notebook lg infectado(Resolvido)

uma conta · por **Rocklando89** Dom 04 Mar 2012, 13:02

Ola,sera se algum amigo ja pegou este virus,no caso o virus ai é o ROOTKIT/MEBROOT.

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Windows 6.1.7601
.
CreateFile("\\.\PHYSICALDRIVE0"): O arquivo já está sendo usado por outro processo.
device: opened successfully
user: error reading MBR
kernel: MBR read successfully
user != kernel MBR !!!

A um arquivo infectado e o unico programa que pegou foi o COMBOFIX,mas no momento que eu reinico o pc o arquivo infectado volta.Pelo que pesquisei esse ROOTKIT é dificil de ser tirado pois ele se instala antes da linha 0(zero).Passei muitos anti virus até chegar ao combofix,AVG,AVIRA,AVAST,ESET E O KASPERSKY(ESTE ULTIMO EU COMPREI),mandei um email para o suporte e eis a resposta.

Olá ,

Seu PC está infectado, o Kaspersky está instalado; bancos de dados atualizados, mas não são capazes de remover o malware pela verificação regular:
Solução: O tipo de malware que você tem atualmente no computador é novo e não temos uma assinatura ameaça para tratar a infecção ainda. Aconselha-se iniciar o PC em modo de segurança e alterar as configurações do Kaspersky fazendo com que eles fiquem nos níveis mais altos, em seguida, execute uma verificação completa:
Instruções para iniciar o computador em modo de segurança podem ser encontradas aqui:

Depois de Entrar clique em Sim para continuar trabalhar no Modo de Segurança.
Para abri o Kaspersky, indo a Iniciar> Todos os Programas> Kaspersky

Passo 1 - Aumenta as configurações do Anti-Vírus de arquivos:

• Abri o Kaspersky.
• Selecione Configurações.
• No canto superior esquerdo, verifique que o ícone do escudo verde é selecionado.
• No lado direito, desmarque a opção Não excluir objetos suspeitos.
• Na esquerda, clique em Anti-Virus de arquivos.
• Na direita, mova o Nível de segurança para proteção máxima.
• Clique em Configurações.
• Clique na guia Desempenho.
• Mova o controle deslizante de análise heurística para a direita para verificação profunda.
• Clique em OK.

Passo 2 - Aumenta as configurações da verificação completa:

• No canto superior esquerdo, clique no ícone da lente de aumento.
• Na esquerda, clique em verificação completa.
• Na direita, mova o Nível de segurança para proteção máxima.
• Clique em Configurações.
• Clique na guia adicional.
• Mova o controle deslizante de análise heurística para a direita, para verificação profunda
• Marca a caixa para verificação detalhada abaixo de Verificação de Rootkits.
• Desmarque a tecnologia iSwift e iChecker.
• Clique em OK.

Passo 3 - Ativar a verificação de Riskware:

• No canto superior esquerdo, clique no ícone da caixa de papelão.
• Na esquerda, clique em Ameaças e exclusões.
• Em baixo de "A detecção dos seguintes tipos de ameaça está ativada:", clique no botão Configurações.
• Marque a opção "Outros" em baixo "Adware, discador automático, outros programas".
• Clique em OK para retornar à janela principal.

Passo 4 - Iniciar a verificação completa

• Clique em verificação à esquerda.
• Feche todos os outros programas que estão abertos, como chat, e-mail, e qualquer outra coisa antes de iniciar a verificação completa.
• Clique em Executar verificação completa.
• Adicionar todos os arquivos que são identificados como não-um vírus para quarentena ou excluí-los, a menos que você esteja completamente certo que são seguros.

Depois, reinicie para o modo normal.

Se as etapas acima não resolver o problema:
Você pode verificar o PC usando o Kaspersky Rescue Disk:
Abaixo está a informação sobre onde e como criar uma Kaspersky Rescue Disc "KRD", que pode varrer e remover vírus, antes do Windows iniciar. Isto pode ser de grande utilidade para a remoção de rootkits, e para PCs que são tão infectadas que não podem entrar no Modo Seguro do Windows.

Para informações sobre como criar e iniciar o seu PC com KRD 10:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] (inglês)

• Para obter informações sobre como digitalizar com KRD 10:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] (inglês)

• Para instruções detalhadas sobre KRD 10:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Se você ainda precisar de mais ajuda depois de tentar as soluções sugeridas:
Por favor, descreva o problema em detalhes e executar o utilitário abaixo para que possamos ajudar ainda mais:
• Faça o download do ReportMaker.exe ferramenta a partir deste link:
• [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
• Salve o arquivo para o seu Desktop.
• Dê um duplo clique no arquivo ReportMaker.exe em seu Desktop. O ícone tem o logotipo da Kaspersky em azul.
• No Windows Vista e 7 é necessário que se clique com o botão direito do mouse e selecione a opção de Executar como Administrador.
• Se você receber uma mensagem "Você deseja executar este arquivo?" clique em Sim ou OK, clique em Executar.
• Clique no botão “Accept”.
• Aguarde até que os relatórios serão criados. Isso pode levar alguns minutos.
• Depois de terminar, você verá uma pasta na sua área de trabalho chamado ReportMaker.
• Responda a este e-mail com os arquivos desta pasta em anexo. Os nomes dos arquivos devem ser do tipo:
- GetSystemInfo_nomeComputador_seuNome_Data.zip
- AVZ_Report_syscure.zip
- Inclua uma descrição detalhada do problema que estão tendo.
Vai levar algum tempo para rever a informação que você enviou.
Uma vez que os relatórios necessários tenham sido recebidos e seu caso foi revisado, você receberá novas medidas de nossos especialistas de remoção de vírus por e-mail. Todo o apoio de vírus é feito por e-mail, e algumas etapas podem exigir capacidade técnica com a qual você pode precisar de ajuda de um amigo com maior conhecimento técnico ou membro da família.

Nota: A solução provida é baseada no tipo de problema selecionado quando foi submetido o pedido de suporte. Se esta solução provida não atende ao seu problema e o senhor ainda necessita de assistência, por favor, responda a este e-mail e um técnico irá lhe responder em um prazo de 24 a 48 horas.

Enfim ja fiz tudo o que foi recomendado e não adiantou,agora fica aparecendo que um tal site deseja abrir o programa adobe flash(ja desinstalei o adobe e reinstalei de novo),então o problema das menssagens acho que não é ele.
O problema pelo que entendi é na tal de MBR DO WINDOWS,mas não tenho o cd de instalação,tenho apenas um programa chamado SMART RECOVERY que faz a auto formatação mas não gostaria de fazer isso,pois meu notebook veio de fabrica com o windows 7 starte,atualizei para o Ultimate,teria que fazer todo o processo tudo de novo e colocar os programas de minhas preferençias tudo de novo.

Sera que algum amigo sabe como retirar este bendito Rootkit.
A sites que falam que isso não é virus nem programa espião,ai fico sem saber o que fazer de vez.

Dicas?

por Raniere Dom 04 Mar 2012, 13:27

Esta é uma infecção por rootkit-tipo.

Este malware rouba informações confidenciais, principalmente dados bancários e senhas. Será necessário mudar senhas após a desinfecção e verificar com o seu banco que nada de anormal aconteceu.
Método: GMER

Download [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Desligue seu antivírus e cortar a conexão
Clique duas vezes em mbr.exe.
Um relatório será gerado: mbr.log
Em casos de infecção, a mensagem "Código de rootkit MBR detectado" vai aparecer no relatório.
No Menu Iniciar> Executar, digite:

"% Userprofile% Bureaumbr"-f

Em mbr.log esta linha aparece: o MBR original restaurado com sucesso!
Você pode enviar o relatório para obter alguma ajuda sobre o Fórum.

Reinicie mbr.exe para verificar se a infecção não está mais presente e que o novo relatório não deve mais encontrar rootkit.

Relatório de exemplo não infectada:

Discrição MBR rootkit / Mebroot / Sinowal detector 0.3.7 por GMER, [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

dispositivo: abriu com sucesso
usuário: MBR lido com êxito
kernel: MBR lido com êxito
usuário e do kernel MBR OK

No Windows Vista e Seven, não se esqueça de começar mbr.exe pelo botão direito do mouse e selecionar "Executar como administrador".
Método: Console de Recuperação e fixmbr

Você vai precisar do CD do Windows
Inicializar a partir do CD do Windows
Inicie o Console de Recuperação como explicado aqui
Uma vez no Console de Recuperação, digite o seguinte comando: fixmbr deviceharddisk0
Validar pressionando [Enter] no seu teclado

Método: Combofix
Aviso: Este método só deve ser usada se você sabe que você está fazendo como ele poderia potencialmente causar mais danos à sua máquina.

Botão direito do mouse aqui
Escolha: Salvar destino como
Escolha a área de trabalho como o destino
Em "Nome do arquivo", renomear ComboFix.exe para kioskea.exe exemplo, salve
O estágio é obrigatório renomeando. Não fazer isso fará com que o processo a falhar.
Desconecte-se da Internet e feche todos os aplicativos e programas
Clique duas vezes em Kioskea.exe para iniciar a correção (Vista e Seven: botão direito do mouse e escolha "Executar como administrador")
Aceite a mensagem de aviso e aceitar a instalação do Console de Recuperação (no XP)
O relatório será criado na raiz: C: ComboFix.txt

Exemplo de uma infecção encontrada por Combofix:

Discrição MBR rootkit / Mebroot / Sinowal detector 0.3.7 por GMER, [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

dispositivo: abriu com sucesso
usuário: MBR lido com êxito
chamados módulos: Ntkrnlpa.exe Classpnp.sys disk.sys PCTCore.sys atapi.sys Hal.dll Acpi.sys spzt.sys >> UNKNOWN [0x86F80938] <<
kernel: MBR lido com êxito
ganchos de rootkit MBR detectados:
Driverdisk -> Classpnp.sys @ 0xf7749f28
DriverACPI -> Acpi.sys @ 0xf7422cb8
Driveratapi -> atapi.sys @ 0xf739fb40
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
DeviceHarddisk0DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Broadcom NetLink (TM) Gigabit Ethernet -> -> SendCompleteHandler NDIS.SYS @ 0xf72b5bb0
PacketIndicateHandler -> NDIS.SYS @ 0xf72a4a0d
SendHandler -> NDIS.SYS @ 0xf72b8b40
usuário e do kernel MBR OK

Ou

Discrição MBR rootkit / Mebroot / Sinowal detector 0.3.7 por GMER, [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
dispositivo: abriu com sucesso
usuário: MBR lido com êxito
kernel: MBR lido com êxito
MBR código rootkit detectado!
código malicioso @ setor 0x12a14c0 0x1ad tamanho!
cópia do MBR foi encontrado no sector 62!
MBR infecção por rootkit detectado! Use: "mbr.exe-f" para corrigir.

Exemplo de relatório de desinfecção:

((((((((((((((((((((((((((((((((((Andere Verwijderingen
Outros deleções)))))))))))))))))))))))))))))))))))))))))))))))) )
\ \. \ PhysicalDrive0 - Sinowal bootkit foi encontrado e desinfectados
\ \. \ PhysicalDrive0 - Sinowal bootkit foi encontrado e desinfectados
.
((((((((((((((((((((Bestanden gemaakt van 2010/11/18 para 2010/12/18
Os arquivos criados entre 2010/11/18 e 2010/12/18))))))))))))))))))))))))))))))

uma conta · por **Rocklando89** Dom 04 Mar 2012, 22:20

Ai esta o log com o programa MBR.

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Windows 6.1.7601

CreateFile("\\.\PHYSICALDRIVE0"): O arquivo já está sendo usado por outro processo.
device: opened successfully
user: error reading MBR
kernel: MBR read successfully
user != kernel MBR !!!

É o mesmo relatorio do combofix.

Meu sistema operacional é windows 7 ultimate,e não tenho o cd de instalação,tenho sim uma função no notebook que é a tecla F11(Smart Recovery)que seu Eu aperta-la o notebook volta ao modo original(de fabrica),ou seja,ele seria formatado automaticamente.

por Raniere Seg 05 Mar 2012, 05:27

já usei esse recurso em meu pc e nao formatou minha maquina nao amigo ele executou uma recuperaçao inteligente.por via das duvidas faça Backup dos seus arquivos em um cd e tente usar o Smart Recovery= ((recuperaçao inteligente))

confira amigo essa matéria talvez esclareça melhor as coisas: [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

por marcelosdc Seg 05 Mar 2012, 10:58

Tente colocar o arquivo infectado na quarentena, depois utilize algum antispyware, e em seguida utilize algum limpador de registro. Se tudo isso não funcionar, recomendo que vc leve o notebook a pessoa que instalou o windows e "pague" novamente para que seja reinstalado, e tente não acessar sites suspeitos, não fique clicando em qualquer link que aparece, e também sempre faça um varredura no seu pendriver antes de acessa-lo, pois não seguindo essas recomendações, o windows vai ser infectado de novo, e vc vai acabar pagando mais uma vez para o técnico. Surprised

uma conta · por **Rocklando89** Seg 05 Mar 2012, 19:11

Raniere escreveu:já usei esse recurso em meu pc e nao formatou minha maquina nao amigo ele executou uma recuperaçao inteligente.por via das duvidas faça Backup dos seus arquivos em um cd e tente usar o Smart Recovery= ((recuperaçao inteligente))

confira amigo essa matéria talvez esclareça melhor as coisas: [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Smart Recovery – Imagine-se em uma viagem de negócios quando, de repente, o seu sistema operacional simplesmente pára de funcionar. O que fazer? Ninguém fica carregando para lá e para cá os CDs/DVDs do Windows. Com a função Smart Recover, com alguns cliques é possível restaurar o seu notebook com as configurações de fábrica e depois restaurar os backups dos arquivos, já que os discos de restauração ficam protegidos em uma partição separada. Esta função é ideal para quem adora deixar o sistema operacional como novo ou vive pegando vírus por ai!

Ja usei a função duas vezes não tem modo inteligente amigo que restaura por exemplo apenas a MBR no notebook,ele ira formatar e ira voltar ao modo de fabrica,no modo de fabrica ele vem com Windows 7 start que é uma porcaria,teria que fazer todo o processo para colocar o ultimate de novo e validar meu windows e atualizar tudo de novo,pelo tanto de atualização que este windows 7 ultimate ja fez acho que iria ficar 2 dias atualizando.

O tal de rootkit fica na linha zero,por isso a dificuldade de se retirar,até ai tudo bem os caras do suporte da kaspersky também não responderam ainda o log feito por mim com um programas deles,pois devem estar analisando o log.Como eles disseram é malware novo(o mebroot é velho,novo é onde ele foi colocado)pelo menos foi isso que disseram.

Agora o arquivo infectado que esta vindo da pasta system32 e que também não consigo tirar(até que é desinfectado mas ao reinicar o pc ele volta)que também estou na duvida.
Ele esta infectado por causa do malware ou ele é o proprio malware?
O arquivo é desinfectado e copiado da pasta ERDN,sera que o arquivo copiado é o que esta infectado?Eis as minhas duvidas,o mais estranho é que fui até a pasta ERDN e não encontrei o arquivo que esta copiado.

por Raniere Qua 07 Mar 2012, 16:13

o mais estranho é que fui até a pasta ERDN e não encontrei o arquivo que esta copiado.

TENTE MUDAR O MODO DE EXIBIÇAO DAS PASTAS ESCOLHENDO PARA O WINDOWS MOSTRAR AS PASTAS OCULTAS QUE TALVES VOCE CONSIGA VER O QUE ESTA DENTRO DA ((ERDN))

por brunopho Qua 07 Mar 2012, 19:47

por se tratar de om rootkit tem que tentar excluir ele digamos de fora do windows um live cd pode ser util nestas ocasiões, ele abre um windows em modo somente leitura via cd, e então vc pode passar um fix pra tentar remover, mas se kiser formatar, tambem é boa opção mas cuidado pra não puxar no back-up o root de novo, se nãop sabe bem como formatar ou remover com esses programas, pague a alguem pois esses fix se não souber mecher dexa a makina as vezes pior do que começou..^^