Boa tarde.
Alguém sabe resolver um problema com um Rootkit.Win32.TDSS.eyj?
Isto está no meu pc e só ta a dar chatices (desde que o KAV o detectou e eu o limpei (existe em backup)). Alguem ja teve problemas semelhantes!?
Sempre que inicio uma aplicação dá um erro do tipo ”DLL globalroot\systemroot\system32\UACecbfhsdq.dll não é uma imagem válida do windows” .
Além disso o KAV 7.0 dá o seguinte relatório:
”Infected: Trojan program Rootkit.Win32.TDSS.eyj C:\WINDOWS\system32\UACejkdboao.dat 127 bytes
Infected: Trojan program Rootkit.Win32.TDSS.eyj C:\WINDOWS\system32\UACjlcnqbfo.dll 77 KB
Infected: Trojan program Rootkit.Win32.TDSS.eyj C:\WINDOWS\system32\UACkiewxnra.dll 26,5 KB
Infected: Trojan program Rootkit.Win32.TDSS.eyj C:\WINDOWS\system32\UACxexramuj.dll 30,5 KB
Infected: Trojan program Rootkit.Win32.TDSS.eyj C:\DOCUME~1\Marco\DEFINI~1\Temp\UAC32fa.tmp 96 KB
Infected: Trojan program Rootkit.Win32.TDSS.eyj C:\WINDOWS\system32\UACecbfhsdq.dll 24 KB
Infected: Trojan program Rootkit.Win32.TDSS.ovu c:\documents and settings\marco\definições locais\application data\mozilla\firefox\profiles\lyst6c5v.default\cache\b39a6b09d01 124 KB"
Também quando faço um scan do sistema dá sempre um erro de processamento do tipo “Running module: services.exe\UACjlcnqbfo.dll” entre outros do tipo ...\UACjlcnqbfo.dll"
Alguém sabe porque é que isto acontece?! Existe uma solução para isto?
Fico a aguardar respostas dos moderadores! Cumprimentos, Yuri
Full Version: Falso positivo?! - Rootkit.Win32.TDSS.eyj
Again, thanks a lot richbuff, for your help.
yuri,
Execute esse script.O computador vai reiniciar.
Baixe o Combofix.
Antes de salvar, renomeie o arquivo para 123.exe, afim de evitar que algum malware impeça a execução do programa.
Feche todos os programas que você estiver usando e desabilite a proteção do Kaspersky, usando a opção "resumir manualmente".
Execute o Combofix, e não use o computador, enquanto o arquivo estiver sendo executado.
Você será desconectado da internet, alguns ícones da área de trabalho poderão sumir, mas isso é normal.Ao término do processo, você deverá ver um arquivo no seu drive C, chamado combofix.txt.Anexe o arquivo aqui no fórum para podermos analisá-lo.Não esqueça de voltar a proteção do Kaspersky novamente.
yuri,
Execute esse script.O computador vai reiniciar.
CODE
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('\\?\globalroot\systemroot\system32\UACjlcnqbfo.dll','');
DeleteFile('\\?\globalroot\systemroot\system32\UACjlcnqbfo.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('\\?\globalroot\systemroot\system32\UACjlcnqbfo.dll','');
DeleteFile('\\?\globalroot\systemroot\system32\UACjlcnqbfo.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Baixe o Combofix.
Antes de salvar, renomeie o arquivo para 123.exe, afim de evitar que algum malware impeça a execução do programa.
Feche todos os programas que você estiver usando e desabilite a proteção do Kaspersky, usando a opção "resumir manualmente".
Execute o Combofix, e não use o computador, enquanto o arquivo estiver sendo executado.
Você será desconectado da internet, alguns ícones da área de trabalho poderão sumir, mas isso é normal.Ao término do processo, você deverá ver um arquivo no seu drive C, chamado combofix.txt.Anexe o arquivo aqui no fórum para podermos analisá-lo.Não esqueça de voltar a proteção do Kaspersky novamente.
ok. já mudei e o programa funcionou. 
O ficheiro Log está em anexo mas o KAV avisa-me que o combofix é um virus? Devo apaga-lo? Ainda não liguei a protecção do KAV...Isto é normal?! Qual o passo seguinte?!
Cumprimentos, yuri
O ficheiro Log está em anexo mas o KAV avisa-me que o combofix é um virus? Devo apaga-lo? Ainda não liguei a protecção do KAV...Isto é normal?! Qual o passo seguinte?!Cumprimentos, yuri
Again, thanks a lot richbuff, for your help.
yuri,
Você tem que desabilitar a proteção do KAV/KIS antes de executar o Combofix.
Após executar o Combofix, siga esses passos:
Zip o arquivo localizado em C:\qoobox\quarantine.
Envie-o para um serviço como por exemplo o rapidshare.
Mande uma mensagem particular para mim, informando o link do arquivo.
Desinstale o Combofix: Pause o KIS, vá em iniciar>executar e digite digite combofix /u ou digite 123 /u .
Volte a proteção do KIS.
Se você usa a restauração do sistema do Windows, desative-a e reinicie o PC.
Se tiver dúvidas para desabilitar esse serviço, veja esse tópico.
Apague a lista de arquivos infectados no KIS. Clique em Detected > Active threats > right click > Disinfect all > right click > Clear list.
Faça uma verificação completa com o KIS novamente no seu HD.
Ative a restauração do sistema do Windows novamente.Verifique o relatório para ver se está tudo certo.
yuri,
Você tem que desabilitar a proteção do KAV/KIS antes de executar o Combofix.
Após executar o Combofix, siga esses passos:
Zip o arquivo localizado em C:\qoobox\quarantine.
Envie-o para um serviço como por exemplo o rapidshare.
Mande uma mensagem particular para mim, informando o link do arquivo.
Desinstale o Combofix: Pause o KIS, vá em iniciar>executar e digite digite combofix /u ou digite 123 /u .
Volte a proteção do KIS.
Se você usa a restauração do sistema do Windows, desative-a e reinicie o PC.
Se tiver dúvidas para desabilitar esse serviço, veja esse tópico.
Apague a lista de arquivos infectados no KIS. Clique em Detected > Active threats > right click > Disinfect all > right click > Clear list.
Faça uma verificação completa com o KIS novamente no seu HD.
Ative a restauração do sistema do Windows novamente.Verifique o relatório para ver se está tudo certo.
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.