Ir para conteúdo

Foto

Não consigo remover virus do Itau Bankline


  • Por favor, faça o login para responder
11 respostas neste tópico

#1
elerouxx

elerouxx

    Novato

  • Novato
  • Pip
  • 3 posts
Olá pessoal! é a primeira vez que posto no fórum. Preciso de ajuda...

Não sei como, meu computador pegou um virus que intercepta as páginas dos bancos que eu uso. Itau e Bradesco. Acho que foi um amigo meu que ficou acessando Orkut e abrindo essas 'fotos suas que estão concorrendo a capa do meu site' e tal. Enfim...

Troquei o avast / avg pelo Avira e consegui retirar o do Bradesco. Já o do Itaú é invisivel ao avast, avg, avira e kaspersky, e o Bankerfix também diz que não foi encontrado nenhum problema. E rodei também o CCLEANER e fiz tudo o possivel (limpei registro, aplicativos, arquivos temporarios) mas o falso bankline continua.

O virus deve ser novo. É bem engraçado, na verdade. Ele age assim:

-Primeiro, eu coloco o numero da conta. Pode ser qualquer numero: agencia 1, conta 2, digito 3 que o virus não confere se o numero é válido.

-Depois, aparece uma pagina do BANKLINE. O titulo da pag. sempre tem uma letra maiuscula diferente tipo B a N k L i n e ou B a n k l i N e. Aqui o Itau perguntaria o 'numero do portador do cartao', mas o virus só mostra um botao 'presione OK para acessar o teclado virtual'

-Quando abre o teclado virtual, o virus SEMPRE diz que está errado na primeira tentativa. Na segunda tentativa ele embaralha os numeros, e SE O USUARIO REPETIR A MESMA SENHA, o virus diz que está correto, caso contrario pede para acessar tudo de novo. (assim o virus tem certeza que o usuario está mesmo tentando acessar a conta. experto hein?)

-Depois vem uma tela com duas opçoes - ACESSE COM TOKEN e ACESSE COM CARTAO DE SEGURANÇA. Se escolher acessar com Token, ele diz que 'o sistema está em manutenção', hehe. Claro, ainda não descobriram como burlar o token... por enquanto. (token é aquele dispositivo eletronico gerador de senhas).

-Se selecionar ACESSE COM CARTAO DE SEGURANÇA, ele pede Todas as senhas do cartão e o número de serie desse tal cartão. É isso.

Como devo proceder? Fora formatar o PC, é claro.

Obrigado!

Emilio

#2
André SK.

André SK.

    Membro

  • Membro
  • PipPip
  • 120 posts
  • Local:João Pessoa - Paraiba
Boa tarde caro Emilio, sugiro que procure o auxilio de um profissional na área de remoção de malware e diga tudo o que está acontecendo antes do post.

Caso ainda tenha acesso as mensagem que desconfia que pegou o malware, dê uma lida aqui.

Obs.: Leia bem a página que está no link remoção de malware.

#3
elerouxx

elerouxx

    Novato

  • Novato
  • Pip
  • 3 posts
Hmm aconteceu um negócio estranho, eu posso jurar que postei isto no forum do Bankerfix, em sendo que eu não tenho nenhuma dúvida e sim certeza de que estou infectado por um banker, e que o bankerfix não conseguiu nem identificar nem remover.

Vou postar de novo lá.

#4
JoséFreitas

JoséFreitas

    Membro Avançado

  • Membro
  • PipPipPip
  • 442 posts
  • Local:Gov/mossoró

Hmm aconteceu um negócio estranho, eu posso jurar que postei isto no forum do Bankerfix, em sendo que eu não tenho nenhuma dúvida e sim certeza de que estou infectado por um banker, e que o bankerfix não conseguiu nem identificar nem remover.

Vou postar de novo lá.

Seu problema se trata de malware e não sobre o programa "bankerfix", seu tópico deve ter sido movido para essa área ;)

Siga os procedimentos do nosso amigo André SK e logo em seguinda clique em reportar para fecherem seu tópico.
Cartola FC (Liga do fórum)
Liga do fórum

PedroNeto
Analista De Segurança - Fórum Imasters
Imagem Postada

#5
Marcos Gru

Marcos Gru

    Colaborador Emérito

  • Emérito
  • 3.592 posts
  • Local:Guarulhos - SP
elerouxx,

Não necessariamente o BankerFix vai remover o que está aí no seu computador. São criados algumas centenas de Trojans Bankers todos os dias, e apesar de todo o esforço que a equipe do ARIS-LD tem feito, pode ser que o BankerFix não tenha ainda uma vacina para o seu caso.

Fui eu que moví seu tópico para "Dúvidas sobre Malware"

Por isso, sugiro que siga a sugestão passada pelo André SK., e crie um tópico na área de Remoção de Malware para que possamos ajuda-lo.

:)
......<Efetivamente construindo o Brasil>......

#6
LPV

LPV

    Novato

  • Novato
  • Pip
  • 34 posts
Ola elerouxx

ontem dia 18/05 naveguei em alguns BLOGS de MP3.... clica aqui e ali... janela que abri aqui e ali.... e o resultado disso foi o mesmo problema que o teu.

Eu resolvi da seguinte forma:

Existe um arquivo chamado HOSTS na pasta C:\WINDOWS\system32\drivers\etc

o arquivo chama-se "hosts"

Se você editar o arquivo "hosts" no bloco de notas vai ver que existem redirecionamentos dos sites de bancos para um numero IP.

O que eu fiz: tenho outros micros que tem o programa SPY-BOOT instalado ( o meu não tinha ) entao peguei este arquivo "hosts" de uma maquina sem o problema e que já estava editado pelo spy-bot, deletei o da minha maquina e colei o novo "hosts"

passei todos anti-virus online....achou algumas coisas...e agora consigo acessar o banco normal.

ps: alguém sabe avaliar se o que fiz é correto ?

espero ter ajudado... se precisar do arquivo "hosts" limpo igual eu peguei me contate te passo por e-mail ou sei lá como...

abraço

#7
edtambasco

edtambasco

    Membro

  • Membro
  • PipPip
  • 97 posts
Existem infecções que alteram o HOSTS, direcionando o site original para uma possível fraude. (ex: várias linhas em branco para a pessoa pensar que o HOST esta limpo e derrepende em baixo estão as infecções).

Mas somente o HOST não resolvera seu problema.

Sugiro que crie um tópico que está aqui neste Link abaixo, para Remoção de Malwares.

Link: http://www.linhadefe...hp?showforum=11

Você será orientado a POSTAR alguns LOGS para que o analista possa verificar e lhe auxiliar.

Nem sempre o HijackThis vai resolver o problema (mostrar), mas lá eles estão preparados para dar auxilio. Sugiro que não acesse nada através dessa estação e que altere suas senhas para desencargo de consiência.

Você pode usar um CD Bootavel do Linux para acessar a internet e mudar as senhas. Ou até mesmo acessar de uma outra estação cujo exista certeza de que a mesma não esta infectada.

Bom, a priori é isso. Boa sorte!

Ed Tambasco :legal:

#8
biapoiani

biapoiani

    Novato

  • Novato
  • Pip
  • 2 posts
Boa noite!

Acabo de encontrar o fórum ao buscar respostas para o mesmo problema relatado aqui. Estou com este vírus no meu computador, utilizo o AVG e ele não detectou qualquer problema.
Tento acessar o site do banco itaú e aparece exatamente o que foi descrito, ele pede o cadastramento de todas as posições do cartão de segurança, etc..

Só uma ressalva: não entendo absolutamente NADA da parte técnica da coisa. Fucei bastante o fórum antes de responder este tópico, mas não encontrei qualquer solução (não disse que não há, por isso já ressalvo meu desconhecimento do assunto... rs)

É isso. Aguardo ajuda

Obrigada!
Bia

#9
Marcos Gru

Marcos Gru

    Colaborador Emérito

  • Emérito
  • 3.592 posts
  • Local:Guarulhos - SP
Oi Bia, bem vinda ao Linha Defensiva,

Siga as instruções desse link > http://www.linhadefe...mocao-de-virus/

Depois abra um novo tópico na área "Remoção de Malware" e poste nele o log do HijackThis, conforme diz a instrução.
......<Efetivamente construindo o Brasil>......

#10
Junior Betim

Junior Betim

    Novato

  • Novato
  • Pip
  • 1 posts

Olá pessoal! é a primeira vez que posto no fórum. Preciso de ajuda...

Não sei como, meu computador pegou um virus que intercepta as páginas dos bancos que eu uso. Itau e Bradesco. Acho que foi um amigo meu que ficou acessando Orkut e abrindo essas 'fotos suas que estão concorrendo a capa do meu site' e tal. Enfim...

Troquei o avast / avg pelo Avira e consegui retirar o do Bradesco. Já o do Itaú é invisivel ao avast, avg, avira e kaspersky, e o Bankerfix também diz que não foi encontrado nenhum problema. E rodei também o CCLEANER e fiz tudo o possivel (limpei registro, aplicativos, arquivos temporarios) mas o falso bankline continua.

O virus deve ser novo. É bem engraçado, na verdade. Ele age assim:

-Primeiro, eu coloco o numero da conta. Pode ser qualquer numero: agencia 1, conta 2, digito 3 que o virus não confere se o numero é válido.

-Depois, aparece uma pagina do BANKLINE. O titulo da pag. sempre tem uma letra maiuscula diferente tipo B a N k L i n e ou B a n k l i N e. Aqui o Itau perguntaria o 'numero do portador do cartao', mas o virus só mostra um botao 'presione OK para acessar o teclado virtual'

-Quando abre o teclado virtual, o virus SEMPRE diz que está errado na primeira tentativa. Na segunda tentativa ele embaralha os numeros, e SE O USUARIO REPETIR A MESMA SENHA, o virus diz que está correto, caso contrario pede para acessar tudo de novo. (assim o virus tem certeza que o usuario está mesmo tentando acessar a conta. experto hein?)

-Depois vem uma tela com duas opçoes - ACESSE COM TOKEN e ACESSE COM CARTAO DE SEGURANÇA. Se escolher acessar com Token, ele diz que 'o sistema está em manutenção', hehe. Claro, ainda não descobriram como burlar o token... por enquanto. (token é aquele dispositivo eletronico gerador de senhas).

-Se selecionar ACESSE COM CARTAO DE SEGURANÇA, ele pede Todas as senhas do cartão e o número de serie desse tal cartão. É isso.

Como devo proceder? Fora formatar o PC, é claro.

Obrigado!

Emilio

:unsure: Por favor, tambem é a primeira vez que posto no forum e estou com problemas para eliminar um virus que copia a pagina do bando itau e não permite acesso a minha conta: Preciso de ajuda para remover virus se puderem me ajudar agradeceria muito , segue copia do HijackThis:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14:18:03, on 06/12/2010
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16671)
Boot mode: Normal

Log removido por não estar na área de análise

Desde já agradeço a ajuda

Editado por Astromech, 06 dezembro 2010 - 22:28.


#11
kenta09

kenta09

    Membro

  • Membro
  • PipPipPipPip
  • 1.351 posts
  • Sexo:Masculino
  • Local:São Paulo
Olá Junior Betim,

Por favor poste seu log Nesta Área para que ele possa ser analisado.

Sem mais, Kenta09
Mantenha seu PC protegido !
Imagem Postada
Respeite quem o ajuda, não abandone o seu tópico.
Postei no seu tópico e esqueci de voltar para responder? Mande-me uma MP

#12
maxancarvalho

maxancarvalho

    Novato

  • Novato
  • Pip
  • 1 posts

Ola elerouxx

ontem dia 18/05 naveguei em alguns BLOGS de MP3.... clica aqui e ali... janela que abri aqui e ali.... e o resultado disso foi o mesmo problema que o teu.

Eu resolvi da seguinte forma:

Existe um arquivo chamado HOSTS na pasta C:\WINDOWS\system32\drivers\etc

o arquivo chama-se "hosts"

Se você editar o arquivo "hosts" no bloco de notas vai ver que existem redirecionamentos dos sites de bancos para um numero IP.

O que eu fiz: tenho outros micros que tem o programa SPY-BOOT instalado ( o meu não tinha ) entao peguei este arquivo "hosts" de uma maquina sem o problema e que já estava editado pelo spy-bot, deletei o da minha maquina e colei o novo "hosts"

passei todos anti-virus online....achou algumas coisas...e agora consigo acessar o banco normal.

ps: alguém sabe avaliar se o que fiz é correto ?

espero ter ajudado... se precisar do arquivo "hosts" limpo igual eu peguei me contate te passo por e-mail ou sei lá como...

abraço

Pessoal, boa noite. Tive o trabalho de me cadastrar no site para postar a resolucao que encontrei pra questao.

Esse input do hosts foi o motivador!

Bem, deletei tudo do arquivo hosts e ainda deletei o arquivo ihosts ou aihosts ou algo assim, porque esse arquivo não existe na pasta padrao em C:\WINDOWS\system32\drivers\etc

Meu computador é de casa, portanto, apaguei tudo sem problemas ateh porque o hosts só usa informacoes para o browser e para os casos de firewall ou coisas so genero.

Caso você utilize seu computador contaminado em outra ciscunstancia, sugiro perguntar pra alguém antes de deletar tudo que tem no arquivo hosts.

é isso, pra mim funcionou, vamos ver se temos um desvio nesta acao depois de testes de outros.




0 usuário(s) está(ão) lendo este tópico

0 membros, 0 visitantes, 0 membros anônimos