Pesquisar

1 de jul de 2008

Como remover o vírus que cria program.exe e arquivos.exe?

Sintomas do vírus.
Relato 1:
“Estou com um grande problema, um amigo infectou o meu computador com um vírus através do pendrive dele. Ele cria duas pastas nas unidade e não consigo apagar, elas são removidas mas criadas de novo. Os meus pendrives e o meu celular estão com esse virus, é só conectar na máquina que ele pegam esse vírus, que cria duas pastas: uma denominada “PROGRAM” e outra “ARQUIVOS” e quando vou entrar na unidade pelo meu computador ele pede para escolher qual programa deve ser usado para abrir. Ele cria essas duas pastas em todas as unidades.”

Relato 2:
“Estou enfrentando um problema aqui, pegamos um vírus atravez de pen drive (program.exe e arquivos.exe)Nome do vírus: arquivos.exe = Win32:VB-HFC [Trj] Nas estações, com o AVAST eu consegui tirar, mas no servidor como não é possível a instalação do antivirus Avast, eu nao consigo tirar.
Uso o AVG profissional 8.0 no servidor, mas este nem encontra o virus de uma estação consigo scanear o servidor, ele acha, deleta o arquivo, só que o mesmo volta.
O vírus também cria um arquivo autorun:
[AUTORUN]
open=program.exe e
Shellexecute=program.exe e
Shell\Auto\Command=program.exe e
Shell=Auto”

Relato 3:
“No meu computador tem duas pastas suspeitas uma com o nome "arquivos" e a outra com o nome "program", o antivírus não detectou como vírus mesmo assim acho que é suspeito. O que pode ser??? Sempre que excluo eles voltam novamente, Demora exatamente 46.52segundos, para eles aparecerem.”

Relato 4:
“Meu antivírus detectou o trojan Backdoor.Win32.VB.btu. Ele criava um autorun.inf nos compartilhamentos e replicava dois arquivos: program.exe e arquivos.exe para cada compartilhamento. Quando alguém clicava no compartilhamento ele atacava as unidades de disco e outros compartilhamentos replicando esses três arquivos. Para deletar bastava clicar no botão direito na unidade e deletava normalmente os três arquivos no diretório raiz. Mas, assim que eram deletados, os arquivos eram recriados automaticamente em seguida.
Identifiquei o PC que estava atacando a rede.
Isolei da rede e removi os ditos na unha. Só depois de passar antivirus, anti-spyware, verificar registro, etc, coloquei ele de novo na rede. Um funcionário usou há pouco tempo seu pendrive numa Lan House .
A sorte é que os antivírus do pessoal estavam barrando o vírus, mas como os arquivos eram constantemente recriados, o ataque se tornou massivo, pois pegou os compartilhamentos que todos usavam. Foi só identificar a fonte e isolar, que tudo voltou ao normal.”

ARQUIVOS.EXE ou PROGRAM.EXE são vírus de inicialização do tipo TROJAN-BACKDOOR.
Trata-se de um vírus de inicialização que infectam pendrives, cartões flash, etc. São trojan-backdoors, ou seja, programad maliciosos que têm a capacidade de abrir uma “entrada pela porta dos fundos”, para criar um buraco nas defesas do computador e permitir ataques externos. Depois de ganhar o acesso à máquina, o invasor adquire o controle remoto, permitindo que ele instale outros programas maliciosos, espione a atividade do internauta, roube senhas, ou zumbifique o computador transformando-o num espalhador de vírus.

Formas de remoção manual: Para remover na “unha”, tem dicas no site Linha Defensiva.

Remoção automática: Nesta altura do campeonato, já que o Backdoor.Win32.VB.btu foi descoberto em fevereiro deste ano, os softwares antivírus do mercado já fizeram suas vacinas. Quando um vírus é descoberto, cada empresa que o analisa dá um nome código diferente:

Kaspersky descobriu em 15/Fev/2008 - Backdoor.Win32.VB.btu
GRISoft AVG descobriu em 15Fev/2008 - BackDoor.VB.AAI
Avira AntiVir descobriu em 15/Fev/2008 - BDS/VB.btu
Frisk Software descobriu em 14/Fev/2008 - W32/Backdoor2.GDV
Norman NVCC descobriu em 14/Fev/2008 - W32/VBDoor.FSX
Trend Micro descobriu em 15/Fev/2008 - WORM_AUTORUN.TX

Algumas variantes possíveis de ser encontradas do arquivos.exe e program.exe:
Infostealer.Bancos
Win32:VB-HFC [Trj]

Referência:
Outro vírus de inicialização: tel.xls.exe

22 comentários:

  1. estou tendo o mesmo problema infectou meu pc, celular, mp4 preciso de uma solução definitiva pra isso posta ae gente vlw...

    ResponderExcluir
  2. Pabllo Fialho26/06/2009 11:14

    Putz veeioo ..
    Já to putoo com esse virus !
    moss da é raivaa !..
    me desanimaa quando eu pensoo em colocar
    um pendrive ou celular akii no PC !

    Bora tentar solucionar essa Roçaa ae galeraa!

    Abracaao aee veiios !

    ResponderExcluir
  3. ... e reformatar todos os pendrives também e depois colocar um antivírus pago.

    ResponderExcluir
  4. SOLUÇÃO:

    SEJAM LIVRES
    USEM LINUX!!!
    #BfManO#

    ResponderExcluir
  5. Consegui fazendo o seguinte, coloque mostrar e exibir pastas e arquivos ocultos, examine as pastas recycle e system volume information e passe o antivirus nelas pois não abrem, se sempre que escanear encontrar virus use o unlocker que ele exclui ambas as pastas , ai você desativa a restauração do sistema, mas certifique-se de que tudo suspeito foi apagado e reinicie o computador, se continuar, caixão e vela preta, que vai ser preciso formatar o HD e se for particionado de preferência os 2 :) mas comigo graças a Deus so fiz isto e adiantou . é que este virus se esconde e fica oculto tambem ate dentro da lixeira . escaneie os arquivos que estiverem ocultos na unidade C: D: dependendo de quantos discos vocês tiverem em seus micros .

    ResponderExcluir
  6. a gente da falando de sistema não de merda!

    ResponderExcluir
  7. Entao continua formatando seu PC uma vez por semana, sinto mto
    SEJAM LIVRES USEM LINUX!!!

    ResponderExcluir
  8. Apoiado, LINUX reina!!

    ResponderExcluir
  9. Noo meu computador ta apareceendo um Vírus chamado TR/VB.acda nn sei se é um virus q pode queimar meu pc e tbm nn sei tirar o que faço ?

    ResponderExcluir
  10. simples meu amigo, basta vc clicar com o botão direito no arquivo e exclui-lo, terá que ir a lixeira e exclui-lo definitivamente, feito isto renicie seu pc e veja se o mesmo não voltou se voltou terá que fazer outros prossedimentos, consulte-me pelo email; valvesda@yahoo.com.br

    abraços....

    ResponderExcluir
  11. O vírus é um programa que está sendo executado no teu pc, e que se disfarça de algum programa do windows, um grande exemplo é o csrcs.exe que é um programa do windows que não possui ícone animado, por exemplo, já o vírus de alguma forma elimina o arquivo csrcs.exe original do windows e substitui pelo virus que se passa por esse arquivo, veja em qualquer programa que tenha um controle de "programas que iniciam junto com o windows" e vejam se não tem algum programa desconhecido que deve estar dando esse enorme trabalho, normalmente alguns vírus ficam localizados nos diretórios dos usuários, "Documents and Segments" se você se livrou do vírus, tudo bem, se não formate seu pc, e instale o "Vírus Effect Remover" e desabilite o Autorun do windows, isso permite que quando você coloca um pen driver em seu pc, ele não se inicia automaticamente com o vírus, qualquer dúvida, meu msn dbnegrao@live.co.uk

    ResponderExcluir
  12. Fui na casa de um amigo usei meu pendrive no note dele, cheguei em casa qndo coloquei o pendrive aqui estava com 2 virus, chamados daiiwe.exe e nolex.exe, ambos iniciam junto com o windows, já tentei apaga-los manualmente e com cmd, já tentei desabilitar na inicialização do sistema mas nada ainda, se alguem souber como removê-los por favor me ajudem tenho muitos arquivos importantes e uso pendrive com frequencia em outros PC's. Obrigado

    ResponderExcluir
  13. Tente usar este pequeno programinha "Flash Desinfector" http://www.edsouza.net/remover-virus-do-pen-drive-cartao-de-memoria-mp3-players-e-outros-usb

    ResponderExcluir
  14. leiam esse post, resolveu meu problema.

    http://www.linhadefensiva.org/forum/arquivado/topicos/3/105783-preciso-remover-o-malware-do-pc.html

    ResponderExcluir
  15. PROBLEMA RESOLVIDO...

    eu estava com esse problema...Até que consegui resolver

    Pra quem ainda não conseguiu ai vai a solução.

    Entre na Pasta C:\WINDOWS\system32

    Depois Procurre Um Arquivo Com O Nome. "Winboot" Se Ouver um arquivo com esse nome delete..

    E Pronto é só Reiniciar o pc e Problema resolvido.

    ResponderExcluir
  16. A remoção do winboot.exe "a unha" não é tão simples quanto aparenta. http://www.spywareremove.com/removewinbootexe.html

    ResponderExcluir
  17. Eita laia eu achei que o povo tava falando nao de merda mas de privada, soh sobra merda pro windows que recebe merda eh privada "É linux ou nada", "Parceiro" Antes de falar windos (Merda)Aprende Um poco Sobre Sistema...

    ResponderExcluir
  18. Mas pra quem usa linux esses virus sao perigosos tbm mas soh pra quem usa o emulador pra instalar, programas do windows (wine, tem q tomar cuidado tbm...

    Eu tive problema com essas porcarias no meu trabalho entao, desliguei os computadores da rede, e fiz uma limpeza com o spybot, e instalei o shadowUser pr enquanto ta rodando tudo numa boa

    ResponderExcluir
  19. todas as minhas pastas esão com esse tipo de aruivo exe. o que eu faço por favor

    ResponderExcluir
  20. Linux!?
    Minha escola tem Linux!
    É muito ruim!
    Meu computador é um MAC!!
    Não entra nenhum tipo de vírus!
    O prossimo computador que vocês forem comprar, comprem um MAC!!

    ResponderExcluir
  21. O vírus é "secfbpack 2.2"! PEGUEI ESTA BOSTA PELO FACEBOOK AO TENTAR VISUALIZAR UM VÍDEO. COMO TIRAR ESTA BOSTA DAQUI??? ALGUÉM PODE AJUDAR???

    ResponderExcluir