Ir para conteúdo

Foto

Virus que bloqueia instalação de anti-virus


Este tópico foi arquivado. Isto significa que você não pode mais responder ao tópico.
9 respostas neste tópico

#1
joao bombista

joao bombista

    Novato

  • Novato
  • Pip
  • 18 posts
Caros amigos, sou leigo no assunto computador, meu pc pegou um virús que bloqueia todo tipo de anti virus e outros dispositivos de segurança, nem em modo seguro ele deixa entrar, nem entrar em sait de anti virus on-line, parece até brincadeira é é assim que está a criança... Bom fiz um logue pelo hijackthis-v1.99.1 e vou passar para vocês me darem uma luz para que eu não precise formatar;
Logfile of HijackThis v1.99.1
Scan saved at 21:02:16, on 2/6/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe
C:\Arquivos de programas\RALINK\Common\RaUI.exe
C:\WINDOWS\system32\pctspk.exe
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\eugjui.exe
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\winbypkx.exe
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\xajm.exe
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\winlevab.exe
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\winfhpbty.exe
C:\WINDOWS\explorer.exe
C:\Arquivos de programas\Microsoft Office\Office12\WINWORD.EXE
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\ssab.exe
C:\Arquivos de programas\Orbitdownloader\orbitdm.exe
C:\Documents and Settings\Administrador\Meus documentos\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsof...ss/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orkut.com.br/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Arquivos de programas\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARQUIV~1\MICROS~4\Office12\GRA8E1~1.DLL
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe" /startup
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Arquivos de programas\RALINK\Common\RaUI.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Download by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsof...ss/allinone.asp
O15 - Trusted Zone: http://software.kuaiche.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A733E6F-1746-4EA8-B557-A1D7A0D498BA}: NameServer = 201.10.128.3
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A2A804E-05EB-422E-8FA3-1FD5E9D6E373}: NameServer = 172.50.49.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{38046E0A-8661-421B-86C7-D0262E5CAE39}: NameServer = 172.50.49.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MICROS~4\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARQUIV~1\ARQUIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O23 - Service: ESET HTTP Server (EhttpSrv) - Unknown owner - C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\EHttpSrv.exe (file missing)
O23 - Service: ESET Service (ekrn) - Unknown owner - C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\ekrn.exe (file missing)
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

Bom não entendi nada mas tenho certeza que vocês dominam o assunto, desde ja obrigado e aguardo resposta!!!

JOÃO BOMBISTA.

Editado por JoseMelo, 04 junho 2010 - 16:48.


#2
JoseMelo

JoseMelo

    Assistente Profissional

  • Assistente Profissional
  • 129.200 posts
Seja bem-vindo(a) à Linha Defensiva

Meu nome é José Humberto e "nickname" JoseMelo

Para que possamos ter sucesso ao final dos procedimentos, sugiro que siga estritamente o que lhe for proposto e não use qualquer ferramenta ou programa, que não seja os aqui recomendados;
Não desinstale nenhuma ferramenta que esteja sendo usada, até a finalização dos procedimentos;
Caso tenha um tópico em andamento em outro fórum, recomendo que o abandone para que os procedimentos não sejam conflitantes;
Se preferir receber por e-mail um aviso toda vez que houver resposta no seu tópico, clique em
Imagem Postada
no alto da página e em Assinar este tópico.
Se tiver mais de um programa, com proteção residente instalado (antivírus, antispyware, firewall), mantenha somente um para evitar conflitos e lentidão ao sistema.

Baixe o Kaspersky AVP Tool:
http://devbuilds.kas...builds/AVPTool/

Salve-o em sua área de trabalho.

Execute o arquivo e vá seguindo os prompts. Quando terminar, entre na pasta Virus Removal Tool, que foi criada no mesmo diretório onde você salvou o arquivo de instalação.

Para abrir o programa, faça duplo clique sobre o atalho
Imagem Postada

Marque a caixa ao lado de:
  • Meu Computador
  • Disco local (C:)
Marque também todas as unidades que aparecem abaixo de Disco Local, caso houver.

Clique no botão
Imagem Postada

Tenha paciência, é um pouco demorado.

Quando terminar, caso tenha detectado algo, o programa irá lhe perguntar o que fazer.
Clique em Disinfect All.

Enquanto durar o exame, o botão Scan será substituído por um quadrado vermelho, com a mensagem Stop Scan

Quando o exame terminar, o botão Scan aparecerá novamente.

Caso a ferramenta tenha encontrado algo, este botão
Imagem Postada
ficará vermelho
Imagem Postada

Quando terminar, clique no botão Report, no rodapé da janela.

Clique no sinal + ao lado do último Autoscan da lista (o mais recente)

Imagem Postada

Clique uma vez sobre Task Started para selecionar a linha, segure a tecla shift pressionada e depois clique uma vez sobre Task Completed

Clique com o direito sobre a seleção, depois clique em Copy

Vá em Iniciar > Executar e digite notepad

Quando o bloco de notas abrir, clique com o botão direito do mouse em qualquer lugar vazio e escolha a opção colar
Salve o log com o nome log.txt, em algum local de fácil acesso.

Copie todo o conteúdo deste log e cole na sua próxima resposta.

#3
joao bombista

joao bombista

    Novato

  • Novato
  • Pip
  • 18 posts
Caro amigo este virus bloqueia qualquer tentativa de entrar num sait de segurança, não tem com baixar este.....

#4
JoseMelo

JoseMelo

    Assistente Profissional

  • Assistente Profissional
  • 129.200 posts
Faça o download em outra máquina e grave num CD. Não use pendrive, ou poderá infectar a outra máquina.

#5
joao bombista

joao bombista

    Novato

  • Novato
  • Pip
  • 18 posts
Caro amigo desculpe a demora para responder, mas entava muito ocupado com trabalho, mas consegui fazer o que me pediu... Ha ja tava me esquecendo, quando passei o antivirus logo apos ele reiniciou mas meu pc não ligou mais tive que retirar todos os cabos e reconectar para ele ligar mas só liga se apertar F1 ok. Vou passar os ultimos scans para você .
1)8/6/2010 22:02:31 Task started
8/6/2010 22:04:29 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\helper.exe
8/6/2010 22:04:30 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\findsvc.exe
8/6/2010 22:04:31 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\sarcli.exe
8/6/2010 22:05:14 Processing error: Virus.Win32.Sality.aa C:\Arquivos de programas\findsvc.exe
8/6/2010 22:05:14 Processing error: Virus.Win32.Sality.aa C:\Arquivos de programas\sarcli.exe
8/6/2010 22:05:15 Processing error: Virus.Win32.Sality.aa C:\Arquivos de programas\helper.exe
8/6/2010 22:06:15 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Adobe\Reader 9.0\Reader\AcroTextExtractor.exe
8/6/2010 22:06:24 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Eula.exe
8/6/2010 22:07:02 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Adobe\Reader 9.0\Reader\AcroTextExtractor.exe
8/6/2010 22:07:03 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Eula.exe
8/6/2010 22:07:23 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Adobe\Reader 9.0\Reader\AcroTextExtractor.exe
8/6/2010 22:07:23 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Eula.exe
8/6/2010 22:07:41 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Adobe\Reader 9.0\Reader\LogTransport2.exe
8/6/2010 22:07:50 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Adobe\Reader 9.0\Reader\reader_sl.exe
8/6/2010 22:08:26 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Adobe\Reader 9.0\Reader\LogTransport2.exe
8/6/2010 22:08:27 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Adobe\Reader 9.0\Reader\reader_sl.exe
8/6/2010 22:08:37 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Adobe\Reader 9.0\Reader\LogTransport2.exe
8/6/2010 22:08:39 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Adobe\Reader 9.0\Reader\reader_sl.exe
8/6/2010 22:11:19 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Adobe\Reader 9.0\Setup Files\{AC76BA86-7AD7-1046-7B44-A91000000001}\Setup.exe
8/6/2010 22:12:18 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Adobe\Reader 9.0\Setup Files\{AC76BA86-7AD7-1046-7B44-A91000000001}\Setup.exe
8/6/2010 22:13:44 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Adobe\Reader 9.0\Setup Files\{AC76BA86-7AD7-1046-7B44-A91000000001}\Setup.exe
8/6/2010 22:17:50 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\OFFICE12\ACECNFLT.EXE
8/6/2010 22:18:32 Processing error: Virus.Win32.Sality.aa C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\OFFICE12\ACECNFLT.EXE
8/6/2010 22:23:46 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WLLoginProxy.exe
8/6/2010 22:26:16 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WLLoginProxy.exe
8/6/2010 22:27:14 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WLLoginProxy.exe
8/6/2010 22:33:13 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\InstallShield Installation Information\{FAB1F336-1B7C-4057-A7BC-2922CD82A781}\setup.exe
8/6/2010 22:34:33 Processing error: Virus.Win32.Sality.aa C:\Arquivos de programas\InstallShield Installation Information\{FAB1F336-1B7C-4057-A7BC-2922CD82A781}\setup.exe
8/6/2010 22:41:39 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Messenger\msmsgs.exe
8/6/2010 22:42:46 Processing error: Virus.Win32.Sality.aa C:\Arquivos de programas\Messenger\msmsgs.exe
8/6/2010 22:53:43 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\DRAT.EXE
8/6/2010 22:53:46 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GROOVE.EXE
8/6/2010 22:53:46 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GrooveAuditService.exe
8/6/2010 22:59:34 Processing error: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\DRAT.EXE
8/6/2010 22:59:51 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GrooveAuditService.exe
8/6/2010 22:59:51 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GrooveClean.exe
8/6/2010 22:59:55 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GROOVE.EXE
8/6/2010 22:59:56 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GrooveAuditService.exe
8/6/2010 22:59:59 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GROOVE.EXE
8/6/2010 23:00:03 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GrooveMigrator.exe
8/6/2010 23:00:05 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe
8/6/2010 23:00:17 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GrooveClean.exe
8/6/2010 23:00:22 Disinfection on system restart failed: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe
8/6/2010 23:00:38 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GrooveClean.exe
8/6/2010 23:00:38 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GrooveMigrator.exe
8/6/2010 23:00:41 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GrooveMigrator.exe


2)8/6/2010 23:02:15 Task started
8/6/2010 23:02:19 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe
8/6/2010 23:02:26 Will be deleted on system restart: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe
8/6/2010 23:04:31 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe
8/6/2010 23:04:34 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\RALINK\Common\RaUI.exe
8/6/2010 23:04:43 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\RALINK\Common\RaUI.exe
8/6/2010 23:04:48 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\RALINK\Common\RaUI.exe
8/6/2010 23:04:49 Will be disinfected on system restart: Virus.Win32.Sality.aa C:\Arquivos de programas\RALINK\Common\RaUI.exe
8/6/2010 23:04:52 Detected: Trojan-Downloader.Win32.Agent.bqbt C:\documents and settings\administrador\configurações locais\temp\winncctgs.exe
8/6/2010 23:05:08 Will be deleted on system restart: Trojan-Downloader.Win32.Agent.bqbt C:\documents and settings\administrador\configurações locais\temp\winncctgs.exe
8/6/2010 23:05:09 Detected: Trojan.Win32.Agent.clss C:\documents and settings\administrador\configurações locais\temp\winhxyc.exe/PE_Patch.UPX/UPX
8/6/2010 23:05:21 Will be deleted on system restart: Trojan.Win32.Agent.clss C:\documents and settings\administrador\configurações locais\temp\winhxyc.exe
8/6/2010 23:05:22 Detected: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\mmem.exe
8/6/2010 23:05:37 Will be deleted on system restart: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\mmem.exe
8/6/2010 23:05:39 Detected: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\winkwwuy.exe
8/6/2010 23:05:53 Will be deleted on system restart: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\winkwwuy.exe
8/6/2010 23:05:57 Detected: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\winwufa.exe
8/6/2010 23:06:09 Will be deleted on system restart: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\winwufa.exe
8/6/2010 23:06:12 Detected: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\winiultr.exe
8/6/2010 23:06:25 Will be deleted on system restart: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\winiultr.exe
8/6/2010 23:06:27 Detected: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\yvuv.exe
8/6/2010 23:06:41 Will be deleted on system restart: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\yvuv.exe
8/6/2010 23:06:43 Detected: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\wincnlcx.exe
8/6/2010 23:06:54 Will be deleted on system restart: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\wincnlcx.exe
8/6/2010 23:06:56 Detected: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\winidbkh.exe
8/6/2010 23:07:12 Will be deleted on system restart: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\winidbkh.exe
8/6/2010 23:07:14 Detected: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\tupbtl.exe
8/6/2010 23:07:29 Will be deleted on system restart: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\tupbtl.exe
8/6/2010 23:07:31 Detected: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\pawg.exe
8/6/2010 23:07:45 Will be deleted on system restart: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\pawg.exe
8/6/2010 23:07:47 Detected: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\snynp.exe
8/6/2010 23:08:02 Will be deleted on system restart: Trojan-PSW.Win32.Agent.nxr C:\documents and settings\administrador\configurações locais\temp\snynp.exe
8/6/2010 23:08:23 Detected: Virus.Win32.Sality.aa E:\YGGB.PIF
8/6/2010 23:08:38 Disinfected: Virus.Win32.Sality.aa E:\YGGB.PIF
8/6/2010 23:08:39 Disinfected: Virus.Win32.Sality.aa E:\YGGB.PIF
8/6/2010 23:36:58 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Messenger\msmsgs.exe
8/6/2010 23:37:43 Processing error: Virus.Win32.Sality.aa C:\Arquivos de programas\Messenger\msmsgs.exe
8/6/2010 23:46:16 Detected: Virus.Win32.Sality.aa C:\documents and settings\administrador\configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe
8/6/2010 23:46:56 Disinfected: Virus.Win32.Sality.aa C:\documents and settings\administrador\configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe
8/6/2010 23:49:10 Disinfected: Virus.Win32.Sality.aa C:\documents and settings\administrador\configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe
8/6/2010 23:54:43 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\RALINK\Common\RaUI.exe
8/6/2010 23:56:14 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\RALINK\Common\RaUI.exe
8/6/2010 23:57:32 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\RALINK\Common\RaUI.exe
8/6/2010 23:59:21 Will be disinfected on system restart: Virus.Win32.Sality.aa C:\Arquivos de programas\RALINK\Common\RaUI.exe
9/6/2010 00:10:36 Detected: Virus.Win32.Sality.aa C:\Arquivos de programas\Orbitdownloader\orbitdm.exe
9/6/2010 00:11:13 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Orbitdownloader\orbitdm.exe
9/6/2010 00:11:15 Disinfected: Virus.Win32.Sality.aa C:\Arquivos de programas\Orbitdownloader\orbitdm.exe


Obrigado.

#6
JoseMelo

JoseMelo

    Assistente Profissional

  • Assistente Profissional
  • 129.200 posts
- Faça o download do Malwarebytes Anti-Malware
http://www.malwareby...am-download.php
  • Faça a instalação dando um duplo clique em "mbam-setup.exe";
  • Marque "Atualizar Malwarebytes Anti-Malware" e "Executar Malwarebytes Anti-Malware", e clique em concluir;
  • Marque "Verificação Completa" e depois clique em Verificar;
  • Quando o scan terminar, clique em Ok e em "Mostrar Resultados" para ver o log;
  • Se algo for detectado, veja se tudo está marcado e clique em "Remover";
  • O log é automaticamente gravado e pode ser consultado clicando em "Logs" do menu principal;
  • Copie e cole o conteúdo desse log na sua próxima resposta.
- Gere novo log do HijackThis e cole na sua resposta.

#7
joao bombista

joao bombista

    Novato

  • Novato
  • Pip
  • 18 posts
Boa noite, como você pediu fiz o scan com Malwarebytes e deu o seguinte agora:


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Versão da Base de Dados: 4184

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

9/6/2010 21:42:06
mbam-log-2010-06-09 (21-42-06).txt

Tipo de Verificação: Verificação Completa (C:\|E:\|)
Objetos escaneados: 141868
Tempo decorrido: 1 hora(s), 46 minuto(s), 47 segundo(s)

Processos de Memória Infectados: 0
Módulos de Memória Infectados: 0
Chaves de Registro Infectadas: 0
Valores de Registro Infectados: 0
Itens de Dados no Registro Infectados: 5
Pastas Infectadas: 0
Arquivos Infectados: 0

Processos de Memória Infectados:
(Não foram detectados ítens maliciosos)

Módulos de Memória Infectados:
(Não foram detectados ítens maliciosos)

Chaves de Registro Infectadas:
(Não foram detectados ítens maliciosos)

Valores de Registro Infectados:
(Não foram detectados ítens maliciosos)

Itens de Dados no Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Pastas Infectadas:
(Não foram detectados ítens maliciosos)

Arquivos Infectados:
(Não foram detectados ítens maliciosos)


O outro log como pedido::

Logfile of HijackThis v1.99.1
Scan saved at 21:47:01, on 9/6/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\pctspk.exe
C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\RALINK\Common\RaUI.exe
C:\Arquivos de programas\Orbitdownloader\orbitdm.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrador\Meus documentos\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.c...spx?tb_id=60347
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.c...aspx?TbId=60347
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Arquivos de programas\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARQUIV~1\MICROS~4\Office12\GRA8E1~1.DLL
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\ARQUIV~1\SPYWAR~1\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Arquivos de programas\RALINK\Common\RaUI.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsof...ss/allinone.asp
O15 - Trusted Zone: http://software.kuaiche.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A733E6F-1746-4EA8-B557-A1D7A0D498BA}: NameServer = 201.10.128.3
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A2A804E-05EB-422E-8FA3-1FD5E9D6E373}: NameServer = 172.50.49.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{38046E0A-8661-421B-86C7-D0262E5CAE39}: NameServer = 172.50.49.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MICROS~4\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARQUIV~1\ARQUIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O23 - Service: ESET HTTP Server (EhttpSrv) - Unknown owner - (no file)
O23 - Service: ESET Service (ekrn) - Unknown owner - (no file)
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe


Aguardo resposta .
Obrigado.

#8
JoseMelo

JoseMelo

    Assistente Profissional

  • Assistente Profissional
  • 129.200 posts
- Ok, o log está limpo :)

- Recomendo uma manutenção no computador para exclusão dos arquivos temporários, desnecessários e entradas inválidas no registro. Faça o download do CCleaner:
  • Clique em Salvar e quando terminado o download, faça a instalação;
  • Abra o programa e clique em Executar Limpeza;
  • Após isto, clique em Registro > Procurar erros > Corrigir erros selecionados
- Desative e ative novamente a Restauração do Sistema

- Leitura recomendada:
http://www.linhadefe...showtopic=75646

- Leia o artigo Proteja seu PC para maiores informações sobre como evitar infecções;

- Se não tiver mais problema, clique no botão
Imagem Postada
e diga que o seu caso foi resolvido.

#9
joao bombista

joao bombista

    Novato

  • Novato
  • Pip
  • 18 posts
Josemelo, resolvi parcialmente do jeito que você me ensinou, deu td certo, mas infelizmente, ouve outra contaminaçao e estou fazendo todo o processo de novo, é claro bem mais entendido no assuto graças a você, deve ser por não ter antivirus instalado por tempo, bom uma coisa que não avia dito a você é que em todas as tentativas de remoção de virus ou scaners feito quando ia reiniciar o pc ele não liga, mesmo agora, sai uma mesg na tela assim
Floppy disk(S) Fail (40)
CMOS checksum error Default Looded
CMOS battery failed
press F1 to continue
Mas esta mensg só aparece se eu desconequitar todos os cabos e retirar as memorias do lugar e instala-las de novo, porque sem fazer isso ele não da o boot, ou não lê....
você pode me dizer o que fazer, acho que o setup está desconfigurado, eu andei mexendo la...Sei que não posso mas não sabia o que fazer, pode me ajudar?
Bom agora to fazendo todo aquele processo de scan no Kasper e depois no outro, E qual antivirus você me recomenda?

#10
Marcos Gru

Marcos Gru

    Colaborador Emérito

  • Emérito
  • 3.592 posts
Problema Resolvido!

Caso o autor necessite que o tópico seja reaberto, entre em contato com um dos membros da equipe de moderação.
......<Efetivamente construindo o Brasil>......