1 - Access violation at adrress 004F6E16 in module 'winlogon777(1).exe'. Read of adrress 00000000.
2 - Access violation at adrress 004F6E16 in module 'GbPlugin-módulo de segurança.exe'. Read of adrress 00000000. Como segue na imagem abaixo:
A máquina em questão é roda o Windows 7 Professional, Service Pack 1, 32bits.
O vírus passou pelo Firewall e pelo antivírus da Trend Micro que não identificaram nada.
Situação explicada vamos as medidas que tomei para solucionar o problema.
1 - Efetuei uma limpeza de disco com intuito de apagar alguns rastros e arquivos temporários.
2 - Baixei e fiz uma varredura com o Stinger (McAfee) >>clique aqui para baixar<< programa esse que remove vírus, trojans, etc.. Na primeira varredura encontrou cinco infecções e essas foram limpas pelo programa. Reiniciei a máquina e o problema ainda continuou, executei novamente o Stinger e nada foi encontrado. Vamos então a outras opções. ( Pelo menos limpou esses cinco vírus rsrsr)
3 - Baixei o CCleaner >>Clique aqui para baixar<< , efetuei uma limpeza na aba "windows" e na aba "programas", efetuei também uma varredura de erros no registro e a correção dos mesmo pelo CCleanerr. A limpeza foi boa, limpou muita coisa mas não resolveu meu problema, após reiniciar a máquina o problema ainda continuava. Vamos então as outras opções. ( Pelo menos a máquina ficou um pouco mas rápida rsrsrsrs)
4 - Como fiz muitas limpezas e modificações no registro, efetuei uma desfragmentação do disco para organizar "as coisas".
5 - Baixei o Spybot - Search & Destroy >>Clique aqui para baixar<< , atualizei o programa, utilizei a opção de imunizar o sistema, e efetuei uma varredura no sistema onde foi encontrado somente um cookie (DoubleClick) que não tinha relação com o problema e o mesmo foi limpo.
6 - Apaguei os arquivos temporários da pasta de usuário no caminho C:\Users\(usuario)\AppData\Local\Temp. Reiniciei a máquina novamente e o problema continuou, isso já havia passado das 18:00 horas, horário em que encerro o expediente, mas decidi só ir embora quando o vírus fosse eliminado. Vamos ao próximo passo.
7 - Fiz uma varredura online com o Antivírus Panda através do site:
http://www.pandasecurity.com/brazil/homeusers/solutions/activescan/ , e nada foi encontrado.
8 - Fiz uma varredura online com o Antivírus bitdefender opção através do site:
http://www.bitdefender.com/scanner/online/free.html , e nada foi encontrado.
9 - Em vasta pesquisa na internet pelo problema, descobri dois sites que lançaram informações do vírus hoje (06/01/2012) pois o vírus é novo e quase não existe informação na internet.
Os sites foram:
Através da informação dos arquivos gerados pelo vírus, apaguei na "mão grande" os seguintes arquivos:
%System%\GbPlugin-M�dulo de Seguran�a.com
%Windir%\winlogon777(3).exe 0 bytes MD5: 0xD41D8CD98F00B204E9800998ECF8427E
SHA-1: 0xDA39A3EE5E6B4B0D3255BFEF95601890AFD80709 (not available)
%System%\GbPlugin-M�dulo de Seguran�a.exe
%Windir%\winlogon777(1).exe
%System%\GbPlugin-M�dulo de Seguran�a.scr
%Windir%\winlogon777(2).exe 0 bytes MD5: 0xD41D8CD98F00B204E9800998ECF8427E
SHA-1: 0xDA39A3EE5E6B4B0D3255BFEF95601890AFD80709 (not available)
%Windir%\W22.exe 5.464.576 bytes MD5: 0x242B266CB2B14A8B609D39C788B91679
SHA-1: 0x591070AF7E504B0F588439E501A58199184EFA52 Troj/Bancos-BIJ [Sophos]
Trojan-Banker.Win32.Banz [Ikarus]
%Windir%\W22.zip 4.566.263 bytes MD5: 0x65E1CE5EEEF6C23F2A3657645EEE44E6
SHA-1: 0x70BB99944928E504E5D8FB25EE06D859F33E8556 (not available)
%Windir%\W33.exe 8.291.328 bytes MD5: 0x63A6E3DC2B3374F39A6AC27585454799
SHA-1: 0x2E982ED0D06C34B909A46F60FB03FE9BA61AF629 Trojan-Banker.Win32.Banz [Ikarus]
%Windir%\W3W 7.423.939 bytes MD5: 0x50B6237687E4955E47AFAA1B6E1DD7A7
SHA-1: 0x9C0DFD73E11BED90B96C13541E5E74ABE70D5BAD (not available)
%Windir%\W4.zip 5.906.484 bytes MD5: 0x19819EFAE0365B64A41686F725B53CFE
SHA-1: 0x8EDBA51AA07445DD466A3F2FD0A2B535FA9EEC30 (not available)
%Windir%\W44.exe 6.808.576 bytes MD5: 0x8C1A01115020261B0C4CB333008D1490
SHA-1: 0x07874265D085A1ECB2B8E972D8F5063DA9082F00 Troj/Bancos-BIJ [Sophos]
Trojan-Banker.Win32.Banz [Ikarus]
%Windir%\Wpps.pps 174.592 bytes MD5: 0x0ABA93F68DC9FA3CBDE5014BED7E2CEA
SHA-1: 0x63531C7D6CC91D1BAEFBEF833F58DA690F463D2A
10 - Depois de ter apagado todos os arquivos acima, efetuei uma limpeza de registro com o CCleaner que removeu os registros sem caminho atribuído do vírus.
11 - Identifiquei através do Ccleaner na opção "Ferramentas" -> "Programas iniciados com o windows" que os arquivos winlogon777(1). exe,winlogon777(2). exe e winlogon777(3).exe estavam marcados para inicializar, desativei para que não inicializasse com o sistema.
Reiniciei a máquina e o problema sumiu. isso já eram 19:30 horas, uma hora e meia após o horário de expediente, levei uma tarde inteira para encontrar uma solução e aplicá-la e passei o resto de minha noite escrevendo este artigo. Sei que esse vírus muita gente vai pegar e com esse artigo você tem todas as instruções para se livrar dele em pouco tempo. Execute os passos de 9 á 11 que seu problema será resolvido.
Nenhum comentário:
Postar um comentário