Removendo o vírus que bloqueia o tibia.com

[\Fvox/]

Você abriu aquele fake e-mail do TibiaBR e executou o vírus, e agora não abre mais o Tibia.com?

Já tenho a seguinte informação:

Isso se chama pharming, uma técnica utilizada por hackers, frequentemente usado junto com o chamado phishing scam (paginas falsas).

Não te digo que essa é a remoção completa do vírus, pois não tenho muitos detalhes sobre o mesmo, mas breve eu irei ver melhor

Vamos começar!

Abra o Menu Iniciar>Executar e digite:
notepad C:\WINDOWS\system32\drivers\etc\hosts

Vai abrir um arquivo com o bloco de notas.

Verifique se não há alguma coisa envolvendo o Tibia.com ou o endereço IP 62.146.69.27.

Se houver, remova.

De preferência, deixe o seu arquivo exatamente igual a esse:

Código:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Este é um arquivo HOSTS de exemplo usado pelo Microsoft TCP/IP para Windows.
#
# Este arquivo contém os mapeamentos de endereços IP para nomes de host. Cada
# entrada deve ser mantida em uma linha individual. O endereço IP deve
# ser colocado na primeira coluna, seguido do nome de host correspondente.
# O endereço IP e o nome do host devem ser separados por pelo menos um
# espaço.
#
# Adicionalmente, comentários (como estes) podem ser inseridos em linhas
# individuais ou após o nome de computador indicado por um símbolo '#'.
#
# Por exemplo:
#
#      102.54.94.97     rino.acme.com           # servidor de origem
#       38.25.63.10     x.acme.com              # host cliente x

127.0.0.1       localhost

Dúvidas em geral, eu posso responder, é só postar.


Atenciosamente,
Fvox

[ianajh]

Funciona mesmo...
Eu Fiz o Seguinte...

Abri o hosts...
Dei Ctrl+A pra selecionar tudo, apaguei e copiei esse que ele mando ali em cima e funcionou...


EDIT...
Deu pau aki denovo, deve tar alguma coisa instalada que eu ja abri e tirei mais n entra no tibia.com soh se eu mudar pra tibia.org...

cara tenta achar oq provoca essa mudança e fala ae

[\Fvox/]

EDIT...
Deu pau aki denovo, deve tar alguma coisa instalada que eu ja abri e tirei mais n entra no tibia.com soh se eu mudar pra tibia.org...

cara tenta achar oq provoca essa mudança e fala ae

verifique o arquivo hosts denovo, pode ter um processo rodando escondido que adiciona essas linhas :rolleyes:

[ianajh]

Ve ai... n tem nada ta como vc colocou... e naum da...

[ianajh]

Agora deu -.-'
esse pc ta tirando uma com a minha cara hj....
eu achu que foi pq finalizei um programa esquezito,
que naum tinha nome de usuario... alguma coisa tipo uss, só sei que tinha u e s no nome talvez seja isso...

--EDIT--
Isso ja esta ficando chato volto... agora n entra mais, sei la deve ter algum programa colocando essas linhas nos hosts tenta descobrir ai... examina akele e-mail sei la...

[\Fvox/]

coisas do windows hauhuahuahau :rolleyes:


Edit:

--EDIT--
Isso ja esta ficando chato volto... agora n entra mais, sei la deve ter algum programa colocando essas linhas nos hosts tenta descobrir ai... examina akele e-mail sei la...

As linhas voltaram? o.o

[ianajh]

Sim... toda vez que windows reinicia as linhas voltam...

[Rafael :D]

Baixe o HijackThis, instale clique em "Main menu" (Se já nao estiver) e clique em "Do a system scan and save a logfile", vai abrir um monte de coisa no notepad, copie e cole aqui.
Download: http://www.softpedia.com/progDownloa...load-5034.html

[\Fvox/]

Reinicie seu computador e veja se o processo que vc havia fechado voltou a funcionar.

Se voltar, me mande uma MP com seu MSN para nós fazermos uma análise geral :rolleyes:

[ianajh]

Logfile of HijackThis v1.99.1
Scan saved at 03:01:03, on 6/5/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss*****
C:\WINDOWS\system32\winlogon*****
C:\WINDOWS\system32\services*****
C:\WINDOWS\system32\lsass*****
C:\WINDOWS\system32\svchost*****
C:\WINDOWS\System32\svchost*****
C:\WINDOWS\system32\spoolsv*****
C:\WINDOWS\system32\nvsvc32*****
C:\WINDOWS\Explorer*****
C:\WINDOWS\system32\svchost*****
C:\Arquivos de programas\Webroot\Spy Sweeper\SpySweeper*****
C:\Arquivos de programas\Conexant\AccessRunner ADSL\CnxDslTb*****
C:\WINDOWS\System\taskmgr*****
C:\Arquivos de programas\Internet Explorer\IEXPLORE*****
E:\Ian\hijackthis\HijackThis*****

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orkut.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.compartilhando.org/
O1 - Hosts: Windows.
O1 - Hosts: Cada
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - E:\Ian\Utilitários - Segurança\GetRight\xx2gr.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Arquivos de programas\Conexant\AccessRunner ADSL\CnxDslTb*****"
O4 - HKLM\..\Run: [(Default)] C:\WINDOWS\System\taskmgr*****
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32*****" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SpySweeper] C:\Arquivos de programas\Webroot\Spy Sweeper\SpySweeperUI***** /startintray
O4 - HKLM\..\Run: [KernelFaultCheck] C:\WINDOWS\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [(Default)] C:\WINDOWS\System\taskmgr*****
O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr*****" /background
O4 - HKCU\..\Run: [ares] "E:\Ian\Utilitários - Segurança\Ares\Ares*****" -h
O8 - Extra context menu item: Download with GetRight - E:\Ian\Utilitários - Segurança\GetRight\GRdownload.htm
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~1\OFFICE11\EXCEL*****/3000
O8 - Extra context menu item: Open with GetRight Browser - E:\Ian\Utilitários - Segurança\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Joyo - {8DE0FCD4-5EB5-11D3-AD25-00002100131B} - E:\Ian\UTILIT~1\NET2SOFT\ANTI-H~1\IEPlugin.dll
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PowerWord - {C8CE29C5-7589-11D3-B81B-0080C8DC5DC8} - E:\Ian\UTILIT~1\NET2SOFT\ANTI-H~1\IEPlugin.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O14 - IERESET.INF: START_PAGE_URL=http://www.compartilhando.org/
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3608C7B6-B539-47BB-B603-D59A043342E3}: NameServer = 201.10.120.3 201.10.1.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{3608C7B6-B539-47BB-B603-D59A043342E3}: NameServer = 201.10.120.3 201.10.1.2
O17 - HKLM\System\CS2\Services\Tcpip\..\{3608C7B6-B539-47BB-B603-D59A043342E3}: NameServer = 201.10.120.3 201.10.1.2
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32*****
O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Arquivos de programas\Webroot\Spy Sweeper\SpySweeper*****