Remoção de vírus

[mr.random]

Help, Mr. Wolf!

O Avira detecta um trojan chamado TR/Crypt.XPACK.Gen
no arquivo C:\Windows\system32\nmdfgds1.dll

não sei removê-lo, podes me ajudar?
aqui vai o log do HijackThis ( se tiver mais alguma coisa infectando o PC, favor avise )

Spoiler

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:28:51, on 21/5/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Bonjour\mDNSResponder.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Motorola\SMSERIAL\sm56hlpr.exe
C:\Arquivos de programas\Wireless Select Switch\WLSS.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe
C:\Arquivos de programas\Java\jre6\bin\jusched.exe
C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe
C:\Arquivos de programas\Mindjet\MindManager 8\MMReminderService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\sistray.exe
C:\Arquivos de programas\HP\Digital Imaging\bin\hpqgalry.exe
C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe
C:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\notepad.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Celso\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O1 - Hosts: 91.121.97.18 mininova.org
O1 - Hosts: 91.121.97.18 www.mininova.org
O1 - Hosts: 91.121.97.18 thepiratebay.org
O1 - Hosts: 91.121.97.18 www.thepiratebay.org
O1 - Hosts: 91.121.97.18 demonoid.com
O1 - Hosts: 91.121.97.18 www.demonoid.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: CmjBrowserHelperObject Object - {6FE6A929-59D1-4763-91AD-29B61CFFB35B} - C:\Arquivos de programas\Mindjet\MindManager 8\Mm8InternetExplorer.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARQUIV~1\MICROS~4\Office12\GRA8E1~1.DLL
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SMSERIAL] C:\Arquivos de programas\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [WLSS] C:\Arquivos de programas\Wireless Select Switch\WLSS.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [MMReminderService] C:\Arquivos de programas\Mindjet\MindManager 8\MMReminderService.exe
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - Startup: OneNote 2007 Screen Clipper and Launcher.lnk = C:\Arquivos de programas\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Inicialização rápida do HP Image Zone.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARQUIV~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Send to Mindjet MindManager - {2F72393D-2472-4F82-B600-ED77F354B7FF} - C:\Arquivos de programas\Mindjet\MindManager 8\Mm8InternetExplorer.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MICROS~4\Office12\GR99D3~1.DLL
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Arquivos de programas\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 6756 bytes

Abraços!

 

[karolz]

É... :whistle:
Wolf eu nao sei desativar o autorun do windows, ajudinha por favor?

 

[Rhyrioth]

Olá pessoal, boa tarde a todos! Como sempre faço aqui, responderei a todos os logs neste mesmo post para evitar flood no fórum ok. Vou por ordem de postagens aqui no tópico...

Opa amigo Rhyrioth, como vai.

Realmente há vírus em sua máquina colega Rhyrioth, um Backdoors, um Trojan Downloader (foi este que baixou e instalou o Backdoor) e, infelizmente, um Worm (vírus que se espalha em rede, contaminando todos os computadores nela ligados). No seu serviço vocês possuem computadores ligados em rede Rhyrioth? Se sim, este é um grande problema. Pois como trata-se de um worm, ele provavelmente contaminou os outros computadores da rede também. E isso complica, porque deve-se desconectar o cabo de PC por PC da rede, até mesmo do servidor, limpar os computadores e, só depois de limpos, ligar os cabos novamente. Logicamente, somente caso a infecção tenha passado para os outros PCs da rede.
Resumindo, a pior praga para uma empresa que possui rede é um worm!

Por favor amigo Rhyrioth, siga a instrução do spoiler abaixo:

Spoiler

- Faça o download do SDFix e salve no desktop;

● Dê um duplo clique no SDFix.exe e a ferramenta será instalada em C:\SDFix. Mas não o execute ainda;
● Reinicie seu computador seu computador em Modo de Segurança (segurando a tecla F8 durante a inicialização do sistema e escolhendo a opção Modo Seguro);
● Entre na pasta do SDFix que foi instalada no seu computador e dê um duplo clique no arquivo RunThis.bat;
● Tecle Y para que a ferramenta inicie o processo de remoção;
● Quando tudo terminar, você verá um aviso dizendo para apertar qualquer tecla para continuar. Então pressione qualquer. Seu computador será reiniciado automaticamente;
● Após reiniciar, a ferramenta ainda será executada novamente e irá terminar o seu trabalho e a palavra Finished irá aparecer. Pressione qualquer tecla novamente;
● Uma janela com o relatório do SDFix irá aparecer;
● O log abrirá automaticamente para você. Estará salvo na pasta do SDFix com o nome Report.txt;

Faça um novo log do HijackThis e cole na sua próxima resposta, juntamente com o log do SDFix.

__________________________________

Nossa, isso pq o pc é recém formatado (2 semanas se num me engano :S)
Cara, graças a deus eu num fiz a rede aqui, só configurei um wireless pra ter net nos outros pcs daqui, mas isso num é problema já que é só o sinal do speedy que eu estou compartilhando, certo?
Fiz oq vc pediu e seguem os logs:
Vlw brother!

Spoiler

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:05:20, on 21/5/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Messenger\msmsgs.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Arquivos de programas\AskBarDis\bar\bin\askBar.dll
O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\Arquivos de programas\Scpad\scpsssh2.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Arquivos de programas\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WSSVC] C:\WINDOWS\system\smsc.exe
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O21 - SSODL: CompIBBrd - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll
O22 - SharedTaskScheduler: scpLIB - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4550 bytes
______________________________________________________________

SDFix: Version 1.240
Run by Administrador on qui 21/05/2009 at 11:59

Microsoft Windows XP [versÆo 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\system\smsc.exe - Deleted
C:\WINDOWS\system32\msvcrt2.dll - Deleted
C:\WINDOWS\system32\SysMgr.exe - Deleted





Removing Temp Files

ADS Check :

 

[Vitao222]

É... :whistle:
Wolf eu nao sei desativar o autorun do windows, ajudinha por favor?

Aqui as dicas já postadas aqui pelo Mr.Wolf sobre desativar o autorun:

Opa healer, há diversas maneiras de se desabilitar este recurso AutoRun do Windows. Porém, vamos fazer as mais eficazes e fáceis.

Só ressaltando, após esta desativação, quando inserir algum CD, DVD, pen drive, celular, etc, no computador, aquela caixinha de escolha de com qual programa irá querer executar o referente dispositivo, não aparecerá mais. Basta ir diretamente na unidade do dispositivo e abri-lo manualmente. Pode ser chato isso, mas pelo menos você não será infectado automaticamente, ao conectar o drive infectado

Vamos lá:

1º Modo

Pelo Diretivas de grupo - Vá em Iniciar > Executar, digite gpedit.msc e dê um OK. No diretivas, caminhe nas seguintes chaves:



No painel à direita, encontre e dê duplo clique em "Desativar Auto-Executar". Marque a opção Ativado e abaixo selecione o item "Todas as unidades" > OK.


2º Modo

Utilizando programas - Baixe o USBVaccine e execute-o;

Clique em "Vaccinate Computer". Quando inserir seus dispositivos USB na máquina, logo abaixo selecione sua unidade no item Select an USB drive.

OU

Baixe o AutoPlayConfig e execute-o;

Clique no botão "Disable" para desabilitar e reinicie o PC.


3º Modo

Prevenção - Mesmo com o Autorun desabilitado, sugerimos que, ao abrir um pen drive de terceiros você acesse Meu Computador e ao ver a unidade removível listada junto com as outras, você deve clicar com o botão direito do mouse sobre ela, e escolher Explorar. Dessa maneira, caso o pen drive esteja infectado, o autorun.inf presente na unidade não será executado, e conseqüentemente, o malware não irá infectar seu computador.

Qualquer dúvida poste aí amigo healer.

OBS: Se quiser, pode fazer os dois modos (1 e 2) para desabilitar o AutoRun.

 

[xcobrax]

Amigo xcobrax, temos um enorme problema ai caro amigo. Seu log está infestado de Trojans Vundo. Por isso o ComboFix não rodou! Há também um Trojan Downloader que está baixando e instalando os Trojans Vundo em sua máquina. Sugiro que, quando estiver fazendo os procedimentos abaixo, e os outros que eu lhe passar, desconecte-se da Internet, para que o Downloader não baixe mais trojans para a máquina.

Siga abaixo xcobrax:

Spoiler

- Faça o download do Malwarebytes Anti-Malware e salve-o no desktop;

● Dê dois cliques no programa para iniciar a instalação. Selecione o idioma Português (Brasil);
● Ao final da instalação, marque as opções "Atualizar Malwarebytes Anti-Malware" e "Executar Malwarebytes Anti-Malware", e clique em Concluir;
● Após a instalação execute o programa;
● Marque a opção Verificação Completa e depois clique em Verificar. Selecione sua unidade C: e clique no botão Iniciar Verificação;
● Quando o scan terminar, clique em OK e o log será automaticamente aberto para você;
● Se algo for detectado, verifique se todos os itens estão marcados e clique no botão Remover.
OBS: Caso apareça uma mensagem pedindo para que você reinicie o computador para completar o processo de remoção, reinicie-o imediatamente;
● O log pode ser consultado clicando em Logs do menu principal também;

Copie e cole o conteúdo desse log na sua próxima resposta, juntamente com um novo log do HijackThis.

Após terminar o scan com o Malwarebytes, tente isto:

Delete o ComboFix e suas pastas.

Baixe-o novamente, renomeie-o para Kombo-Fix.exe e tente rodar a ferramenta em Modo de Segurança.

Mr.

Tá complicado, viu?

Também não consegui rodar essa ferramenta. Quando executo, não me aparece nada na tela.

Tu acha melhor formatar?

 

[Mr.Wolf]

Boa tarde pessoal!


DaYWaLKeR, não vi nada errado em seus logs amigo. Já tentou redefinir as configurações de seu Internet Explorer?

______________________________________


Pedrinn, que problemão aí amigo. Você está com uma das piores variantes do Sality. Em alguns casos somente formatação resolve, logicamente, dependendo do caso. Vamos tentar a remoção dele então, siga as instruções abaixo:

Spoiler

1ª Etapa

Baixe a ferramenta abaixo e salve em C:
http://support.kaspersky.com/downloads/utils/sality_off.zip

- Extraia o conteúdo de sality_off.zip para C:\
- Desative seu antivírus temporariamente;
- Entenda o procedimento... Este programa irá rodar em duas janelas distintas ao mesmo tempo;
- A primeira janela:
- Clique em Iniciar > Executar > digite: C:\Sality_off.exe -m e dê um OK:

- Mantenha o programa rodando. Não feche-o!! Ele ficará monitorando a memória. Se desejar, minimize-o. Não se preocupe com ele;
- A segunda janela:
- Dê duplo clique em C:\Sality_off.exe e aguarde. Pode demorar...
- Ao término, tecle Enter
- Feche agora a janela do monitoramento da memória.

2ª Etapa

- Faça o download do Dr.Web CureIt e salve-o no desktop;

- Feche todas as janelas abertas. Dê um duplo clique em drweb-cureit.exe, clique em Iniciar. Surgirá uma mensagem perguntando se deseja "iniciar a verificação expresso" clique em Sim para iniciar a verificação;
- Isto fará a varredura dos arquivos que estão atualmente em execução na memória e quando algo for encontrado, clique no botão Sim, quando ele perguntar se você deseja curá-lo;
- Ao término da verificação expresso, marque todas as unidades que serão verificadas pelo programa. Um ponto vermelho indica quais unidades foram escolhidas;
- Clique na seta verde à direita para iniciar o scan. Clique em "Sim para todos", se perguntar se quer curar/mover o arquivo;
- Ao término do exame, no menu, clique em Arquivo e escolha salvar relatório lista. Salve o relatório em seu desktop. O relatório será chamado de DrWeb.csv;
- Feche Dr.Web Cureit.

______________________________________


vimed, o log está limpo

Problema com vírus seu computador não tem mais. O que havia de infecção foi removido.

Como está o PC vimed? Se a navegação com a Internet continua lenta, o problema é com sua conexão mesmo.
______________________________________


Urso, não vi nada errado no log. Delete o ComboFix e suas pastas em C:\KomboFix, C:\Qoobox. Delete a pasta C:\FindyKill. Vamos fazer um scan online na Kaspersky para ver se está tudo ok aí amigo Urso. Acesse o tutorial abaixo e faça um scan na Kaspersky:

http://www.linhadefensiva.org/forum/index.php?showtopic=74159

E no final do scan poste o log aqui.

______________________________________


mr.random, seja bem vindo ao fórum! Siga a instrução abaixo:

Spoiler

- Faça o download do USBFix e salve-o no desktop (área de trabalho):

● Desative temporariamente seu antivírus;
● Dê um duplo clique no ícone do programa e instale-o clicando em (Suivant > Aceite o contrato > Suivant > Suivant > Démarrer > Quitter);
● Dê um duplo clique no ícone do USBFix criado no desktop para executá-lo;
● Tecle a opção 2 e pressione Enter;
● Insira seu pen drive, MP3, MP4 ou qualquer outra mídia removível que tenha na(s) porta(s) USB do PC e clique OK na mensagem. Seu desktop sumirá e aparecerá uma tela preta. Seu computador será reiniciado automaticamente;
● Mantenha a(s) mídia(s) no local. Não remova!
● Quando seu computador estiver reiniciando, seu desktop não será apresentado e aparecerá uma tela preta da ferramenta fazendo uma verificação final;
● Ao término Ao término, será aberto o bloco de notas para você com o log. O log também estará em C:\UsbFix.txt
● Feche o bloco de notas (clicando no X) para fechar o programa também.

OBS: Se após reiniciar o desktop ficar somente com o plano de fundo, sem ícones e barras, tecle Ctrl + Alt + Delete para rodar o gerenciador de tarefas. Clique em Arquivo > Executar nova tarefa, digite: explorer.exe e dê um OK.

______________________________________


karolz, o nosso colega victorm já postou como se faz. Leia o post dele.

______________________________________


Rhyrioth, existem worms que conseguem sim passar para outros computadores somente através do compartilhamento de Internet. Aa chances são poucas, mas existem! Porém, ocorre mais em compartilhamento de arquivos.
Continuando... O log do SDFix está incompleto. Peço que, por gentileza, se o log ainda está aí poste-o na íntegra. Após isto, delete sua pasta em C:\SDFix. Caso não tenha mais o log, não tem problema. Siga as instruções abaixo agora amigo Rhyrioth:

Spoiler

Vá em Painel de Controle > Adicionar ou Remover Programas, encontre e desinstale o AskBarDis.

- Faça o download do BankerFix e salve-o no desktop;

● Desabilite o seu antivírus temporariamente para não detectar a ferramenta como vírus;
● Dê um duplo clique em bankerfix.exe;
● Surgirá uma mensagem dizendo que o mesmo será baixado via internet;
● Clique em OK > OK. Tecle Enter e aguarde o término do scan;
● Terminado o scan, leia a mensagem na tela e tecle Enter novamente.
● Será gerado um log em C:\LinhaDefensiva\relatorio.txt.

Cole este log em sua próxima resposta, juntamente com um novo log do HijackThis.

Delete a pasta C:\LinhaDefensiva após colar seu log aqui.

______________________________________


xcobrax, o Vundo é complicado mesmo. Não pensemos ainda numa formatação. Isso somente em último caso!

Siga as instruções do spoiler abaixo amigo xcobrax:

Spoiler

Baixe o FixVundo e salve-o no desktop;

- Desconecte-se da Internet (isso é importante);
- Feche todas as janelas e programas abertos;
- Dê um duplo clique em FixVundo.exe e clique no botão Start para iniciar o scan. Aguarde!
- Se a ferramenta encontrar a infecção, pedirá que seu computador seja reiniciado, então reinicie-o. Caso não apreça a mensagem dizendo para reiniciar, reinicie-o manualmente;
- Será gerado um log no desktop chamado FixVundo.txt.

Poste-o em sua próxima resposta xcobrax.

 

[Rhyrioth]

...
Rhyrioth, existem worms que conseguem sim passar para outros computadores somente através do compartilhamento de Internet. Aa chances são poucas, mas existem! Porém, ocorre mais em compartilhamento de arquivos.
Continuando... O log do SDFix está incompleto. Peço que, por gentileza, se o log ainda está aí poste-o na íntegra. Após isto, delete sua pasta em C:\SDFix. Caso não tenha mais o log, não tem problema. Siga as instruções abaixo agora amigo Rhyrioth:

Spoiler

Vá em Painel de Controle > Adicionar ou Remover Programas, encontre e desinstale o AskBarDis.

- Faça o download do BankerFix e salve-o no desktop;

● Desabilite o seu antivírus temporariamente para não detectar a ferramenta como vírus;
● Dê um duplo clique em bankerfix.exe;
● Surgirá uma mensagem dizendo que o mesmo será baixado via internet;
● Clique em OK > OK. Tecle Enter e aguarde o término do scan;
● Terminado o scan, leia a mensagem na tela e tecle Enter novamente.
● Será gerado um log em C:\LinhaDefensiva\relatorio.txt.

Cole este log em sua próxima resposta, juntamente com um novo log do HijackThis.

Delete a pasta C:\LinhaDefensiva após colar seu log aqui.

______________________________________

Puutz acabei de ver aqui, tem o resto da página de log:
(ainda estou fazendo os passos desse ultimo post ainda, assim que tiver completado respondo aqui" :yes
Edit: o tal ask toolbar veio junto com o foxit reader que eu baixei no baixaki, portanto cuidado pessoal :x

Spoiler

SDFix: Version 1.240
Run by Administrador on qui 21/05/2009 at 11:59

Microsoft Windows XP [versÆo 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\system\smsc.exe - Deleted
C:\WINDOWS\system32\msvcrt2.dll - Deleted
C:\WINDOWS\system32\SysMgr.exe - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2009-05-21 12:03:55
Windows 5.1.2600 Service Pack 3 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabledxpsp2res.dll,-22019"
"C:\\WINDOWS\\system\\smsc.exe"="C:\\WINDOWS\\system\\smsc.exe:*:Microsoft Enabled"
"C:\\WINDOWS\\System32\\21.scr"="C:\\WINDOWS\\System32\\21.scr:*:Microsoft Enabled"
"C:\\WINDOWS\\System32\\62.scr"="C:\\WINDOWS\\System32\\62.scr:*:Microsoft Enabled"
"C:\\WINDOWS\\System32\\34.scr"="C:\\WINDOWS\\System32\\34.scr:*:Microsoft Enabled"
"C:\\WINDOWS\\System32\\36.scr"="C:\\WINDOWS\\System32\\36.scr:*:Microsoft Enabled"
"C:\\WINDOWS\\System32\\03.scr"="C:\\WINDOWS\\System32\\03.scr:*:Microsoft Enabled"
"C:\\WINDOWS\\System32\\06.scr"="C:\\WINDOWS\\System32\\06.scr:*:Microsoft Enabled"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabledxpsp3res.dll,-20000"
"C:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabledxpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabledxpsp3res.dll,-20000"
"C:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Wed 13 May 2009 11,656 ..SH. --- "C:\WINDOWS\system32\drivers\sysdrv32.sys"
Tue 12 May 2009 11,656 A.SH. --- "C:\System Volume Information\_restore{DFE772A1-DB5D-49A6-9F14-9061BB8D67A8}\RP11\A0000551.sys"
Tue 12 May 2009 11,656 A.SH. --- "C:\System Volume Information\_restore{DFE772A1-DB5D-49A6-9F14-9061BB8D67A8}\RP11\A0000552.sys"
Tue 12 May 2009 11,656 A.SH. --- "C:\System Volume Information\_restore{DFE772A1-DB5D-49A6-9F14-9061BB8D67A8}\RP11\A0000569.sys"
Tue 12 May 2009 11,656 A.SH. --- "C:\System Volume Information\_restore{DFE772A1-DB5D-49A6-9F14-9061BB8D67A8}\RP11\A0000570.sys"
Tue 12 May 2009 11,656 A.SH. --- "C:\System Volume Information\_restore{DFE772A1-DB5D-49A6-9F14-9061BB8D67A8}\RP11\A0000579.sys"
Tue 12 May 2009 11,656 A.SH. --- "C:\System Volume Information\_restore{DFE772A1-DB5D-49A6-9F14-9061BB8D67A8}\RP11\A0000580.sys"
Tue 12 May 2009 11,656 A.SH. --- "C:\System Volume Information\_restore{DFE772A1-DB5D-49A6-9F14-9061BB8D67A8}\RP12\A0000597.sys"
Tue 12 May 2009 11,656 A.SH. --- "C:\System Volume Information\_restore{DFE772A1-DB5D-49A6-9F14-9061BB8D67A8}\RP12\A0000598.sys"
Tue 12 May 2009 11,656 A.SH. --- "C:\System Volume Information\_restore{DFE772A1-DB5D-49A6-9F14-9061BB8D67A8}\RP12\A0001035.sys"
Tue 12 May 2009 11,656 A.SH. --- "C:\System Volume Information\_restore{DFE772A1-DB5D-49A6-9F14-9061BB8D67A8}\RP12\A0001040.sys"
Tue 12 May 2009 11,656 A.SH. --- "C:\System Volume Information\_restore{DFE772A1-DB5D-49A6-9F14-9061BB8D67A8}\RP12\A0001041.sys"
Tue 12 May 2009 11,656 A.SH. --- "C:\System Volume Information\_restore{DFE772A1-DB5D-49A6-9F14-9061BB8D67A8}\RP13\A0001046.sys"
Tue 12 May 2009 11,656 A.SH. --- "C:\System Volume Information\_restore{DFE772A1-DB5D-49A6-9F14-9061BB8D67A8}\RP13\A0001047.sys"
Tue 12 May 2009 11,656 A.SH. --- "C:\System Volume Information\_restore{DFE772A1-DB5D-49A6-9F14-9061BB8D67A8}\RP13\A0002046.sys"
Tue 12 May 2009 11,656 A.SH. --- "C:\System Volume Information\_restore{DFE772A1-DB5D-49A6-9F14-9061BB8D67A8}\RP13\A0002047.sys"
Tue 12 May 2009 11,656 A.SH. --- "C:\System Volume Information\_restore{DFE772A1-DB5D-49A6-9F14-9061BB8D67A8}\RP13\A0002053.sys"
Tue 12 May 2009 11,656 A.SH. --- "C:\System Volume Information\_restore{DFE772A1-DB5D-49A6-9F14-9061BB8D67A8}\RP13\A0002054.sys"
Wed 13 May 2009 11,656 A.SH. --- "C:\System Volume Information\_restore{DFE772A1-DB5D-49A6-9F14-9061BB8D67A8}\RP18\A0005851.sys"
Wed 13 May 2009 11,656 A.SH. --- "C:\System Volume Information\_restore{DFE772A1-DB5D-49A6-9F14-9061BB8D67A8}\RP18\A0005874.sys"
Wed 13 May 2009 11,656 A.SH. --- "C:\System Volume Information\_restore{DFE772A1-DB5D-49A6-9F14-9061BB8D67A8}\RP18\A0005897.sys"
Wed 13 May 2009 11,656 A.SH. --- "C:\System Volume Information\_restore{DFE772A1-DB5D-49A6-9F14-9061BB8D67A8}\RP18\A0006897.sys"
Wed 13 May 2009 11,656 A.SH. --- "C:\System Volume Information\_restore{DFE772A1-DB5D-49A6-9F14-9061BB8D67A8}\RP18\A0007897.sys"
Wed 13 May 2009 11,656 A.SH. --- "C:\System Volume Information\_restore{DFE772A1-DB5D-49A6-9F14-9061BB8D67A8}\RP19\A0008897.sys"
Wed 13 May 2009 11,656 A.SH. --- "C:\System Volume Information\_restore{DFE772A1-DB5D-49A6-9F14-9061BB8D67A8}\RP20\A0008927.sys"
Wed 13 May 2009 11,656 A.SH. --- "C:\System Volume Information\_restore{DFE772A1-DB5D-49A6-9F14-9061BB8D67A8}\RP20\A0009927.sys"
Wed 13 May 2009 11,656 A.SH. --- "C:\System Volume Information\_restore{DFE772A1-DB5D-49A6-9F14-9061BB8D67A8}\RP20\A0009935.sys"
Wed 13 May 2009 11,656 A.SH. --- "C:\System Volume Information\_restore{DFE772A1-DB5D-49A6-9F14-9061BB8D67A8}\RP20\A0010935.sys"
Wed 13 May 2009 11,656 A.SH. --- "C:\System Volume Information\_restore{DFE772A1-DB5D-49A6-9F14-9061BB8D67A8}\RP21\A0010942.sys"
Wed 13 May 2009 11,656 A.SH. --- "C:\System Volume Information\_restore{DFE772A1-DB5D-49A6-9F14-9061BB8D67A8}\RP21\A0011942.sys"
Wed 13 May 2009 11,656 A.SH. --- "C:\System Volume Information\_restore{DFE772A1-DB5D-49A6-9F14-9061BB8D67A8}\RP21\A0011953.sys"
Wed 13 May 2009 11,656 A.SH. --- "C:\System Volume Information\_restore{DFE772A1-DB5D-49A6-9F14-9061BB8D67A8}\RP21\A0011970.sys"
Wed 13 May 2009 11,656 A.SH. --- "C:\System Volume Information\_restore{DFE772A1-DB5D-49A6-9F14-9061BB8D67A8}\RP22\A0012970.sys"

Finished!

 

[Rhyrioth]

Pronto, instruções seguidas, seguem os logs abaixo:
Num sei se é psicológico mas o pc parece estar muito mais rápido agora

Bankerfix:

Spoiler

BankerFix 3.0 VALKYRIE - Removedor de Bankers
Linha Defensiva | http://www.linhadefensiva.org
http://www.linhadefensiva.org/bankerfix/
-------------------------------------------------------
Data: 2009-05-21 - 17:52
-------------------------------------------------------
Lista de Definição: 2009-05-04-2 | CORE: 2009-01-21-1
=======================================================



----- Fim -------------------------

Hijack:

Spoiler

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:55:40, on 21/5/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Messenger\msmsgs.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\Arquivos de programas\Scpad\scpsssh2.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WSSVC] C:\WINDOWS\system\smsc.exe
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O21 - SSODL: CompIBBrd - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll
O22 - SharedTaskScheduler: scpLIB - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4239 bytes

 

[xcobrax]

xcobrax, o Vundo é complicado mesmo. Não pensemos ainda numa formatação. Isso somente em último caso!

Siga as instruções do spoiler abaixo amigo xcobrax:

Spoiler

Baixe o FixVundo e salve-o no desktop;

- Desconecte-se da Internet (isso é importante);
- Feche todas as janelas e programas abertos;
- Dê um duplo clique em FixVundo.exe e clique no botão Start para iniciar o scan. Aguarde!
- Se a ferramenta encontrar a infecção, pedirá que seu computador seja reiniciado, então reinicie-o. Caso não apreça a mensagem dizendo para reiniciar, reinicie-o manualmente;
- Será gerado um log no desktop chamado FixVundo.txt.

Poste-o em sua próxima resposta xcobrax.

Não achou nada :huh: hmy:

Spoiler

Symantec Trojan.Vundo Removal Tool 1.5.1

C:\System Volume Information: (not scanned)
D:\System Volume Information: (not scanned)
Trojan.Vundo has not been found on your computer.

 

[Mr.Wolf]

Rhyrioth, siga abaixo:

Spoiler

- Faça o download do KillBox crie uma pasta própria para a ferramenta em C: e salve-o dentro da pasta criada;

● Execute o KillBox e marque a opção Delete on Reboot;
● Selecione todo o texto aqui abaixo e copie-o (Ctrl + C):

C:\WINDOWS\system\smsc.exe

● Volte ao KillBox, clique no menu File > Paste from Clipboard;
● Clique no botão All Files;
● Clique no botão

e ao ser perguntado Reboot Now? Diga Não!

● Execute o HijackThis e clique em Do a system scan only. Marque as entradas abaixo e clique no botão

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [WSSVC] C:\WINDOWS\system\smsc.exe

Clique em Sim na mensagem.

Reinicie o computador normalmente, gere um novo log do HijackThis e cole-o aqui.

______________________________


xcobrax, siga abaixo:

Spoiler

● Faça o download do ShowVundo e execute-o dando um duplo no ícone dele;

● Apenas aguarde o término da verificação;
● Abrirá um log automaticamente no Bloco de Notas para você. O mesmo também estará em C:\vundo-bho.txt.
Cole este log em sua próxima resposta.

 

[Pedrinn]

Mr ...
Fiz os procedimentos que vc me falou
Como eu posto o resultado do Scan aqui ?

Foram desinfectados varios files,mais nao muitoss ...

Ahh eu estou fazendo outro Scan com o Dr Web,desta vez clicquei no modo Completo para fazer o Scan completo ...
Alguma instruçao a mais ?

 

[Mr.Wolf]

Mr ...
Fiz os procedimentos que vc me falou
Como eu posto o resultado do Scan aqui ?

Do scan do Dr.Web Cureit Pedrinn? Se sim você pode zipar o log e anexá-lo aqui.

Foram desinfectados varios files,mais nao muitoss ...

Calma! O Sality é duro na queda. Esta variante que está em seu PC contamina até mesmo DLLs do sistema, o único File Infector que faz isto é ele. Portanto, vamos ter paciência e tentar resolver ok amigo.

Alguma instruçao a mais ?

Preciso primeiramente ver o resultado do Dr. Web Cureit para lhe passar outras instruções. Estamos apenas no começo ainda, a briga é grande...

 

[Pedrinn]

Affs que ***** de virus em Mr ...
Bom esse é o resultado do Scan SIMPLES ...

Spoiler

msmsgs.exe;c:\arquivos de programas\messenger;Win32.HLLP.Sector;Desinfectado.;
sm56hlpr.exe;c:\arquivos de programas\motorola\smserial;Win32.HLLP.Sector;Desinfectado.;
xpnetdiag.exe;c:\windows\network diagnostic;Win32.HLLP.Sector;Desinfectado.;
rthdcpl.exe;c:\windows;Win32.HLLP.Sector;Desinfectado.;
ctfmon.exe;c:\windows\system32;Win32.HLLP.Sector;Desinfectado.;
olemdb32.dll;c:\windows\system32;Win32.HLLP.Sector;Eliminado.;
cmdow.exe;C:\WINDOWS\system32;Tool.HideWindows;;
rmsality.exe;C:\Documents and Settings\Administrador\Meus documentos;Win32.HLLP.Sector;Desinfectado.;
rmslt.exe;C:\Documents and Settings\Administrador\Meus documentos;Win32.HLLP.Sector;Desinfectado.;
rmtanat.exe;C:\Documents and Settings\Administrador\Meus documentos;Win32.HLLP.Sector;Desinfectado.;
stinger10000482.exe;C:\Documents and Settings\Administrador\Meus documentos;Win32.HLLP.Sector;Desinfectado.;
windows-kb890830-v2.10.exe;C:\Documents and Settings\Administrador\Meus documentos;Win32.HLLP.Sector;Desinfectado.;
Tibia MULTI-ip changer.exe;C:\Documents and Settings\Administrador\Meus documentos\ChangeIP_8.21_www.RADTIBIA.vai.la;Win32.HLLP.Sector;Desinfectado.;
Ip Changer Updater.exe;C:\Documents and Settings\Administrador\Meus documentos\changeip_840_www.radbr.com;Win32.HLLP.Sector;Desinfectado.;
Tibia MULTI-ip changer.exe;C:\Documents and Settings\Administrador\Meus documentos\changeip_840_www.radbr.com;Win32.HLLP.Sector;Desinfectado.;
ECC.exe;C:\Documents and Settings\Administrador\Meus documentos\ECC 5.2;Trojan.MulDrop.14010;Eliminado.;

O novo Scan que esta acabando que é o COMPLETO esta com muitos e muitos arquivos desinfctados ...

Agradeço desde ja Mr.Wolf

 

[Mr.Wolf]

Ok, aguardo o log do scan completo.

 

[Pedrinn]

Mr.Wolf,aqui esta o log do Scan no Dr.Web
Ver anexo DrWeb Log.txt


Agradeço desde ja

 

[DaYWaLKeR]

Caro amigo Mr.Wolf!

Muito obrigado por tudo, posso ficar tranquilo conta a virus KL etc?

esse é o meu maior medo(paranóia) hehe

quanto aos erros são o de menos.

Daqui uns meses eu formato


OBRIGADO pela Atenção!


Abração

 

[vimed]

Boa tarde pessoal!

vimed, o log está limpo

Problema com vírus seu computador não tem mais. O que havia de infecção foi removido.

Como está o PC vimed? Se a navegação com a Internet continua lenta, o problema é com sua conexão mesmo.

\O/ \O/ \O/Num credito!!!!!!!!!!!!!!:fun::wacko:
Kra vc é mmmmuuuuiittto competente!!!!!!
E olha q eu sei o q estou falando! pq já trabalhei em uma das maiores empresas do varejo, e todas as vezes q dava vírus tinha q formatar as máquinas, pq o povo do cpd nunca sabia resolver!!!! Quantos trabalhos no pc eu perdi por causa disso.....:ranting3:
Parabéns pelo trabalho q vc tem desempenhado em ajudar tantas pessoas, e detalhe: gratuitamente!!!!!
Parabéns, parabéns, parabéns!!!!!:yes::snap::music::whistle::fun::lol:
\O/ Em relação a conexão da net, melhorou pracaramba!!!! Só mais uma ultima dúvida: Posso desinstalar e deletar os programas q baixei e suas respectivas pastas?(combofix, otlist, malware, etc?)
\O/ Deus te abençoe!!!! Bju grande!!!!

 

[вяυиασ 1988]

Srs...

Meu pc ta com comportamento totalmente estranho......
Sempre quando vou abrir alguns programas aki como corel draw,photoshop,alguns jogos tipo need for speed,ate msm um simples advanced system care da blue screen....
No começo pensei q era problema de hardware,testei todas as peças do pc ate levei na manutençao e nao tinha defeito algum.....
A config. do meu pc eh excelente,um core2quad com 4g de ram,660 de hd,placa de video de 2g de memo......
Tipo o pc e novo ainda......
Cuido mto bem do meu pc mais acho q isso deve ser virus nem sei se virus causa blue screen axo q nao neh pq eh o seguinte....
Ontem baixei 2 arquivos por torrent q costumo baixar aki e instalei eles tdo blz nada aconteceu....
3 dias depois meu anti-virus parou de iniciar com o sistema e tdo q abro começou a dar blue screen tdo tdo msm ,nao sei se tem virus q entra em erupçao dpois de 3 dias e da blues screens heuahuehauheuha......

print da blue screen



E eh de 3 em 3 minutos as vezes eu to jogando ou eh mais quando vou abrir algum programa......
Dai dou enter e vai de boa volta ao normal......

Alguem tem ideia se isso eh virus ou eh o pc q ta bixado??? o pc eh novo tbm e tipo eu tava pensando q era placa de video mais nem eh o tecnico tb disse q a placa ta funfando bunitinhu....

Vlws aew........

 

[xcobrax]

xcobrax, siga abaixo:

Spoiler

● Faça o download do ShowVundo e execute-o dando um duplo no ícone dele;

● Apenas aguarde o término da verificação;
● Abrirá um log automaticamente no Bloco de Notas para você. O mesmo também estará em C:\vundo-bho.txt.
Cole este log em sua próxima resposta.

Opa! Segue abaixo o log.

Spoiler

=================================================
Relatório | BHOs, Winlogon Notify e AppInit_DLLs
=================================================
AppInit_DLLs
-------------------------------------------------

[Vazia]


-------------------------------------------------
Authentication Packages
-------------------------------------------------

[1] msv1_0
[2] C:\WINDOWS\system32\xxyawxwW


-------------------------------------------------
Security Providers
-------------------------------------------------

msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


-------------------------------------------------
Explorer Execute Hooks
-------------------------------------------------

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="shell32.dll"
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll"
"{487C9905-26A8-42C8-8033-C58AD3D2AEC3}"="C:\WINDOWS\system32\cbXPGYQK.dll"
"{10af6fc4-6fe4-40aa-983f-300f4865c99e}"="C:\WINDOWS\system32\ipbijc.dll"


-------------------------------------------------
Browser Helper Objects
-------------------------------------------------

[HKLM\SOFTWARE\Classes\CLSID\{1362FA57-36E1-41AB-9BF0-3F2D5777E58A}\]
[Indefinido] | [Indefinido]
C:\WINDOWS\system32\xxyawxwW.dll


[HKLM\SOFTWARE\Classes\CLSID\{2E3C3651-B19C-4DD9-A979-901EC3E930AF}\]
ssh2 Class | CompSegIB
C:\Arquivos de programas\Scpad\scpsssh2.dll


[HKLM\SOFTWARE\Classes\CLSID\{330a8aad-4b38-4426-9339-8d2ac02ceba6}\]
[Indefinido] | {6abec20c-a2d8-9339-6244-83b4daa8a033}
C:\WINDOWS\system32\ipbijc.dll


[HKLM\SOFTWARE\Classes\CLSID\{487C9905-26A8-42C8-8033-C58AD3D2AEC3}\]
[Indefinido] | [Indefinido]
C:\WINDOWS\system32\cbXPGYQK.dll


[HKLM\SOFTWARE\Classes\CLSID\{C2BA40A1-74F3-42BD-F434-12345A2C8953}\]
C:\WINDOWS\system32\aef3fee.dll | [Indefinido]
C:\WINDOWS\system32\aef3fee.dll



-------------------------------------------------
Winlogon Notify
-------------------------------------------------


[Nova] cbXPGYQK : cbXPGYQK.dll

[Padrão] crypt32chain : crypt32.dll

[Padrão] cryptnet : cryptnet.dll

[Padrão] cscdll : cscdll.dll

[Nova] dimsntfy : %SystemRoot%\System32\dimsntfy.dll

[Padrão] ScCertProp : wlnotify.dll

[Padrão] Schedule : wlnotify.dll

[Padrão] sclgntfy : sclgntfy.dll

[Padrão] SensLogn : WlNotify.dll

[Padrão] termsrv : wlnotify.dll

[Padrão] wlballoon : wlnotify.dll


Esta NÃO É uma lista de arquivos maliciosos!

 

[Rhyrioth]

Rhyrioth, siga abaixo:

Spoiler

- Faça o download do KillBox crie uma pasta própria para a ferramenta em C: e salve-o dentro da pasta criada;

● Execute o KillBox e marque a opção Delete on Reboot;
● Selecione todo o texto aqui abaixo e copie-o (Ctrl + C):

C:\WINDOWS\system\smsc.exe

● Volte ao KillBox, clique no menu File > Paste from Clipboard;
● Clique no botão All Files;
● Clique no botão

e ao ser perguntado Reboot Now? Diga Não!

● Execute o HijackThis e clique em Do a system scan only. Marque as entradas abaixo e clique no botão

Clique em Sim na mensagem.

Reinicie o computador normalmente, gere um novo log do HijackThis e cole-o aqui.

______________________________

Ao tentar rodar o killbox (na pasta criada pra ele em c pula uma msg de erro:
[[Component "MSCOMCTL.OCX" or one of its dependencies not correctly registered: a file is missing or invalid ]]

Baxei 3 vezes caso fosse algum problema no download, mas o erro continua.

 

[carolgsn]

Olá Mr Wolf... boa tarde!

Desculpe a demora... que bom que está limpo... isso nos leva a crer que o problema todo era o cabal... ou não???

Agradeço muito a sua ajuda... Parabéns pelo trabalho que vc faz aqui no fórum, pela boa vontade... Muito sucesso pra vc.... tudo d bom!!!
Mtuuuuuuu obrigada msm... Vlw!!!

 

[Mr.Wolf]

Olá pessoal, boa tarde a todos!


Pedrinn, siga abaixo:

Spoiler

Clique com o botão direito sobre Meu Computador e selecione Propriedades. Clique na aba Restauração do Sistema e marque a opção "Desativar restauração do sistema" > OK. Mantenha, por enquanto, esta opção ativada.

IMPORTANTE! Após baixar a ferramenta abaixo, anote os procedimentos no Bloco de Notas e desconecte-se da Internet para rodar a ferramenta!

- Faça download do Kaspersky AVP Tool e salve na pasta de C:\Arquivos de programas;

● Instale o programa normalmente seguindo todos os seus passos;
● Não faça scan ainda com a ferramenta;
● Reinicie o computador em Modo de Segurança (segurando a tecla F8 na inicialização do sistema e escolhendo a opção Modo Seguro no menu);
● Já em Modo Seguro, execute então o programa e na tela principal marque todas as caixas disponíveis, como mostra a imagem abaixo:

● Logo abaixo clique sobre a opção Settings (Security Level) e clique no botão Customize. Vá na aba Heuristic analyzer e marque a caixinha “Enable deep rootkit search”. Dê um OK nas duas janelas;
● Voltando a tela inicial, clique no botão Scan e aguarde;
● Seja paciente, o scan pode demorar bastante;
● Se ele encontrar alguma infecção, vá confirmando a solicitação de remoção dos arquivos contaminados clicando Disinfect;
● Ao término do scan, clique em Reports e salve o relatório com a extensão .txt no desktop;
● Reinicie o computador em Modo Normal novamente e cole o relatório do scan aqui;
● Talvez, ao término da verificação, aparecerá uma janela para que a ferramenta seja desinstalada. Se aparecer confirme a desinstalação;
● Caso não apareça esta janela, feche todos os aplicativos abertos, entre dentro da pasta Kaspersky AVP Tool (estará na mesma pasta onde você salvou o arquivo de instalação - Arquivos de Programas), e dê duplo clique sobre o arquivo unins000.exe;
● Clique em OK duas vezes para completar o processo de remoção.

OBS: Não se esqueça de ir descontaminando os arquivos infectados que forem encontrados.

_____________________________


Amigo DaYWaLKeR, pode ficar tranquilo caro colega. Não tem nenhum keylogger, banker, worm ou qualquer malware que seja em seu computador.

E não é de forma alguma "paranóia" sua, amigo DaYWaLKeR. Um bom usuário, que zele e preze pela segurança de seu PC, não é paranóico, é apenas cuidadoso, atencioso e responsável - o que todos deveriam ser.

Se quiser fazer uma análise mais minuciosa por um antivirus online para termos uma resposta final, podemos amigo DaYWaLKeR. É só dizer.

Abraços

_____________________________


vimed, agradeço suas palavras. Ouvindo isso me dá ainda mais vontade de continuar ajudando aos amigos do fórum, é um incentivo a mais para mim.

Quanto às ferramentas, pode deletá-las sim vimed: Para o ComboFix, vá em Iniciar > Executar, digite ComboFix /u e dê um OK. Delete o OTListIt2 e sua pasta caso esteja aí ainda C:\_OTListIt. Delete também o Kaspersky Removal Tool, FindyKill (caso estejam aí ainda). Malwarebytes remova se quiser, pois ele não danifica a máquina e pode ser utilizado em conjunto com seu antivirus para uma maior proteção, caso queira.

Sugiro que dê uma desfragmentada no disco, limpe os arquivos temporários e o registro de entradas inválidas com o CCleaner ou outro programa de sua confiança, e o principal, basta cuidado com o que baixa no computador e onde navega. Qualquer dúvida ou problema, é só postar amiga vimed.

Abraços

_____________________________


Olá вяυиασ 1988, seja bem vindo ao fórum!

Este problema de blue screen é característico de defeito físico realmente (hardware), já deu uma verificada na placa de vídeo também?

Porém como você disse que já testou as peças, levou em uma assistência técnica e, ainda assim nada foi constatado, podemos suspeitar de vírus sim.

Estes dois arquivos que baixou via torrent, por acaso, tratam-se de cracks, keygens, patchs de jogos ou algo tipo? Por favor, gere e poste um log do HijackThis conforme instruções abaixo no spoiler amigo вяυиασ 1988:

Spoiler

- Baixe o HijackThis e extraia-o para uma pasta própria em C:.
- Execute o HijackThis e clique em Do a system scan and a save logfile.
- Será gerado um log no bloco de notas. Copie e cole-o aqui.

_____________________________


Amigo xcobrax, siga as instruções abaixo:

Spoiler

Baixe as duas ferramentas abaixo e salve-as no desktop, mas não execute-as ainda:

VundoFix
Avenger

Salve ou imprima estas instruções, pois vai segui-las desconectado e sem acesso a esta página.


1ª Etapa - Avenger

Desconecte-se da Internet, temporariamente.

OBS: Só rode o Avenger apenas uma vez. Se rodar a segunda, o script não servirá mais pois, os arquivos e entradas foram deletados ao rodar a primeira vez e o avenger.txt será sobrescrito.

- Extraia o arquivo da pasta Avenger.zip no desktop e dê um duplo clique em avenger.exe
- Feche todas as janelas abertas
- Copie este texto abaixo:

Files to delete:
C:\WINDOWS\system32\xxyawxwW
C:\WINDOWS\system32\cbXPGYQK.dll
C:\WINDOWS\system32\ipbijc.dll
C:\WINDOWS\system32\xxyawxwW.dll
C:\WINDOWS\system32\aef3fee.dll

Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{487C9905-26A8-42C8-8033-C58AD3D2AEC3}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{10af6fc4-6fe4-40aa-983f-300f4865c99e}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1362FA57-36E1-41AB-9BF0-3F2D5777E58A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{330a8aad-4b38-4426-9339-8d2ac02ceba6}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{487C9905-26A8-42C8-8033-C58AD3D2AEC3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C2BA40A1-74F3-42BD-F434-12345A2C8953}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbXPGYQK

Programs to launch on reboot:
C:\PEN\Arquivos\HijackThis.exe

- Abra o Avenger e clique no menu Load Script > Paste from Clipboard
- Veja se a caixa "Scan for rootkits" está marcada
- Clique no botão Execute > Yes > OK
- Seu computador será reiniciado
- Um log será gerado em C:\avenger.txt

Ao acabar de rodar o script e o PC ser reiniciado, o HijackThis irá abrir automaticamente. Clique em Do a system scan only, marque a entrada abaixo no log e clique no botão Fix Checked

O4 - HKLM\..\Run: [049da1a2] rundll32.exe "C:\WINDOWS\system32\cwokahte.dll",b

Reinicie o PC normalmente. E após isto:


2ª Etapa - VundoFix

- Dê um duplo clique em VundoFix.exe para executar a ferramenta;
- Clique no botão Scan for Vundo e aguarde a verificação;
- Ao término, clique em OK. Caso a infecção seja encontrada, clique no botão Fix Vundo e confirme a remoção dos arquivos;
- Surgirá uma mensagem dizendo que seu computador será desligado, clique em OK e depois ligue-o novamente;
- É possível que o VundoFix encontre um arquivo, mas não consiga removê-lo. Se isso acontecer, a ferramenta rodará ao reiniciar;
- Quando o VundoFix aparecer, clique no botão Scan for Vundo para repetir o processo;
- Quando o VundoFix não encontrar mais nenhum arquivo, um relatório será encontrado em C:\Vundofix.txt.


3ª Etapa

Em sua próxima resposta, cole os logs do Avenger, VundoFix e um novo log do HijackThis amigo xcobrax.

_____________________________


Rhyrioth, por favor, poste um novo log do HijackThis.

_____________________________


carolgsn, o problema era o Cabal sim. Ainda mais que seu irmão havia instalado dois patchs do jogo contaminados com malwares, ajudou no problema.

Como está o PC amiga Carol?

 

[Pedrinn]

Boa tarde Mr.Wolf ...
Estou baixando o programa aqui ...
Mr,minha internet do nada ficou lenta faz uns 15 minutos : (
Sera que tem alguma coisa haver com o virus ?

 

[Mr.Wolf]

Boa tarde Mr.Wolf ...
Estou baixando o programa aqui ...
Mr,minha internet do nada ficou lenta faz uns 15 minutos : (
Sera que tem alguma coisa haver com o virus ?

Pode ser obra do Sality sim Pedrinn.

 

[Pedrinn]

Nossa,sera que depois desse procedimento da uma melhorada ?