Logo Hardware.com.br
PH
PH Cyber Highlander Registrado
64.1K Mensagens 11.3K Curtidas

pokapoka62.exe vírus? como tirar?

#1 Por PH 10/08/2005 - 19:52
Meu cliente foi infectado por um vísrus que nenhum atnti vírus reconhece. Ele recebeu pelo messenger dessa forma:

Conversando com um cliente, ele recebeu uma menssagem de um site e achou que fosse o cliente enviando, quando clicou foi para um site e dai fu...!!!!! o Windows ficou doido, ele fica voltando a configuração de final de instalação. A internet paraou de funcionar e o outlook também, fica pedindo para instalar novamente.

Executando o msconfig, verifiquei os seguintes arquivos estranhos:

c:\windows\etb\pokapoka62.exe

windir32.exe
winman.exe

eu desmarco o pokapoka62.exe e reinicio o computador, tudo volta ao normal, quando reinicio o computador ele aparece uma menssagem de ocorreu um erro com o arquivo windir32.exe e cria outra linha no run pokapoka62.exe.

Alguém sabe como tira-lo?
Estejam alertas e vigiem. O Diabo, o inimigo de vocês, anda ao redor como leão, rugindo e procurando a quem possa devorar. Resistam-lhe, permanecendo firmes na fé, sabendo que os irmãos que vocês têm em todo o mundo estão passando pelos mesmos sofrimentos. 1 Pedro 5:8-9
Snakyearrow
Snakyearrow Geek Registrado
3K Mensagens 1 Curtida
#2 Por Snakyearrow
10/08/2005 - 21:37
tb tenho um cliente que pegou esse mesmo tipo de virus (entre outros, é um cliente novo).
mas o pokapoka62.exe sempre volta pra inicialização, e não aparecem mensagens de erro, e isso não resolveu o problema de qualquer forma (tem outro virus)

mas se alguém tiver uma pista sobre isso, ajuda.

e amanhã eu pesquiso melhor pra ver se há algo na symantec
AXP-M 2500+@2.4GHz, ABIT NF7-S2.0, 512MB RAM Dual Channel, Radeon9800PRO, HD 120GB@7200rpm + 200GB@7200rpm
"Tu ne cede malis, sed contra audentior ito"
aureoh
aureoh Cyber Highlander Registrado
32.9K Mensagens 1.3K Curtidas
#3 Por aureoh
11/08/2005 - 02:36
Ihhhhh,esse e um dos arquivos que fazem parte do pacote do spyware/malware Media Access que geralmente voce pega acessando o site http://www.winupdates.com (nao confundir com windowsupdate).

Para remover,baixe e execute o KillBox:
http://www.bleepingcomputer.com/files/killbox.php
Ao executar,de um ctrl+alt+del e finalize o executavel do spyware,depois com o KillBox e so selecionar o arquivo,marcar a opçao para deletar ao reiniciar e clicar no X vermelho.Se for .dll,marque a opçao para desregistrar a dll.Apos fazer isso,e so reiniciar e ver se ele volta.Faça isso com todos os arquivos do spyware antes de reiniciar.
PH
PH Cyber Highlander Registrado
64.1K Mensagens 11.3K Curtidas
#4 Por PH
11/08/2005 - 08:45
Bom gente peguei de um outro fórum essas dicas de um outro coléga de Fórum Clauss MH (méritos para ele!)

Faça um Scan, AQUI, no(s) arquivo(s) abaixo e retorne os resultados. OK? Somente SCAN...

QUOTE
C:\PNTNK.EXE
C:\CHINDX.EXE
C:\WINDOWS\SYSTEM\VCJPDO.EXE
Copie e cole o resultado para o bloco de notas. Reserve...

Aproveite que você está conectado, vai baixando: >> Só BAIXE, por enquanto... <<

Ad-Aware SE Personal (Se possui, baixe somente as defs e o adicional) <-> atualização <-> VX2 Cleaner;
CWShedder;
DelDomains;
Kill Box;
Sphjfix

Copie as instruções para o bloco de notas, ou imprima! Siga os procedimentos na ordem que foram postados. Caso algum seja falho, pule, passe para o próximo e retorne o(s) erro(s). OK? Obs: Não abra o seu Navegador durante todo o processo!

VamBora!!

Procedimento 1>

>> Instalar: Ad-Aware, VX2 Cleaner e as definições <-
-> (Faça a descompactação das definições defs para a pasta do programa (procure similar e substitua...)).

>> Faça a descompactação do KillBox (reserve...)

>> Faça o windows exibir todos os arquivos: VEJA AQUI.

»»»»»»»»»» ««««««««««

<< Desinstalar: <-> em Adicionar ou Remover Programas... <-
-> (Reinicie após cada desinstalação).

<> MessengerPlus3, ISTsvc, 180searchassistant, 180solutions, Media Gateway, SideFind, PowerScan, ISTbar, Internet Optimizer e EliteBar <>

PS: Poderá não achar alguns, ok? Retorne os que você não conseguir desinstalar ou não achar...

»»»»»»»»»» ««««««««««

Rode a FERRAMENTA: DelDomains - Click com o botão direito -> Instalar

Agora, reinicie o seu computador em modo de segurança (F8) <-
-> (Vai teclando F8 logo quando a tela apagar para entrar novamente, em alguns computadores esta tecla é a F5) e...

Elimine as chaves: (Rode HIJACK...)
Do a System Scan Only, somente estas que estão em vermelho! Selecione e Fix Checked

QUOTE
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http:://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http:://searchmiracle.com/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http:://searchmiracle.com/sp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: CeresObj Class - {00000049-8F91-4D9C-9573-F016E7626484} - C:\WINDOWS\CERES.DLL
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM220.DLL
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - C:\ARQUIVOS DE PROGRAMAS\180SEARCHASSISTANT\SAISHOOK.DLL

O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\Run: [Microsoft Windows DLL Services Configuration] windir32.exe
O4 - HKLM\..\Run: [IST Service] \ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [7RPxRGcSm] C:\PNTNK.EXE
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [seeve] C:\WINDOWS\SEEVE.exe
O4 - HKLM\..\Run: [sais] c:\arquivos de programas\180searchassistant\sais.exe
O4 - HKLM\..\Run: [stofar] C:\WINDOWS\stofar.exe
O4 - HKLM\..\Run: [vcjpdo] c:\windows\system\vcjpdo.exe
O4 - HKLM\..\Run: [Media Gateway] C:\PROGRAM FILES\MEDIA GATEWAY\MEDIAGATEWAY.EXE
O4 - HKLM\..\Run: [System service62] C:\WINDOWS\ETB\POKAPOKA62.EXE
O4 - HKLM\..\RunServices: [Microsoft Windows DLL Services Configuration] windir32.exe
O4 - HKCU\..\Run: [Microsoft Windows DLL Services Configuration] windir32.exe

O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\ARQUIVOS DE PROGRAMAS\SIDEFIND\SIDEFIND.DLL (file missing)

O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http:://www.180searchassistant.com/180saax.cab

O18 - Filter: text/html - {EE70670F-C511-11D9-BA93-00D016070654} - (no file)
O18 - Filter: text/plain - {EE70670F-C511-11D9-BA93-00D016070654} - (no file)
Ainda em modo de segurança (F8). Habilite o windows para exibir as extensões dos arquivos (opções de pastas).


*****Procedimento 2>

Procurar/Localizar/Pesquisar por estes outros... Achando, remova-os manualmente , ou... (com o Kill Box...)!!!

C:\WINDOWS\NEM220.dll <- (apague arquivo)
C:\WINDOWS\CERES.dll <- (apague arquivo)
C:\Arquivos de programas\SideFind\sidefind.dll <- (apague arquivo)
C:\Arquivos de programas\180SEARCHASSISTANT\SAISHOOK.dll <- (apague arquivo)

C:\PNTNK.EXE <- (renomear arquivo) -> (para: PNTNK-EXE.X1X)
C:\CHINDX.EXE <- (renomear arquivo) -> (para: CHINDX-EXE.X1X)

C:\WINDOWS\stofar.exe <- (apague arquivo)
C:\WINDOWS\SEEVE.exe <- (apague arquivo)

C:\WINDOWS\System\VCJPDO.EXE <- (renomear arquivo) -> (para: VCJPDO-EXE.X1X)
C:\WINDOWS\System\windir32.exe <- (apague arquivo)
C:\WINDOWS\System\poker3.exe <- (se existir, apague arquivo)

C:\WINDOWS\etb\ <- (apague a pasta)
C:\Arquivos de programas\SideFind\ <- (apague a pasta)
C:\Arquivos de programas\ISTsvc\ <- (apague a pasta)
C:\Arquivos de programas\Power Scan\ <- (se existir, apague a pasta)
C:\Arquivos de programas\180SOLUTIONS\ <- (se existir, apague a pasta)
C:\Arquivos de programas\180SEARCHASSISTANT\ <- (apague a pasta)
C:\PROGRAM FILES\INTERNET OPTIMIZER\ <- (apague a pasta)
C:\PROGRAM FILES\MEDIA GATEWAY\ <- (apague a pasta)

...Com o com o Kill Box!! Localizar >> Selecionar >> marcar unregister dl... (só para a(s) .DLL(s)) >> Deletar X >> Confirmar. Você poderá colocar o caminho (quando houver) dos arquivos, direto em Full Path of File To Delete, copiando-os, um por um, e colando-os dentro da box... <<

Delete todo o conteúdo da pasta C:\WINDOWS\TEMP\*.*, somente o conteúdo e não a pasta TEMP, e esvazie todos os caches do IE + lixeira <-
-> (Pode utilizar o utilitário de Limpeza do Windows >> Ferramentas de Sistema >> Limpeza de Disco(Iniciar > Executar > Na box (digite): cleanmgr > Ok) >> Selecione o disco >> Faça a limpeza).

»»»»»»»»»» ««««««««««

Procedimento 3>

Ainda em modo de segurança (F8).

Rode a FERRAMENTA: VX2 (entre em: Outros Serviços (vs. Português), ou Add-ons (vs. Inglês)) >> Selecione a ferramenta e EXECUTE (RUN)... Após o Ad-Aware >> Execute em FULL SCAN >> Limpeza... -> Siga as instruções do software!!!

Rode a FERRAMENTA: CWShedder - Click em FIX -> Siga as instruções do software!!!

Rode a FERRAMENTA: SpSeHjfix - Click em Start Disinfection -> Siga as instruções do software!!!

<< reinicie novamente em modo normal...

- Fazer Scan On-line do BITDEFENDER (Selecione autoclean; em todos os discos...; copie e post o log - resultante do scan).

»»»»»»»»»» ««««««««««

1>Feche todos os programas abertos, deixando apenas a área de trabalho.
2> Execute o programa (Hijack...) (Do a system scan and save a logfile).
3> Copie os logs atualizados do Hijack + Scan (PNTNK.EXE, CHINDX.EXE e VCJPDO.EXE) +Bitdefender; cole-os aqui.

»»»»»»»»»» ««««««««««

Dê continuidade, não abra outro tópico, OK?
Estejam alertas e vigiem. O Diabo, o inimigo de vocês, anda ao redor como leão, rugindo e procurando a quem possa devorar. Resistam-lhe, permanecendo firmes na fé, sabendo que os irmãos que vocês têm em todo o mundo estão passando pelos mesmos sofrimentos. 1 Pedro 5:8-9
PH
PH Cyber Highlander Registrado
64.1K Mensagens 11.3K Curtidas
#6 Por PH
11/08/2005 - 14:26
Sim consegui, o único que precisa istalar é o ad-ware. O VX2 Cleaner é um add-on do ad-ware vc roda dentro do programa.
Estejam alertas e vigiem. O Diabo, o inimigo de vocês, anda ao redor como leão, rugindo e procurando a quem possa devorar. Resistam-lhe, permanecendo firmes na fé, sabendo que os irmãos que vocês têm em todo o mundo estão passando pelos mesmos sofrimentos. 1 Pedro 5:8-9
© 1999-2025 Hardware.com.br. Todos os direitos reservados.
Imagem do Modal