FAQ

A infecção Gumblar se dissemina por meio de arquivos PDF ou Flash (.pdf e .swf), que, na maioria dos casos, são baixados de servidores FTP contaminados, onde ele cria cópias de tais arquivos.

Usuários com vulnerabilidades sem correção nos aplicativos Adobe Acrobat Reader ou Adobe Flash Player poderão ser infectados por explorações nos arquivos .pdf e .swf. A segurança do servidor FTP fica comprometida ao buscar por conexões seguras com os servidores FTP, por isso, sugerimos que as senhas sejam trocadas após a infecção ter sido removida.

O malware conhecido como Gumblar é identificado pelo AVG com as seguintes designações: cavalo de tróia Agent2.HYG, Defiler, variações do cavalo de tróia Exploit ou Exploit.PDF.

Lembre-se de que o JS/Psyme ou JS/Downloader poderá estar na pasta "Arquivos de Internet Temporários" se você tiver visitado alguma página da Web infectada. Não é possível remover essa infecção, porque ela é uma parte original dessa página da Web.

A maneira mais fácil de removê-la é excluir os arquivos temporários do Internet Explorer. Para tanto, faça o seguinte:

• inicie o Internet Explorer
• clique no menu "Ferramentas"
• selecione o item "Opções da Internet..."
• clique no botão "Excluir arquivos..."
• marque a opção "Excluir todo o conteúdo off-line"
• confirme isso clicando no botão "OK"
• execute o teste Completo mais uma vez para ter certeza de que a infecção não seja detectada novamente pelo AVG

A localização e os nomes podem ser um pouco diferentes, dependendo da versão do Internet Explorer.

Convém informar que a infecção poderá ser detectada pelo AVG repetidamente se você visitar novamente a página da Web infectada.

Se um vírus foi encontrado durante um teste do AVG e o status for Infectado, Incorporado, isso significa que o arquivo de vírus faz parte de um documento de arquivo (ZIP, RAR, CAB…) ou parte de um arquivo de auto-extração (EXE). O AVG detecta esse arquivo, mas não consegue removê-lo automaticamente de um documento de arquivo e compacta-o novamente sem esse arquivo infectado ou move-o para a Quarentena de vírus automaticamente devido à segurança de dados.

Escolhemos o método de interação com o usuário nesse caso de remoção de vírus.

Siga estas etapas para remover este tipo de arquivos de vírus:

1. Mova-o para a Quarentena de vírus – se o tamanho do arquivo for inferior a 5 MB.

Escolha Resultados do teste (execute o AVG->escolha o menu Histórico->clique no item Resultados do teste) no Resultado do teste; marque a linha com a infecção (clique na linha com o ícone de ponto de exclamação vermelho)->escolha o botão Mover para a quarentena.

2. Exclua o arquivo – se o tamanho do arquivo for superior a 5 MB, não será possível movê-lo para a Quarentena de vírus.

Certifique-se de que este arquivo não contenha dados importantes!

Escolha os Resultados do teste (execute o AVG->escolha o menu Histórico->clique no item Resultados do teste) no Resultado do teste; marque a linha com a infecção (clique na linha com o ícone de ponto de exclamação cinza)->escolha o botão Vá para o arquivo; você será transferido para o documento de arquivo automaticamente e poderá excluí-lo clicando com o botão direito do mouse no seu nome e com o botão esquerdo do mouse na opção "Excluir" do menu.

Observe o seguinte

Se você tiver excluído o documento de arquivo, também deverá esvaziar a Lixeira para onde o documento de arquivo excluído foi removido:

• Clique duas vezes no ícone da Lixeira na área de trabalho do computador
• Escolha o menu Arquivo e a opção Esvaziar lixeira

Windows NT/2000/XP/2003/XP Pro x64/2003 Server x64:

Recomendamos utilizar o produto AVG Rescue CD nesse caso (para obter mais informações sobre esse produto clique aqui). O AVG Rescue CDé basicamente uma variação portátil do AVG baseada na plataforma Windows PE. Ele é distribuído como um CD inicializável planejado para a recuperação do sistema operacional nos casos em que o sistema não puder ser carregado de maneira normal; por exemplo, devido a uma infecção substancial por vírus. Inicialmente, o AVG Rescue CD carregará a edição temporária do sistema operacional Windows PE e executará o AVG, que poderá então ser usado de maneira normal para detecção e remoção de vírus e spyware.

Para obter mais informações sobre a criação do AVG Rescue CD veja FAQ 491.

• Consulte a página da Web Enciclopédia de Vírus e procure o nome exato do vírus mencionado no resultado do teste.
• Se não conseguir, entre em contato com o suporte técnico e anexe uma exportação do resultado do último teste:
  

Execute o programa AVG (interface básica ou avançada) e escolha Resultados do teste no menu Histórico. Agora você pode ver a lista de testes finalizados: clique duas vezes no último (por data) e obterá a lista completa de vírus detectados (se houver), incluindo o caminho, o nome e o status do objeto infectado. Quando for aberto, clique na opção "Exportar visão geral para o arquivo...". Envie-nos este arquivo para melhor análise.

VCLEANER.EXE pode ser utilizado para remover alguns vírus específicos e suas variantes. Visite a página da Web mencionada abaixo para obter mais detalhes.

Use:

Faça download do vcleaner.exe e execute-o no computador infectado.

Observação: Alguns vírus podem parar a ação durante o processo de remoção. Nesse caso, renomeie o vcleaner.exe para algum arquivo exe diferente (por exemplo, algumacoisa.exe). Reinicie o computador no modo de segurança (recomendado) e execute o arquivo de remoção no computador infectado.

Além disso, outras ferramentas de remoção estão disponíveis na página da Web mencionada.

Tente atualizar o sistema AVG ;; e execute a & ;verificação completa do computador& novamente. Quando o arquivo não for detectado e você ainda estiver em dúvida, compacte o arquivo com senha (WinZip, WinRar, PowerArchiver, etc.), anexe esse arquivo a um e-mail e envie-o para virus@avg.com ou suporte@avgbrasil.com.br. Descreva por que você está enviando o arquivo e anote a senha do arquivo no e-mail. E envie o e-mail.

Caso o AVG detecte algum arquivo infectado no seu PC, esse arquivo tenha sido movido para Quarentena Vírus do AVG e você tenha certeza de que ele está correto e limpo, é possível que o arquivo detectado seja um alarme falso.
Nesse caso, a correção deve ser feita o mais rápido possível.
Infelizmente, de tempos em tempos ocorrem falsos alarmes em todo software antivírus.

Para resolver o problema, envie-nos esse arquivo para análise, diretamente do programa AVG da seguinte maneira:

• Abra a Interface de usuário do AVG.
• Escolha a opção "Quarentena de Vírus" no menu "Histórico".
• Clique com o botão direito do mouse no arquivo falso-positivo e selecione no menu de contexto a opção "Enviar para análise".
• Preencha seu endereço de e-mail
• Confirme a caixa de diálogo

Dessa forma, o arquivo será enviado para nossos especialistas em vírus para análise, e nós o informaremos sobre o resultado.

Este tópico de perguntas freqüentes descreve a infecção por rootkit com TDSSserv.sys/MSQPD*.sys, que costuma ter conexão com a infecção Antivirus 2009.
Os sintomas desses tipos de infecções incluem:

• Avisos pop-up falsos sobre infecção aconselhando o usuário a comprar um aplicativo antivírus falso que alega remover a infecção (por exemplo, Antivirus 2009, Antivirus XP).
• O plano de fundo da área de trabalho se transforma em uma mensagem de aviso e não é possível reverter essa mudança.
• O acesso ao Gerenciador de tarefas e ao editor do Registro é desabilitado.
• Páginas da Web são redirecionadas para páginas incorretas no navegador.
• Não é possível atualizar o Windows (a página www.windowsupdate.com fica inacessível).
• Não é possível atualizar o AVG.
• O AVG detecta a infecção usando a verificação do Anti-Rootkit como drivers ou arquivos ocultos em pastas do sistema. Os nomes dos arquivos detectados começam com ‘TDSS’/‘MSQPD’; por exemplo, TDSSserv.sys, tdsslog.dll, TDSSl.dll, msqpdxserv.sys.

Se o seu computador parece estar com a infecção acima descrita, faça o seguinte para removê-la:

• Baixe o utilitário AVGRTK_remover.
• Extraia o arquivo baixado para uma nova pasta.
• Na pasta, localize o arquivo AVGRTK_remover.vbs.
• Execute esse arquivo clicando nele duas vezes.
• Uma confirmação será exibida.
• Reiniciar o computador.
• Atualize o AVG.
• Execute a verificação completa do AVG e remova todas as infecções detectadas.

Esse utilitário também remove os efeitos colaterais da infecção, como o acesso desabilitado a funções do sistema. Se você ainda não conseguir usar algumas funções, execute novamente o utilitário, conforme descrito acima.

Agora, a infecção foi completamente removida. Se o problema persistir, entre em contato com o Atendimento ao Cliente.

É possível que o seu computador esteja infectado com o falso aplicativo anti-spyware chamado Antivirus 360. Esse aplicativo tenta se assemelhar a um aplicativo antivírus comum, mas, na verdade, ele não é produto de uma empresa antivírus verdadeira. O aplicativo apenas simula ameaças no seu computador e força você a comprar a versão completa do aplicativo. Infelizmente, você gastará o seu dinheiro e não terá nenhum serviço de valor. A infecção pode ter muitos outros sintomas:

• Lentidão de um computador
• Falsos positivos em arquivos importantes do sistema
• Exibição de janelas instantâneas indesejadas
• Download de outros vírus e cavalos de tróia para o seu computador

Gostaríamos de informar a você que o programa AVG detecta e remove com sucesso a maioria das variantes do aplicativo mencionado. No entanto, há muitas novas variantes geradas diariamente, por isso é possível que algumas delas não sejam detectadas e removidas pelo AVG. Se você tiver alguma experiência com o referido aplicativo falso Antivirus 360 e ele não puder ser removido usando o programa AVG, siga estas etapas simples de modo a nos fornecer as informações necessárias para resolver o problema e adicionar a variante que falta para detecção pelo AVG:

• Executa o utilitário Autoruns
  • Faça o download do utilitário AvgProci clicando no seguinte link (recomendamos salvar o arquivo na área de trabalho):
    avgproci_en.exe
  • Execute o arquivo baixado e siga as instruções na tela para gerar a saída de diagnóstico.
• Entrando em contato com o suporte técnico do AVG
  • Execute o arquivo runner.avgdx, localizado na pasta onde a ferramenta AvgProci estava instalada.
  • Forneça seu endereço de e-mail válido nos campos apropriados da ferramenta Diagnósticos do AVG.
  • Como descrição, insira "Antivirus 360 não detectado" ou algo semelhante.
  • Em seguida, clique no botão Anexar arquivoe anexe o arquivo de resultado do avgproci (result.7z).
  • Clique no botão Diagnosticar e enviar resultados e todas as informações necessárias serão enviadas para o suporte técnico do AVG.

Caso um vírus seja detectado pelo programa AVG em um arquivo de sistema importante, ele não será removido automaticamente. Essa funcionalidade foi adicionada para evitar a remoção acidental dos arquivos de sistema infectados executando o sistema operacional.

Veja abaixo exemplos de arquivos de sistema importantes:

• "%WINDOWS%\system32\winlogon.exe"
• "%WINDOWS%\system32\user32.dll"
• "%WINDOWS%\explorer.exe"

Nota: a variável %Windows% geralmente significa a pasta C:\Windows.

Caso um vírus seja detectado em um arquivo de sistema, restaure o arquivo infectado do backup do sistema. Mais informações sobre como restaurar o sistema operacional a um estado anterior podem ser encontradas na base de dados de conhecimento Microsoft em: 

• Windows XP
  http://support.microsoft.com/kb/306084 
• Windows Vista
  http://windowshelp.microsoft.com/Windows/en-US/help/517d3b8e-3379-46c1-b479-05b30d6fb3f01033.mspx

Se a infecção continuar voltando, entre em contato com a equipe de Suporte Técnico da AVG usando a opção Obter ajuda on-line no menu Ajuda do AVG. Mais informações sobre como entrar em contato com os Serviços de Atendimento ao Cliente do AVG podem ser encontradas na FAQ 1467 – Como entrar em contato com os Serviços de Atendimento ao Cliente.