Ir para conteúdo

Foto

Solução para o vírus win32.Perlovga.a


  • Por favor, faça o login para responder
90 respostas neste tópico

#21
iolanda

iolanda

    Novato

  • Membro
  • Pip
  • 1 posts

sim o problema é o mesmo peço que responda á minha questão é muito importante

:o olá renato,meu nome é iolanda,em 1 ano ja formatei meu pc 18 vezes ´por conta desse wim 32,se puder me mande um i-mail me ajudando quanto a isso obrigada.

Editado por iolanda, 10 abril 2007 - 17:07.


#22
RenatoMejias

RenatoMejias

    Assistente Emérito

  • Emérito
  • 2.137 posts
  • Sexo:Masculino
  • Local:Mauá - SP
Olá iolanda, prefiro que os problemas sejam resolvidos aqui no fórum, porque assim fica o registro de tudo que está acontecendo.

Você já tentou seguir meus procedimentos indicados acima?
Renato Victor Mejias
Saiba o que é o ARIS //Junte-se ao ARIS//LinhaDefensiva no Twitter
Imagem Postada
Imagem Postada

Dúvidas devem ser tiradas no fórum e não por MP ou MSN.

#23
Ianelli

Ianelli

    Novato

  • Membro
  • Pip
  • 1 posts
Oi Renato.
Eu estou com este virus em um cliente e a situação é um pouco diferente.
Meu cliente trabalha com o servidor clusterizado e este virus está em uma das pastas dentro da pasta compartilhada do cluster. Embora tenha feito alguns procedimentos que você indicou, os arquivos copy.exe e host.exe não apareceram no diretorio, mesmo usuando o attrib.

Um ideia talvez é tirar o volume do cluster, tentar identificar os arquivos copy.exe e host.exe novamente e se eu conseguir achá-los, elimina-los e depois refazer o cluster. O que você acha ? <_<

Se você ou algum colega já passou por esta situação, por gentileza me passe alguma dica.Tks. Ianelli

#24
RenatoMejias

RenatoMejias

    Assistente Emérito

  • Emérito
  • 2.137 posts
  • Sexo:Masculino
  • Local:Mauá - SP

Oi Renato.
Eu estou com este virus em um cliente e a situação é um pouco diferente.
Meu cliente trabalha com o servidor clusterizado e este virus está em uma das pastas dentro da pasta compartilhada do cluster. Embora tenha feito alguns procedimentos que você indicou, os arquivos copy.exe e host.exe não apareceram no diretorio, mesmo usuando o attrib.

Um ideia talvez é tirar o volume do cluster, tentar identificar os arquivos copy.exe e host.exe novamente e se eu conseguir achá-los, elimina-los e depois refazer o cluster. O que você acha ? <_<

Se você ou algum colega já passou por esta situação, por gentileza me passe alguma dica.Tks. Ianelli

Certo, em uma rede ele se comporta diferente. Se tem uma máquina na rede infectado ele sempre infectará as pastas compartilhadas, tive o mesmo problema em minha faculdade, resolvi assim:

- Desconectei fisicamente todas as máquinas da rede inicialmente

- Efetuei uma limpeza em cada estação com os procedimentos indicados acima

- No final limpei o servidor onde estavam as pastas compartilhadas

No que reconectei a rede ele não voltou mais.

Embora tenha feito alguns procedimentos que você indicou, os arquivos copy.exe e host.exe não apareceram no diretorio, mesmo usuando o attrib.

Verifique se o Autorun.inf está presente, se estiver, delete-o.
Renato Victor Mejias
Saiba o que é o ARIS //Junte-se ao ARIS//LinhaDefensiva no Twitter
Imagem Postada
Imagem Postada

Dúvidas devem ser tiradas no fórum e não por MP ou MSN.

#25
hars

hars

    Novato

  • Membro
  • Pip
  • 3 posts
Olá Renato, como vai? Prazer em falar com você. Meu nome é Hamilton, e estou tendo problemas com o meu computador. Espero que você possa me ajudar.
Em primeiro lugar, gostaria de ressaltar que sou absolutamente inexperiente nestes tipos de procedimento...desculpe as perguntas/comentários estúpidos que possam se seguir.
Tentei os passos que você recomenda para remoção do vírus win32perlovga...exclui o tal arquivo autorun.inf mas no regedit, não encontrei o copy.exe...(no resultado da busca, só apareceu um copy.exe como final de um arquivo super grande...C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe, é esse que eu tenho que excluir??)
continuo com problemas para acessar o drive c: e agora na inicialização ele dá umas mensagens de arquivos faltando (svchost.exe e C:\Windows\system32\temp2.exe pelo que eu me lembro, mas acho que tem mais um)
o autorun.inf ainda está na minha lixeira...
Qualquer ajuda é bem vinda
Muito obrigado, e grande abraço
Hamilton

#26
RenatoMejias

RenatoMejias

    Assistente Emérito

  • Emérito
  • 2.137 posts
  • Sexo:Masculino
  • Local:Mauá - SP

Olá Renato, como vai? Prazer em falar com você. Meu nome é Hamilton, e estou tendo problemas com o meu computador. Espero que você possa me ajudar.
Em primeiro lugar, gostaria de ressaltar que sou absolutamente inexperiente nestes tipos de procedimento...desculpe as perguntas/comentários estúpidos que possam se seguir.
Tentei os passos que você recomenda para remoção do vírus win32perlovga...exclui o tal arquivo autorun.inf mas no regedit, não encontrei o copy.exe...(no resultado da busca, só apareceu um copy.exe como final de um arquivo super grande...C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe, é esse que eu tenho que excluir??)
continuo com problemas para acessar o drive c: e agora na inicialização ele dá umas mensagens de arquivos faltando (svchost.exe e C:\Windows\system32\temp2.exe pelo que eu me lembro, mas acho que tem mais um)
o autorun.inf ainda está na minha lixeira...
Qualquer ajuda é bem vinda
Muito obrigado, e grande abraço
Hamilton

Veja, você deve ter feito os procedimentos pela metade, se ao inicializar aparece esse erro do C:\Windows\Svchost.exe quer dizer que ele não foi fixado no hijackthis como especificado mais acima.

Se aparece o erro de temp2.exe quer dizer que a máquina está infectada ainda, antes de tentar limpar a unidade C:\ tente primeiro desinfectar a máquina, você só saberá que limpou a máquina completa assim que parar de dar erros ao INICIALIZAR a máquina. Vou fazer um breve resumo do que fazer:
  • Fixe está linha no hijackthis F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe
  • Vá no gerenciador de tarefas e interrompa o processo temp1.exe
  • Delete o seguintes arquivos:
    C:\Windows\svchost.exe
    C:\Windows\xcopy.exe
    C:\Windows\system32\temp1.exe
    C:\Windows\system32\temp2.exe
  • Procure no regedit entradas que estejam assim: [Unidade]:\copy.exe, aquelas entradas que você mencionou são válidas.
Feito isso reinicie a máquina e veja se ainda tem problemas na inicialização, caso não tenha siga com os procedimentos indicados para resolver o problema da unidade C:\
Renato Victor Mejias
Saiba o que é o ARIS //Junte-se ao ARIS//LinhaDefensiva no Twitter
Imagem Postada
Imagem Postada

Dúvidas devem ser tiradas no fórum e não por MP ou MSN.

#27
RenatoMejias

RenatoMejias

    Assistente Emérito

  • Emérito
  • 2.137 posts
  • Sexo:Masculino
  • Local:Mauá - SP
Então pessoal, depois de vários testes, tanto em máquinas virtuais, como em outros fóruns, consegui deixar minha ferramenta pronta para algumas infecções.

Eis o link da ferramenta:

http://www.dicasweb....ds&showfile=147

E eis algumas análises bem sucedidas com o uso dela:

http://scriptbrasil....howtopic=103222

http://scriptbrasil....howtopic=102926

http://scriptbrasil....howtopic=101925
Renato Victor Mejias
Saiba o que é o ARIS //Junte-se ao ARIS//LinhaDefensiva no Twitter
Imagem Postada
Imagem Postada

Dúvidas devem ser tiradas no fórum e não por MP ou MSN.

#28
DarkFan

DarkFan

    Novato

  • Iniciante
  • Pip
  • 1 posts
B)

Obrigado cara...
Programa muito bom !
Faz a mesma coisa q o Avast!
Ele remove tudo...
mas da erro pra abri o HD ow Pendrive, dai tem q abrir explorando....
tem como corrigi isso ?

Muito bom...

Editado por DarkFan, 20 junho 2007 - 16:31.


#29
RenatoMejias

RenatoMejias

    Assistente Emérito

  • Emérito
  • 2.137 posts
  • Sexo:Masculino
  • Local:Mauá - SP
Escolha a opção Verificar unidade, na caixa de seleção coloque a unidade com problema, e clique em Verificar. Será pedido para reiniciar, se tiver mais unidades para limpar, deixe para reiniciar somente no final.
Renato Victor Mejias
Saiba o que é o ARIS //Junte-se ao ARIS//LinhaDefensiva no Twitter
Imagem Postada
Imagem Postada

Dúvidas devem ser tiradas no fórum e não por MP ou MSN.

#30
flp_fe

flp_fe

    Novato

  • Iniciante
  • Pip
  • 4 posts
:atirador: oi renato tdo bm??

meu problema é o seguinte:? acho q meu micro não esta infectado so o pendrive, tentei fazer os processos acima mais sou meio leigo em relação a um monte de coisas citadas, e foi em vao...

baixei seu programa mais num consegui abrir, ele vem em extensão php.... como faço???

obrigado

#31
RenatoMejias

RenatoMejias

    Assistente Emérito

  • Emérito
  • 2.137 posts
  • Sexo:Masculino
  • Local:Mauá - SP
Em alguns computadores ele manda baixar esse index.php, não sei por que, recebi seu e-mail e já lhe encaminhei por anexo. Vou conversar com o pessoal onde está hospedado o programa.

Obrigado pelo aviso.
Renato Victor Mejias
Saiba o que é o ARIS //Junte-se ao ARIS//LinhaDefensiva no Twitter
Imagem Postada
Imagem Postada

Dúvidas devem ser tiradas no fórum e não por MP ou MSN.

#32
flp_fe

flp_fe

    Novato

  • Iniciante
  • Pip
  • 4 posts
Renato muito obrigado


excelente programa, parabens.......

excluiu os virus da pen e do pc, se não for pedir muito pode me esclarecer so uma duvida...

na pendrive tem uma pasta q quando se tenta excluir ela diz q não foi possivel excluir a pasta X. A pasta não está vazia...


Eu achei q tivesse alguma relação com o virus mas agora está limpo e continua, pode me dizer como faço pra exclui-la???

desde ja muito obrigado

abrç

#33
RenatoMejias

RenatoMejias

    Assistente Emérito

  • Emérito
  • 2.137 posts
  • Sexo:Masculino
  • Local:Mauá - SP
A pasta se chama "X"?

Não tem nenhuma relação com o Perlovga.a.

Quais os arquivos dentro da pasta, se estiver com arquivos ocultos, configure o Windows para mostrar todos os arquivos, eles aparecerão.

Se ele não deixa fechar é porque tem algum processo ativo ainda.

Qualquer coisa abra um novo tópico com a imagem.

:legal:
Renato Victor Mejias
Saiba o que é o ARIS //Junte-se ao ARIS//LinhaDefensiva no Twitter
Imagem Postada
Imagem Postada

Dúvidas devem ser tiradas no fórum e não por MP ou MSN.

#34
Nitr0

Nitr0

    Novato

  • Iniciante
  • Pip
  • 2 posts
Bom dia a todos

esse post caiu do céu! Parabens ao Renato

porem, estou tentando baixar o PENCLEAN, daquele endereço....e o navegador tenta baixar o PHP. Tentei aqui na firma, e acontece a mesma coisa.....

é possivel alguém me enviar este programa por email?

Obrigado!!

#35
RenatoMejias

RenatoMejias

    Assistente Emérito

  • Emérito
  • 2.137 posts
  • Sexo:Masculino
  • Local:Mauá - SP
Tente neste link:

http://rmejias.100we...an/PenClean.rar
Renato Victor Mejias
Saiba o que é o ARIS //Junte-se ao ARIS//LinhaDefensiva no Twitter
Imagem Postada
Imagem Postada

Dúvidas devem ser tiradas no fórum e não por MP ou MSN.

#36
Nitr0

Nitr0

    Novato

  • Iniciante
  • Pip
  • 2 posts
Consegui baixar Renato! Muito obrigado

#37
kleydir

kleydir

    Novato

  • Membro
  • Pip
  • 1 posts
so consegui baixar o index...

#38
RenatoMejias

RenatoMejias

    Assistente Emérito

  • Emérito
  • 2.137 posts
  • Sexo:Masculino
  • Local:Mauá - SP

Tente neste link:

http://rmejias.100we...an/PenClean.rar

Use o segundo link que passei:

http://rmejias.100we...an/PenClean.rar
Renato Victor Mejias
Saiba o que é o ARIS //Junte-se ao ARIS//LinhaDefensiva no Twitter
Imagem Postada
Imagem Postada

Dúvidas devem ser tiradas no fórum e não por MP ou MSN.

#39
Mr_Darkness

Mr_Darkness

    Novato

  • Membro
  • Pip
  • 3 posts
tentei fazer de tudo aqui,consegui remover o virus tudo,só q de vez de prestar atenção removi o copy.exe do regedit q tem antes o Shell.exe....

agora quando eu clico no C:Disco Local ele abre o Pesquisar do windows...

alguém sabe me falar como faço pra resolver isso...o cliente ja esta ficando nervoso...

Grato

Lucas

#40
RenatoMejias

RenatoMejias

    Assistente Emérito

  • Emérito
  • 2.137 posts
  • Sexo:Masculino
  • Local:Mauá - SP

tentei fazer de tudo aqui,consegui remover o virus tudo,só q de vez de prestar atenção removi o copy.exe do regedit q tem antes o Shell.exe....

agora quando eu clico no C:Disco Local ele abre o Pesquisar do windows...

alguém sabe me falar como faço pra resolver isso...o cliente ja esta ficando nervoso...

Grato

Lucas

Restaure o sistema.
Renato Victor Mejias
Saiba o que é o ARIS //Junte-se ao ARIS//LinhaDefensiva no Twitter
Imagem Postada
Imagem Postada

Dúvidas devem ser tiradas no fórum e não por MP ou MSN.




0 usuário(s) está(ão) lendo este tópico

0 membros, 0 visitantes, 0 membros anônimos