-se ao ARIS//LinhaDefensiva no Twitter
Imagem Postada
Imagem Postada

Dúvidas devem ser tiradas no fórum e não por MP ou MSN.

#2
404NOTFOUND

404NOTFOUND

    Membro Avançado

  • Membro
  • PipPipPip
  • 927 posts
Olá RenatoMejias,

Interessante observação sobre a remoção do referido malware.

Parabéns :legal:


Fiquemos com DEUS.
Imagem Postada

#3
filopox

filopox

    Novato

  • Membro
  • Pip
  • 8 posts
"fui no DOS, entrei na raiz da pendrive e dei um attrib -r -s -h "explica melhor este passo ,o que é o DOS desculpa a ignorância mas estou aflito com este problema ate já mandei esse vírus para a pen de um amigo.Não a consigo formatar porque diz que esta protegida contra a escrita

Editado por filopox, 19 março 2007 - 16:28.


#4
RenatoMejias

RenatoMejias

    Assistente Emérito

  • Emérito
  • 2.137 posts
  • Sexo:Masculino
  • Local:Mauá - SP
Terminei de desenvolver uma ferramenta que limpa isso do pendrive, ainda não consegui fazer limpar completamente do computador, me envie uma MP com seu e-mail que eu eu lhe enviarei esse programa.

Obs: Todos os casos que vi com esse problema era possível formatar a pen, verifique se o problema é o mesmo.
Renato Victor Mejias
Saiba o que é o ARIS //Junte-se ao ARIS//LinhaDefensiva no Twitter
Imagem Postada
Imagem Postada

Dúvidas devem ser tiradas no fórum e não por MP ou MSN.

#5
filopox

filopox

    Novato

  • Membro
  • Pip
  • 8 posts
sim o problema é o mesmo peço que responda á minha questão é muito importante

#6
RenatoMejias

RenatoMejias

    Assistente Emérito

  • Emérito
  • 2.137 posts
  • Sexo:Masculino
  • Local:Mauá - SP
Ok, já enviei no seu e-mail, veja bem, trata-se de um programa ainda em teste, não posso garantir que resolverá seu problema.

Outra coisa, antes de limpar seu pendrive é necessário limpar o computador, se aparece aquela tela do temp2.exe quer dizer que a máquina está infectada, para isso siga meu primeiro post, note que vou editá-lo hoje, pois hoje mesmo descobri mais uma coisa sobre esse vírus.
Renato Victor Mejias
Saiba o que é o ARIS //Junte-se ao ARIS//LinhaDefensiva no Twitter
Imagem Postada
Imagem Postada

Dúvidas devem ser tiradas no fórum e não por MP ou MSN.

#7
filopox

filopox

    Novato

  • Membro
  • Pip
  • 8 posts
obrigado pelo programa.Agora o meu problema é o seguinte:quando tento mandar alguma coisa para a pen diz que o disco está protegido contra escrita ,mas esta informação é falsa porque já exprimentei noutro computador e funcionou bem

#8
RenatoMejias

RenatoMejias

    Assistente Emérito

  • Emérito
  • 2.137 posts
  • Sexo:Masculino
  • Local:Mauá - SP
Se você estiver tentando gravar em um MP3 verifique se o Hold não está pressionado, vou lhe enviar o programa novamente porque fiz várias alterações nele, dessa vez limpe a pendrive e o computador.

Obs: Teria como você me enviar novamente seu e-mail por MP, é que fiz uma limpeza em minha caixa de entrada. :P

Editado por RenatoMejias, 21 março 2007 - 18:21.

Renato Victor Mejias
Saiba o que é o ARIS //Junte-se ao ARIS//LinhaDefensiva no Twitter
Imagem Postada
Imagem Postada

Dúvidas devem ser tiradas no fórum e não por MP ou MSN.

#9
filopox

filopox

    Novato

  • Membro
  • Pip
  • 8 posts
Quero agradecer toda a atenção . Demorei a responder porque formatei o disco fartei-me do vírus que para mim não é vírus é um trojam, envio mais dados para o problema o meu antivírus nada detectou (Kaspersky Internety Segurity)

Eliminar Virus "win32.Perlova.A Trojan (copy.exe & host.exe)" parcialmente
(O ficheiro "Autorun.ini" é o cousador de este problema todo eleminem-o:
1º-Abrir o(s) disco(s) duro(s)\Amovivel com o o lado direito do rato, e cliquem na opção "Abrir".
2º-Eleminar o ficheiro "Autorun.ini".)

1º-Abrir o executar e escrever "regedit" e clicar em ok.
2º-Abrir os seguintes directórios "O meu computador\Hkey_current_user\software\microsoft\windows\currentversion\explorer"
3º-Dentro deste directório eliminar a pasta"MountPoints2"
4º-Por o anti-virus a fazer uma verificação no(s) disco(s) duro(s) e eliminar todos os virus que ele encontrar.
5º-Na pasta "O meu computador" ir a "Ferramentas-Opções de pastas..." clicar na em "Ver" e seleccionar as seguintes opções "Mostrar ficheiros ocultos" e "Ocultar ficheiros protegidos do sistema operativo (Recomendado)".
6º-Abrir o directório "C" com o lado direito do rato e eliminar o ficheiro "Autorun.ini" e verificar se os ficheiros "copy.exe" e "host.exe" não estão lá.
7º-Se o anti-virus não detectou os ficheiros, inicie o computador em "modo de segurança" e elimine-os voce mesmo".

Editado por filopox, 24 março 2007 - 17:20.


#10
c4nsado

c4nsado

    Novato

  • Membro
  • Pip
  • 8 posts
Ola, acho que meu servidor está com este virus, toda vez que tento mapear uma pasta do servidor em uma maquina cliente, o avast detecta um virus o win32:perlovga e não deixa eu mapear a pasta da rede, ja olhei no servidor e não há nenhum copy.exe, svchost.exe, temp1.exe ou temp2.exe

você tem alguma ideia para me ajudar?

#11
RenatoMejias

RenatoMejias

    Assistente Emérito

  • Emérito
  • 2.137 posts
  • Sexo:Masculino
  • Local:Mauá - SP
Se o problema estiver na rede complica um pouco mais, porque você terá que desconectar a rede e verificar qual a máquina que está infectada, depois executar o procedimento de limpeza que menciono acima.

Quanto ao fix que desenvolvi falta pouco para concluir-lo, só falta fazer ele gerar o log, ai disponibilizarei aqui no fórum.
Renato Victor Mejias
Saiba o que é o ARIS //Junte-se ao ARIS//LinhaDefensiva no Twitter
Imagem Postada
Imagem Postada

Dúvidas devem ser tiradas no fórum e não por MP ou MSN.

#12
Xevious2

Xevious2

    Novato

  • Membro
  • Pip
  • 1 posts
Prezado Renato,

Peguei o mesmo trojan na faculdade em que trabalho. Não consigo remover os arquivos, nem formatar o pen-drive (MP3 Foston), nem gravar ou deletar qualquer arquivo (há uma mensagem dizendo que o pen está protegido contra gravação... não sei como desabilitar isso...).

Se possível, envie-me o programinha DOS para remoção.

Abraços,

xevious2@uol.com.br

#13
aiston12

aiston12

    Novato

  • Membro
  • Pip
  • 6 posts

Se o problema estiver na rede complica um pouco mais, porque você terá que desconectar a rede e verificar qual a máquina que está infectada, depois executar o procedimento de limpeza que menciono acima.

Quanto ao fix que desenvolvi falta pouco para concluir-lo, só falta fazer ele gerar o log, ai disponibilizarei aqui no fórum.

como faço para dar este comando no DOS"entrei na raiz da pendrive e dei um attrib -r -s -h para mudar o atributo dos arquivos ali."

#14
aiston12

aiston12

    Novato

  • Membro
  • Pip
  • 6 posts
Oi Renato,
Eu recebo a mesma mensagem quando tento abrir meu HD pelo Meu Computador.

Editado por aiston12, 09 abril 2007 - 17:22.


#15
RenatoMejias

RenatoMejias

    Assistente Emérito

  • Emérito
  • 2.137 posts
  • Sexo:Masculino
  • Local:Mauá - SP
aiston12, vamos continuar daqui a resolução do seu problema, vou falar com algum moderador para exclui aquele outro post que você fez em Dúvidas sobre Malwares :legal:

Vamos ao problema:

1 - Configure o Windows para mostrar todos os arquivos, veja aqui como fazer

2 - Após feito esse procedimento, abra o Windows Explorer, clique com o botão da direita em cima de C:\ e clique na opção Explorar, provavelmente não dará esse erro de copy.exe, procure nessa pasta um arquivo chamado autorun.inf se encontrá-lo delete-o. Após isso vá em Executar e digite regedit, clique em Editar e depois em Localizar, mande procurar por copy.exe, se você encontrar algo assim:

Unidade:\copy.exe

mande apagar.

3 - Reincie o computador

Depois volte aqui e diga se funcionou.
Renato Victor Mejias
Saiba o que é o ARIS //Junte-se ao ARIS//LinhaDefensiva no Twitter
Imagem Postada
Imagem Postada

Dúvidas devem ser tiradas no fórum e não por MP ou MSN.

#16
aiston12

aiston12

    Novato

  • Membro
  • Pip
  • 6 posts
Renato,
Deu tudo certo graças a Deus e muito obrigado pela sua ajuda. Tanto o meu HD quanto meu Pendrive estão resolvidos.
Grato.

#17
aiston12

aiston12

    Novato

  • Membro
  • Pip
  • 6 posts

aiston12, vamos continuar daqui a resolução do seu problema, vou falar com algum moderador para exclui aquele outro post que você fez em Dúvidas sobre Malwares :legal:

Vamos ao problema:

1 - Configure o Windows para mostrar todos os arquivos, veja aqui como fazer

2 - Após feito esse procedimento, abra o Windows Explorer, clique com o botão da direita em cima de C:\ e clique na opção Explorar, provavelmente não dará esse erro de copy.exe, procure nessa pasta um arquivo chamado autorun.inf se encontrá-lo delete-o. Após isso vá em Executar e digite regedit, clique em Editar e depois em Localizar, mande procurar por copy.exe, se você encontrar algo assim:

Unidade:\copy.exe

mande apagar.

3 - Reincie o computador

Depois volte aqui e diga se funcionou.

Renato,
Deu tudo certo tanto no HD quanto no Pendrive, graças a Deus, te agradeço muito pela ajuda, vou resolver o problema do meu amigo que me transferiu este virus.
Grato

#18
RenatoMejias

RenatoMejias

    Assistente Emérito

  • Emérito
  • 2.137 posts
  • Sexo:Masculino
  • Local:Mauá - SP
Perfeito, em breve meu programa estará 100% completo, é difícil pela falta de tempo, estou na semana de provas na faculdade, não posso completar essa semana ainda. Mas tentarei fazer no fim de semana.
Renato Victor Mejias
Saiba o que é o ARIS //Junte-se ao ARIS//LinhaDefensiva no Twitter
Imagem Postada
Imagem Postada

Dúvidas devem ser tiradas no fórum e não por MP ou MSN.

#19
aiston12

aiston12

    Novato

  • Membro
  • Pip
  • 6 posts
Renato,
Deu tudo certo tanto no HD quanto no Pendrive, graças a Deus, te agradeço muito pela ajuda, vou resolver o problema do meu amigo que me transferiu este virus.
Grato

#20
Aramlis

Aramlis

    Novato

  • Membro
  • Pip
  • 1 posts
Olá Renato, sou nova por aqui e gostaria muito de agradecer a dica...deu certo!!!

Abraço :D




0 usuário(s) está(ão) lendo este tópico

0 membros, 0 visitantes, 0 membros anônimos