Ir para conteúdo

Foto

Arquivo cool.vbs sendo criado em mídias removíveis


Este tópico foi arquivado. Isto significa que você não pode mais responder ao tópico.
22 respostas neste tópico

#1
unfigson

unfigson

    Novato

  • Novato
  • Pip
  • 11 posts

Olá. Meu pendrive foi infectado na escola onde dou aula, foi criado um arquivo COOL.vbs e os arquivos e pastas da raiz transformados em atalhos. Sem querer abri a pasta (atalho) do pendrive no meu PC pessoal, infectando-o.

Segui todos os procedimentos para um caso parecido (http://www.linhadefe...speito-coolvbs/) mas não me livrei dele, tentei formatar e até remover as partições do pendrive e criá-las novamente, sem sucesso.

Agradeço desde já a ajuda.

 

Obs: O log do mbrscan era muito grande para fazer o upload, estou colando aqui logo abaixo:


MBRScan v1.1.1



OS             : Windows 7 Service Pack 1 (64 bit)

PROCESSOR      : Intel64 Family 6 Model 42 Stepping 7, GenuineIntel

BOOT           : Normal Boot

DATE           : 2013/09/29 (ISO 8601) at 11:56:36

________________________________________________________________________________



DISK           : Device\Harddisk0\DR0 __ST2000DM001-1CH164 (CC27)

BUS_TYPE       : (0x03)  P-ATA

USE_PIO        : NO

MAX_TRANSFER   : 128 Kb

ALIGNMENT_MASK : word aligned

________________________________________________________________________________



DISK           : Device\Harddisk1\DR1 __ST32000542AS (CC34)

BUS_TYPE       : (0x03)  P-ATA

USE_PIO        : NO

MAX_TRANSFER   : 128 Kb

ALIGNMENT_MASK : word aligned

________________________________________________________________________________



DISK           : Device\Harddisk2\DR2 __ST31000528AS (CC37)

BUS_TYPE       : (0x03)  P-ATA

USE_PIO        : NO

MAX_TRANSFER   : 128 Kb

ALIGNMENT_MASK : word aligned

________________________________________________________________________________



DISK           : Device\Harddisk3\DR3 __Kingston DataTraveler C10 (1.00)

BUS_TYPE       : (0x07)  USB

USE_PIO        : NO

MAX_TRANSFER   : 64 Kb

ALIGNMENT_MASK : byte aligned

________________________________________________________________________________



Device\Harddisk0\DR0    1.82 To  [Fixed] ==> 7 MBR Code



MBR_MD5   : 577F4A164FC2FAF335F3E590431D180D

MBR_SHA1  : 268DE681748243994C065FD08D74716EEF08181D



Device\Harddisk0\Partition1    1.82 To      0x07 NTFS / HPFS

________________________________________________________________________________



Device\Harddisk1\DR1    1.82 To  [Fixed] ==> 7 MBR Code



MBR_MD5   : 35D339E01015771588DF0DC27922ABDF

MBR_SHA1  : A292BF25AACA6920BA8F16ADB0BDE30CC59E7D58



Device\Harddisk1\Partition1    1.82 To      0x07 NTFS / HPFS

________________________________________________________________________________



Device\Harddisk2\DR2    931.5 Go  [Fixed] ==> 7 MBR Code



MBR_MD5   : F2DBAC3991185C1FC58A547B0764437D

MBR_SHA1  : B00397E34DFADB6E8BA5C4B43F797F8877DC102F



Device\Harddisk2\Partition1    931.5 Go      0x07 NTFS / HPFS __ BOOTABLE __

________________________________________________________________________________



Device\Harddisk3\DR3    3.73 Go  [Removable] ==> Unknown MBR Code



MBR_MD5   : 5A1069BB82D44730BF7974B1C1C0216E

MBR_SHA1  : FB79FCA4158990C368A37E43FD45239C286C1CFE



Device\Harddisk3\Partition1    3.72 Go      0x0B FAT32 [CHS]

________________________________________________________________________________



############################### Additional scan ################################



DRIVER  : C:\Windows\system32\hal.dll => Invisible on the disk

ADDRESS : 0x0301F000

SIZE    : 292.0 Ko



DRIVER  : C:\Windows\system32\kdcom.dll => Invisible on the disk

ADDRESS : 0x00BB0000

SIZE    : 40.0 Ko



DRIVER  : C:\Windows\system32\mcupdate_GenuineIntel.dll => Invisible on the disk

ADDRESS : 0x00C68000

SIZE    : 316.0 Ko



DRIVER  : C:\Windows\system32\CLFS.SYS => Invisible on the disk

ADDRESS : 0x00CCB000

SIZE    : 376.0 Ko



DRIVER  : C:\Windows\system32\CI.dll => Invisible on the disk

ADDRESS : 0x00D29000

SIZE    : 768.0 Ko



DRIVER  : C:\Windows\system32\drivers\Wdf01000.sys => Invisible on the disk

ADDRESS : 0x00E54000

SIZE    : 776.0 Ko



DRIVER  : C:\Windows\system32\drivers\WDFLDR.SYS => Invisible on the disk

ADDRESS : 0x00F16000

SIZE    : 64.0 Ko



DRIVER  : C:\Windows\system32\drivers\ACPI.sys => Invisible on the disk

ADDRESS : 0x00F26000

SIZE    : 348.0 Ko



DRIVER  : C:\Windows\system32\drivers\WMILIB.SYS => Invisible on the disk

ADDRESS : 0x00F7D000

SIZE    : 36.0 Ko



DRIVER  : C:\Windows\system32\drivers\msisadrv.sys => Invisible on the disk

ADDRESS : 0x00F86000

SIZE    : 40.0 Ko



DRIVER  : C:\Windows\system32\drivers\pci.sys => Invisible on the disk

ADDRESS : 0x00F90000

SIZE    : 204.0 Ko



DRIVER  : C:\Windows\system32\drivers\vdrvroot.sys => Invisible on the disk

ADDRESS : 0x00FC3000

SIZE    : 52.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\89596118.sys => Invisible on the disk

ADDRESS : 0x0102B000

SIZE    : 7.37 Mo



DRIVER  : C:\Windows\System32\drivers\partmgr.sys => Invisible on the disk

ADDRESS : 0x0178A000

SIZE    : 84.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\compbatt.sys => Invisible on the disk

ADDRESS : 0x0179F000

SIZE    : 36.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\BATTC.SYS => Invisible on the disk

ADDRESS : 0x017A8000

SIZE    : 48.0 Ko



DRIVER  : C:\Windows\system32\drivers\volmgr.sys => Invisible on the disk

ADDRESS : 0x017B4000

SIZE    : 84.0 Ko



DRIVER  : C:\Windows\System32\drivers\volmgrx.sys => Invisible on the disk

ADDRESS : 0x00C00000

SIZE    : 368.0 Ko



DRIVER  : C:\Windows\system32\drivers\pciide.sys => Invisible on the disk

ADDRESS : 0x017C9000

SIZE    : 28.0 Ko



DRIVER  : C:\Windows\system32\drivers\PCIIDEX.SYS => Invisible on the disk

ADDRESS : 0x017D0000

SIZE    : 64.0 Ko



DRIVER  : C:\Windows\System32\drivers\mountmgr.sys => Invisible on the disk

ADDRESS : 0x017E0000

SIZE    : 104.0 Ko



DRIVER  : C:\Windows\system32\drivers\vmbus.sys => Invisible on the disk

ADDRESS : 0x00E00000

SIZE    : 240.0 Ko



DRIVER  : C:\Windows\system32\drivers\winhv.sys => Invisible on the disk

ADDRESS : 0x01000000

SIZE    : 80.0 Ko



DRIVER  : C:\Windows\system32\drivers\atapi.sys => Invisible on the disk

ADDRESS : 0x01014000

SIZE    : 36.0 Ko



DRIVER  : C:\Windows\system32\drivers\ataport.SYS => Invisible on the disk

ADDRESS : 0x00FD0000

SIZE    : 168.0 Ko



DRIVER  : C:\Windows\system32\drivers\amdxata.sys => Invisible on the disk

ADDRESS : 0x0101D000

SIZE    : 44.0 Ko



DRIVER  : C:\Windows\system32\drivers\fltmgr.sys => Invisible on the disk

ADDRESS : 0x018C2000

SIZE    : 304.0 Ko



DRIVER  : C:\Windows\system32\drivers\fileinfo.sys => Invisible on the disk

ADDRESS : 0x0190E000

SIZE    : 80.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\MpFilter.sys => Invisible on the disk

ADDRESS : 0x01922000

SIZE    : 244.0 Ko



DRIVER  : C:\Windows\System32\Drivers\Ntfs.sys => Invisible on the disk

ADDRESS : 0x01A1F000

SIZE    : 1.63 Mo



DRIVER  : C:\Windows\System32\Drivers\msrpc.sys => Invisible on the disk

ADDRESS : 0x0195F000

SIZE    : 376.0 Ko



DRIVER  : C:\Windows\System32\Drivers\ksecdd.sys => Invisible on the disk

ADDRESS : 0x01BC1000

SIZE    : 108.0 Ko



DRIVER  : C:\Windows\System32\Drivers\cng.sys => Invisible on the disk

ADDRESS : 0x01800000

SIZE    : 456.0 Ko



DRIVER  : C:\Windows\System32\drivers\pcw.sys => Invisible on the disk

ADDRESS : 0x01BDC000

SIZE    : 68.0 Ko



DRIVER  : C:\Windows\System32\Drivers\Fs_Rec.sys => Invisible on the disk

ADDRESS : 0x01BED000

SIZE    : 40.0 Ko



DRIVER  : C:\Windows\system32\drivers\ndis.sys => Invisible on the disk

ADDRESS : 0x01C6B000

SIZE    : 968.0 Ko



DRIVER  : C:\Windows\system32\drivers\NETIO.SYS => Invisible on the disk

ADDRESS : 0x01D5D000

SIZE    : 384.0 Ko



DRIVER  : C:\Windows\System32\Drivers\ksecpkg.sys => Invisible on the disk

ADDRESS : 0x01DBD000

SIZE    : 172.0 Ko



DRIVER  : C:\Windows\System32\drivers\tcpip.sys => Invisible on the disk

ADDRESS : 0x01E00000

SIZE    : 2.00 Mo



DRIVER  : C:\Windows\System32\drivers\fwpkclnt.sys => Invisible on the disk

ADDRESS : 0x01C00000

SIZE    : 292.0 Ko



DRIVER  : C:\Windows\system32\drivers\vmstorfl.sys => Invisible on the disk

ADDRESS : 0x01C49000

SIZE    : 64.0 Ko



DRIVER  : C:\Windows\system32\drivers\volsnap.sys => Invisible on the disk

ADDRESS : 0x01872000

SIZE    : 304.0 Ko



DRIVER  : C:\Windows\System32\Drivers\spldr.sys => Invisible on the disk

ADDRESS : 0x01C59000

SIZE    : 32.0 Ko



DRIVER  : C:\Windows\System32\drivers\rdyboost.sys => Invisible on the disk

ADDRESS : 0x019BD000

SIZE    : 232.0 Ko



DRIVER  : C:\Windows\System32\Drivers\mup.sys => Invisible on the disk

ADDRESS : 0x01DE8000

SIZE    : 72.0 Ko



DRIVER  : C:\Windows\System32\drivers\hwpolicy.sys => Invisible on the disk

ADDRESS : 0x01C61000

SIZE    : 36.0 Ko



DRIVER  : C:\Windows\System32\DRIVERS\fvevol.sys => Invisible on the disk

ADDRESS : 0x020E1000

SIZE    : 232.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\disk.sys => Invisible on the disk

ADDRESS : 0x0211B000

SIZE    : 88.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\CLASSPNP.SYS => Invisible on the disk

ADDRESS : 0x02131000

SIZE    : 192.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\dtsoftbus01.sys => Invisible on the disk

ADDRESS : 0x02197000

SIZE    : 292.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\cdrom.sys => Invisible on the disk

ADDRESS : 0x02000000

SIZE    : 168.0 Ko



DRIVER  : C:\Windows\System32\Drivers\Null.SYS => Invisible on the disk

ADDRESS : 0x0202A000

SIZE    : 36.0 Ko



DRIVER  : C:\Windows\System32\Drivers\Beep.SYS => Invisible on the disk

ADDRESS : 0x02033000

SIZE    : 28.0 Ko



DRIVER  : C:\Windows\System32\drivers\vga.sys => Invisible on the disk

ADDRESS : 0x0203A000

SIZE    : 56.0 Ko



DRIVER  : C:\Windows\System32\drivers\VIDEOPRT.SYS => Invisible on the disk

ADDRESS : 0x02048000

SIZE    : 148.0 Ko



DRIVER  : C:\Windows\System32\drivers\watchdog.sys => Invisible on the disk

ADDRESS : 0x0206D000

SIZE    : 64.0 Ko



DRIVER  : C:\Windows\System32\DRIVERS\RDPCDD.sys => Invisible on the disk

ADDRESS : 0x0207D000

SIZE    : 36.0 Ko



DRIVER  : C:\Windows\system32\drivers\rdpencdd.sys => Invisible on the disk

ADDRESS : 0x02086000

SIZE    : 36.0 Ko



DRIVER  : C:\Windows\system32\drivers\rdprefmp.sys => Invisible on the disk

ADDRESS : 0x0208F000

SIZE    : 36.0 Ko



DRIVER  : C:\Windows\System32\Drivers\Msfs.SYS => Invisible on the disk

ADDRESS : 0x02098000

SIZE    : 44.0 Ko



DRIVER  : C:\Windows\System32\Drivers\Npfs.SYS => Invisible on the disk

ADDRESS : 0x020A3000

SIZE    : 68.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\tdx.sys => Invisible on the disk

ADDRESS : 0x020B4000

SIZE    : 136.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\TDI.SYS => Invisible on the disk

ADDRESS : 0x021E0000

SIZE    : 52.0 Ko



DRIVER  : C:\Windows\system32\drivers\afd.sys => Invisible on the disk

ADDRESS : 0x070C9000

SIZE    : 548.0 Ko



DRIVER  : C:\Windows\System32\DRIVERS\netbt.sys => Invisible on the disk

ADDRESS : 0x07152000

SIZE    : 276.0 Ko



DRIVER  : C:\Windows\system32\drivers\ws2ifsl.sys => Invisible on the disk

ADDRESS : 0x07197000

SIZE    : 44.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\wfplwf.sys => Invisible on the disk

ADDRESS : 0x071A2000

SIZE    : 36.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\pacer.sys => Invisible on the disk

ADDRESS : 0x071AB000

SIZE    : 152.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\netbios.sys => Invisible on the disk

ADDRESS : 0x071D1000

SIZE    : 60.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\serial.sys => Invisible on the disk

ADDRESS : 0x071E0000

SIZE    : 116.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\wanarp.sys => Invisible on the disk

ADDRESS : 0x07000000

SIZE    : 108.0 Ko



DRIVER  : C:\Windows\system32\drivers\termdd.sys => Invisible on the disk

ADDRESS : 0x0701B000

SIZE    : 80.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\rdbss.sys => Invisible on the disk

ADDRESS : 0x0702F000

SIZE    : 324.0 Ko



DRIVER  : C:\Windows\system32\drivers\nsiproxy.sys => Invisible on the disk

ADDRESS : 0x07080000

SIZE    : 48.0 Ko



DRIVER  : C:\Windows\system32\drivers\mssmbios.sys => Invisible on the disk

ADDRESS : 0x0708C000

SIZE    : 44.0 Ko



DRIVER  : C:\Windows\system32\drivers\HWiNFO64A.SYS => Invisible on the disk

ADDRESS : 0x07097000

SIZE    : 40.0 Ko



DRIVER  : C:\Windows\System32\drivers\discache.sys => Invisible on the disk

ADDRESS : 0x070A1000

SIZE    : 60.0 Ko



DRIVER  : C:\Windows\system32\drivers\csc.sys => Invisible on the disk

ADDRESS : 0x072A7000

SIZE    : 524.0 Ko



DRIVER  : C:\Windows\System32\Drivers\dfsc.sys => Invisible on the disk

ADDRESS : 0x0732A000

SIZE    : 120.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\blbdrive.sys => Invisible on the disk

ADDRESS : 0x07348000

SIZE    : 68.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\tunnel.sys => Invisible on the disk

ADDRESS : 0x07363000

SIZE    : 152.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\intelppm.sys => Invisible on the disk

ADDRESS : 0x07389000

SIZE    : 88.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\atikmpag.sys => Invisible on the disk

ADDRESS : 0x07200000

SIZE    : 564.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\atikmdag.sys => Invisible on the disk

ADDRESS : 0x07A98000

SIZE    : 11.09 Mo



DRIVER  : C:\Windows\System32\drivers\dxgkrnl.sys => Invisible on the disk

ADDRESS : 0x0740F000

SIZE    : 976.0 Ko



DRIVER  : C:\Windows\System32\drivers\dxgmms1.sys => Invisible on the disk

ADDRESS : 0x07503000

SIZE    : 280.0 Ko



DRIVER  : C:\Windows\system32\drivers\HDAudBus.sys => Invisible on the disk

ADDRESS : 0x07549000

SIZE    : 144.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\HECIx64.sys => Invisible on the disk

ADDRESS : 0x0756D000

SIZE    : 68.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\usbehci.sys => Invisible on the disk

ADDRESS : 0x0757E000

SIZE    : 68.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\USBPORT.SYS => Invisible on the disk

ADDRESS : 0x0758F000

SIZE    : 344.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\Rt64win7.sys => Invisible on the disk

ADDRESS : 0x088F2000

SIZE    : 640.0 Ko



DRIVER  : C:\Windows\System32\Drivers\EtronXHCI.sys => Invisible on the disk

ADDRESS : 0x08992000

SIZE    : 84.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\serenum.sys => Invisible on the disk

ADDRESS : 0x089A7000

SIZE    : 48.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\GEARAspiWDM.sys => Invisible on the disk

ADDRESS : 0x089B3000

SIZE    : 28.0 Ko



DRIVER  : C:\Windows\system32\drivers\CompositeBus.sys => Invisible on the disk

ADDRESS : 0x089BA000

SIZE    : 64.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\AgileVpn.sys => Invisible on the disk

ADDRESS : 0x089CA000

SIZE    : 88.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\rasl2tp.sys => Invisible on the disk

ADDRESS : 0x08800000

SIZE    : 144.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\ndistapi.sys => Invisible on the disk

ADDRESS : 0x08824000

SIZE    : 48.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\ndiswan.sys => Invisible on the disk

ADDRESS : 0x08830000

SIZE    : 188.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\raspppoe.sys => Invisible on the disk

ADDRESS : 0x0885F000

SIZE    : 108.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\raspptp.sys => Invisible on the disk

ADDRESS : 0x0887A000

SIZE    : 132.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\rassstp.sys => Invisible on the disk

ADDRESS : 0x0889B000

SIZE    : 104.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\tap0901.sys => Invisible on the disk

ADDRESS : 0x088B5000

SIZE    : 52.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\rdpbus.sys => Invisible on the disk

ADDRESS : 0x088C2000

SIZE    : 44.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\kbdclass.sys => Invisible on the disk

ADDRESS : 0x088CD000

SIZE    : 60.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\mouclass.sys => Invisible on the disk

ADDRESS : 0x088DC000

SIZE    : 60.0 Ko



DRIVER  : C:\Windows\system32\drivers\swenum.sys => Invisible on the disk

ADDRESS : 0x088EB000

SIZE    : 8.0 Ko



DRIVER  : C:\Windows\system32\drivers\ks.sys => Invisible on the disk

ADDRESS : 0x085AE000

SIZE    : 268.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\umbus.sys => Invisible on the disk

ADDRESS : 0x089E0000

SIZE    : 72.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\usbhub.sys => Invisible on the disk

ADDRESS : 0x07A00000

SIZE    : 360.0 Ko



DRIVER  : C:\Windows\System32\Drivers\EtronHub3.sys => Invisible on the disk

ADDRESS : 0x075E5000

SIZE    : 60.0 Ko



DRIVER  : C:\Windows\System32\Drivers\USBD.SYS => Invisible on the disk

ADDRESS : 0x089F2000

SIZE    : 8.0 Ko



DRIVER  : C:\Windows\System32\Drivers\NDProxy.SYS => Invisible on the disk

ADDRESS : 0x07A5A000

SIZE    : 84.0 Ko



DRIVER  : C:\Windows\system32\drivers\AtihdW76.sys => Invisible on the disk

ADDRESS : 0x07A6F000

SIZE    : 112.0 Ko



DRIVER  : C:\Windows\system32\drivers\portcls.sys => Invisible on the disk

ADDRESS : 0x0739F000

SIZE    : 244.0 Ko



DRIVER  : C:\Windows\system32\drivers\drmk.sys => Invisible on the disk

ADDRESS : 0x073DC000

SIZE    : 136.0 Ko



DRIVER  : C:\Windows\system32\drivers\ksthunk.sys => Invisible on the disk

ADDRESS : 0x089F4000

SIZE    : 24.0 Ko



DRIVER  : C:\Windows\system32\drivers\HdAudio.sys => Invisible on the disk

ADDRESS : 0x0967E000

SIZE    : 368.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\xusb21.sys => Invisible on the disk

ADDRESS : 0x096DA000

SIZE    : 76.0 Ko



DRIVER  : C:\Windows\System32\Drivers\crashdmp.sys => Invisible on the disk

ADDRESS : 0x096ED000

SIZE    : 56.0 Ko



DRIVER  : C:\Windows\System32\Drivers\dump_dumpata.sys => Invisible on the disk

ADDRESS : 0x096FB000

SIZE    : 48.0 Ko



DRIVER  : C:\Windows\System32\Drivers\dump_atapi.sys => Invisible on the disk

ADDRESS : 0x09707000

SIZE    : 36.0 Ko



DRIVER  : C:\Windows\System32\Drivers\dump_dumpfve.sys => Invisible on the disk

ADDRESS : 0x09710000

SIZE    : 76.0 Ko



DRIVER  : C:\Windows\System32\win32k.sys => Invisible on the disk

ADDRESS : 0x00090000

SIZE    : 3.09 Mo



DRIVER  : C:\Windows\System32\drivers\Dxapi.sys => Invisible on the disk

ADDRESS : 0x09723000

SIZE    : 48.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\hidusb.sys => Invisible on the disk

ADDRESS : 0x0972F000

SIZE    : 56.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\HIDCLASS.SYS => Invisible on the disk

ADDRESS : 0x0973D000

SIZE    : 100.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\HIDPARSE.SYS => Invisible on the disk

ADDRESS : 0x09756000

SIZE    : 36.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\monitor.sys => Invisible on the disk

ADDRESS : 0x0975F000

SIZE    : 56.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\mouhid.sys => Invisible on the disk

ADDRESS : 0x0978A000

SIZE    : 52.0 Ko



DRIVER  : C:\Windows\System32\TSDDD.dll => Invisible on the disk

ADDRESS : 0x004B0000

SIZE    : 40.0 Ko



DRIVER  : C:\Windows\System32\cdd.dll => Invisible on the disk

ADDRESS : 0x00650000

SIZE    : 156.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\usbccgp.sys => Invisible on the disk

ADDRESS : 0x09797000

SIZE    : 116.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\kbdhid.sys => Invisible on the disk

ADDRESS : 0x097B4000

SIZE    : 56.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\USBSTOR.SYS => Invisible on the disk

ADDRESS : 0x097C2000

SIZE    : 108.0 Ko



DRIVER  : C:\Windows\system32\drivers\luafv.sys => Invisible on the disk

ADDRESS : 0x097DD000

SIZE    : 140.0 Ko



DRIVER  : C:\Windows\system32\drivers\ksaud.sys => Invisible on the disk

ADDRESS : 0x040D5000

SIZE    : 1.10 Mo



DRIVER  : C:\Windows\system32\DRIVERS\lltdio.sys => Invisible on the disk

ADDRESS : 0x04000000

SIZE    : 84.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\rspndr.sys => Invisible on the disk

ADDRESS : 0x04015000

SIZE    : 96.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\RtNdPt60.sys => Invisible on the disk

ADDRESS : 0x0402D000

SIZE    : 48.0 Ko



DRIVER  : C:\Windows\System32\Drivers\fastfat.SYS => Invisible on the disk

ADDRESS : 0x04039000

SIZE    : 216.0 Ko



DRIVER  : C:\Windows\system32\drivers\HTTP.sys => Invisible on the disk

ADDRESS : 0x09A07000

SIZE    : 804.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\bowser.sys => Invisible on the disk

ADDRESS : 0x09AD0000

SIZE    : 120.0 Ko



DRIVER  : C:\Windows\System32\drivers\mpsdrv.sys => Invisible on the disk

ADDRESS : 0x09AEE000

SIZE    : 96.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\mrxsmb.sys => Invisible on the disk

ADDRESS : 0x09B06000

SIZE    : 180.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\mrxsmb10.sys => Invisible on the disk

ADDRESS : 0x09B33000

SIZE    : 312.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\mrxsmb20.sys => Invisible on the disk

ADDRESS : 0x09B81000

SIZE    : 144.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\NisDrvWFP.sys => Invisible on the disk

ADDRESS : 0x09BA5000

SIZE    : 136.0 Ko



DRIVER  : C:\Windows\system32\drivers\peauth.sys => Invisible on the disk

ADDRESS : 0x09E7F000

SIZE    : 664.0 Ko



DRIVER  : C:\Windows\System32\Drivers\secdrv.SYS => Invisible on the disk

ADDRESS : 0x09F25000

SIZE    : 44.0 Ko



DRIVER  : C:\Windows\System32\DRIVERS\srvnet.sys => Invisible on the disk

ADDRESS : 0x09F30000

SIZE    : 196.0 Ko



DRIVER  : C:\Windows\System32\drivers\tcpipreg.sys => Invisible on the disk

ADDRESS : 0x09F61000

SIZE    : 72.0 Ko



DRIVER  : C:\Windows\System32\DRIVERS\srv2.sys => Invisible on the disk

ADDRESS : 0x09F73000

SIZE    : 420.0 Ko



DRIVER  : C:\Windows\System32\DRIVERS\srv.sys => Invisible on the disk

ADDRESS : 0x0A4B2000

SIZE    : 608.0 Ko



DRIVER  : C:\Windows\system32\drivers\WudfPf.sys => Invisible on the disk

ADDRESS : 0x0A580000

SIZE    : 100.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\WUDFRd.sys => Invisible on the disk

ADDRESS : 0x0A599000

SIZE    : 216.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\asyncmac.sys => Invisible on the disk

ADDRESS : 0x0A5CF000

SIZE    : 44.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\udfs.sys => Invisible on the disk

ADDRESS : 0x0A400000

SIZE    : 340.0 Ko



DRIVER  : C:\Windows\system32\DRIVERS\3262350drv.sys => Invisible on the disk

ADDRESS : 0x0CE5A000

SIZE    : 600.0 Ko



DRIVER  : C:\Windows\System32\smss.exe => Invisible on the disk

ADDRESS : 0x47F40000

SIZE    : 128.0 Ko



BCD EmsSettings {0CE4991B-E6B3-4B16-B23C-5E0D9250E5D9} => BcdLibraryBoolean_EmsEnabled (16000020)



SystemStartOptions :  NOEXECUTE=OPTIN



________________________________________________________________________________



_______MBR   \Device\Harddisk0\DR0  



0x00000000   33 C0 8E D0 BC 00 7C 8E C0 8E D8 BE 00 7C BF 00   3À.м.|.À.ؾ.|¿.

0x00000010   06 B9 00 02 FC F3 A4 50 68 1C 06 CB FB B9 04 00   .¹..üó¤Ph..Ëû¹..

0x00000020   BD BE 07 80 7E 00 00 7C 0B 0F 85 0E 01 83 C5 10   ½¾..~..|......Å.

0x00000030   E2 F1 CD 18 88 56 00 55 C6 46 11 05 C6 46 10 00   âñÍ..V.UÆF..ÆF..

0x00000040   B4 41 BB AA 55 CD 13 5D 72 0F 81 FB 55 AA 75 09   ´A»ªUÍ.]r..ûUªu.

0x00000050   F7 C1 01 00 74 03 FE 46 10 66 60 80 7E 10 00 74   ÷Á..t.þF.f`.~..t

0x00000060   26 66 68 00 00 00 00 66 FF 76 08 68 00 00 68 00   &fh....f.v.h..h.

0x00000070   7C 68 01 00 68 10 00 B4 42 8A 56 00 8B F4 CD 13   |h..h..´B.V..ôÍ.

0x00000080   9F 83 C4 10 9E EB 14 B8 01 02 BB 00 7C 8A 56 00   ..Ä..ë.¸..».|.V.

0x00000090   8A 76 01 8A 4E 02 8A 6E 03 CD 13 66 61 73 1C FE   .v..N..n.Í.fas.þ

0x000000A0   4E 11 75 0C 80 7E 00 80 0F 84 8A 00 B2 80 EB 84   N.u..~......².ë.

0x000000B0   55 32 E4 8A 56 00 CD 13 5D EB 9E 81 3E FE 7D 55   U2ä.V.Í.]ë..>þ}U

0x000000C0   AA 75 6E FF 76 00 E8 8D 00 75 17 FA B0 D1 E6 64   ªun.v.è..u.ú°Ñæd

0x000000D0   E8 83 00 B0 DF E6 60 E8 7C 00 B0 FF E6 64 E8 75   è..°ßæ`è|.°.ædèu

0x000000E0   00 FB B8 00 BB CD 1A 66 23 C0 75 3B 66 81 FB 54   .û¸.»Í.f#Àu;f.ûT

0x000000F0   43 50 41 75 32 81 F9 02 01 72 2C 66 68 07 BB 00   CPAu2.ù..r,fh.».

0x00000100   00 66 68 00 02 00 00 66 68 08 00 00 00 66 53 66   .fh....fh....fSf

0x00000110   53 66 55 66 68 00 00 00 00 66 68 00 7C 00 00 66   SfUfh....fh.|..f

0x00000120   61 68 00 00 07 CD 1A 5A 32 F6 EA 00 7C 00 00 CD   ah...Í.Z2öê.|..Í

0x00000130   18 A0 B7 07 EB 08 A0 B6 07 EB 03 A0 B5 07 32 E4   ..·.ë..¶.ë..µ.2ä

0x00000140   05 00 07 8B F0 AC 3C 00 74 09 BB 07 00 B4 0E CD   ....ð¬<.t.»..´.Í

0x00000150   10 EB F2 F4 EB FD 2B C9 E4 64 EB 00 24 02 E0 F8   .ëòôëý+Éädë.$.àø

0x00000160   24 02 C3 49 6E 76 61 6C 69 64 20 70 61 72 74 69   $.ÃInvalid parti

0x00000170   74 69 6F 6E 20 74 61 62 6C 65 00 45 72 72 6F 72   tion table.Error

0x00000180   20 6C 6F 61 64 69 6E 67 20 6F 70 65 72 61 74 69    loading operati

0x00000190   6E 67 20 73 79 73 74 65 6D 00 4D 69 73 73 69 6E   ng system.Missin

0x000001A0   67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74   g operating syst

0x000001B0   65 6D 00 00 00 63 7B 9A CE 6A D1 CC 00 00 00 20   em...c{.ÎjÑÌ...

0x000001C0   21 00 07 FE FF FF 00 08 00 00 00 78 E0 E8 00 00   !..þ.......xàè..

0x000001D0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x000001E0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x000001F0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA   ..............Uª



_______MBR   \Device\Harddisk1\DR1  



0x00000000   33 C0 8E D0 BC 00 7C 8E C0 8E D8 BE 00 7C BF 00   3À.м.|.À.ؾ.|¿.

0x00000010   06 B9 00 02 FC F3 A4 50 68 1C 06 CB FB B9 04 00   .¹..üó¤Ph..Ëû¹..

0x00000020   BD BE 07 80 7E 00 00 7C 0B 0F 85 0E 01 83 C5 10   ½¾..~..|......Å.

0x00000030   E2 F1 CD 18 88 56 00 55 C6 46 11 05 C6 46 10 00   âñÍ..V.UÆF..ÆF..

0x00000040   B4 41 BB AA 55 CD 13 5D 72 0F 81 FB 55 AA 75 09   ´A»ªUÍ.]r..ûUªu.

0x00000050   F7 C1 01 00 74 03 FE 46 10 66 60 80 7E 10 00 74   ÷Á..t.þF.f`.~..t

0x00000060   26 66 68 00 00 00 00 66 FF 76 08 68 00 00 68 00   &fh....f.v.h..h.

0x00000070   7C 68 01 00 68 10 00 B4 42 8A 56 00 8B F4 CD 13   |h..h..´B.V..ôÍ.

0x00000080   9F 83 C4 10 9E EB 14 B8 01 02 BB 00 7C 8A 56 00   ..Ä..ë.¸..».|.V.

0x00000090   8A 76 01 8A 4E 02 8A 6E 03 CD 13 66 61 73 1C FE   .v..N..n.Í.fas.þ

0x000000A0   4E 11 75 0C 80 7E 00 80 0F 84 8A 00 B2 80 EB 84   N.u..~......².ë.

0x000000B0   55 32 E4 8A 56 00 CD 13 5D EB 9E 81 3E FE 7D 55   U2ä.V.Í.]ë..>þ}U

0x000000C0   AA 75 6E FF 76 00 E8 8D 00 75 17 FA B0 D1 E6 64   ªun.v.è..u.ú°Ñæd

0x000000D0   E8 83 00 B0 DF E6 60 E8 7C 00 B0 FF E6 64 E8 75   è..°ßæ`è|.°.ædèu

0x000000E0   00 FB B8 00 BB CD 1A 66 23 C0 75 3B 66 81 FB 54   .û¸.»Í.f#Àu;f.ûT

0x000000F0   43 50 41 75 32 81 F9 02 01 72 2C 66 68 07 BB 00   CPAu2.ù..r,fh.».

0x00000100   00 66 68 00 02 00 00 66 68 08 00 00 00 66 53 66   .fh....fh....fSf

0x00000110   53 66 55 66 68 00 00 00 00 66 68 00 7C 00 00 66   SfUfh....fh.|..f

0x00000120   61 68 00 00 07 CD 1A 5A 32 F6 EA 00 7C 00 00 CD   ah...Í.Z2öê.|..Í

0x00000130   18 A0 B7 07 EB 08 A0 B6 07 EB 03 A0 B5 07 32 E4   ..·.ë..¶.ë..µ.2ä

0x00000140   05 00 07 8B F0 AC 3C 00 74 09 BB 07 00 B4 0E CD   ....ð¬<.t.»..´.Í

0x00000150   10 EB F2 F4 EB FD 2B C9 E4 64 EB 00 24 02 E0 F8   .ëòôëý+Éädë.$.àø

0x00000160   24 02 C3 49 6E 76 61 6C 69 64 20 70 61 72 74 69   $.ÃInvalid parti

0x00000170   74 69 6F 6E 20 74 61 62 6C 65 00 45 72 72 6F 72   tion table.Error

0x00000180   20 6C 6F 61 64 69 6E 67 20 6F 70 65 72 61 74 69    loading operati

0x00000190   6E 67 20 73 79 73 74 65 6D 00 4D 69 73 73 69 6E   ng system.Missin

0x000001A0   67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74   g operating syst

0x000001B0   65 6D 00 00 00 63 7B 9A EF 3A 1F CA 00 00 00 20   em...c{.ï:.Ê...

0x000001C0   21 00 07 FE FF FF 00 08 00 00 00 78 E0 E8 00 00   !..þ.......xàè..

0x000001D0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x000001E0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x000001F0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA   ..............Uª



_______MBR   \Device\Harddisk2\DR2  



0x00000000   33 C0 8E D0 BC 00 7C 8E C0 8E D8 BE 00 7C BF 00   3À.м.|.À.ؾ.|¿.

0x00000010   06 B9 00 02 FC F3 A4 50 68 1C 06 CB FB B9 04 00   .¹..üó¤Ph..Ëû¹..

0x00000020   BD BE 07 80 7E 00 00 7C 0B 0F 85 0E 01 83 C5 10   ½¾..~..|......Å.

0x00000030   E2 F1 CD 18 88 56 00 55 C6 46 11 05 C6 46 10 00   âñÍ..V.UÆF..ÆF..

0x00000040   B4 41 BB AA 55 CD 13 5D 72 0F 81 FB 55 AA 75 09   ´A»ªUÍ.]r..ûUªu.

0x00000050   F7 C1 01 00 74 03 FE 46 10 66 60 80 7E 10 00 74   ÷Á..t.þF.f`.~..t

0x00000060   26 66 68 00 00 00 00 66 FF 76 08 68 00 00 68 00   &fh....f.v.h..h.

0x00000070   7C 68 01 00 68 10 00 B4 42 8A 56 00 8B F4 CD 13   |h..h..´B.V..ôÍ.

0x00000080   9F 83 C4 10 9E EB 14 B8 01 02 BB 00 7C 8A 56 00   ..Ä..ë.¸..».|.V.

0x00000090   8A 76 01 8A 4E 02 8A 6E 03 CD 13 66 61 73 1C FE   .v..N..n.Í.fas.þ

0x000000A0   4E 11 75 0C 80 7E 00 80 0F 84 8A 00 B2 80 EB 84   N.u..~......².ë.

0x000000B0   55 32 E4 8A 56 00 CD 13 5D EB 9E 81 3E FE 7D 55   U2ä.V.Í.]ë..>þ}U

0x000000C0   AA 75 6E FF 76 00 E8 8D 00 75 17 FA B0 D1 E6 64   ªun.v.è..u.ú°Ñæd

0x000000D0   E8 83 00 B0 DF E6 60 E8 7C 00 B0 FF E6 64 E8 75   è..°ßæ`è|.°.ædèu

0x000000E0   00 FB B8 00 BB CD 1A 66 23 C0 75 3B 66 81 FB 54   .û¸.»Í.f#Àu;f.ûT

0x000000F0   43 50 41 75 32 81 F9 02 01 72 2C 66 68 07 BB 00   CPAu2.ù..r,fh.».

0x00000100   00 66 68 00 02 00 00 66 68 08 00 00 00 66 53 66   .fh....fh....fSf

0x00000110   53 66 55 66 68 00 00 00 00 66 68 00 7C 00 00 66   SfUfh....fh.|..f

0x00000120   61 68 00 00 07 CD 1A 5A 32 F6 EA 00 7C 00 00 CD   ah...Í.Z2öê.|..Í

0x00000130   18 A0 B7 07 EB 08 A0 B6 07 EB 03 A0 B5 07 32 E4   ..·.ë..¶.ë..µ.2ä

0x00000140   05 00 07 8B F0 AC 3C 00 74 09 BB 07 00 B4 0E CD   ....ð¬<.t.»..´.Í

0x00000150   10 EB F2 F4 EB FD 2B C9 E4 64 EB 00 24 02 E0 F8   .ëòôëý+Éädë.$.àø

0x00000160   24 02 C3 49 6E 76 61 6C 69 64 20 70 61 72 74 69   $.ÃInvalid parti

0x00000170   74 69 6F 6E 20 74 61 62 6C 65 00 45 72 72 6F 72   tion table.Error

0x00000180   20 6C 6F 61 64 69 6E 67 20 6F 70 65 72 61 74 69    loading operati

0x00000190   6E 67 20 73 79 73 74 65 6D 00 4D 69 73 73 69 6E   ng system.Missin

0x000001A0   67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74   g operating syst

0x000001B0   65 6D 00 00 00 63 7B 9A E6 F0 E6 F0 00 00 80 20   em...c{.æðæð...

0x000001C0   21 00 07 FE FF FF 00 08 00 00 C1 51 70 74 00 00   !..þ......ÁQpt..

0x000001D0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x000001E0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x000001F0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA   ..............Uª



_______MBR   \Device\Harddisk3\DR3  



0x00000000   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x00000010   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x00000020   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x00000030   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x00000040   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x00000050   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x00000060   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x00000070   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x00000080   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x00000090   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x000000A0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x000000B0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x000000C0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x000000D0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x000000E0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x000000F0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x00000100   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x00000110   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x00000120   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x00000130   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x00000140   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x00000150   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x00000160   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x00000170   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x00000180   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x00000190   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x000001A0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x000001B0   00 00 00 00 00 00 00 00 18 58 0C 04 00 00 00 00   .........X......

0x000001C0   01 01 0F FE 7F E6 C1 3E 00 00 66 22 77 00 00 00   ...þ.æÁ>..f"w...

0x000001D0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x000001E0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

0x000001F0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA   ..............Uª

Arquivo(s) anexado(s)



#2
Elias Pereira

Elias Pereira

    Assistente

  • Assistente
  • 4.940 posts

Olá ,

Meu nome é Elias Pereira, e vou analisar seu caso.

Por favor, observe o seguinte:

  • Sobre o Fórum: Este é um espaço privado, não público. Seu uso é um privilégio, não um direito.
    http://www.linhadefe...egras-do-forum/
  • NÃO tente realizar sozinho nenhum procedimento de limpeza. Em especial, não execute por conta própria ferramentas utilizadas no fórum Remoção de Malware. O uso indevido de algumas ferramentas poderá danificar o seu computador ou, no mínimo, remover parcialmente os sinais de uma infecção que serviriam de informação ao analista. A equipe não será responsabilizada por consequências resultantes de uso indevido e/ou não-informado das ferramentas. - Regra nº8 da Remoção de Malwares
  • Não inicie novo tópico sobre esse problema. Poste suas respostas sempre neste tópico.
  • Clique em button_seguir.png (se localiza no canto superior direito do post principal) para que receba notificação por e-mail quando o mesmo for respondido.
  • As análises podem levar algum tempo, portanto seja paciente.
  • As instruções são específicas para o seu computador, e devem ser aplicadas somente nele.
  • Se algo der errado, não importa. Sempre acompanhe seu tópico, informando-me dos resultados, até que seu computador esteja limpo.
  • Aviso: Evite utilizar as tags <QUOTE> ou <CODE> nos logs, isso prejudica a leitura na hora da analise.
  • Por favor, não abandone seu tópico. Para nós é importante saber se a remoção foi bem sucedida.
  • Se você não receber uma resposta minha em até 5 dias. Me envie uma MP

worm.png Seu computador está infectado com um tipo de worm que se espalha através de qualquer tipo de dispositivo de armazenamento removível (pendrives, HD externo, mp3, mp4, celulares, cartões de memória, câmeras fotográficas) e também através de outras máquinas ligadas em rede.

Para evitar que seu computador seja reinfectado, e para não infectar outros computadores, é necessário que você formate o dispositivo em questão.
Se houver mais de um, todos devem ser formatados e não devem ser utilizados em nenhum pc até que terminemos a limpeza, de modo a conseguirmos desinfectar este computador.

É recomendável que você troque todas as senhas armazenadas neste pc. Se você usou ou usa o internet banking, comunique suas instituições financeiras sobre o ocorrido e troque as senhas urgentemente.


Faça o download do Panda USB Vaccine e salve na sua área de trabalho.

  • Conecte todos os dispositivos de armazenamento removível nas portas USBs. Salve o que achar necessário,EXCETO arquivos executáveis, depois formate as mídias, indo em Meu Computador e clicando com o direito sobre a unidade da mídia, escolhendo a opção "Formatar"
  • Execute o Panda USB Vaccine
  • Vá seguindo os prompts que poderão aparecer.
  • Espere até que o programa conclua a busca e depois saia do programa.

Ainda com as mídias plugadas nas USB, vamos à próxima etapa:
 
Baixe o Kaspersky AVP Tool de um desses 2 links:
http://devbuilds.kas...builds/AVPTool/
http://dnl-us6.kaspe...builds/AVPTool/

OBS: Após o cadastro, escolha a versão 11 em Inglês e clique no botão btnversion10pt-br-1.png
Salve-o em sua área de trabalho.

  • Duplo clique no arquivo ”setup" e aguarde a instalação;
    ** Usuários do Windows Vista e Windows 7:
    Clique com o direito sobre o arquivo, depois clique em
     execadmin.png
  • Na próxima tela marque I accept the licence agreement e clique em Start
  • Clique no botão f4uZX.png e marque:
    • Meu computador
    • Disco local (C:) (a letra do disco local pode variar)
    • Marque também a unidade de seu pendrive ou outras midias.
  • Clique em Actions e Marque os dois quadros.
    Zqewdl.jpg
  • Clique na aba Automatic Scan e logo depois em Start Scan.  Aguarde o término da verificação.
  • Clique no botão AouIc.png, em Detected threats e no botão "Save".
  • Copie o conteúdo do arquivo salvo (se houver algo detectado) e poste na sua próxima resposta.
  • Favor postar também um novo log do HijackThis.

st-c.jpg

> Não ajudo por MP. Para isso tem o fórum.
> Favor, não abandone seu tópico! Respeite quem lhe ajuda!
"Sabemos que todas as coisas cooperam para o bem daqueles que amam a Deus, daqueles que são chamados segundo o seu propósito." (Romanos 8:28)


#3
unfigson

unfigson

    Novato

  • Novato
  • Pip
  • 11 posts

Olá Elias, obrigado pela orientação.

Ao formatar o pen drive, imediatamente após a formatação o arquivo COOL.vbs foi criado novamente.

Passei o Kapersky e, após um scan no C: e pendrive de quase 38 horas (por isso a demora na minha resposta) o software travou e fechou. Estou anexando a tela no momento do travamento, e o novo log do hijackthis.

Arquivo(s) anexado(s)


Editado por unfigson, 02 outubro 2013 - 09:54.


#4
Elias Pereira

Elias Pereira

    Assistente

  • Assistente
  • 4.940 posts

Compacte o arquivo cool.vbs para um arquivo .zip com a senha. Coloque uma senha qualquer e me envie essa senha por mensagem privada.

 

O arquivo .zip você pode anexar em seu próximo post. Caso seja muito grande, hospede em algum site e me passe o link.


st-c.jpg

> Não ajudo por MP. Para isso tem o fórum.
> Favor, não abandone seu tópico! Respeite quem lhe ajuda!
"Sabemos que todas as coisas cooperam para o bem daqueles que amam a Deus, daqueles que são chamados segundo o seu propósito." (Romanos 8:28)


#5
unfigson

unfigson

    Novato

  • Novato
  • Pip
  • 11 posts

Segue o arquivo compactado em zip.

Arquivo(s) anexado(s)



#6
Elias Pereira

Elias Pereira

    Assistente

  • Assistente
  • 4.940 posts

Primeira etapa:

 Peço que siga as instruções a seguir pois o arquivo em questão será útil para o pessoal do ARIS-LD.

  • Crie uma pasta na sua área de trabalho com o nome Topic153837
  • Copie o(s) arquivo(s) abaixo para a pasta criada:    
    cool.vbs
  • Siga estas instruções para compactar pasta com uma senha:
        http://www.linhadefe...ivos-com-senha/

Envie um email para: avs@linhadefensiva.org com este arquivo (a pasta que foi compactada) compactado em anexo. No assunto do email coloque: TopicID-153837 e no corpo do email: Análise Tópico ID 153837. Banker.
 
Me confirme o envio.
 
Segunda etapa:
 

Conecte todos os dispositivos de armazenamento removível nas portas USBs. Salve o que achar necessário,EXCETO arquivos executáveis, depois formate as mídias, indo em Meu Computador e clicando com o direito sobre a unidade da mídia, escolhendo a opção "Formatar"

  • Execute o Panda USB Vaccine
  • Vá seguindo os prompts que poderão aparecer.
  • Espere até que o programa conclua a busca e depois saia do programa.

Ainda com as mídias plugadas nas USB, vamos à próxima etapa:
 
Desative temporiariamente seu AntiVirus  

  • Segure o botão Ctrl e clique neste link para abrir o ESET Online Scanner em uma nova janela.
  • Clique neste botão: j9Byf.png?1
  • Para navegadores alternativos: (Caso use o Internet Explorer, pule esta etapa)esetsmartinstaller_enu.png
    • Clique em esetsmartinstaller_enu.exe para baixar o ESET Smart Intaller. Salve-o em seu desktop.
    • Duplo clique no ícone em seu desktop.
  • Marque "YES, I accept the Terms of Use."
  • Clique em Start.
  • Aceite qualquer aviso de segurança de seu browser.
  • Em scan settings, marque "Scan Archives" e "Remove found threats"
  • Clique em Advanced settings e marque o seguinte:
    • Scan potentially unwanted applications
    • Scan for potentially unsafe applications
    • Enable Anti-Stealth technology
  • Ele vai atualizar por conta própria, e escanear o computador. Tenha paciência, o processo pode demorar horas.
  • Quando o scan terminar, clique em List Threats
  • Copie e cole o conteúdo em sua próxima resposta. Obs: Se nada for encontrado, nenhum log será gerado.
  • Clique em Back.
  • Clique em Finish.

Poste também um novo log do HijackThis.


st-c.jpg

> Não ajudo por MP. Para isso tem o fórum.
> Favor, não abandone seu tópico! Respeite quem lhe ajuda!
"Sabemos que todas as coisas cooperam para o bem daqueles que amam a Deus, daqueles que são chamados segundo o seu propósito." (Romanos 8:28)


#7
unfigson

unfigson

    Novato

  • Novato
  • Pip
  • 11 posts

Enviei o e-mail com o COOL.vbs

E, em anexo, os logs do Eset e do hijackthis.

Tentei uma nova formatação no pendrive mas o cool.vbs continua sendo criado imediatamente após a formatação.

Arquivo(s) anexado(s)



#8
Elias Pereira

Elias Pereira

    Assistente

  • Assistente
  • 4.940 posts

Execute novamente o HijackThis.exe:
 ** Usuários do Windows Vista, Windows 7 e Windows 8:
Clique com o direito sobre o arquivo hijackthis.exe, depois clique em execadmin.png

  • Clique em Do a system scan only
  • Aguarde o exame acabar
  • Cada entrada tem uma caixa do lado esquerdo
  • Marque apenas as caixas das entradas do CODE abaixo (cada linha é uma entrada):
    O4 - HKCU\..\Run: [COOL] wscript.exe //B "C:\Users\Pollo\AppData\Roaming\COOL.vbs"
    O4 - Startup: COOL.vbs
    
  • Ficará com um sinal V dentro de cada caixa
  • Clique então em ht-fix.png
  • Dê o Ok para a pergunta e depois gere um novo log com o HijackThis e poste.

st-c.jpg

> Não ajudo por MP. Para isso tem o fórum.
> Favor, não abandone seu tópico! Respeite quem lhe ajuda!
"Sabemos que todas as coisas cooperam para o bem daqueles que amam a Deus, daqueles que são chamados segundo o seu propósito." (Romanos 8:28)


#9
unfigson

unfigson

    Novato

  • Novato
  • Pip
  • 11 posts

O "Fix Checked" gerou uma mensagem de erro (em anexo) - unable to delete

Arquivo(s) anexado(s)



#10
Elias Pereira

Elias Pereira

    Assistente

  • Assistente
  • 4.940 posts

unfigson,

 

Estou analisando o arquivo que você me enviou e logo irei postar os novos procedimentos.


st-c.jpg

> Não ajudo por MP. Para isso tem o fórum.
> Favor, não abandone seu tópico! Respeite quem lhe ajuda!
"Sabemos que todas as coisas cooperam para o bem daqueles que amam a Deus, daqueles que são chamados segundo o seu propósito." (Romanos 8:28)


#11
unfigson

unfigson

    Novato

  • Novato
  • Pip
  • 11 posts

Ok, obrigado.

Após os últimos procedimentos, os pen drives já funcionam normalmente - não há transformação de arquivos e pastas em atalhos e nem a criação do COOL.vbs.



#12
Elias Pereira

Elias Pereira

    Assistente

  • Assistente
  • 4.940 posts

Poste novo log do hijackthis.


st-c.jpg

> Não ajudo por MP. Para isso tem o fórum.
> Favor, não abandone seu tópico! Respeite quem lhe ajuda!
"Sabemos que todas as coisas cooperam para o bem daqueles que amam a Deus, daqueles que são chamados segundo o seu propósito." (Romanos 8:28)


#13
unfigson

unfigson

    Novato

  • Novato
  • Pip
  • 11 posts

Aqui está

Arquivo(s) anexado(s)



#14
Elias Pereira

Elias Pereira

    Assistente

  • Assistente
  • 4.940 posts

Execute novamente o HijackThis.exe:
 ** Usuários do Windows Vista, Windows 7 e Windows 8:
Clique com o direito sobre o arquivo hijackthis.exe, depois clique em execadmin.png

  • Clique em Do a system scan only
  • Aguarde o exame acabar
  • Cada entrada tem uma caixa do lado esquerdo
  • Marque apenas as caixas das entradas do CODE abaixo (cada linha é uma entrada):
    O4 - Startup: COOL.vbs
    
  • Ficará com um sinal V dentro de cada caixa
  • Clique então em ht-fix.png
  • Dê o Ok para a pergunta e depois gere um novo log com o HijackThis e poste.

st-c.jpg

> Não ajudo por MP. Para isso tem o fórum.
> Favor, não abandone seu tópico! Respeite quem lhe ajuda!
"Sabemos que todas as coisas cooperam para o bem daqueles que amam a Deus, daqueles que são chamados segundo o seu propósito." (Romanos 8:28)


#15
unfigson

unfigson

    Novato

  • Novato
  • Pip
  • 11 posts

Aparece a mesma mensagem de erro que anexei no post anterior:

 

Unable to delete the file:

O4 - Startup: COOL.vbs

 

The file may be in use. Use Task Manager to shutdown the program and run HijackThis again to delete the file.

 

Já tentei entrar em modo de segurança e realizar o procedimento, aparece a mesma mensagem.

Já tentei encontrar também o processo no Task Manager mas não consegui identificá-lo.



#16
Elias Pereira

Elias Pereira

    Assistente

  • Assistente
  • 4.940 posts

Faça o download do SystemLook.exe e salve no seu desktop.
http://jpshortstuff....temLook_x64.exe
 
*** Usuários do Windows Vista, Windows 7 ou Windows 8 Clique com o direito sobre o arquivo SystemLook.exe, depois clique em execadmin.png.
 
Clique duas vezes no SystemLook.exe. Selecione, copie e cole o que está dentro do CODE na caixa de texto da ferramenta.

:filefind
cool.vbs
COOL.vbs
:regfind
cool.vbs
COOL.vbs

Clique no botão Look e ao fim do exame um log se abrirá. Ele é salvo como SystemLook.txt no desktop.
 
Selecione, copie e cole o conteúdo deste log na sua próxima resposta.


st-c.jpg

> Não ajudo por MP. Para isso tem o fórum.
> Favor, não abandone seu tópico! Respeite quem lhe ajuda!
"Sabemos que todas as coisas cooperam para o bem daqueles que amam a Deus, daqueles que são chamados segundo o seu propósito." (Romanos 8:28)


#17
unfigson

unfigson

    Novato

  • Novato
  • Pip
  • 11 posts

Segue o log do Systemlook.

Arquivo(s) anexado(s)



#18
Elias Pereira

Elias Pereira

    Assistente

  • Assistente
  • 4.940 posts

Faça o download do OTL by OldTimer, e salve na sua área de trabalho:
http://oldtimer.geekstogo.com/OTL.exe

** Usuários do Windows Vista, Windows 7 e Windows 8:
Clique com o direito sobre o arquivo OTL.exe, depois clique em execadmin.png
.

Onde diz Saída, marque Padrão
Marque também estas opções:

  • Ignorar Arquivos Microsoft
  • Verificar All Users
  • Exame Extra do Registro > Usar Safe List
  • Verificar Lop
  • Verificar Purity

Selecione estas linhas em vermelho, clique com o direito sobre a seleção, e escolha a opção copiar

CREATERESTOREPOINT
netsvcs
safebootminimal
drivers32 /all
%systemroot%\system32\drivers\*.* /90
%systemdrive%\drivers\*.exe
%SYSTEMDRIVE%\*.*
%LOCALAPPDATA%\*.exe
%LOCALAPPDATA%\*.txt
%LOCALAPPDATA%\*.ini
%LOCALAPPDATA%\*.dll
%LOCALAPPDATA%\*.dat
%LOCALAPPDATA%\Google\Chrome\User Data\Default\IndexedDB /s
%LOCALAPPDATA%\Google\Chrome\User Data\Default\*.dll
%USERPROFILE%\*.exe
%USERPROFILE%\*.txt
%USERPROFILE%\*.ini
%USERPROFILE%\*.dll
%USERPROFILE%\*.dat /30
C:\windows\system32\Tasks\*.* /s
C:\windows\system32\Tasks\*.* /s /64
%windir%\tasks\*.* /s
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\Fonts\*.com
%systemroot%\*.scr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Google\Chrome
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\MAIN
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig /s
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run /s
net user /c
/md5start
gb*.dll
gb*.exe
gb*.sys
services.*
rpcnet.*
termsrv.dll
termsrv.dll.bak
java.policy
javaw.exe
cool.vbs
/md5stop


Volte ao programa, clique com o direito em qualquer parte branca da sessão Exames Personalizados/Correções e escolha colar

Clique no botão verif.png

O OTL começará a examinar seu computador. Não interrompa o processo e nem use outras janelas até que ele termine.

Não modifique nenhuma outra configuração, a menos que tenha sido orientado (a) a fazer isso.

O exame demora um pouco, tenha paciência.

Quando terminar, dois blocos de notas serão exibidos: OTL.txt e Extras.txt
Ambos ficarão salvos dentro do mesmo diretório onde está o OTL.exe, ou seja, na sua área de trabalho.

Poste os logs no seu próximo post.


st-c.jpg

> Não ajudo por MP. Para isso tem o fórum.
> Favor, não abandone seu tópico! Respeite quem lhe ajuda!
"Sabemos que todas as coisas cooperam para o bem daqueles que amam a Deus, daqueles que são chamados segundo o seu propósito." (Romanos 8:28)


#19
unfigson

unfigson

    Novato

  • Novato
  • Pip
  • 11 posts

Segue o log do OTL.

Arquivo(s) anexado(s)



#20
Elias Pereira

Elias Pereira

    Assistente

  • Assistente
  • 4.940 posts

Para esse próximo programa preciso total atenção sua. No memento que ele estiver sendo executado, não poderá ser interrompido. Ok?

Selecione e copie o texto dentro do CODE, clique com o direito sobre a seleção e escolha a opção copiar:

OBS: Certifique-se de copiar começando pela letra e sinal de dois pontos [:] de OTL.

:OTL
O4 - Startup: C:\Users\Pollo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\COOL.vbs ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-3293763898-3705144948-1354461527-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present
[2013/09/23 16:23:16 | 000,098,222 | -HS- | M] () -- C:\Users\Pollo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\COOL.vbs
[2013/09/23 16:23:16 | 000,098,222 | ---- | M] () -- C:\Users\Pollo\AppData\Roaming\COOL.vbs
[2013/09/23 16:23:16 | 000,098,222 | ---- | M] () MD5=C9C4D00A62FF4FC4597B74F4BDD41CF9 -- C:\Users\Pollo\AppData\Roaming\COOL.vbs
[2013/09/23 16:23:16 | 000,098,222 | -HS- | M] () MD5=C9C4D00A62FF4FC4597B74F4BDD41CF9 -- C:\Users\Pollo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\COOL.vbs

:Reg

:Files
C:\Users\Pollo\AppData\Roaming\COOL.vbs
C:\Users\Pollo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\COOL.vbs
ipconfig /flushdns /c

:Commands
[createrestorepoint]
[purity]
[emptytemp]
[EMPTYFLASH]

** Usuários do Windows Vista e Windows 7:
Clique com o direito sobre o arquivo OTL.exe, depois clique em execadmin.png
.

Clique com o direito em qualquer parte branca, da sessão 21c5jpv.png e escolha a opção colar

Feche TODAS as janelas (exceto o próprio OTL).

Clique no botão fixotl.png
O programa executará o script e reiniciará o seu computador.
Quando o Windows for carregado, o OTL será executado automaticamente. Permita a sua execução.
Um bloco de notas será aberto, contendo algumas informações.
Copie TODO o conteúdo deste bloco de notas e cole na sua resposta.

Uma cópia deste log ficará armazenado na pasta C:\_OTL\MovedFiles com o nome no seguinte formato data_hora.log.

Exemplo: 03142010_145545.log

Poste também um novo log do Hijackthis.


st-c.jpg

> Não ajudo por MP. Para isso tem o fórum.
> Favor, não abandone seu tópico! Respeite quem lhe ajuda!
"Sabemos que todas as coisas cooperam para o bem daqueles que amam a Deus, daqueles que são chamados segundo o seu propósito." (Romanos 8:28)