none
Virus w32/delf.A e w32/Selfish RRS feed

  • Pergunta

  •  

    Pessoal,

    Tem um cliente que pegou um virus que infectou todas as máquinas e o servidor também. Todo os arquivos .exe dos programas foram infectados. O norton não achou nada, o panda activescan também não detectou.  Somente o antivírus NOD32 e o BITDEFENDER que achou. Eles detectaram como Virus w32/delf.A  e w32/Selfish. Passo antispyware, antivirus mas não tem como limpar os arquivos .exe.  Alguém já pegou este tipo de v´rius e tem alguma solução??

    Obrigado pela ajuda

    sábado, 9 de dezembro de 2006 15:10

Respostas

  • Olá Adriano!

    Sugiro que você salve ou imprima essas instruções abaixo, pois em alguns momentos você poderá precisar usar o computador sem o acesso à internet:

     

    Faça download do Kaspersky Virus Removal Tool

        * Salve na pasta de Arquivos de programas.

        * Instale o programa normalmente seguindo todos os seus passos.

        *Não faça ainda scan!

        *Reinicie o PC em Modo de Segurança (apertando a tecla F8 (ou a tecla F5 em alguns computadores) repetidas vezes quando o computador estiver reiniciando e escolhendo a opção Modo Seguro ou Modo de Segurança).

         * Se não possível executar o computador em Modo Seguro, faça o escaneamento no modo normal

        * Na tela principal do programa marque todas as caixas disponíveis, como mostra a imagem no endereço abaixo abaixo:

    http://img123.imageshack.us/img123/214/kasperskyvirusremovaltoak2.png

        * Clique no botão Scan.

        * Seja paciente, o scan pode demorar

        * Se ele encontrar alguma infecção confirme a desinfecção aos arquivos detectados.

        * Após completar tudo clique na aba Events, desmarque a caixa de seleção "Show all events" e depois clique em Reports... e clique em "Save to file".

        * Dê um nome para o arquivo e salve numa pasta de sua preferência (de preferência salve este relatório no Desktop (área de trabalho) para facilitar a sua localização.


    Se mesmo assim o problema persistir, faça um escaneamento de seu PC com o Nod32 Online seguindo as dicas deste tutorial:

    Tutorial do antivirus Nod32 Online



    • Marcado como Resposta Richard Juhasz quinta-feira, 19 de novembro de 2009 17:45
    terça-feira, 6 de janeiro de 2009 15:40
  • tente usar o hijackthis,é facil de usar.
    leia este artigo nesse blog.acho que vai te ajudar .
    o hijackthis da uma lista de todos os procesos e o site dele diz quais são virus ou não...
    http://comosaberfazer.blogspot.com/2008/04/como-utilizar-o-hijackthis.html
    • Marcado como Resposta Richard Juhasz quinta-feira, 19 de novembro de 2009 17:45
    segunda-feira, 19 de janeiro de 2009 12:05

Todas as Respostas

  • Bom eu achei uma solução

    Baixe o F-Prot ( www.f-prot.com) para identificar as coisas que foram infectadas pelo vírus, depois de ter feito isso entre no site da housecall.trendmicro.com e mande scanear as máquinas, este site irá apontar em qual arquivo está ó próprio vírus provavelmente vai estar na pasta C:\windows\system32 vai ser um dos arquivos ".dll ou .ocx" (o virus cria nomes diferentes) então depois de descobrir deve resetar o micro e entrar no modo de segurança com o prompt de comando, ai vc deverá entrar na pasta c:\windows\system32 e dará o comando: dir *.ocx /od ou dir *.dll /od e verá se tem o arquivo que foi detectado no trendmicro ai é só você deletar este arquivo e o vírus será eliminado

    Bom foi isso que eu fiz aqui e até agora nada do vírus ter voltado espero que consigam.

     

    Boa sorte e aguardo respostas.

    segunda-feira, 11 de dezembro de 2006 15:03
  • Desenvolvi uma ferramenta para remover o vírus sem ter de excluir os arquivos infectados...

    Editado 14/12/2006 ----------------------------------
    antigo....
    http://d.turboupload.com/d/1326613/fixSelfish.zip.html

    novo.....
    http://d.turboupload.com/d/1330683/fixSelfish.zip.html

    novo 2..... agora este tem que funcionar....
    http://rapidshare.com/files/7476598/fixSelfish.zip.html
    -------------------------------------------------------

    não dou garantia de nada... use por conta e risco... o programa não contém nenhum tipo de vírus, spyware ou trojan... mas como ele mexe com os executáveis.....

    se alguem quiser o código fonte responde o topico e eu mando o codigo...
    esta em VB6...
    terça-feira, 12 de dezembro de 2006 20:02
  • Bom Dia !

    Danilo, você poderia me enviar o código fonte ? simonlopes@gmail.com

    quarta-feira, 13 de dezembro de 2006 13:48
  • Bom Dia !

     

    Você poderia me enviar o código fonte ?

    simonlopes@gmail.com

    quarta-feira, 13 de dezembro de 2006 13:52
  • mandei os fontes....

    por favor... se for publicar mantenha os créditos...

    tem alguns arquivos que o fix não está corrigindo...

    estou melhorando um pouco as rotinas de comparação para ver se ele pega todos os arquivos infectados... arquivos que não tem a string PADDINGX próximos da posição 30.000 do arquivo acabam não sendo corrigidos...

    quando eu conseguir fazer o fix pegar todos os casos eu mando novamente compilado....


    quarta-feira, 13 de dezembro de 2006 16:42
  •  

    Este virus foi descoberto no dia 07/12 a TrendMicro que descobriu a vacina.

    Hoje a McAfee ja tem a vacina o dat é 4918.

     

     

     

    Boa sorte!!!!!

    quarta-feira, 13 de dezembro de 2006 21:07
  • sim sim...
    foi a trendmicro quem divulgou primeiro....

    mas o intuito do fix é pq aqui na empresa onde eu trampo não são todas as máquinas que estão com o Trend instalados.... e a outra solução que temos é o da Symantec...
    só que a Symantec aparentemente ainda não soltou vacina pro vírus...

    e nas máquinas já infectadas eu não estava conseguindo instalar nem a pau o Trend...

    então a solução foi fazer uma solução caseira...
    e que está funcionando.... =)
    vou mandar o executavel atualizado assim que puder.... (outra coisa que eu observei do vírus... feche todas as janelas do IE.... vai no gerenciador de tarefas e mate o processo IExplore que sobrou... se vc abrir o FileMon vc vai ver que o vírus inicia esse processo e fica vasculhando sua máquina, compartilhamentos de rede e inserindo o código do virus nos arquivos.... o momento de maior atividade é um tempo depois de vc ter feito o logon na máquina....)

    referente ao fix é interessante observar tb que não há qualquer vínculo de biblioteca externa de nenhum anti-virus... o fix desenvolvi em cima de um pedaço do código do vírus e calculei o CRC com um algoritmo que eu peguei do planetsourcecode.com e deixando os devidos créditos....

    precisando do fonte é só responder o tópico....
    quinta-feira, 14 de dezembro de 2006 00:23
  • DaniloIkebara

    Você poderia me mandar o codigo fonte?

    Email - leandropj@hotmail.com

    Obrigado

    quinta-feira, 14 de dezembro de 2006 14:20
  • Versão atualizada do fix...<br>agora analisa melhor o arquivo e busca pela assinatura do arquivo original....<br><br><a href="http://rapidshare.com/files/7476598/fixSelfish.zip.html">http://rapidshare.com/files/7476598/fixSelfish.zip.html<br></a>
    quinta-feira, 14 de dezembro de 2006 14:21
  • Caro Danilo,

    quando clico em Click here to download file , não faz o download, então pedi para salvar destino como... e tb não obtive exito.

    tem algum outro lugar q eu possa fazer o download?

    adriano.sol@gmail.com ou adriano.sol@terra.com.br

    obrigado.

     

    quinta-feira, 14 de dezembro de 2006 15:20
  • GENTE TAMBÉM NÃO ESTOU CONSEGUINDO FAZER O DOWNLOAD DO ARQUIVO.

    SE PUDEREM MANDAR AGRADEÇO

    queiroz.cps@gmail.com ou leandrobq@hotmail.com


    Grato!
    quinta-feira, 14 de dezembro de 2006 15:39
  • Também não estou conseguindo, cara reveja esse upload ai

    por favor

     

     

    Grato.

    quinta-feira, 14 de dezembro de 2006 16:40
  • Cara agora deu certim o download. ;D

    vo executar aqui e posto o resultado

    vlw

     

    abraços

    quinta-feira, 14 de dezembro de 2006 17:51
  • só um detalhe que eu esqueci...
    eu esqueci de colocar uma mensagem dizendo que acabou a verificação....
    hehehe...
    geralmente o fix acaba no ultimo arquivo da ultima pasta em ordem alfabética....

    após executar o fix... reinicie a máquina....
    o fix não substitui o arquivo na hora...



    quinta-feira, 14 de dezembro de 2006 18:47
  • Cara vc pode me mandar código também

    leandrocooper at gmail com

    Valeu

    quinta-feira, 14 de dezembro de 2006 19:11
  • Estou precisando de uma luz, Rs...
    eu tenho uma rede de computadores e em algumas maquinas eu uso o Mcafee 8 e verifico que fica aparecendo um alerta constante em varios executaveis do virus w32/silfish e este danado esta atrapalhando a execução de um programa que roda em rede, porém nas maquinas que eu uso o mcafee o virus fica sendo limpo toda hora mas não sai do pc, mesmo apos eu reiniciar em modo de segurança e executar o fix disponivel aqui no forum.

    Instalei o Trend SMB em Rede e ele não detecta o problema e fica apresentando o mesmo problema. Estou concluindo que o Mcafee consegue enjaular o virus porem não tira o mesmo e o trend nem detecta ele.

    Preciso saber se tem como eu tirar esse virus na unha, no registro do windows ou de outra forma e como evitar que ele fique voltando pois esta me tirando do serio tenho 12 maquinas e se tiver que formatar todas vai ser f...., desta forma se alguem tiver uma luz ai e puder me ajudar ficaria grato, preciso tirar o virus e não permitir que ele volte a atuar. Se alguem souber como ele infecta na rede tambem seria interessante saber esta informação ok

    Tenho um server Win2003 e o anti-virus que coloquei nele é o Tren Small Businnes se alguem puder me indicar um melhor me fale ok?

    Agiuardo

    sexta-feira, 15 de dezembro de 2006 12:06
  • Colegas, estou com o mesmo problema. Ocorre que ontém a noite a Mcaffe lançou uma dat nova, a 4919. Eu coloquei o Enterprise 8.0i pra scannear os arquivos gravados e lidos (input/output). Não achou mais nada.

    Também rodei a ferramenta de varredura on line da Trend. Nada.

    Agora estou rodando a ferramenta desenvolvida pelo colega do Diário e á posto os resultados. Mas seria interessante se alguém indentificasse  com precisão qual a forma de infecção.

     

    Aguardo novidades,

     

    Leandro.

     

    sexta-feira, 15 de dezembro de 2006 12:55
  • Oi pessoal eu também estou tendo problemas com esse virus..........Já fiz milhões de coisas e nada, passei o mcafee (esse só limpa somente os arquivos infectados), passei o spyware doctor e o superspyware (que foram indicados como os melhores), deletei todos os perfis, passei um limpador de registro, realmente dei uma geral e o problema não foi solucionado...................Gostaria de saber se alguém tem outras soluções, pois as postadas aqui e em outros foruns já fiz tudo............................Uso o windows2000 server e professional...........Só sei que ele é instalado no system32 (sei lá qual nome), usa o perfil "default user" (essa é uma pasta do sistema e fica oculta), se propaga via rede, conecta com um servidor remoto e dizem que fica somente fazendo down de páginas para efeitos de propagando, mas sinceramente acho que não é só isso não. E para finalizar ele é estardando junto com a inicialização do windows, inclusive no meu computador aparece uma janela de erro com uma descrição enorme e milhares de letras e números misturados (não mostra caminho).....Tentei localizar alguns arquivos que tenha o conteúdo e nada.............Realmente se tiver alguém que já resolveu ou quem resolver daqui dos amigos, por favor, poste aqui.

    Obrigado

     

    sexta-feira, 15 de dezembro de 2006 19:42
  •  Ola Danilo.

    Sou da Equipe do site http://www.linhadefensiva.org.

    Varios usuarios do nosso Forum nos reportaram essa infecção, e não conseguimos identificar a origem.

    Gostaria de saber se voce pode disponibilizar o source, estamos estudando essa infecção e queremos tornar essa ferramenta disponivel aos muitos usuários que visitam nosso site pedindo ajuda.

    Uma outra ferramenta desenvolvida por nós, o bankerfix, http://linhadefensiva.uol.com.br/bankerfix ja foi baixado mais de 202.000 vezes. Vimos que essa infecção tem intençoes de atingir apenas usuários brasileiros, como já foi divulgado pela Sophos

    Sua ajuda seria de grande valia.

    http://linhadefensiva.uol.com.br/sobre/contato/fabio/

    Obrigado

    sexta-feira, 15 de dezembro de 2006 23:54
  • Usei o fix desenvolvido pelo DaniloIkebara, aqui tenho uma rede de 3 micros, que estavam infestados e graças a Deus o caso foi resolvido.

    Obrigada DaniloIkebana, pela super ajuda!

     

    abraços a todos

    sábado, 16 de dezembro de 2006 00:34
  • cara, to com um problema aqui foda desse virus, me diz como esse teu programa funciona, pq ele ta so identificando os arquivos corrompidos, abelardo.oliveira@hotmail.com
    sábado, 16 de dezembro de 2006 15:13
  • ola e desde ja agradeço a criaçao do fix,vou testar ainda,minha rede tem 30 micros e a infecçao se alastrou,poderia me enviar o fonte tambem por favor? barrigainterplay@msn.com ou renatobarriga@terra.com.br obrigado e abraços.
    sábado, 16 de dezembro de 2006 17:35
  • EI pessoal me ajudem por favor, tenho uma rede com 40 computadores, e ta infectado, pow dando muito trabalho, alguem me ajuda ai, esse metodo do do fix,como funciona?quando coloco limpar, ele fica mostrando na rede os arquivos infectados, mas e ai??? so ta mostando os infectados, mas e o virus?? vlw, abracos!!!

    abelardo.oliveira@hotmail.com

    Pessoal, é urgente!!!!!

    sábado, 16 de dezembro de 2006 19:14
  • preciso saber do código fonte pro f-prot, poderia por favor me mandar?  melissa_qsf@hotmail.com

    e obrigado

    domingo, 17 de dezembro de 2006 05:46
  • A todos que se interessaram pelo fix, segue o código fonte em VB6.

    http://rapidshare.com/files/7976573/fixSelfish-fonte.zip.html
    segunda-feira, 18 de dezembro de 2006 11:11
  • Danilo, bom dia

    rodei o fix na maquina aqui, mais deu o seguinte log apos executar..

     

    Fix W32/SelFish ------------------
    Tecnologia - Diário do Grande ABC
    Data: 2006-12-14 15:51:59
    Inicializando rotina de remoção do vírus W32/SelFish
    ----------------------------------
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error

     

     

    Nesse caso não deu certo o fix?

     

    Abraços!

    segunda-feira, 18 de dezembro de 2006 11:58
  • pra quem está passando o fix e depois de um tempo o vírus voltar....

    fikem atento que o vírus TROJ_AGENT.GUQ infecta os executaveis novamente com o selfish... e vice-versa...

    esse troj_agent.guq escolhe um nome aleatório da pasta system32 e se renomeia para nome_do_arquivo_escolhido.ocx... tem entre 299 KB a 300 KB...



    segunda-feira, 18 de dezembro de 2006 13:34
  • aqui deu isso

     

    Fix W32/SelFish ------------------
    Tecnologia - Diário do Grande ABC
    Data: 2006-12-14 15:51:59
    Inicializando rotina de remoção do vírus W32/SelFish
    ----------------------------------
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error

     

     

    OQUE PODE TER SIDO?

     

    abraços

    segunda-feira, 18 de dezembro de 2006 14:08
  • danilo,
    Eu qdo uso seu fix toda vez aparece isso:
    Fix W32/SelFish ------------------
    Tecnologia - Diário do Grande ABC
    Data: 2006-12-18 12:10:57
    Inicializando rotina de remoção do vírus W32/SelFish
    ----------------------------------
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Path/File access error
    Out of string space
    Invalid procedure call or argument

    Sinal que não esta funcionando?E tbm o virus ta la queto na dele qdo eu uso o fix  o meu anti-virus(NOD32) detecta!Dai o anti-virus começa a fresca!!
    Outra coisa, minha iternet e ligado numa rede de computadores.No caso se eu reformatar meu pc eu tenhu chache de pegar o virus denovo?

    Ajuda ae mano!
    segunda-feira, 18 de dezembro de 2006 14:26
  • Danilo,

     

    Pode me passar por favor o codigo fonte do virus, estou em uma pesquisa sobre Anti-Virus.........

    Obrigado.

    segunda-feira, 18 de dezembro de 2006 15:51
  • Olá Cesarle,

    dá pra identificar o arquivo infectado só com o scan pelo housecall.trendmicro.com?

    para que serve o parâmetro /od?

    Grato.

    edelyas

    segunda-feira, 18 de dezembro de 2006 17:17
  • ahhh....

    muito provavelmente o seu antivirus não deve estar deixando o fix ter acesso exclusivo ao arquivo infectado....
    desabilite temporariamente rode o fix e ative-o novamente...
    outro detalhe...
    feche todas as janela do IE... vá no gerenciador de tarefas na aba processos...
    se tiver algum processo IExplore ainda ativo provavelmente o w32/selfish baixou outro vírus...
    o TROJ_AGENT.GUQ...
    esse segundo vírus fica escondido na pasta System32 e aleatoriamente escolhe um nome de arquivo do sistema como seu nome....

    por exemplo....
    vc tem os arquivos
    acledit.dll
    activeds.dll
    avifile.dll
    na sua pasta system32... o vírus escolhe um nome qualquer e se autodenomina...
    acledit.OCX.... entendeu?! pra te confundir.... o arquivo original não é virus... mas o nome de arquivo que o TROJ_AGENT.GUQ é vírus.... é só pra te confundir....
    e esse TROJ_AGENT.GUQ fica vasculhando os arquivos da máquina local e os computadores da rede que tiverem compartilhamentos para escrita para disseminar o W32/Selfish.... um vírus espalha o outro.... é um esquema sacana esse....

    esse segundo vírus é mais fácil de remover...

    antes de rodar o fix... mate os processos IExplore....
    rode o fix....
    procure na sua pasta System32 por arquivos modificados recentemente e que tenham entre 299KB e 300KB....
    copie para outra pasta só por segurança...
    tente deletar esse arquivo.... o Windows não deixará.... entaum renomeie o arquivo... esta operação o Windows deixará vc fazer.... renomeie com outra extensão que não seja .OCX nem .DLL...

    reinicie a máquina... abra o gerenciador de tarefas e fique observando se nenhum processo IExplore se iniciará sozinho....

    se não acontecer nada.... pronto... vc se livrou do vírus.... agora se acontecer..... procure novamente no System32 por arquivos suspeitos....

    vou acrescentar a detecção pelo TROJ_AGENT.GUQ.... mas por enquanto dá pra se fazer o trabalho manualmente.....

    abs...
    boa sorte....
    segunda-feira, 18 de dezembro de 2006 22:26
  • Bom Dia Danilo,

    Tentei executar o FIX para o W32/Selfish em VB disponibilizado no forum e apresentou o erro abaixo:

    Runtime Error 6: Overflow

    Deu erro na linha abaixo do programa:

            If (DirName <> ".") And (DirName <> "..") Then
                ' Check for directory with bitwise comparison.
                If GetFileAttributes(Path & DirName) And FILE_ATTRIBUTE_DIRECTORY Then
                    dirNames(nDir) = DirName
                    DirCount = DirCount + 1

    Onde DirCount = 32767. Como corrigir o bug?

    Estou rodando em uma estação Windows XP SP2 utilizando o VB6 sem service pack para a execução do programa, sem a criação do executável, diretamente do projeto VB.

     

     

    terça-feira, 19 de dezembro de 2006 11:15
  • Bom Dia a todos ..........

    Trabalho em uma lan house, sou tecnico daqui e tbm estou com o mesmo problema ...

    Maledito Selfish ...

    quero perguntar a todos aqui do forum ,

    QUEM ESTÁ COM ESTE VIRUS , USA DEEP FREEZE NAS MAQUINAS???

    Formatei duas Maquinas , instalei o XP e o Antivirus Macfee, passei o ANTIVIRUS E NADA ...

    Ae depois Instalei o Deep Freeze e Frizei ela ...

    Estão OK,

    O problema é que eu tenho  mais de 52 maquinas com Deep Freeze,

    Não Adianta passar o antivirus ele limpa na hora, o virus deve estar alojado no deep freeze,

    Se alguem sabe alguma coisa a respeito ou como deletar o " SELFISH " de vez do PC ajudem- nos...

    Valew a todos ............

    terça-feira, 19 de dezembro de 2006 11:53
  • mude a assinatura da função FindFilesAPI de

    Function FindFilesAPI(Path As String, SearchStr As String, FileCount As Integer, DirCount As Integer)

    para

    Function FindFilesAPI(Path As String, SearchStr As String, FileCount As Long, DirCount As Long)


    terça-feira, 19 de dezembro de 2006 12:21
  • Danilo minha maquina pegou esse virus ta dizendo que todos os meus executaveis e um virus...

    tentei baixar o arquivo que vc fez mas nao consegui...

    por gentileza se vc puder me ajudar...

    manda pro meu email...

    deco_melo@hotmail.com

    obrigado pela atenção...

    estou esperando uma resposta...

    abraço..

    terça-feira, 19 de dezembro de 2006 13:39
  • Ola

       você poderia mandar seu codigo fontes, pois todas as maq na minha rede estão contaminadas.

    Agradeço

     

     

     

    terça-feira, 19 de dezembro de 2006 13:57
  • Amigo,

    Li sua nota sobre essa praga.

    Meu antivirus (viruscan) detecta o virus e supostamente limpa. no entanto, não consegue remover.

    realizei os procedimentos que você informou e no entanto não surtiram efeito.

    esse fix que vc criou , no meu caso apenas informa as mesmas coisas que os demais antivirus encontram.

    Gostaria de saber qual outro procedimento (que não seja formatar) eu devo tomar para remover de vez essa praga que infectou todas as máquinas.

    Fico no aguardo.

    terça-feira, 19 de dezembro de 2006 15:11
  • Por favor me envie por email fixSelfish.zip com o codigo fontes, preciso  urgente!!!!!!!!!!!!!!!!!!!!!!

    email: kelly@starnet.inf.br

    terça-feira, 19 de dezembro de 2006 16:34
  • Olá Pessoal,

    Gostaria de compartilhar algumas informações sobre o virus. Espero que seja de ajuda.

    O vírus como já foi dito, utiliza-se do método de infecção em arquivos .exe.

    E também como já foi dito, ele usa um arquivo .ocx para se esconder. O virus está situado em %systemroot%/system32/<nome_do_arquivo.ocx>. Quando ele se instala é gerado randomicamente uma cópia de um arquivo contido na pasta System32. Por exemplo, se existir um arquivo wbcache.sve ele pode gerar uma cópia wbcache.ocx.

    Ai vem a pergunta: Mas Sidinei, como eu vou saber qual é o arquivo?

    Ai eu vi uma charada a descobrir. Vi que quando eu executava meus sistemas antivirus, o processo responsavel pela infecção era o Iexplore.exe, em todas as detecções. Claro que o antivirus nunca iria apagar o arquivo, porque era um arquivo de sistema e ele tinha de ser reparado sempre (afinal o sistema utiliza o Internet Explorer).

    Foi então que pensei qual seria o método de infecção. Então seria da forma mais clara possível: Ele se instala como um plugin do IE!!!

    Fui em Opções da internet -> Programas -> Gerenciar complementos. Vi que havia uma OCX com um nome em um hash gigantesco, nada a ver com o ie. Fui lá desabilitei o complemento e apaguei o arquivo com algum programa de remoção forçada, e que removesse ao reiniciar o windows.

    Pronto, não houve sequer mais um aviso de virus em todos os sistemas que detectaram a ameaça.

    Espero que eu tenha colhido a informação de todos e compilada aqui um pequeno guia para ajuda do pessoal

    Abraços

    terça-feira, 19 de dezembro de 2006 19:37
  • Boa Tarde Senhores,

     

    Desde o dia 15/12 que estamos tentando chegar a um denominador comum sobre o vírus SELFISH, procurando saber a origem, a sua vulnerabilidade além da detectada inicialmente, dentre outros pontos que estão em aberto.

    No dia 16/12 e aproveito para confirmar a informação do Sr. Sidinei Mancini que o vírus fica alocado no %systemroot%\WINDOWS\SYSTEM32 com um nome randômico de origem desconhecida e aproveito apenas para acrescentar que até o momento o mesmo permaneceu com o mesmo tamanho, sendo este de 299KB, com data de modificação no dia 18/12/2006.

    Arquivos com nomes randômicos (Etiquetas200517.dll, Mscomctl.ocx ou dll, win32k.oxc) apenas matendo 2 extensões, sendo DLL e OCX e mantendo sempre o tamaho 299KB com data do dia 18/12/2006.

    O Procedimento adotado foi o mesmo que o Sidinei informou:

    1) Abrir o internet explorer -> Opção da Internet -> Programas -> Gerenciar Complementos:
      
         Ao mostrar todos os complementos, buscar pelos que estão com o nome em formato de chave de registro, sem associação a nenhum Editor proprietário. Aproveito para solicitar que os senhores façam uma busca por componentes que não possuem Editor proprietário e que sejam suspeito, mesmo com nome amigável, principalmente componentes de toolbar.

    Nome: {as09fa098sdf9-asdf9-asfd9-kqjw-a9sa93-1239a808yh20hdiuh3}
    Editor: Desconhecido
    Arquivo: mscomctl.dll ou ocx com tamanho de 299KB, nome randômico dentro de %systemroot%\windows\system32

    Selecionar o componente e logo após a opção DESATIVAR.

    2) Renomerar o arquivo para qualquer outro formato que não seja de execução ou bibliotecas, optei pelo TXT.

    3) Reiniciar a estação para descarregar da memória.

    4) Remover o arquivo.

    5) Atualizar o Engine e o Dat files do antivírus

    6) Reiniciar em modo de segunrança

    7) Desativar a opção de "Restauração do sistema" em propriedade do meu computador.

    8) Efetuar um scan completo em todos os discos.

    Aconselho analisar as entradas dos registros para os usuários avançados no sentido de garantir os processos que estão sendo inicializados nas estações, sendo as principais entradas:

    \HKEY_CURRENT_USER\software\Microsoft\Windows\RUN
    \HKEY_LOCAL_MACHINE\software\Microsoft\Windows\RUN
    \HKEY_LOCAL_MACHINE\software\Microsoft\Windows\RunServices

    Tenham todos uma boa tarde e esperemos maiores detalhes sobre a procedência e as intensões reais do vírus em questão e como as Empresas estão tentando combatê-las mais pro-ativamente.

    Gorki P. Pinheiro


     

    quarta-feira, 20 de dezembro de 2006 19:33
  • bom pessoal obrigado a todos e ao sr.sidnei deu certo sim consegui tirar esse maldito virus..consegui tirar das 52 maquinas da lan orbiegado mesmo tomara que vcs consigam tbm obrigado a todos ah e o selfix deu certo tbm ..t++ :)
    quinta-feira, 21 de dezembro de 2006 06:30
  • Ola Danilo...

     

     tem como vc mandar o fix para mim

    Agradeço deste de já!!!!

    looko_dom@hotmail.com

    quinta-feira, 21 de dezembro de 2006 12:59
  • Bom Galera ...

    Encontrei um Programa que tira Trojan ...

    Este encontrou nosso amiguinho SELFISH ...

    Instala o Trojan Remover, Atualiza ele e depois manda ele buscar ...

    Ele Vai Achar todo Tipo de Trojan no seu PC, Incluindo os Arquivos que o Selfish Reescreve ...

    Eu Usei e deu certo, o SELFISH foi Eliminado do PC ...

    Entre no Site 

    www.freewebs.com/trojan_remover/

    Valew ... e quem tiver alguma duvida, mande um Email pra mim ....

    j3ff1nh0@msn.com

    Obrigado ...

    quinta-feira, 21 de dezembro de 2006 16:46
  • eu passei o programa aqui  porém ele não encontrou ocorrencias..

     

    =/

     

     

    preciso tirar isso da minha rede ...

    quinta-feira, 21 de dezembro de 2006 17:07
  • esse link seu ta off
    quinta-feira, 21 de dezembro de 2006 17:25
  • ME DESCULPE , POIS NÃO CONSEGUI COLOCAR ELE PARA DOWNLOAD,

    MAS AGORA DEU CERTO

    ENTRE NO MEU SiTE E LAH COLOQUEi ELE PARA DOWNLOAD

    http://www.freewebs.com/descompihacker/

    QUALQUER DUVIDA ESTAMOS AE !!!!

     

    sexta-feira, 22 de dezembro de 2006 12:30
  • olha pessoal esse programa do j3ff1nh0 realmente resolveu definitivamente o problema por aqui

    e olha  que fiz sem desconectar as maquinas da rede e sem entrar em modo de segurança,muito bom mesmo

    obrigado  jefinho,com certeza resolveu meu problema e o de muita gente que ja estava estressada com esse virus.

    quinta-feira, 28 de dezembro de 2006 01:46
  • Pessoal aqui na empresa que trabalho pequei esse virus em 2 unidades com cerca de 180 maquinas cada.

    Passei quase 2 semanas sem dormir por causa desse virus, consegui resolver o problema depois que passei o norton e um anti-virus pouco conhecido mas muito eficiente chamado antivir.

    Melhorei também os compartilhamentos na rede e já faz uma semana e meia que não tive mais nenhuma ocorrência.

    Se alguém quiser alguma ajuda meu email é allexsd@gmail.com

     

    quinta-feira, 28 de dezembro de 2006 12:03
  •  adriano.jp wrote:
     

    Pessoal,

    Tem um cliente que pegou um virus que infectou todas as máquinas e o servidor também. Todo os arquivos .exe dos programas foram infectados. O norton não achou nada, o panda activescan também não detectou.  Somente o antivírus NOD32 e o BITDEFENDER que achou. Eles detectaram como Virus w32/delf.A  e w32/Selfish. Passo antispyware, antivirus mas não tem como limpar os arquivos .exe.  Alguém já pegou este tipo de v´rius e tem alguma solução??

    Obrigado pela ajuda

    Estou precisando também desta ferramenta, pois estou com um servidor e umas máquinas com esta praga.

    Aguardo uma solução , e obrigado.

    josuegondim@terra.com.br

     

     

    quarta-feira, 3 de janeiro de 2007 19:22
  • Olá Danilo,

    tudo bem !

    tenho interesse em receber o codigo fonte.

    Muito obrigado.

    Humberto

     

    terça-feira, 27 de fevereiro de 2007 12:15
  • Olá Adriano!

    Sugiro que você salve ou imprima essas instruções abaixo, pois em alguns momentos você poderá precisar usar o computador sem o acesso à internet:

     

    Faça download do Kaspersky Virus Removal Tool

        * Salve na pasta de Arquivos de programas.

        * Instale o programa normalmente seguindo todos os seus passos.

        *Não faça ainda scan!

        *Reinicie o PC em Modo de Segurança (apertando a tecla F8 (ou a tecla F5 em alguns computadores) repetidas vezes quando o computador estiver reiniciando e escolhendo a opção Modo Seguro ou Modo de Segurança).

         * Se não possível executar o computador em Modo Seguro, faça o escaneamento no modo normal

        * Na tela principal do programa marque todas as caixas disponíveis, como mostra a imagem no endereço abaixo abaixo:

    http://img123.imageshack.us/img123/214/kasperskyvirusremovaltoak2.png

        * Clique no botão Scan.

        * Seja paciente, o scan pode demorar

        * Se ele encontrar alguma infecção confirme a desinfecção aos arquivos detectados.

        * Após completar tudo clique na aba Events, desmarque a caixa de seleção "Show all events" e depois clique em Reports... e clique em "Save to file".

        * Dê um nome para o arquivo e salve numa pasta de sua preferência (de preferência salve este relatório no Desktop (área de trabalho) para facilitar a sua localização.


    Se mesmo assim o problema persistir, faça um escaneamento de seu PC com o Nod32 Online seguindo as dicas deste tutorial:

    Tutorial do antivirus Nod32 Online



    • Marcado como Resposta Richard Juhasz quinta-feira, 19 de novembro de 2009 17:45
    terça-feira, 6 de janeiro de 2009 15:40
  • tente usar o hijackthis,é facil de usar.
    leia este artigo nesse blog.acho que vai te ajudar .
    o hijackthis da uma lista de todos os procesos e o site dele diz quais são virus ou não...
    http://comosaberfazer.blogspot.com/2008/04/como-utilizar-o-hijackthis.html
    • Marcado como Resposta Richard Juhasz quinta-feira, 19 de novembro de 2009 17:45
    segunda-feira, 19 de janeiro de 2009 12:05