none
Virus - Win32/Selfish.B RRS feed

  • Pergunta

  • Boa noite a todos.

    Gostaria da ajuda de todos que puderem ajudar.

    Na sexta passada meu AV alarmou a presença do virus Win32/Selfish.B,

    Passei o AV e ele removeu uma pancada de executaveis de minha maquina. Menos os que estavam no "Arquivo de Programas" e "\\...\Windows"

    No mesmo dia uma outra maquina acusou a presença do virus. Hoje mais uma.

    Alguem ja teve o mesmo problema e encontrou alguma solução?

    Da para remover com as mesmas tecnicas da variante Selfish?

    Agradeço desde já a ajuda de todos

    Magnus

    quarta-feira, 10 de dezembro de 2008 00:38

Respostas

  • Olá Magnus!


    Siga as dicas do tutorial abaixo para eliminar estes vírus de seu PC e para deixá-lo mais protegido e eficiente:


    Dicas para remover os vírus e outros tipos de malwares (para aqueles que já possuem um antivírus)


    Depois de seguir as dicas acima nos diga, por gentileza, como está o seu PC e se o problema foi resolvido. Ficamos no aguardo.

    • Marcado como Resposta Richard Juhasz quinta-feira, 19 de novembro de 2009 16:41
    segunda-feira, 22 de dezembro de 2008 17:02
    • Marcado como Resposta Richard Juhasz quinta-feira, 19 de novembro de 2009 16:41
    quarta-feira, 20 de maio de 2009 23:43

Todas as Respostas

  • Explique melhor sobre esta infecção. O mesmo vírus criou réplicas dele e/ou infectou outros arquivos?. Se não for o mesmo vírus poste todos os nomes aqui deles para que eu possa me informar melhor.
    Mande também um log do HijackThis (baixar).

    Bom pelo que eu entendi para remover os malwares que estão voltando na máquina façaa o seguinte:
    Veja os arquivos que se iniciam com o Windows e remova os que você acha suspeito. Para remover vai em Iniciar / Executar digite sem aspas "msconfig", vá na paleta Inicializar e veja os arquivos/programas.
    Caso essa técnica acima não resolva o problema está no undergroud do regedit poste o log do hijackthis e eu vou verificar.
    quarta-feira, 10 de dezembro de 2008 14:13
  • Caro Elger.
    Aparentemente o virus infectou todos os executaveis de minha maquina, menos os que estão em arquivos de programas e c:\windows.
    E o nome do virus é win32/Selfish.B.
    So tem referencia dele nos dats do Nod, mas nao tem literatura nenhuma falando dele, metodos de infecção, remoção manual, arquivos reinfectantes, chaves que precisam ser removidas, etc.
    To no escuro total. Estou tentando me basear pelas caracteristicas da versão anterior. Mas nao tem ajudado.
    E o log do HijackThis é este:
    Existe algum tutorial sobre como interpretar de maneira correta esse log?
    Grato pela ajuda
    Magnus

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:05:00, on 10/12/2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16735)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\ARQUIV~1\GbPlugin\GbpSv.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Arquivos de programas\Arquivos comuns\LogiShrd\LVMVFM\LVPrcSrv.exe
    C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Arquivos de programas\Bonjour\mDNSResponder.exe
    C:\WINDOWS\Explorer.EXE
    C:\Arquivos de programas\Software MSI\Star Key Bluetooth\bin\btwdins.exe
    C:\Arquivos de programas\Arquivos comuns\Portrait Displays\Shared\DTSRVC.exe
    C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\ekrn.exe
    C:\Arquivos de programas\Arquivos comuns\LogiShrd\LVCOMSER\LVComSer.exe
    C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Arquivos de programas\Arquivos comuns\LogiShrd\LVCOMSER\LVComSer.exe
    C:\Arquivos de programas\Symantec\Ghost\ngserver.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Arquivos de programas\Sandboxie\SbieSvc.exe
    C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe
    c:\Arquivos de programas\Microsoft SQL Server\90\Shared\sqlwriter.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Arquivos de programas\UPHClean\uphclean.exe
    C:\Arquivos de programas\Symantec\Ghost\bin\dbserv.exe
    C:\Arquivos de programas\Symantec\Ghost\bin\rteng9.exe
    C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe
    C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
    C:\Arquivos de programas\Hewlett-Packard\CapShare\hpkiob1.exe
    C:\WINDOWS\System32\hphmon03.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\egui.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Arquivos de programas\iTunes\iTunesHelper.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Arquivos de programas\Software MSI\Star Key Bluetooth\BTTray.exe
    C:\WINDOWS\System32\HPHipm09.exe
    C:\Arquivos de programas\honestech\honestech TVR 2.5\scheduleTV.exe
    C:\Arquivos de programas\iPod\bin\iPodService.exe
    C:\WINDOWS\system32\taskmgr.exe
    C:\Arquivos de programas\Microsoft Office\OFFICE11\OUTLOOK.EXE
    C:\Arquivos de programas\Microsoft Office\OFFICE11\WINWORD.EXE
    C:\Arquivos de programas\NetMeeting\conf.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Arquivos de programas\Internet Explorer\iexplore.exe
    C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Arquivos de programas\Escritório\Moedas\cotacao.exe
    C:\Arquivos de programas\Mozilla Firefox\firefox.exe
    C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\Acrobat.exe
    C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    C:\Arquivos de programas\GFI\LANguard 9.0\update.exe
    C:\Documents and Settings\magnus\Desktop\HiJackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bettiol.com.br/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R3 - URLSearchHook: Barra de Ferramentas do Yahoo! com bloqueador de pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Arquivos de programas\FlashGet\jccatch.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
    O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\Arquivos de programas\GbPlugin\gbieh.dll
    O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Arquivos de programas\FlashGet\getflash.dll
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
    O4 - HKLM\..\Run: [CapShare IO Broker] C:\Arquivos de programas\Hewlett-Packard\CapShare\hpkiob1.exe /BusServer
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\System32\hphmon03.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [egui] "C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Arquivos de programas\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\RunOnce: [!CleanupNetMeetingDispDriver] "C:\WINDOWS\system32\rundll32.exe" msconf.dll,CleanupNetMeetingDispDriver 0
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Windows Live FolderShare] "C:\Documents and Settings\magnus\Configurações locais\Dados de aplicativos\FolderShare\FolderShare.exe" /background
    O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: BTTray.lnk = ?
    O4 - Global Startup: TVR Scheduler.lnk = C:\Arquivos de programas\honestech\honestech TVR 2.5\scheduleTV.exe
    O8 - Extra context menu item: &Descarregar tudo com o FlashGet - C:\Arquivos de programas\FlashGet\jc_all.htm
    O8 - Extra context menu item: &Descarregar utilizando o FlashGet - C:\Arquivos de programas\FlashGet\jc_link.htm
    O8 - Extra context menu item: Append to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Enviar para &Bluetooth - C:\Arquivos de programas\Software MSI\Star Key Bluetooth\btsendto_ie_ctx.htm
    O9 - Extra button: (no name) - AutorunsDisabled - (no file)
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
    O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
    O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/common/cab/DjVuControlLite_EN.cab
    O16 - DPF: {106E49CF-797A-11D2-81A2-00E02C015623} (AlternaTIFF ActiveX) - http://www.alternatiff.com/install-ie/alttiff.cab
    O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
    O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
    O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
    O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
    O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9563.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1190819653727
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1222874480670
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://www14.bancobrasil.com.br/plugin/GbpDist.cab
    O16 - DPF: {F2CA2115-C8D2-11D1-BEBD-00A0C95A6A5C} (WebReportSource Class) - http://sistemas.anatel.gov.br/viewer/activeXViewer/activexviewer.cab
    O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = bettiol.com.br
    O17 - HKLM\Software\..\Telephony: DomainName = bettiol.com.br
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = bettiol.com.br
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = bettiol.com.br
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = bettiol.com.br
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL
    O20 - Winlogon Notify:  GbPluginBb - C:\Arquivos de programas\GbPlugin\gbieh.dll
    O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\
    O23 - Service: Dispositivo Celular da Apple (Apple Mobile Device) - Apple Inc. - C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Bonjour Service - Apple Inc. - C:\Arquivos de programas\Bonjour\mDNSResponder.exe
    O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Arquivos de programas\Software MSI\Star Key Bluetooth\bin\btwdins.exe
    O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Portrait Displays\Shared\DTSRVC.exe
    O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
    O23 - Service: Eset Service (ekrn) - ESET - C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\ekrn.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: GFI LANguard 9.0 Attendant Service (gfi_lanss9_attservice) - GFI Software Ltd. - C:\Arquivos de programas\GFI\LANguard 9.0\lnssatt.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPBPRO.EXE
    O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPBOID.EXE
    O23 - Service: Sony SPTI Service for DVE (ICDSPTSV) - Sony Corporation - C:\WINDOWS\system32\IcdSptSv.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPod Service - Apple Inc. - C:\Arquivos de programas\iPod\bin\iPodService.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\ARQUIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: LVCOMSer - Logitech Inc. - C:\Arquivos de programas\Arquivos comuns\LogiShrd\LVCOMSER\LVComSer.exe
    O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Arquivos de programas\Arquivos comuns\LogiShrd\LVMVFM\LVPrcSrv.exe
    O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Arquivos de programas\Arquivos comuns\LogiShrd\SrvLnch\SrvLnch.exe
    O23 - Service: Symantec Ghost Database Service Wrapper (NGDBSERV) - Symantec Corporation - C:\Arquivos de programas\Symantec\Ghost\bin\dbserv.exe
    O23 - Service: Symantec Ghost Configuration Server (NGSERVER) - Symantec Corporation - C:\Arquivos de programas\Symantec\Ghost\ngserver.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Pml Driver - HP - C:\WINDOWS\System32\HPHipm09.exe
    O23 - Service: PsExec (PSEXESVC) - Sysinternals - C:\WINDOWS\PSEXESVC.EXE
    O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Arquivos de programas\WinPcap\rpcapd.exe
    O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Arquivos de programas\Sandboxie\SbieSvc.exe
    O23 - Service: ServiceLayer - Nokia. - C:\Arquivos de programas\PC Connectivity Solution\ServiceLayer.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
    O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Arquivos de programas\Arquivos comuns\VMware\VMware Virtual Image Editing\vmount2.exe
    O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
    O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Arquivos de programas\TightVNC\WinVNC.exe (file missing)
    O24 - Desktop Component AutorunsDisabled: (no name) - (no file)

    --
    End of file - 17600 bytes

    quarta-feira, 10 de dezembro de 2008 17:34
  • bom dia

    Estou com esse mesmo problema.

    eu dei uma lida e descobri que esse virus corrompe os arquivos .exe.

    O virus Selfish é antigo, porem, nesses dias saiu uma variação: o Selfish.b.

    infelizmente hoje, ao passar o nod32, ele achou outra variação: o Selfish.c.

    Precisamos de uma ferramente que detecte e elimine o nome principal, que é Selfish, pois pelo que eu estou vendo, essas variaveis vao mudando ate nao sei quando.
    quinta-feira, 11 de dezembro de 2008 09:42
  • Bom dia Pessoal!!

     

    Já há uma semana estou com este problema na minha rede. Os programas não executam. Para ver se os arquivos estão contaminados basta ver a data de criação. Na restauração de backup percebi também a diferença de tamanho. Até ontem (10/12/2008) eu passei o antivirus Kaspersky em todas as estações da rede e também no server e nada foi identificado como vírus. Já hoje (11/12/2008) o Kaspersky tá pegando de montão o win32.selfish.b.

     

    quinta-feira, 11 de dezembro de 2008 10:07
  • Temos que descobrir como ele se propaga? Qual é o arquivo que esta reinfectando.
    A variante C ainda nao detectei.
    E as empresas de AV estao comendo mosca, porque nao estão fornecendo informação nenhuma sobre eles.
    Grato
    Magnus
    quinta-feira, 11 de dezembro de 2008 13:36
  • use o hijackthis.
    leia este artigo nesse blog.acho que vai te ajudar .
    o hijackthis da uma lista de todos os procesos e o site dele diz quais são virus ou não...
    http://comosaberfazer.blogspot.com/2008/04/como-utilizar-o-hijackthis.html
    espero que ajude

    quinta-feira, 11 de dezembro de 2008 22:22
  • Estarei verificando.

    Muito grato

    sábado, 13 de dezembro de 2008 00:08
  • Amigos

    Estou com o mesmo problema, já faz 2 semanas e achei que tinha eliminado ele, mas hoje ele voltou.
    Ele realmente infecta os executaveis e muda o tamanho deles. A maioria dos programas param de funcionar.

    O Kaspersky não estava pegando esse virus, até porque, minha rede aqui infectou tudo e ele não acusou nada. Instalei o NOD32 e ai que comecei a encontrar mais desse virus. O bixo é uma praga.

    Pelo que eu pesquisei, parece que o virus é de desenvolvimento brasileiro (não tenho certeza), e foi voltada para os usuários daqui. Programado em Delphi, ele não é muito conhecido lá fora, e talvez por isso, não se tem muita bibliografia sobre ele.

    Achei uma "solução". A AVG fez uma ferramenta que remove o Selfish.B
    Baixei aqui - remdelf

    Reinicie em modo seguro, passe CCleaner completo, limpe todos os diretorios temp, principalmente "C:\Documents and Settings\usario\Configurações locais\temp" e c:\windows\prefetch. Entre pela linha de comando "cmd" e rode: remdelf c:\ d:\ n:\... (n para todos os discos que quiser).

    Agora, preciso de uma luz também para a variante .C. E alguma solução mais eficiente.

    Por favor, reparem se o processo iexplore.exe está sendo executado mais de uma vez a mesmo tempo, mesmo estando com o IE fechado.

    Outra fonte: AVG delf.B
    Abraços

    sábado, 13 de dezembro de 2008 12:30
  • Achei uma "solução". A AVG fez uma ferramenta que remove o Selfish.B
    Baixei aqui - remdelf

    Vejo que já esta respondido

    Demorei para responder pois tava em outro caso me desculpem, não encontrei nenhuma informação sobre este vírus só uma simples bibliografia na McAfee e mais nada.
    A o seu log do hijackthis está limpo mais consta que sua segurança está comprometida, instale um firewall e antispyware se não tiver caso tenha atualize-os ou baixe outro melhor, no meu site tem várias opções para você visite!
    WWW.SECURITYHACKER.4-ALL.ORG
    domingo, 14 de dezembro de 2008 23:52
  •  

    Recebi um notificação do nod32 sobre uma  nova versão do vírus W32/Selfish, foi detectado a versão W32/Selfish.C.

    O vírus esta criando arquivos com extensões de arquivos sem menor sentido por enquanto. Do tipo *.DDDD - *.HHHH - *.FFFF.

     

    Qualquer informação sobre essa nova versão, por favor, informe.

     

    Grato.

    quarta-feira, 17 de dezembro de 2008 15:51
  •  

    Estou com o mesmo problema, alguem sabe se ele se propaga pelos arquvos infectados ou apenas danifica os mesmos.
    quinta-feira, 18 de dezembro de 2008 11:14
  •  Gustavo ® ProMaxi wrote:

     

    Recebi um notificação do nod32 sobre uma  nova versão do vírus W32/Selfish, foi detectado a versão W32/Selfish.C.

    O vírus esta criando arquivos com extensões de arquivos sem menor sentido por enquanto. Do tipo *.DDDD - *.HHHH - *.FFFF.

     

    Qualquer informação sobre essa nova versão, por favor, informe.

     

    Grato.



    Também estou com o NOD32 aqui e vi essa notificação tb. Ele está fazendo exatamente o que você falou. No meu PC, consegui detectar que ele se multiplicava na pasta "C:\Documents and Settings\usuario\Configurações locais\temp"crie um bat na sua maquina pra executar assim q fizer o logon. Agende no seu NOD32 scans completos (in-depth) diários. Passe sempre o CCleaner pra retirar algum resíduo ou arquivo temporário.

    Não achei nenhuma solução pra esse virus ainda, só sei que o NOD32 limpa os arquivos infectados.
    Pelo que li por ai, a causa do virus é algum arquivo .dll ou .ocx... Verifique arquivos recentes com essas extensões, mas cuidado ao manuseá-las. Passe um scan do NOD32 sobre eles...

     TheBIG wrote:

     

    Estou com o mesmo problema, alguem sabe se ele se propaga pelos arquvos infectados ou apenas danifica os mesmos.


    Ele se propaga pelos arquivos infectados. Utilize o NOD32 3.x para realizar a limpeza dos seus executáveis. Aqui pelo menos funcionou.


    Em tempo, alguem mais tem alguma dica sobre esse virus? Vamos alimentar esse tópico com os avanços pois não existe nada muito esclarecido na internet.

    Mais bibliografia: Symantec Lib.


    Boa sorte a todos.
    sexta-feira, 19 de dezembro de 2008 13:53
  • Olá Magnus!


    Siga as dicas do tutorial abaixo para eliminar estes vírus de seu PC e para deixá-lo mais protegido e eficiente:


    Dicas para remover os vírus e outros tipos de malwares (para aqueles que já possuem um antivírus)


    Depois de seguir as dicas acima nos diga, por gentileza, como está o seu PC e se o problema foi resolvido. Ficamos no aguardo.

    • Marcado como Resposta Richard Juhasz quinta-feira, 19 de novembro de 2009 16:41
    segunda-feira, 22 de dezembro de 2008 17:02
    • Marcado como Resposta Richard Juhasz quinta-feira, 19 de novembro de 2009 16:41
    quarta-feira, 20 de maio de 2009 23:43