Ir para conteúdo

Foto

URL maliciosa bloqueada (Avast)

avast infecção mal url bloqueada

Este tópico foi arquivado. Isto significa que você não pode mais responder ao tópico.
18 respostas neste tópico

#1
eoliveira

eoliveira

    Novato

  • Novato
  • Pip
  • 9 posts

Estão aparecendo as seguintes mensagens no meu Notebook:

 

URL MALICIOSA BLOQUEADO

 

O modulo de rede do avast bloqueou um site nocivo

 

Objeto - http://copertps.com/a/

Infecção - Mal

Processo - C:/ windows/system32/wscript.exe

 

 

Tudo igual mudando apenas o objeto:

 - http://etpsoprc.ru/a/

 

- http://spectrop.org/a/

 

O vírus foi instalado depois de conectar um pendrive infectado.

 

Agredeço a atenção.

 

Obs: Não consegui executar o Hijack, nem o Farbar Scanner, ambos se fecham antes de conseguir executar qualquer comando. Segue em anexo o arquivo do MbrScann

O problema me parece o mesmo deste tópico: http://www.linhadefe...iosa-bloqueado/

Arquivo(s) anexado(s)



#2
JoseMelo

JoseMelo

    Assistente Profissional

  • Assistente Profissional
  • 128.694 posts
Bem-vindo(a) à Linha Defensiva
 
Meu nome é José Humberto e "nickname" JoseMelo
 
Para que possamos ter sucesso ao final dos procedimentos, sugiro que siga estritamente o que lhe for proposto e não use qualquer ferramenta ou programa, que não seja os aqui recomendados;
Não desinstale nenhuma ferramenta que esteja sendo usada, até a finalização dos procedimentos;
Caso tenha um tópico em andamento em outro fórum, recomendo que o abandone para que os procedimentos não sejam conflitantes;
Se preferir receber por e-mail um aviso toda vez que houver resposta no seu tópico, clique em lsbb8.png no alto da página.
Se tiver mais de um programa, com proteção residente instalado (antivírus, antispyware, firewall), mantenha somente um para evitar conflitos e lentidão ao sistema.
 

- Faça o download do OTL de OldTimer e salve-o no desktop:
  • Feche todas as janelas e execute a ferramenta.
  • Marque as opções Verificar Lop e Verificar Purity
  • - Selecione estas linhas abaixo, clique com o direito sobre a seleção, e escolha a opção copiar:
    netsvcs
    %SYSTEMDRIVE%\*.*
    %userprofile%\*.*
    %systemroot%\system32\drivers\*.* /90
    %APPDATA%\Adobe\Update\*.*
    %ALLUSERSPROFILE%\*.*
    %APPDATA%\Microsoft\*.*
    %PROGRAMFILES%\*.*
    %APPDATA%\Update\*.*
    CREATERESTOREPOINT
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
    %PROGRAMFILES%\Internet Explorer\*.*
    - Volte ao programa, clique com o botão direito do mouse em qualquer parte branca da sessão Exames Personalizados/Correções e escolha colar;
    - Clique no botão Verificar;
    - Poste o log do OTL.

     



    #3
    eoliveira

    eoliveira

      Novato

    • Novato
    • Pip
    • 9 posts

    Obrigado pela atenção. Segue em anexo o arquivo gerado pelo OTL, juntamente com o do hijackthis. Ambos foram feitos no modo de segurança. O único no qual consegui abrir os programas

    Arquivo(s) anexado(s)



    #4
    JoseMelo

    JoseMelo

      Assistente Profissional

    • Assistente Profissional
    • 128.694 posts
    - Execute o OTL (clique com o botão direito do mouse sobre o executável > Executar como admnistrador), copie o texto abaixo, dentro do "code" e cole no campo nH1CH.png
     
    :OTL
    
    O4 - HKLM..\Run: []  File not found
    O4 - HKCU..\Run: [adf1] C:\Users\Eduardo\AppData\Roaming\bbe7\adf1.js ()
    [2013/07/11 16:45:28 | 000,000,000 | -HSD | C] -- C:\Users\Eduardo\AppData\Roaming\bbe7
    [2013/07/11 16:45:28 | 000,000,000 | -HSD | C] -- C:\ba3
     
    :Services
     
    :Reg
     
    :Files
    C:\Users\Eduardo\AppData\Roaming\bbe7\adf1.js
    C:\Users\Eduardo\AppData\Roaming\bbe7
    C:\ba3
     
    :Commands
    [emptyjava]
    [purity]
    [emptytemp]
    [EMPTYFLASH]
    [Reboot]
     
    - Clique no botão Consertar
    - Quando terminado, clique em Ok para reiniciar o computador.
    - Na janela que aparecer, clique em "Executar", copie o conteúdo do log que for aberto e cole na sua próxima resposta, juntamente com um novo log do HijackThis.


    #5
    eoliveira

    eoliveira

      Novato

    • Novato
    • Pip
    • 9 posts

    Segue o log do OTL abaixo e hijackthis em anexo, mais uma vez obrigado:

    All processes killed
    ========== OTL ==========
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
    Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\adf1 deleted successfully.
    C:\Users\Eduardo\AppData\Roaming\bbe7\adf1.js moved successfully.
    C:\Users\Eduardo\AppData\Roaming\bbe7 folder moved successfully.
    C:\ba3 folder moved successfully.
    ========== SERVICES/DRIVERS ==========
    ========== REGISTRY ==========
    ========== FILES ==========
    File\Folder C:\Users\Eduardo\AppData\Roaming\bbe7\adf1.js not found.
    File\Folder C:\Users\Eduardo\AppData\Roaming\bbe7 not found.
    File\Folder C:\ba3 not found.
    ========== COMMANDS ==========
     
    [EMPTYJAVA]
     
    User: All Users
     
    User: Default
     
    User: Default User
     
    User: Eduardo
    ->Java cache emptied: 3387426 bytes
     
    User: Public
     
    User: Todos os Usuários
     
    User: Usuário Padrão
     
    Total Java Files Cleaned = 3,00 mb
     
     
    [EMPTYTEMP]
     
    User: All Users
     
    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 57472 bytes
     
    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes
     
    User: Eduardo
    ->Temp folder emptied: 57018281 bytes
    ->Temporary Internet Files folder emptied: 7799134 bytes
    ->Java cache emptied: 0 bytes
    ->FireFox cache emptied: 169544253 bytes
    ->Flash cache emptied: 65203 bytes
     
    User: Public
     
    User: Todos os Usuários
     
    User: Usuário Padrão
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes
     
    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32 (64bit) .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 76622395 bytes
    %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 68006 bytes
    RecycleBin emptied: 68320145 bytes
     
    Total Files Cleaned = 362,00 mb
     
     
    [EMPTYFLASH]
     
    User: All Users
     
    User: Default
    ->Flash cache emptied: 0 bytes
     
    User: Default User
    ->Flash cache emptied: 0 bytes
     
    User: Eduardo
    ->Flash cache emptied: 0 bytes
     
    User: Public
     
    User: Todos os Usuários
     
    User: Usuário Padrão
    ->Flash cache emptied: 0 bytes
     
    Total Flash Files Cleaned = 0,00 mb
     
     
    OTL by OldTimer - Version 3.2.69.0 log created on 07172013_180239

    Files\Folders moved on Reboot...
    File move failed. C:\Users\Eduardo\AppData\Local\Temp\FXSAPIDebugLogFile.txt scheduled to be moved on reboot.
    C:\Users\Eduardo\AppData\Local\Mozilla\Firefox\Profiles\3uay4ty5.default\startupCache\startupCache.4.little moved successfully.

    PendingFileRenameOperations files...

    Registry entries deleted on Reboot...
     

    Arquivo(s) anexado(s)



    #6
    JoseMelo

    JoseMelo

      Assistente Profissional

    • Assistente Profissional
    • 128.694 posts
    Faça o download do Kaspersky Virus Removal Tool:
     
    Salve-o em sua área de trabalho.
     
    - Duplo clique no arquivo "setup" e aguarde a instalação;
    - Na próxima tela marque I accept the licence agreement e clique em Start
    - Clique no botão f4uZX.png e marque:
    • Meu computador
  • Disco local (C:) (a letra do disco local pode variar)
  • - Clique em Actions e desmarque os dois quadros:
    Zqewdl.jpg
    - Clique na aba Automatic Scan e aguarde o término da verificação.
     
    - Clique  no botão zNEXl.jpg, em Detected threats e no botão "Save".
    - Copie o conteúdo do arquivo salvo (se houver algo detectado) e poste na sua próxima resposta.


    #7
    eoliveira

    eoliveira

      Novato

    • Novato
    • Pip
    • 9 posts

    Desculpe a demora em responder. Tive problemas para executar o programa. O scanner demorava 24h e na primeira tentativa teve uma falha. Segue o relatório abaixo, juntamente com novo log do hijackthis:

    Status: Detected   (events: 8)    
    19/07/2013 17:02:44    Detected    virus HEUR:Worm.Script.Generic    C:\Documents and Settings\Eduardo\AppData\Local\Temp\8140.js    High    
    19/07/2013 17:09:19    Detected    virus HEUR:Worm.Script.Generic    C:\Documents and Settings\Eduardo\AppData\Roaming\bbe7\adf1.js    High    
    19/07/2013 17:10:59    Detected    virus HEUR:Worm.Script.Generic    C:\Documents and Settings\Eduardo\AppData\Roaming\Microsoft\Windows\Start Menu\Programas\Startup\ffb.js    High    
    19/07/2013 17:11:06    Detected    virus HEUR:Worm.Script.Generic    C:\Documents and Settings\Eduardo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ffb.js    High    
    19/07/2013 18:03:41    Detected    virus HEUR:Worm.Script.Generic    C:\Documents and Settings\Eduardo\Configurações locais\Temp\8140.js    High    
    19/07/2013 18:09:21    Detected    virus HEUR:Worm.Script.Generic    C:\Documents and Settings\Eduardo\Dados de aplicativos\bbe7\adf1.js    High    
    19/07/2013 18:11:13    Detected    virus HEUR:Worm.Script.Generic    C:\Documents and Settings\Eduardo\Dados de aplicativos\Microsoft\Windows\Start Menu\Programas\Startup\f0b3.js    High    
    19/07/2013 18:11:20    Detected    virus HEUR:Worm.Script.Generic    C:\Documents and Settings\Eduardo\Dados de aplicativos\Microsoft\Windows\Start Menu\Programs\Startup\f0b3.js    High    
     

    Arquivo(s) anexado(s)



    #8
    JoseMelo

    JoseMelo

      Assistente Profissional

    • Assistente Profissional
    • 128.694 posts

    Execute novamente o Kaspersky e clique em "Disinfect/Delete All" quando algo for detectado. Salve o log e poste aqui, juntamente com um novo log do HijackThis.



    #9
    eoliveira

    eoliveira

      Novato

    • Novato
    • Pip
    • 9 posts

    Como faço para garantir que o pen drive foi totalmente desinfectado? Eu já formatei ele. Obrigado.
    Estou executando o kaspersky aqui.



    #10
    JoseMelo

    JoseMelo

      Assistente Profissional

    • Assistente Profissional
    • 128.694 posts

    Se formatou, está limpo.



    #11
    eoliveira

    eoliveira

      Novato

    • Novato
    • Pip
    • 9 posts

    O kaspersky não encontrou mais threats. As mensagens do avast pararam de aparecer. Segue em anexo novo log do hijackthis.
    Obrigado por toda assistência prestada.
     

    Arquivo(s) anexado(s)



    #12
    JoseMelo

    JoseMelo

      Assistente Profissional

    • Assistente Profissional
    • 128.694 posts
    - Faça o download do ComboFix de sUBs e salve-o no desktop;
    OBS: Para que a ferramenta seja executada é necessário que esteja no desktop (área de trabalho)
  • Desative, temporariamente, o antivírus;
  • Feche todas as janelas abertas;
  • Dê um duplo clique no ComboFix;
  • Na próxima janela clique em Executar, aceite o contrato e aguarde até que o relatório seja gerado;
  • OBS: Caso não queira que seja instalado o console de recuperação do Windows (somente no XP), clique em "Não" e depois concorde que a verificação prossiga.
    Ao ser instalado o console, na inicialização do sistema será apresentada a tela para seleção dos sistemas operacionais.
    Mais informações sobre o Console: http://support.micro...kb/307654/pt-br
  • Caso ocorra algum erro, reinicie o computador em Modo Seguro (pressione a tecla F8 intermitentemente, ou F5 em alguns casos, durante a inicialização) e repita o procedimento;
  • O ComboFix "poderá" reiniciar o PC automaticamente para completar o processo de remoção.
  • Quando terminar, será gerado um log, que estará em C:\ComboFix.txt.
  • Não clique na Janela do ComboFix, nem o feche clicando no X, enquanto estiver rodando, não mova o mouse e não use o teclado, pois senão irá parar e seu desktop ficará em branco.
  • Para parar ou sair do ComboFix, tecle "N".
  • Se perder a conexão com a internet, reinicie o computador. Caso o problema persista, abra Conexões de Rede no Painel de Controle, clique com o botão direito do mouse sobre a sua conexão com a internet e em "Reparar";
  • Anexe o ComboFix.txt à sua resposta conforme as instruções abaixo


  • #13
    eoliveira

    eoliveira

      Novato

    • Novato
    • Pip
    • 9 posts

    Segue em anexo resultado do Combofix, juntamente com novo log do Hijackthis. E mais uma vez obrigado pela atenção e cuidado dispensados. Teria alguma forma de retribuir o serviço prestado?

    Arquivo(s) anexado(s)



    #14
    JoseMelo

    JoseMelo

      Assistente Profissional

    • Assistente Profissional
    • 128.694 posts
    - Selecione o texto abaixo e copie para o bloco de notas. Salve-o como CFScript.txt;
     
    Folder::
    c:\users\Eduardo\AppData\Roaming\bbe7
    C:\ba3
    File::
    c:\users\Eduardo\AppData\Roaming\bbe7\adf1.js
    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "adf1"=-
     
    - Arraste o CFScript.txt para o ComboFix conforme a imagem abaixo:
     
    CFScript.gif
     
    Se solicitado pressione "Enter" para iniciar o processo de remoção;
     
    Não use o mouse nem o teclado quando o ComboFix estiver rodando.
     
    Quando terminar, será gerado um log, que estará em C:\ComboFix.txt.
     
    Obs: Se o Combofix não reiniciar seu computador automaticamente, faça-o manualmente.
     
    Na sua próxima resposta, cole o ComboFix.txt e um novo log do HijackThis.


    #15
    eoliveira

    eoliveira

      Novato

    • Novato
    • Pip
    • 9 posts

    Segue em anexo log do ComboFix e HijackThis. Obrigado.

    Arquivo(s) anexado(s)



    #16
    JoseMelo

    JoseMelo

      Assistente Profissional

    • Assistente Profissional
    • 128.694 posts
    Faça o download do AdwCleaner e salve no desktop.
     
    Clique no ícone 1IXHd.png para baixar o arquivo.
     
    Execute o adwcleaner0
     
    OBS: Usuários do Windows Vista ou Windows 7 clique com o botão direito do mouse sobre o arquivo AdwCleaner.exe, depois clique em AgZ3P.png
     
    Clique em Remover.
     
    Será aberto o bloco de notas com o resultado. Selecione, copie e cole o seu conteúdo na próxima resposta.
     

    - Faça o download do Malwarebytes Anti-Malware
    • Desative o antivírus;
  • Faça a instalação dando um duplo clique em "mbam-setup.exe";
  • Marque "Atualizar Malwarebytes Anti-Malware" e "Executar Malwarebytes Anti-Malware", e clique em concluir;
  • Marque "Verificação Completa" e depois clique em Verificar;
  • Quando o scan terminar, clique em Ok e em "Mostrar Resultados" para ver o log;
  • Se algo for detectado, veja se tudo está marcado e clique em "Remover";
  • O log é automaticamente gravado e pode ser consultado clicando em "Logs" do menu principal;
  • Copie e cole o conteúdo desse log na sua próxima resposta.
  • - Poste novo log do HijackThis.


    #17
    eoliveira

    eoliveira

      Novato

    • Novato
    • Pip
    • 9 posts

    Seguem em anexo os logs dos programas. Obrigado.

    Arquivo(s) anexado(s)



    #18
    JoseMelo

    JoseMelo

      Assistente Profissional

    • Assistente Profissional
    • 128.694 posts
    - Ok, os logs estão limpos :)
     
    - Faça o download do CCleaner:
    • Clique em Salvar e quando terminado o download, faça a instalação;
  • Abra o programa e clique em Executar Limpeza;
  • Após isto, clique em Registro > Procurar erros > Corrigir erros selecionados
  • - Desative e ative novamente a Restauração do Sistema
     
    - Leia o artigo Proteja seu PC para maiores informações sobre como evitar infecções;
     
    - Se não tiver mais problema, clique no botão LuQlZ.png e diga que o seu caso foi resolvido.


    #19
    mikhailovitch

    mikhailovitch

      Moderador

    • Moderador
    • 447 posts
    PROBLEMA RESOLVIDO
     
    Caso queira solicitar a reabertura do tópico, utilize o botão Denunciar para entrar em contato com a moderação.

    Nota: Somente o autor pode realizar essa solicitação na área Remoção de Malware.

    Não deixe seu tópico inacabado, diga se o seu problema foi resolvido.
    http://cartilha.cert.br/