A Aldeia Numaboa ancestral ainda está disponível para visitação. É a versão mais antiga da Aldeia que eu não quis simplesmente descartar depois de mais de 10 milhões de pageviews. Como diz a Sirley, nossa cozinheira e filósofa de plantão: "Misericórdia, ai que dó!"

Se você tiver curiosidade, o endereço é numaboa.net.br.

Leia mais...

Segurança

Worm SCVHOST.EXE

Seg

23

Mar

2009


01:11
  • Imprimir
(4 votos, média 3.25 de 5) 
Detalhes
Categoria: Eliminando pragas
Atualização: Segunda, 23 Março 2009 03:05
Autor: vovó Vicki
Acessos: 5610


O pessoal que bolou este worm foi realmente sacana: deu-lhe um nome muito parecido com um executável do windows, só para confundir.

O executável que o windows utiliza chama-se SVCHOST.EXE e está no diretório /windows/system32. Olhe só a treta, trocaram SVC por SCV!

O que é o SCVHOST.EXE

Em alguns anti-vírus ele é detectado como W32/YahLover.Worm.gen (McAfee), em outros como Win32/Autorun.R.worm (NOD32). No meu (uso o ClamWin) ele foi denominado de Trojan.Agent-87054.

Este worm é instalado no seu PC usando um arquivo autorun.inf contaminado, que possui um script que dispara a execução do SCVHOST.EXE. Ao ser executado, o worm se espalha por todo o sistema. Este tipo de arquivo costuma estar em discos removíveis para conferir-lhes a capacidade de autoplay, ou seja, assim que a gaveta for fechada o disco é acionado e roda o que estiver no script. Se for um script limpo, tudo bem; se for um script malicioso, o estrago estará feito em alguns segundos. O pior da história é que, se você estiver numa rede, o worm sai varrendo a rede contaminando o que encontrar pela frente. Como hoje em dia é comum ter redes domésticas, a encrenca pode ser séria.

Os sintomas

  • Quando se usa Ctrl+Alt+Del, ele impede que o Gerenciador de Tarefas seja acionado (é uma tentativa de escondê-lo, pois ele apareceria na aba de Tarefas).
  • Ele bloqueia o Editor de Registro (para impedir que se elimine as entradas e as alterações no registro do windows).
  • Quando se tenta acionar o comando CMD, o computador é reinicializado.
  • As pastas compartilhadas vão replicar o worm em vários pontos. O worm duplicado usa um ícone de PASTA com uma extensão .exe.
  • Se você tiver o Yahoo Messenger, suas configurações foram modificadas.

Remoção manual do worm

  1. Reinicie seu computador, digite F8 e selecione o Modo Seguro.
  2. Faça login como Administrador.
  3. Digite cd C:\windows\system32 (o caminho para esta pasta depende de como seu windows foi instalado).
  4. Digite /ah para mostrar todos os arquivos ocultos desta pasta. Você deve encontrar os arquivos que são usados pelo worm para se disseminar: AUTORUN.INI, BLASTCLNNN.EXE e SCVHOST.EXE.
  5. Digite ATTRIB -H -R -S SCVHOST.EXE
  6. Digite ATTRIB -H -R -S BLASTCLNNN.EXE
  7. Digite ATTRIB -H -R -S AUTORUN.INI
  8. Digite DEL SCVHOST.EXE
  9. Digite DEL BLASTCLNNN.EXE
  10. Digite DEL AUTORUN.INI
  11. Digite CD\
  12. Digite ATTRIB -H -R -S AUTORUN.INF
  13. Digite DEL AUTORUN.INF
  14. Reinicie seu PC.

Estamos quase chegando lá. Quando a máquina estiver pronta, clique em Iniciar / Executar e digite REGEDIT. Agora será preciso fazer uma limpeza no registro do windows. Tome muito cuidado para não fazer trapalhada. O melhor é fazer um backup do registro antes de fazer as alterações, assim, caso alguma coisa dê errado, ainda tem como recuperar o registro e botar a máquina para funcionar novamente.

Procure pela chave HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Se você encontrar uma entrada de nome Yahoo! Messengger (está escrito errado mesmo! o autor do worm, além de malicioso, é um panaca que não sabe escrever inglês) ou SCVHOST, delete-a.

Procure pela chave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Na entrada chamada SHELL, os dados são Explorer.exe,SCVHOST.EXE. Edite este valor e delete apenas SCVHOST.EXE. Os dados precisa ser apenas Explorer.exe.

Taí, o SCVHOST.EXE já era biggrin

A minha história

O worm se instalou na minha máquina a partir de um software que instalei. Busquei este soft na Internet e, por falta de cuidado, não passei o pacote pelo anti-vírus. É a velha história, bobeou... se ferrou. Só fui descobrir o estrago depois do anti-vírus ter escaneado todo o sistema (costumo deixar o anti-vírus rastreando durante a madrugada).

Tive mais sorte do que juízo: o fornecedor do software infectado não soube fazer o serviço e apenas uma parte dos arquivos foi instalada. Como o worm estava capenga, não precisei entrar no Modo Seguro - bastou deletar os arquivos (não tinha os autorun) para me livrar da praga. Só que tem um detalhe. Analisando a data e hora dos arquivos que deviam ser eliminados, resolvi dar uma busca e encontrei mais duas gracinhas que vieram de brinde: BASSMOD.dll e NTDETECT.dll. Dê uma olhada no diretório do windows e no windows/system32. Se achar estes malwares, aproveite e jogue-os no lixo.

mfx brokerнабор кистей для макияжа ценалобановский александр видео отзовикполигон ооочто готовят с помощью блендералобановский александр

Informações adicionais