Ontem à noite vendo que meu PC e conexão haviam ficado lentos descobri que tinha sido infectado pro um vírus que estava enviando milhares de emails spam por hora (mais de 10000 por hora pelo que notei pelo AVG)!
No início achei que seria simples a limpeza mas não foi tão simples assim. O vírus que demorou para ser encontrado, um cavalo de tróia Rootkit-Agend.DI, estava infectando arquivo do sistema que o software antivírus não conseguia limpar e não podia apagar. Rodei e rodei a internet vendo o processo svchost.exe rodando no meu PC sem conseguir fechá-lo e enviando milhares de emails pela minha conexão.
Uma das maneiras para interromper temporariamente o envio dos milhares de spam (e são spams enviados para listas de email, não apenas spam para minha lista de emails do outlook) foi usar o programa Process Explorer. Ele lista os processos ativos com mais detalhamento e funções que o Gerenciador de Tarefas do Windows. Por ele descobri quais svchost.exe estavam acessando a internet (3 processos) e como não adiantava pará-los (eles voltavam) pude pelo menos suspendê-los temporariamente.
Instalei outros aplicativos como o antivirus avast, rodei pela web o Kaspersky, instalei o CCleaner, Malwarebytes', SDFix, BankerFix etc etc etc e de vez em quando algum achava um worm, vírus ou erro no sistema, mas nada de resolver o problema.
Depois de muito e muito tentar limpar e descobrir qual o arquivo infectado (C:/Windows/System32/Drivers/ndid.sys) e só consegui fazer a limpeza em modo gambiarra. Como ele executava o arquivo svchost.exe (C:/Windows/System32/svchost.exe) reiniciei o PC em modo dbug e via DOS renomeei o arquivo. Reiniciei o PC e mesmo com alguns erros o Windows iniciou. Então mais uma vez rodei o antivirus e fiz a mesma coisa para o arquivo ndis.sys só que tendo que apagá-lo em vez de apenas renomear).
Novamente o sistema em modo segurança, alguns problemas por falta do arquivo, antivirus, antispy, antimalware, antierro do sistema e anti mais o que quer que fosse rodando e o arquivo foi limpo. Ai foi só voltar com os arquivos para seus nomes e locais originais, reiniciar o windows, rodar tudo novamente para ter certeza que tinha limpado e aparentemente resolveu. Nem sei exatamente qual a sequência que foi feita mas no final acho que resolveu.
Logo os antivirus devem lançar um update que limpa isso de uma vez, mas como não gostei de ver meu PC sendo usado como servidor para enviar mensagens o jeito foi quebrar a cabeça durante várias horas até resolver.
Abaixo cópia de alguns emails que enviei (sem querer) pelo mundo. Os destinos são .nl (holanda?), .uk (reino unido), .ru (russia) e por aí vai...
"Ma?c? ??e pac?? ??? ?o ???k?po ??o? ??4?e
???? ????:
?e?a ???o? ?a?e? pacc???? - 100 ?o??apo? ?a ???? ?????o? ?o??a??e???x ??ce?.
???ec??ye? ????a? c?c?e?a ?k????:
?p? ????? c???e ?aka?o? c???e 25 ??? ?e?a - 60 ?o??ap?? ?a 1 ???
??? e?????pe????o? ?a?a?? o? 5 ??? ???a ?y?e? 80 ?o??apo? ?? 1 ???
?p? o??e? cy??e ?ak??o? ????? 50 ??? ?e?a - 50 ????apo? ?a 1 ???
?p? ????o????e??o? ?aka?e o? 10 ??? ???a ?y?e? 70 ?o???p?? ?a 1 ???
??oco?? ???a??:
B?e?? kyp?epa k ?a? ? o???. ?p? cy??e ?ak??a ?o 300 ?o??apo? - 500?, ?p? ?aka?e ?a ?y??y ?p????a??y? ?00 ?o??apo? - ??c??a??o
O??a?a ka??a?? ?kc?pecc ???a?? ? c?c???e ???ekc ?e????
?ep??o? ?a ko?e??k ? c?c???e webmon?y
???a?a kap?a?? ?kc?pecc o????? webmoney
?epe?o? ?a ak??y?? ? c?c???e ????kc ?e????
O??a?a ?a??????? ? o??c? ? M??k?e
?el. : [495] 585 ??--97
i?q 588__173__503 "
"
support your couch experience with assistance worthy medical supplies.
medicinal effect assured. awesome bonus for every order
i hope you will check "
" hoist your darling sexual experience with aid famos tablet.
beneficial effect gtd.. nice bonus for every buyer
i hope you will check "
"Thank you for visiting our web site. All Products you find on this web site are only replicas. They are not in any way related, endorsed or affiliated to the original manufacturers of the names mentioned throughout this web site.
Visit us: http://toilettew atches.cn
Best Regards Floy Dotson UK"
- enviado por
Tacio Philip às 15:55:00 de 06/05/2009.
< Anterior: Subida dos Picos Itaguaré, Agulhas Negras e escalada no Morro do Camelo |
Listar publicações |
Próxima: Teste de postagem - blogger dando erro no upload ftp >
