joao bombista

Virus que bloqueia instalação de anti-virus

10 posts neste tópico

Caros amigos, sou leigo no assunto computador, meu pc pegou um virús que bloqueia todo tipo de anti virus e outros dispositivos de segurança, nem em modo seguro ele deixa entrar, nem entrar em sait de anti virus on-line, parece até brincadeira é é assim que está a criança... Bom fiz um logue pelo hijackthis-v1.99.1 e vou passar para vocês me darem uma luz para que eu não precise formatar;

Logfile of HijackThis v1.99.1

Scan saved at 21:02:16, on 2/6/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Mixer.exe

C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe

C:\Arquivos de programas\RALINK\Common\RaUI.exe

C:\WINDOWS\system32\pctspk.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\eugjui.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\winbypkx.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\xajm.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\winlevab.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\winfhpbty.exe

C:\WINDOWS\explorer.exe

C:\Arquivos de programas\Microsoft Office\Office12\WINWORD.EXE

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\ssab.exe

C:\Arquivos de programas\Orbitdownloader\orbitdm.exe

C:\Documents and Settings\Administrador\Meus documentos\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orkut.com.br/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Arquivos de programas\Orbitdownloader\orbitcth.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARQUIV~1\MICROS~4\Office12\GRA8E1~1.DLL

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe" /startup

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c

O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Arquivos de programas\RALINK\Common\RaUI.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: &Download by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~4\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~4\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~4\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~4\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O15 - Trusted Zone: http://software.kuaiche.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{1A733E6F-1746-4EA8-B557-A1D7A0D498BA}: NameServer = 201.10.128.3

O17 - HKLM\System\CCS\Services\Tcpip\..\{2A2A804E-05EB-422E-8FA3-1FD5E9D6E373}: NameServer = 172.50.49.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{38046E0A-8661-421B-86C7-D0262E5CAE39}: NameServer = 172.50.49.1

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MICROS~4\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARQUIV~1\ARQUIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O23 - Service: ESET HTTP Server (EhttpSrv) - Unknown owner - C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\EHttpSrv.exe (file missing)

O23 - Service: ESET Service (ekrn) - Unknown owner - C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\ekrn.exe (file missing)

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

Bom não entendi nada mas tenho certeza que vocês dominam o assunto, desde ja obrigado e aguardo resposta!!!

JOÃO BOMBISTA.

Editado por JoseMelo

Compartilhar este post


Link para o post
Compartilhar em outros sites

Seja bem-vindo(a) à Linha Defensiva

Meu nome é José Humberto e "nickname" JoseMelo

Para que possamos ter sucesso ao final dos procedimentos, sugiro que siga estritamente o que lhe for proposto e não use qualquer ferramenta ou programa, que não seja os aqui recomendados;

Não desinstale nenhuma ferramenta que esteja sendo usada, até a finalização dos procedimentos;

Caso tenha um tópico em andamento em outro fórum, recomendo que o abandone para que os procedimentos não sejam conflitantes;

Se preferir receber por e-mail um aviso toda vez que houver resposta no seu tópico, clique em

o5an81.jpg
no alto da página e em Assinar este tópico.

Se tiver mais de um programa, com proteção residente instalado (antivírus, antispyware, firewall), mantenha somente um para evitar conflitos e lentidão ao sistema.

Baixe o Kaspersky AVP Tool:

http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

Salve-o em sua área de trabalho.

Execute o arquivo e vá seguindo os prompts. Quando terminar, entre na pasta Virus Removal Tool, que foi criada no mesmo diretório onde você salvou o arquivo de instalação.

Para abrir o programa, faça duplo clique sobre o atalho

KRT_lnk.png

Marque a caixa ao lado de:


  • Meu Computador
  • Disco local (C:)

Marque também todas as unidades que aparecem abaixo de Disco Local, caso houver.

Clique no botão

play.png

Tenha paciência, é um pouco demorado.

Quando terminar, caso tenha detectado algo, o programa irá lhe perguntar o que fazer.

Clique em Disinfect All.

Enquanto durar o exame, o botão Scan será substituído por um quadrado vermelho, com a mensagem Stop Scan

Quando o exame terminar, o botão Scan aparecerá novamente.

Caso a ferramenta tenha encontrado algo, este botão

light_green.png
ficará vermelho
light_red.png

Quando terminar, clique no botão Report, no rodapé da janela.

Clique no sinal + ao lado do último Autoscan da lista (o mais recente)

SaveReport.png

Clique uma vez sobre Task Started para selecionar a linha, segure a tecla shift pressionada e depois clique uma vez sobre Task Completed

Clique com o direito sobre a seleção, depois clique em Copy

Vá em Iniciar > Executar e digite notepad

Quando o bloco de notas abrir, clique com o botão direito do mouse em qualquer lugar vazio e escolha a opção colar

Salve o log com o nome log.txt, em algum local de fácil acesso.

Copie todo o conteúdo deste log e cole na sua próxima resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro amigo este virus bloqueia qualquer tentativa de entrar num sait de segurança, não tem com baixar este.....

Compartilhar este post


Link para o post
Compartilhar em outros sites

Faça o download em outra máquina e grave num CD. Não use pendrive, ou poderá infectar a outra máquina.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro amigo desculpe a demora para responder, mas entava muito ocupado com trabalho, mas consegui fazer o que me pediu... Ha ja tava me esquecendo, quando passei o antivirus logo apos ele reiniciou mas meu pc não ligou mais tive que retirar todos os cabos e reconectar para ele ligar mas só liga se apertar F1 ok. Vou passar os ultimos scans para você .

1)8/6/2010 22:02:31 Task started

8/6/2010 22:04:29 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\helper.exe

8/6/2010 22:04:30 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\findsvc.exe

8/6/2010 22:04:31 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\sarcli.exe

8/6/2010 22:05:14 Processing error: Virus.Win32.Sality.aa C:\Arquivos de programas\findsvc.exe

8/6/2010 22:05:14 Processing error: Virus.Win32.Sality.aa C:\Arquivos de programas\sarcli.exe

8/6/2010 22:05:15 Processing error: Virus.Win32.Sality.aa C:\Arquivos de programas\helper.exe

8/6/2010 22:06:15 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Adobe\Reader 9.0\Reader\AcroTextExtractor.exe

8/6/2010 22:06:24 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Eula.exe

8/6/2010 22:07:02 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Adobe\Reader 9.0\Reader\AcroTextExtractor.exe

8/6/2010 22:07:03 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Eula.exe

8/6/2010 22:07:23 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Adobe\Reader 9.0\Reader\AcroTextExtractor.exe

8/6/2010 22:07:23 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Eula.exe

8/6/2010 22:07:41 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Adobe\Reader 9.0\Reader\LogTransport2.exe

8/6/2010 22:07:50 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Adobe\Reader 9.0\Reader\reader_sl.exe

8/6/2010 22:08:26 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Adobe\Reader 9.0\Reader\LogTransport2.exe

8/6/2010 22:08:27 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Adobe\Reader 9.0\Reader\reader_sl.exe

8/6/2010 22:08:37 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Adobe\Reader 9.0\Reader\LogTransport2.exe

8/6/2010 22:08:39 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Adobe\Reader 9.0\Reader\reader_sl.exe

8/6/2010 22:11:19 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Adobe\Reader 9.0\Setup Files\{AC76BA86-7AD7-1046-7B44-A91000000001}\Setup.exe

8/6/2010 22:12:18 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Adobe\Reader 9.0\Setup Files\{AC76BA86-7AD7-1046-7B44-A91000000001}\Setup.exe

8/6/2010 22:13:44 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Adobe\Reader 9.0\Setup Files\{AC76BA86-7AD7-1046-7B44-A91000000001}\Setup.exe

8/6/2010 22:17:50 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\OFFICE12\ACECNFLT.EXE

8/6/2010 22:18:32 Processing error: Virus.Win32.Sality.aa C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\OFFICE12\ACECNFLT.EXE

8/6/2010 22:23:46 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WLLoginProxy.exe

8/6/2010 22:26:16 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WLLoginProxy.exe

8/6/2010 22:27:14 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WLLoginProxy.exe

8/6/2010 22:33:13 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\InstallShield Installation Information\{FAB1F336-1B7C-4057-A7BC-2922CD82A781}\setup.exe

8/6/2010 22:34:33 Processing error: Virus.Win32.Sality.aa C:\Arquivos de programas\InstallShield Installation Information\{FAB1F336-1B7C-4057-A7BC-2922CD82A781}\setup.exe

8/6/2010 22:41:39 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Messenger\msmsgs.exe

8/6/2010 22:42:46 Processing error: Virus.Win32.Sality.aa C:\Arquivos de programas\Messenger\msmsgs.exe

8/6/2010 22:53:43 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\DRAT.EXE

8/6/2010 22:53:46 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GROOVE.EXE

8/6/2010 22:53:46 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GrooveAuditService.exe

8/6/2010 22:59:34 Processing error: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\DRAT.EXE

8/6/2010 22:59:51 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GrooveAuditService.exe

8/6/2010 22:59:51 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GrooveClean.exe

8/6/2010 22:59:55 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GROOVE.EXE

8/6/2010 22:59:56 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GrooveAuditService.exe

8/6/2010 22:59:59 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GROOVE.EXE

8/6/2010 23:00:03 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GrooveMigrator.exe

8/6/2010 23:00:05 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

8/6/2010 23:00:17 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GrooveClean.exe

8/6/2010 23:00:22 Disinfection on system restart failed: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

8/6/2010 23:00:38 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GrooveClean.exe

8/6/2010 23:00:38 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GrooveMigrator.exe

8/6/2010 23:00:41 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GrooveMigrator.exe

2)8/6/2010 23:02:15 Task started

8/6/2010 23:02:19 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

8/6/2010 23:02:26 Will be deleted on system restart: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

8/6/2010 23:04:31 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

8/6/2010 23:04:34 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\RALINK\Common\RaUI.exe

8/6/2010 23:04:43 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\RALINK\Common\RaUI.exe

8/6/2010 23:04:48 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\RALINK\Common\RaUI.exe

8/6/2010 23:04:49 Will be disinfected on system restart: Virus.Win32.Sality.aa C:\Arquivos de programas\RALINK\Common\RaUI.exe

8/6/2010 23:04:52 Detected: Trojan-Downloader.Win32.Agent.bqbt C:\documents and settings\administrador\configurações locais\temp\winncctgs.exe

8/6/2010 23:05:08 Will be deleted on system restart: Trojan-Downloader.Win32.Agent.bqbt C:\documents and settings\administrador\configurações locais\temp\winncctgs.exe

8/6/2010 23:05:09 Detected: Trojan.Win32.Agent.clss C:\documents and settings\administrador\configurações locais\temp\winhxyc.exe/PE_Patch.UPX/UPX

8/6/2010 23:05:21 Will be deleted on system restart: Trojan.Win32.Agent.clss C:\documents and settings\administrador\configurações locais\temp\winhxyc.exe

8/6/2010 23:05:22 Detected: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\mmem.exe

8/6/2010 23:05:37 Will be deleted on system restart: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\mmem.exe

8/6/2010 23:05:39 Detected: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\winkwwuy.exe

8/6/2010 23:05:53 Will be deleted on system restart: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\winkwwuy.exe

8/6/2010 23:05:57 Detected: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\winwufa.exe

8/6/2010 23:06:09 Will be deleted on system restart: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\winwufa.exe

8/6/2010 23:06:12 Detected: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\winiultr.exe

8/6/2010 23:06:25 Will be deleted on system restart: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\winiultr.exe

8/6/2010 23:06:27 Detected: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\yvuv.exe

8/6/2010 23:06:41 Will be deleted on system restart: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\yvuv.exe

8/6/2010 23:06:43 Detected: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\wincnlcx.exe

8/6/2010 23:06:54 Will be deleted on system restart: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\wincnlcx.exe

8/6/2010 23:06:56 Detected: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\winidbkh.exe

8/6/2010 23:07:12 Will be deleted on system restart: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\winidbkh.exe

8/6/2010 23:07:14 Detected: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\tupbtl.exe

8/6/2010 23:07:29 Will be deleted on system restart: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\tupbtl.exe

8/6/2010 23:07:31 Detected: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\pawg.exe

8/6/2010 23:07:45 Will be deleted on system restart: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\pawg.exe

8/6/2010 23:07:47 Detected: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\snynp.exe

8/6/2010 23:08:02 Will be deleted on system restart: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\snynp.exe

8/6/2010 23:08:23 Detected: Virus.Win32.Sality.aa E:\YGGB.PIF

8/6/2010 23:08:38 Disinfected: Virus.Win32.Sality.aa E:\YGGB.PIF

8/6/2010 23:08:39 Disinfected: Virus.Win32.Sality.aa E:\YGGB.PIF

8/6/2010 23:36:58 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Messenger\msmsgs.exe

8/6/2010 23:37:43 Processing error: Virus.Win32.Sality.aa C:\Arquivos de programas\Messenger\msmsgs.exe

8/6/2010 23:46:16 Detected: Virus.Win32.Sality.aa C:\documents and settings\administrador\configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe

8/6/2010 23:46:56 Disinfected: Virus.Win32.Sality.aa C:\documents and settings\administrador\configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe

8/6/2010 23:49:10 Disinfected: Virus.Win32.Sality.aa C:\documents and settings\administrador\configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe

8/6/2010 23:54:43 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\RALINK\Common\RaUI.exe

8/6/2010 23:56:14 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\RALINK\Common\RaUI.exe

8/6/2010 23:57:32 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\RALINK\Common\RaUI.exe

8/6/2010 23:59:21 Will be disinfected on system restart: Virus.Win32.Sality.aa C:\Arquivos de programas\RALINK\Common\RaUI.exe

9/6/2010 00:10:36 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Orbitdownloader\orbitdm.exe

9/6/2010 00:11:13 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Orbitdownloader\orbitdm.exe

9/6/2010 00:11:15 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Orbitdownloader\orbitdm.exe

Obrigado.

Compartilhar este post


Link para o post
Compartilhar em outros sites

- Faça o download do Malwarebytes Anti-Malware

http://www.malwarebytes.org/mbam-download.php

  • Faça a instalação dando um duplo clique em "mbam-setup.exe";
  • Marque "Atualizar Malwarebytes Anti-Malware" e "Executar Malwarebytes Anti-Malware", e clique em concluir;
  • Marque "Verificação Completa" e depois clique em Verificar;
  • Quando o scan terminar, clique em Ok e em "Mostrar Resultados" para ver o log;
  • Se algo for detectado, veja se tudo está marcado e clique em "Remover";
  • O log é automaticamente gravado e pode ser consultado clicando em "Logs" do menu principal;
  • Copie e cole o conteúdo desse log na sua próxima resposta.

- Gere novo log do HijackThis e cole na sua resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Boa noite, como você pediu fiz o scan com Malwarebytes e deu o seguinte agora:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

Versão da Base de Dados: 4184

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

9/6/2010 21:42:06

mbam-log-2010-06-09 (21-42-06).txt

Tipo de Verificação: Verificação Completa (C:\|E:\|)

Objetos escaneados: 141868

Tempo decorrido: 1 hora(s), 46 minuto(s), 47 segundo(s)

Processos de Memória Infectados: 0

Módulos de Memória Infectados: 0

Chaves de Registro Infectadas: 0

Valores de Registro Infectados: 0

Itens de Dados no Registro Infectados: 5

Pastas Infectadas: 0

Arquivos Infectados: 0

Processos de Memória Infectados:

(Não foram detectados ítens maliciosos)

Módulos de Memória Infectados:

(Não foram detectados ítens maliciosos)

Chaves de Registro Infectadas:

(Não foram detectados ítens maliciosos)

Valores de Registro Infectados:

(Não foram detectados ítens maliciosos)

Itens de Dados no Registro Infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Pastas Infectadas:

(Não foram detectados ítens maliciosos)

Arquivos Infectados:

(Não foram detectados ítens maliciosos)

O outro log como pedido::

Logfile of HijackThis v1.99.1

Scan saved at 21:47:01, on 9/6/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\pctspk.exe

C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\RALINK\Common\RaUI.exe

C:\Arquivos de programas\Orbitdownloader\orbitdm.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Administrador\Meus documentos\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60347

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60347

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Arquivos de programas\Orbitdownloader\orbitcth.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARQUIV~1\MICROS~4\Office12\GRA8E1~1.DLL

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [spywareTerminator] "C:\ARQUIV~1\SPYWAR~1\SpywareTerminatorShield.exe"

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Arquivos de programas\RALINK\Common\RaUI.exe

O8 - Extra context menu item: &Download by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~4\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~4\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~4\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~4\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O15 - Trusted Zone: http://software.kuaiche.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{1A733E6F-1746-4EA8-B557-A1D7A0D498BA}: NameServer = 201.10.128.3

O17 - HKLM\System\CCS\Services\Tcpip\..\{2A2A804E-05EB-422E-8FA3-1FD5E9D6E373}: NameServer = 172.50.49.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{38046E0A-8661-421B-86C7-D0262E5CAE39}: NameServer = 172.50.49.1

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MICROS~4\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARQUIV~1\ARQUIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O23 - Service: ESET HTTP Server (EhttpSrv) - Unknown owner - (no file)

O23 - Service: ESET Service (ekrn) - Unknown owner - (no file)

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe

Aguardo resposta .

Obrigado.

Compartilhar este post


Link para o post
Compartilhar em outros sites

- Ok, o log está limpo :)

- Recomendo uma manutenção no computador para exclusão dos arquivos temporários, desnecessários e entradas inválidas no registro. Faça o download do CCleaner:

  • Clique em Salvar e quando terminado o download, faça a instalação;
  • Abra o programa e clique em Executar Limpeza;
  • Após isto, clique em Registro > Procurar erros > Corrigir erros selecionados

- Desative e ative novamente a Restauração do Sistema

- Leitura recomendada:

http://www.linhadefensiva.org/forum/index....showtopic=75646

- Leia o artigo Proteja seu PC para maiores informações sobre como evitar infecções;

- Se não tiver mais problema, clique no botão

p_report.gif
e diga que o seu caso foi resolvido.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Josemelo, resolvi parcialmente do jeito que você me ensinou, deu td certo, mas infelizmente, ouve outra contaminaçao e estou fazendo todo o processo de novo, é claro bem mais entendido no assuto graças a você, deve ser por não ter antivirus instalado por tempo, bom uma coisa que não avia dito a você é que em todas as tentativas de remoção de virus ou scaners feito quando ia reiniciar o pc ele não liga, mesmo agora, sai uma mesg na tela assim

Floppy disk(S) Fail (40)

CMOS checksum error Default Looded

CMOS battery failed

press F1 to continue

Mas esta mensg só aparece se eu desconequitar todos os cabos e retirar as memorias do lugar e instala-las de novo, porque sem fazer isso ele não da o boot, ou não lê....

você pode me dizer o que fazer, acho que o setup está desconfigurado, eu andei mexendo la...Sei que não posso mas não sabia o que fazer, pode me ajudar?

Bom agora to fazendo todo aquele processo de scan no Kasper e depois no outro, E qual antivirus você me recomenda?

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.

  • Quem Está Navegando   0 membros estão online

    Nenhum usuário registrado visualizando esta página.