Você está na página 1de 4

12/10/12

Com partilhar

Caiu do cu: Vrus jwgkvsq.vmx - remoo completa


0

mais

Prximo blog

Criar um blog

Login

Caiu do cu
Tava procurando e chegou nesse blog? Cada post a soluo de um problema especfico que eu j tive, desce a pgina que talvez sua busca tenha chegado ao fim!

domingo, 20 de fevereiro de 2011 Vrus jwgkvsq.vmx - remoo completa


dor de cabea que tive para remov-lo! Mas consegui 100% de resultado. Entretanto necessrio um certo conhecimento e facilidade com informtica, recomendo no continuar caso no se sinta seguro, pois editar arquivos do sistema pode causar um grave prejuzo no computador e inutilizar o sistema operacional. Aprecie a leitura. (Para os mais apressados, a resoluo comea no - - -) Tudo comeou em um dia que deixei o "Spyware Terminator" / "ClamAV" desativados para fazer uns testes de rede na minha casa. Esqueci de reativ-los. Fiz a gentileza para meu irmo e pedi um pendrive para salvar o arquivo. Esqueci que ele uma mmia leigo em tudo que se relaciona a informtica e quando coloquei o pendrive dele no computador, este "pensou" muito para abrir os arquivos. Bastou eu ativar o anti-vrus para ele exclamar que haviam processos rodando no computador. Fiquei puto da vida um pouco bravo, mas acabei recuperando meu sistema e 3 trojans de autorun que se instalaram s de colocar o pendrive. Escaneando o pendrive dele, foram vrios arquivos contaminados e s apaguei alguns *.exe e devolvi o pendrive dele, que nunca mais usarei. Dias depois, pouco antes de uma viagem, vou utilizar o pendrive e um erro de DLL aparece, afirmando no encontrar o jwgkvsq.vmx. Plugo outro pendrive meu e o mesmo erro aparece. (ainda bem que fui viajar sozinho e esfriei a cabea) No dia anterior havia feito compras com meu carto de crdito pelo computador, fiquei com isso na cabea at retornar. Caso d algum problema na minha fatura, retornarei ao tpico para informar, mas se o tpico no tiver atualizaes no final da postagem, significa que pegar nmeros de CC no a finalidade dele. --Pesquisando sobre o vrus, encontrei muita gente com dificuldade e j consegui me situar dos seguintes fatos: - O malware (uma variao de vrus) funciona em Loop: Voc desinfecta o pendrive, mas ao plugar na mquina infectada ele reinfecta o pendrive e vice-versa. - No um vrus comum, mas sim um rootkit: um cdigo malicioso que se utiliza de arquivos necessrios para o funcionamento do computador, para ele tambm funcionar. Neste caso, o rundll.exe. No possvel editar o arquivo manualmente e nem apag-lo, pois fundamental para o computador. Em uma analogia com o corpo humano, seria um rgo doente. - A maior parte dos antvirus no o detecta, pois aqueles pesquisam por arquivos e processos estranhos em execuo, mas no fazem uma varredura interna nos cdigos dos processos do windows. Salvo anti-rootkits especficos e o Norton (segundo relatos). * A ttulo de curiosidade, um dos primeiros e mais famosos rootkits (que no me lembro o nome agora) infectou 15 milhes de computadores em 2009. FASE 1.1: No espete o pendrive em seu pc antes de qualquer um destes procedimentos. (crditos para: http://www.babooforum.com.br/forum/index.php?/topic/691086-autoruninf-e-jwgkvsqvmx/ Usurio: Mr. Million) - Desabilite seu antivirus > baixe e instale o Combofix em: http://download.bleepingcomputer.com/sUBs/ComboFix.exe (ainda vou dar upload para o meu servidor) - Baixe o Hijack This em: http://www.baixaki.com.br/download/hijackthis.htm (ainda vou dar upload para o meu servidor) --FASE 1.2 - Instale o Combofix, e siga as instrues na tela. No necessrio instalar o software de recuperao dele. Ele ir emitir uma mensagem dizendo ter encontrado um rootkit em seu computador e ser necessrio reinicializ-lo. Siga as instrues. - Uma nova verificao ser feita e ir gerar um log.ini - Execute o Hijackthis, pea um scan do sistema com log. FASE 1.3

O porqu!
Perdi (e perco) muito tempo no google pesquisando muita coisa especfica, parece que eu sou o primeiro do mundo a ter aquele problema! Ficava (e fico) usando variaes de palavras chave, procurava (e procuro) em fruns (quando no pede senha de login=p )... Pior quando s tinha a informao que eu procurava em ingls, cansa muito mais. Eu tenho certeza que as informaes que eu acho, depois de horas, podem ser teis para algum tambm. Resolvi criar um blog para postar as solues e facilitar a vida daqueles que buscam o mesmo que eu. Seria to bom eu digitar uma palavra no google e achar tudo passo-a-passo... Se voc digitou uma palavra chave no google e achou este blog, sorte sua! A soluo caiu do cu! -----Acesse todas as postagens: http://canseidenaoachar.blogspot.com/ -----Eu mesmo mantenho uma conta no servidor mandamais.com.br para evitar links quebrados e vrus. Pode baixar sem medo. Procure comentar. Foram mais de 100 downloads no ltimo ms (Julho 2009) e nenhum comentrio no blog. *400 em Jan 2010 e segue sem nenhum comentrio naqele post. *2500 em Mar 2011. Pelo menos o blog faz um pequeno sucesso! --------Em Fevereiro de 2012 meu blog bateu 20.000 acessos. Muito obrigado! Com todas as postagens o blog est recebendo cerca de 100 visitas por dia.

Colaboradores
Leandro H Nesco

canseidenaoachar.blogspot.com.br/2011/02/virus-jwgkvsqvmx-remocao-completa.html

1/4

12/10/12
(certamente a mais complicada)

Caiu do cu: Vrus jwgkvsq.vmx - remoo completa

- Com o comando Ctrl + F, procure, em ambos os logs por: -autorun (somente quando relacionado a algum comando de setup) -mountpoints -mountpoints2 -aixac.dll -:/bin - .vmx - Caso voc no encontre nenhum dos marcadores acima em nenhum log (sem o "-"), avance para a fase 4. - Caso voc encontre algum dos marcadores acima, h duas opes: Seguir no exemplo disponvel em: "http://www.babooforum.com.br/forum/index.php?/topic/691086-autoruninf-e-jwgkvsqvmx/" e criar comandos para o Combofix, ou seguir para a fase 3 e editar pelo prprio windows. FASE 2 Agora, j bem informado, vamos comear eliminando o Loop causado pelo pendrive: (trecho retirado de: http://tecvirtual.wordpress.com/2010/11/20/attrib-removendo-virus-de-pendrivemanualmente )

**** 1 Passo: Va ate o menu iniciar executar e digite: gpedit.msc. Isso far com que abra a janela Diretivas de Grupo do Windows XP. 2 Passo: Dentro das Diretivas de Grupo, abra Configurao do Computador, Modelos Administrativos, Sistema. Dentro da pasta Sistema voc dever localizar o item Desativar AutoExecutar e clicar duas vezes sobre essa opo. Abrir ento a caixa Propriedades de Desativar AutoExecutar onde voc dever marcar a opoAtivado.Clique em OK para concluir a operao e feche todas as janelas abertas nesse procedimento. 3 Passo: Aps marcar a opo Ativado nas Propriedades de Desativar AutoExecutar necessrio escolher a opo Todas as unidades na caixa Desativar Executar automaticamente em que aparecer aps selecionada a opo Ativado. esse detalhe que garantir que nenhuma unidade estar apta inicializao automatica. **** FASE 3 Ok, vamos desinfectar o computador: - Atualize e rode seu anti-vrus no seu HD interno. - Iniciar > executar > regedit *Pode fazer um ponto de restaurao do sistema neste ponto, caso se sinta mais seguro. - Editar> localizar > jwgkvsq.vmx e zere TODAS as chaves com esta informao. * E digite todas as variveis em 1.3. Para apagar as chaves com os cdigos de 1.3 deve-se ter cuidado. Os procedimentos devem ser executados apenas em chaves que estejam relacionadas com o malware. "Como saber?": Na janela h duas divises, na da esquerda h vrias pastas, na da direita h um arquivo com um "valor". Verifique quais as pastas que antecedem a chave. Uma chave localizada em shell32 > autorun > %systemroot/system32/rundll32;e:/bin/setup esta relacionada com o vrus, j uma chave em microsoft games > age of empires > autorun > setup, de nada est relacionado com o vrus. Certamente um procedimento cauteloso, caso no esteja seguro de modificar este registro, pode pular esta etapa, possvel que as chaves percam sentido sem um cdigo para iniciar o comando. Mas as chaves jwgkvsq devem ser necessariamente zeradas. - Iniciar > localizar > todos arquivos e pastas > jwgkvsq.vmw (se achar alguma coisa, apague definitivamente) *** FASE 4 Plugue o pendrive infectado (como voc desativou o autorun antes, nada ser reinstalado em seu computador) - Iniciar > executar > cmd - Digite "e:" (no lugar do "e" digite a unidade relativa ao seu pendrive) - Digite cd recycler - Vai aparecer "E:/>RECYCLER" - Digite "cd.." - Digite "del recycler" - Pressione S

canseidenaoachar.blogspot.com.br/2011/02/virus-jwgkvsqvmx-remocao-completa.html

2/4

- Digite "attrib" - Vai aparecer "SHR autorun.inf" - Digite "attrib -S -H -R" - Digite "del autorun.inf" (Mais uma vez agradeo ao Tecvirtual, citado na fonte anterior pelo cdigo attrib) **** FASE5 (opcional, mas muito recomendada) - Ainda no CMD digite "format e:/" - Retire o pendrive **** FASE6 (necessariamente deve ser feita a fase 5, uma confirmao de que no h mais infeco) - Entre em "meu computador", clique com o boto direito sobre o drive do pendrive > propriedades. Voc vai verificar apenas 4kb ocupados. - Retire o pendrive, feche a janela e plugue-o novamente. V novamente em propriedades. * Qualquer valor acima de 4 KB (32 ou 76) significam que o vrus no foi removido. * Se mantiver os 4 KB, seu computador foi desinfectado. - Entre no CMD, digite "e:/" e depois "cd recycler". Se no existir, seu computador e pendrive esto desinfectados. Ufa! Postem os resultados. Fiz em uma mquina WinXP SP3. Postado por Leandro H s 22:37

Um comentrio:
Annimo 14 de fevereiro de 2012 05:13 Cara vlw msm.... mto foda vc... vlw Responder Dgt sucmni.. iie e oetro.

Comentar como: Conta do Google Publicar Visualizar

Norton Antivirus 2013


A excelente proteo antivrus. Site oficial. Baixe agora. www.Norton.com

Postagem mais recente

Incio

Postagem mais antiga

12/10/12

Caiu do cu: Vrus jwgkvsq.vmx - remoo completa


Assinar: Postar comentrios (Atom)

Modelo Awesome Inc.. Imagens de modelo por Ollustrator. Tecnologia do Blogger.

canseidenaoachar.blogspot.com.br/2011/02/virus-jwgkvsqvmx-remocao-completa.html

4/4