Remoção do vírus do site da OI

05/12/2008 Written by Marcelo Almeida (Vympel)

Para a remoção do vírus que existia na página da Oi, por favor execute os seguintes passos:
1 — Para sistemas Windows baseados na tecnologia NT (NT4.0, 2000, XP, Vista)
2 — Execute o gerenciador de tarefas pressionando as teclas ctrl+alt+delete.
3 — Em seguida, clique na guia processos, e localize o nome ddass.exe e clique sobre este nome.
4 — Escolha finalizar processo.
5 — Feche o gerenciador de tarefas.
6 — Abra o Windows Explorer e navegue até a pasta “arquivos de programas” (program files).
7 — Procure pela pasta \ddtabases (dentro deve estar o arquivo ddass.exe).
8 — Marque esta pasta e pressione o botão delete.
9 — Procure pelo mesmo dentro da pasta C:\Windows, C:\Windows\System e C:\Windows\System32.
10 — Caso encontre o vírus em alguma destas pastas exclua-o, clicando uma vez sobre o mesmo e pressionando delete.
11 — Agora clique em inciar, executar e digite:
12 — notepad %systemroot%\system32\drivers\etc\hosts
Neste arquivo que irá aparecer, deve estar escrito:
127.0.0.1 localhost
12 — Caso tenha outros números com endereços de bancos, por favor apague as linhas e mantenha apenas a linha
127.0.0.1 localhost
13 — Clique em fechar e escolha salvar.
14 — Por favor verifique o passo a passo no final para identificar como verificar o registro do Windows, para identificar e/ou remover as entradas deixadas pelo vírus.

Para Windows 95.98 e ME reinicie o computador e fique pressionando a tecla F8.
Escolha Modo seguro com REDE (caso deseje seguir os passos pelo nosso site) ou Escolha Modo Seguro, para realizar o passo a passo sem acesso a internet.
Após o inicio do sistema execute os passos de 6 até 9 do item anterior. Note que a pasta c:\windows\system32 não existe nesta versão do Windows, então a mesma não precisa ser localizada.
Clique em executar e inciar e digite:
notepad c:\windows\hosts
Nesta versão de Windows o arquivo padrão é hosts.SAM, este arquivo é um exemplo de como um arquivo hosts deve ser configurado.
Caso o notepad mostre um arquivo em branco, apenas feche sem salvar, caso ele mostre números IP, com endereços de bancos execute o passo 12
Verifique a seguir como editar o arquivo de registro do Windows para identificar entradas do vírus.
Clique em Leia Mais para continuar…

Manipulando entradas no registro do Windows.

Este vírus acrescenta duas entradas no registro do Windows.
O registro é um bando de dados que contém informação de todos os programas instalados em seu computador e como o Windows deve lidar com eles.
Muito cuidado antes de realizar qualquer alteração neste item, pois algum erro pode impedir a execução de programas ou inicialização correta do Windows.

Para editar arquivos no registro faça os seguintes passos:Clique em inciar e depois executar.
Digite regedit e clique ok ou enter.
Clique em Arquivo > Exportar (Salvar em versões win95, ME e 98), escolha um destino e coloque um nome e clique em salvar.
backup

Navegue até HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run e certifique que não haja nada relacionado ao vírus dentro (como algum nome) e o caminho até o executável dele.
Caso tenha clique no painel da direita sobre o nome dele e escolha excluir.
Agora vá em HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run e verifique as as entradas deixadas pelo vírus.
virus

Os valores deixado pelo vírus são ddass com o caminho c:\arquivos de programas\ddtabases\ddass.exe e System como valor c:\windows\system\system.exe
Caso o arquivo system.exe faça parte desta lista delete a entrada do mesmo e abra o Windows Explorer e navegue até a pasta c:\windows\system\system.exe e apague o mesmo.
Feche o arquivo de registro e re-inicie o computador.
Sem sistema deverá estar sem vestígios do vírus.
Após a re-inicialização verifique se se sistema está com todos as atualizações instaladas visitando o site http://windowsupdate.microsoft.com
Instale todas as atualizações necessárias.
Agora observe quais programas estão instalados em seu computador e visite o site dos desenvolvedores.
Provavelmente existe alguma correção para uma falha de segurança para o mesmo.
Não se esqueça de atualizar os programas que são usados pelo seu browser, como o JAVA da SUN (java.com), flashplayer (adobe.com) e demais plugins que você instalou. Visite regularmente estes sites e dos demais desenvolvedores de seus plugins e verifique a última versão desenvolvida por eles.

Recomendamos aos nossos leitores lerem nosso teste com o sandboxie, é um excelente software para proteção online, e que facilmente bloqueia a entrada de vírus no computador, durante a navegação.

Share this content: