Sign in to follow this  
Followers 0
Yuri Legaia

Pendrive com vírus, Processo:WScript.exe, Avast acusando Malwares e URL maliciosa toda hora

21 posts in this topic

Inventei de emprestar meu pen drive para minha prima e ela me devolveu com um presentinho :/ Os diretórios estavam como atalhos e haviam pastas estranhas. Tentei ir numa pasta conhecida mas deu to tal do autorun.
O caso é parecido com o de todos os outros no fórum porém preciso que alguém com habilidades que me ajude com os logs, e o tal do OTL. Pois percebi que cada pc será diferente.
Já fiz uma varredura com o Avast com a máquina ligada e ao reiniciar, apontou outras coisas, menos me livrar das incansáveis janelas vermelhas de aviso. Também fiz uma varredura com o Spy & Bot (estou pensando em mudar pro Malwarebytes Anti-Malware, o que acha?).
Formatei o pen drive com o pc já infectado.
São vários objetos, desde URL maliciosas que se repetem o dia todo até Malwares. 
Processo: wscript.exe'.

Edited by Yuri Legaia

Share this post


Link to post
Share on other sites

Olá ,

Meu nome é Elias Pereira, e vou analisar seu caso.

Por favor, observe o seguinte:

  • Sobre o Fórum: Este é um espaço privado, não público. Seu uso é um privilégio, não um direito.
    http://www.linhadefensiva.org/forum/topic/2-regras-do-forum/
  • NÃO tente realizar sozinho nenhum procedimento de limpeza. Em especial, não execute por conta própria ferramentas utilizadas no fórum Remoção de Malware. O uso indevido de algumas ferramentas poderá danificar o seu computador ou, no mínimo, remover parcialmente os sinais de uma infecção que serviriam de informação ao analista. A equipe não será responsabilizada por consequências resultantes de uso indevido e/ou não-informado das ferramentas. - Regra nº8 da Remoção de Malwares
  • Não inicie novo tópico sobre esse problema. Poste suas respostas sempre neste tópico.
  • Clique em button_seguir.png (se localiza no canto superior direito do post principal) para que receba notificação por e-mail quando o mesmo for respondido.
  • As análises podem levar algum tempo, portanto seja paciente.
  • As instruções são específicas para o seu computador, e devem ser aplicadas somente nele.
  • Se algo der errado, não importa. Sempre acompanhe seu tópico, informando-me dos resultados, até que seu computador esteja limpo.
  • Aviso: Evite utilizar as tags <QUOTE> ou <CODE> nos logs, isso prejudica a leitura na hora da analise.
  • Por favor, não abandone seu tópico. Para nós é importante saber se a remoção foi bem sucedida.
  • Se você não receber uma resposta minha em até 5 dias. Me envie uma MP

Siga as instruções do link abaixo para postar os logs necessários para a primeira avaliação.
http://www.linhadefensiva.org/remocao-de-virus/

Share this post


Link to post
Share on other sites

worm.png Seu computador está infectado com um tipo de worm que se espalha através de qualquer tipo de dispositivo de armazenamento removível (pendrives, HD externo, mp3, mp4, celulares, cartões de memória, câmeras fotográficas) e também através de outras máquinas ligadas em rede.

Para evitar que seu computador seja reinfectado, e para não infectar outros computadores, é necessário que você formate o dispositivo em questão.
Se houver mais de um, todos devem ser formatados e não devem ser utilizados em nenhum pc até que terminemos a limpeza, de modo a conseguirmos desinfectar este computador.

É recomendável que você troque todas as senhas armazenadas neste pc. Se você usou ou usa o internet banking, comunique suas instituições financeiras sobre o ocorrido e troque as senhas urgentemente.


Faça o download do Panda USB Vaccine e salve na sua área de trabalho.

  • Conecte todos os dispositivos de armazenamento removível nas portas USBs. Salve o que achar necessário,EXCETO arquivos executáveis, depois formate as mídias, indo em Meu Computador e clicando com o direito sobre a unidade da mídia, escolhendo a opção "Formatar"
  • Execute o Panda USB Vaccine
  • Vá seguindo os prompts que poderão aparecer.
  • Espere até que o programa conclua a busca e depois saia do programa.

Ainda com as mídias plugadas nas USB, vamos à próxima etapa:
 
Baixe o Kaspersky AVP Tool de um desses 2 links:
http://devbuilds.kas...builds/AVPTool/
http://dnl-us6.kaspe...builds/AVPTool/

OBS: Após o cadastro, escolha a versão 11 em Inglês e clique no botão btnversion10pt-br-1.png
Salve-o em sua área de trabalho.

  • Duplo clique no arquivo ”setup" e aguarde a instalação;
    ** Usuários do Windows Vista e Windows 7:
    Clique com o direito sobre o arquivo, depois clique em
     execadmin.png
  • Na próxima tela marque I accept the licence agreement e clique em Start
  • Clique no botão f4uZX.png e marque:
    • Meu computador
    • Disco local (C:) (a letra do disco local pode variar)
    • Marque também a unidade de seu pendrive ou outras midias.
  • Clique em Actions e Marque os dois quadros.
    Zqewdl.jpg
  • Clique na aba Automatic Scan e logo depois em Start Scan.  Aguarde o término da verificação.
  • Clique no botão AouIc.png, em Detected threats e no botão "Save".
  • Copie o conteúdo do arquivo salvo (se houver algo detectado) e poste na sua próxima resposta.
  • Favor postar também um novo log do HijackThis.

Share this post


Link to post
Share on other sites

Olá,

Siga os passos abaixo:

ETAPA 1

bf_new.gif Baixe o Malwarebytes' Anti-Malware (MBAM)
 http://download.cnet.com/Malwarebytes-Anti...4-10804572.html

Dê um duplo-clique no mbam-setup.exe, escolha a linguagem e na instalação, aceite todas as opções padrão.

Nota¹: Atente para a instrução Nº 3 logo abaixo.

  • Verifique se as caixas Atualizar Malwarebytes Anti-Malware e Executar Malwarebytes Anti-Malware estão marcadas e clique então, em Concluir.
  • Se houver atualizações a serem feitas, serão baixadas e instaladas.
  • Ao final da atualização, com o programa aberto, marque Verificação Completa e clique no botão Verificar.
  • Marque todos os Drivers e apos isso começará o exame. Aguarde, pois pode demorar.
  • Ao acabar o exame, clique em OK, depois no botão Mostrar Resultados para ver o relatório.
  • Se houver ítens encontrados, certifique-se de que, estão todos marcados e clique no botão Remover.
  • Ao final da desinfecção, abrirá o Bloco de notas com um log e poderá aparecer um aviso se quer reiniciar o PC. (Ver Nota abaixo)
  • O log é automaticamente salvo pelo MBAM e para vê-lo, clique na aba Logs na janela principal do programa.
  • Selecione, copie e cole todo o conteúdo deste log na sua próxima resposta.

Nota²: Se o MBAM encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC (talvez mais de uma vez). Faça isso imediatamente, ao ser perguntado se quer reiniciar o PC.

Em caso de dúvidas, leia o tutorial do programa:
 http://linhadefensiva.org/forum/index.php?showtopic=75554

ETAPA 2
Faça o download do AdwCleaner e salve no desktop.
http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner

Clique no ícone 1IXHd.png para baixar o arquivo.

Execute o adwcleaner.exe

OBS: Usuários do Windows Vista ou Windows 7 clique com o direito sobre o arquivo AdwCleaner.exe, depois clique em execadmin.png

Clique em izz6eh.png

Será aberto o bloco de notas com o resultado. Selecione, copie e cole o seu conteúdo na próxima resposta.

ETAPA 3

Desative temporariamente seu antivirus, antispywares e firewall, para não causar conflitos.

Baixe 1268r49.png e salve no desktop. Dê um duplo-clique para executar o Junkware Removal Tool (JRT).

* No Windows Vista e Windows 7:

Clique com o direito sobre o JRT.exe e selecione run_as_adm1.png

A ferramenta comecará o exame do seu sistema. Tenha paciência pois pode demorar um pouco dependendo da quantidades de ítens a examinar.

Ao final, um log se abrirá. É salvo no desktop com o nome de JRT.txt.

Selecione, copie e cole o conteúdo deste log na sua próxima resposta.

Share this post


Link to post
Share on other sites
Malwarebytes Anti-Malware (Trial) 1.75.0.1300
www.malwarebytes.org
 
Versão da Base de Dados:  v2013.10.08.08
 
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
u :: USER [administrador]
 
Proteção: Permitir
 
8/10/2013 17:53:57
mbam-log-2013-10-08 (17-53-57).txt
 
Tipo de Verificação:  Verificação Completa  (C:\|E:\|G:\|)
Opções de verificações ativadas: Memória | Inicialização | Registro | Sistema de arquivos  | Heurística/Extra | Heurística/Shuriken | PUP | PUM
Opções de verificação desativadas: P2P
Objetos escaneados:  357805
Tempo decorrido: 2 hora(s), 57 minuto(s), 45 segundo(s)
 
Processos de Memória Detectados: 0
(Não foram detectados ítens maliciosos)
 
Módulos de Memória Detectados: 0
(Não foram detectados ítens maliciosos)
 
Chaves de Registro Detectadas: 1
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Enviado para a Quarentena e deletado com sucesso.
 
Valores de Registro Detectadas: 1
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Data: 0S1M2W1C1S1J1T1L1E1B1I -> Enviado para a Quarentena e deletado com sucesso.
 
Itens de Dados no Registro Detectadas: 7
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Ruim: (1) Bom: (0) -> Enviado para a Quarentena e reparado com sucesso.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Ruim: (1) Bom: (0) -> Enviado para a Quarentena e reparado com sucesso.
HKCU\SOFTWARE\Policies\Microsoft\Windows\System|DisableCMD (PUM.Hijack.CMDPrompt) -> Ruim: (1) Bom: (0) -> Enviado para a Quarentena e reparado com sucesso.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Ruim: (1) Bom: (0) -> Enviado para a Quarentena e reparado com sucesso.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Ruim: (1) Bom: (0) -> Enviado para a Quarentena e reparado com sucesso.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Ruim: (1) Bom: (0) -> Enviado para a Quarentena e reparado com sucesso.
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore|DisableConfig (Windows.Tool.Disabled) -> Ruim: (1) Bom: (0) -> Enviado para a Quarentena e reparado com sucesso.
 
Pastas Detectadas: 0
(Não foram detectados ítens maliciosos)
 
Arquivos Detectados: 11
C:\Arquivos de programas\CAD 2010\Crack\xf-a2011-32bits.rar (RiskWare.Tool.CK) -> Enviado para a Quarentena e deletado com sucesso.
C:\Arquivos de programas\CAD 2010\Crack\xf-a2011-64bits.rar (RiskWare.Tool.CK) -> Enviado para a Quarentena e deletado com sucesso.
C:\Documents and Settings\u\Meus documentos\Arquivos\cad 2011\part5.rar (RiskWare.Tool.CK) -> Enviado para a Quarentena e deletado com sucesso.
C:\Documents and Settings\u\Meus documentos\Arquivos\cad 2011\crack\keygen.exe (RiskWare.Tool.CK) -> Enviado para a Quarentena e deletado com sucesso.
C:\RECYCLER\S-1-5-21-515967899-2000478354-1801674531-1003\Dc43.exe (PUP.Optional.InstallCore.A) -> Enviado para a Quarentena e deletado com sucesso.
C:\RECYCLER\S-1-5-21-515967899-2000478354-1801674531-1003\Dc102.exe (PUP.Optional.Softonic.A) -> Enviado para a Quarentena e deletado com sucesso.
C:\RECYCLER\S-1-5-21-515967899-2000478354-1801674531-1003\Dc106.exe (PUP.Optional.Softonic.A) -> Enviado para a Quarentena e deletado com sucesso.
C:\System Volume Information\_restore{6E479C4E-164E-42F1-A4A1-EE1D40C33B5A}\RP222\A0190144.exe (PUP.Optional.InstallCore) -> Enviado para a Quarentena e deletado com sucesso.
C:\System Volume Information\_restore{6E479C4E-164E-42F1-A4A1-EE1D40C33B5A}\RP229\A0191883.exe (PUP.Optional.InstallCore) -> Enviado para a Quarentena e deletado com sucesso.
C:\System Volume Information\_restore{6E479C4E-164E-42F1-A4A1-EE1D40C33B5A}\RP229\A0191884.exe (PUP.Optional.OpenCandy) -> Enviado para a Quarentena e deletado com sucesso.
C:\System Volume Information\_restore{6E479C4E-164E-42F1-A4A1-EE1D40C33B5A}\RP229\A0191890.exe (PUP.Optional.InstallCore) -> Enviado para a Quarentena e deletado com sucesso.
 
(fim)

# AdwCleaner v3.006 - Relatório criado 08/10/2013 às 22:03:59
# Atualizado 01/10/2013 por Xplode
# Sistema Operacional : Microsoft Windows XP Service Pack 3 (32 bits)
# Usuário : u - USER
# Executando de : C:\Documents and Settings\u\Desktop\adwcleaner.exe
# Opção : Examinar
 
***** [ Serviços ] *****
 
 
***** [ Arquivos / Pastas ] *****
 
Pasta Encontrado C:\Documents and Settings\All Users\Dados de aplicativos\Ask
Pasta Encontrado C:\Documents and Settings\All Users\Dados de aplicativos\baidu
Pasta Encontrado C:\Documents and Settings\u\Dados de aplicativos\baidu
 
***** [ Atalhos ] *****
 
Atalho Encontrado : C:\Documents and Settings\u\Menu Iniciar\Programas\Internet Explorer.lnk ( hxxp://www.portaldosites.com/?utm_source=b&utm_medium=cor&from=cor&uid=ST3120213A_4LS2WZ5WXXXX4LS2WZ5W&ts=1370547096 )
Atalho Encontrado : C:\Documents and Settings\u\Menu Iniciar\Programas\Acessórios\Ferramentas do Sistema\Internet Explorer (Sem Complementos).lnk ( hxxp://www.portaldosites.com/?utm_source=b&utm_medium=cor&from=cor&uid=ST3120213A_4LS2WZ5WXXXX4LS2WZ5W&ts=1370547096 )
Atalho Encontrado : C:\Documents and Settings\u\Dados de aplicativos\Microsoft\Internet Explorer\Quick Launch\Iniciar o navegador Internet Explorer.lnk ( hxxp://www.portaldosites.com/?utm_source=b&utm_medium=cor&from=cor&uid=ST3120213A_4LS2WZ5WXXXX4LS2WZ5W&ts=1370547096 )
 
***** [ Registro ] *****
 
Chave Encontrada : HKCU\Software\APN PIP
Chave Encontrada : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Chave Encontrada : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{7F4EFF06-7032-458E-AE16-1C1D8255C28A}
Chave Encontrada : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\grusskartencenter.com
Chave Encontrada : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\grusskartencenter.com
Chave Encontrada : HKCU\Software\Softonic
Chave Encontrada : HKLM\Software\Desksvc
Chave Encontrada : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Chave Encontrada : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{7F4EFF06-7032-458E-AE16-1C1D8255C28A}
Chave Encontrada : HKLM\Software\PIP
Chave Encontrada : HKLM\Software\portaldositesSoftware
Chave Encontrada : HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\DeskSvc
Dados Encontrada : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command [(Default)] - C:\Arquivos de programas\Internet Explorer\iexplore.exe hxxp://www.portaldosites.com/?utm_source=b&utm_medium=cor&from=cor&uid=ST3120213A_4LS2WZ5WXXXX4LS2WZ5W&ts=1370547096
Dados Encontrada : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\SAFARI.EXE\shell\open\command [(Default)] - "C:\Arquivos de programas\Safari\Safari.exe" hxxp://www.portaldosites.com/?utm_source=b&utm_medium=cor&from=cor&uid=ST3120213A_4LS2WZ5WXXXX4LS2WZ5W&ts=1370547096
 
***** [ Navegadores ] *****
 
-\\ Internet Explorer v8.0.6001.18702
 
Configurações Encontrado : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Page_URL] - hxxp://www.portaldosites.com/?utm_source=b&utm_medium=cor&from=cor&uid=ST3120213A_4LS2WZ5WXXXX4LS2WZ5W&ts=1370547096
Configurações Encontrado : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL] - hxxp://www.portaldosites.com/?utm_source=b&utm_medium=cor&from=cor&uid=ST3120213A_4LS2WZ5WXXXX4LS2WZ5W&ts=1370547096
Configurações Encontrado : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [start Page] - hxxp://www.portaldosites.com/?utm_source=b&utm_medium=cor&from=cor&uid=ST3120213A_4LS2WZ5WXXXX4LS2WZ5W&ts=1370547096
Configurações Encontrado : HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls [Tabs] - hxxp://home.speedbit.com/tab/?aff=115
Configurações Encontrado : HKLM\SOFTWARE\Microsoft\Internet Explorer\Search [searchAssistant] - hxxp://search.portaldosites.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=ST3120213A_4LS2WZ5WXXXX4LS2WZ5W&ts=0
Configurações Encontrado : HKLM\SOFTWARE\Microsoft\Internet Explorer\Search [CustomizeSearch] - hxxp://search.portaldosites.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=ST3120213A_4LS2WZ5WXXXX4LS2WZ5W&ts=0
 
-\\ Google Chrome v
 
[ Arquivo : C:\Documents and Settings\u\Configurações locais\Dados de aplicativos\Google\Chrome\User Data\Default\preferences ]
 
 
*************************
 
AdwCleaner[R0].txt - [4432 octets] - [08/10/2013 22:03:59]
 
########## EOF - C:\AdwCleaner\AdwCleaner[R0].txt - [4492 octets] ##########

# AdwCleaner v3.006 - Relatório criado 08/10/2013 às 22:07:59
# Atualizado 01/10/2013 por Xplode
# Sistema Operacional : Microsoft Windows XP Service Pack 3 (32 bits)
# Usuário : u - USER
# Executando de : C:\Documents and Settings\u\Desktop\adwcleaner.exe
# Opção : Limpar
 
***** [ Serviços ] *****
 
 
***** [ Arquivos / Pastas ] *****
 
Pasta Deletada : C:\Documents and Settings\All Users\Dados de aplicativos\Ask
Pasta Deletada : C:\Documents and Settings\All Users\Dados de aplicativos\baidu
Pasta Deletada : C:\Documents and Settings\u\Dados de aplicativos\baidu
 
***** [ Atalhos ] *****
 
Atalho Desinfectada : C:\Documents and Settings\u\Menu Iniciar\Programas\Internet Explorer.lnk
Atalho Desinfectada : C:\Documents and Settings\u\Menu Iniciar\Programas\Acessórios\Ferramentas do Sistema\Internet Explorer (Sem Complementos).lnk
Atalho Desinfectada : C:\Documents and Settings\u\Dados de aplicativos\Microsoft\Internet Explorer\Quick Launch\Iniciar o navegador Internet Explorer.lnk
 
***** [ Registro ] *****
 
Chave Deletedo : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\grusskartencenter.com
Chave Deletedo : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\grusskartencenter.com
Chave Deletedo : HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\DeskSvc
Chave Deletedo : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Chave Deletedo : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{7F4EFF06-7032-458E-AE16-1C1D8255C28A}
Chave Deletedo : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Chave Deletedo : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{7F4EFF06-7032-458E-AE16-1C1D8255C28A}
Dados Restaurada : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
Dados Restaurada : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\SAFARI.EXE\shell\open\command
Chave Deletedo : HKCU\Software\APN PIP
Chave Deletedo : HKCU\Software\Softonic
Chave Deletedo : HKLM\Software\Desksvc
Chave Deletedo : HKLM\Software\PIP
Chave Deletedo : HKLM\Software\portaldositesSoftware
 
***** [ Navegadores ] *****
 
-\\ Internet Explorer v8.0.6001.18702
 
Configurações Restauradas : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Page_URL]
Configurações Restauradas : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL]
Configurações Restauradas : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [start Page]
Configurações Restauradas : HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls [Tabs]
Configurações Restauradas : HKLM\SOFTWARE\Microsoft\Internet Explorer\Search [searchAssistant]
Configurações Restauradas : HKLM\SOFTWARE\Microsoft\Internet Explorer\Search [CustomizeSearch]
 
-\\ Google Chrome v
 
[ Arquivo : C:\Documents and Settings\u\Configurações locais\Dados de aplicativos\Google\Chrome\User Data\Default\preferences ]
 
 
*************************
 
AdwCleaner[R0].txt - [4572 octets] - [08/10/2013 22:03:59]
AdwCleaner[s0].txt - [3121 octets] - [08/10/2013 22:07:59]
 
########## EOF - C:\AdwCleaner\AdwCleaner[s0].txt - [3181 octets] ##########

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.0.4 (10.06.2013:1)
OS: Microsoft Windows XP x86
Ran by u on ter 08/10/2013 at 22:37:29,60
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
 
 
 
 
~~~ Services
 
 
 
~~~ Registry Values
 
 
 
~~~ Registry Keys
 
 
 
~~~ Files
 
 
 
~~~ Folders
 
 
 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on ter 08/10/2013 at 22:47:03,00
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
 

OBS: Depois da etapa 1 ao iniciar o PC há uma mensagem dizendo que não foi possível encontrar Reader_Sl.exe com processo MSVcp100.dll, algo assim. O que é isso?

Edited by Yuri Legaia

Share this post


Link to post
Share on other sites

Acredito que seja algo relacionado ao Adobe Reader. Desinstale ele, baixe o ccleaner, rode-o e volte a instalar o Adobe Reader.
 
Desative temporiariamente seu AntiVirus  

  • Segure o botão Ctrl e clique neste link para abrir o ESET Online Scanner em uma nova janela.
  • Clique neste botão: j9Byf.png?1
  • Para navegadores alternativos: (Caso use o Internet Explorer, pule esta etapa)esetsmartinstaller_enu.png
    • Clique em esetsmartinstaller_enu.exe para baixar o ESET Smart Intaller. Salve-o em seu desktop.
    • Duplo clique no ícone em seu desktop.
  • Marque "YES, I accept the Terms of Use."
  • Clique em Start.
  • Aceite qualquer aviso de segurança de seu browser.
  • Em scan settings, marque "Scan Archives" e "Remove found threats"
  • Clique em Advanced settings e marque o seguinte:
    • Scan potentially unwanted applications
    • Scan for potentially unsafe applications
    • Enable Anti-Stealth technology
  • Ele vai atualizar por conta própria, e escanear o computador. Tenha paciência, o processo pode demorar horas.
  • Quando o scan terminar, clique em List Threats
  • Copie e cole o conteúdo em sua próxima resposta. Obs: Se nada for encontrado, nenhum log será gerado.
  • Clique em Back.
  • Clique em Finish.

Poste também um novo log do HijackThis.

Share this post


Link to post
Share on other sites

Um ultimo scan.
 
Faça o download do RogueKiller by Tigzy, e salve na sua área de trabalho (Desktop).
http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe

  • Feche todos os programas
  • Execute RogueKiller.exe.
    ** Usuários do Windows Vista, Windows 7 e Windows 8:
    Clique com o direito sobre o arquivo rogueKiller.exe, depois clique em execadmin.png
    .
  • Quando a Eula aparecer, clique em Accept.
  • Aguarde ate que o Pre-scan tenha terminado...
  • Clique em verificar.png
  • Aguarde ate que o scan termine.
  • Um log contendo as informações encontradas será salvo no seu Desktop.
  • Feche o programa clicando no no [X]. Irá aparecer uma mensagem como a imagem abaixo:
    sair.png
    Clique em Sim.

Abra o arquivo RKreport[x].txt salvo no seu desktop, copie e cole todo o conteudo na sua próxima resposta.

Nota: Caso tenha mais de um arquivo RKreport[x].txt, poste o conteudo de todos.

Share this post


Link to post
Share on other sites
RogueKiller V8.7.2 [Oct  3 2013] Por Tigzy

mail : tigzyRK<at>gmail<dot>com




 

Sistema Operacional : Windows XP (5.1.2600 Service Pack 3) 32 bits version

Iniciado em : Modo Normal

Usuario : u [Privilegios de Admnistrador]

Modo : Verificar -- Data : 10/10/2013 16:02:23

| ARK || FAK || MBR |

 

¤¤¤ Entradas ruins : 0 ¤¤¤

 

¤¤¤ Entradas do Registro : 5 ¤¤¤

[HJ POL][PUM] HKCU\[...]\System : DisableTaskMgr (0) -> ENCONTRADO

[HJ POL][PUM] HKCU\[...]\System : DisableRegistryTools (0) -> ENCONTRADO

[HJ POL][PUM] HKLM\[...]\System : DisableTaskMgr (0) -> ENCONTRADO

[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> ENCONTRADO

[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> ENCONTRADO

 

¤¤¤ As tarefas agendadas : 2 ¤¤¤

[V1][sUSP PATH] SBW_UpdateTask_Logon_343237313636333233362d3437415a556c2a3223346c41.job : C:\WINDOWS\system32\wscript.exe - //B "C:\Documents and Settings\All Users\Dados de aplicativos\SpeedBit\sbhe.js" sbu.exe /invoke /f:check_services /l:1 [7][-][x] -> ENCONTRADO

[V1][sUSP PATH] SBW_UpdateTask_Time_343237313636333233362d3437415a556c2a3223346c41.job : C:\WINDOWS\system32\wscript.exe - //B "C:\Documents and Settings\All Users\Dados de aplicativos\SpeedBit\sbhe.js" sbu.exe /invoke /f:check_services /l:0 [7][-][x] -> ENCONTRADO

 

¤¤¤ entradas de inicialização : 0 ¤¤¤

 

¤¤¤ Os navegadores da Web : 0 ¤¤¤

 

¤¤¤ Arquivos / Pastas Pessoais: ¤¤¤

 

¤¤¤ Driver : [Carregado] ¤¤¤

 

¤¤¤ Hives externas: ¤¤¤

 

¤¤¤ Infecção :  ¤¤¤

 

¤¤¤ Arquivo de Hosts: ¤¤¤

--> %SystemRoot%\System32\drivers\etc\hosts

 

 

127.0.0.1 localhost

127.0.0.1 www.007guard.com

127.0.0.1 007guard.com

127.0.0.1 008i.com

127.0.0.1 www.008k.com

127.0.0.1 008k.com

127.0.0.1 www.00hq.com

127.0.0.1 00hq.com

127.0.0.1 010402.com

127.0.0.1 www.032439.com

127.0.0.1 032439.com

127.0.0.1 www.0scan.com

127.0.0.1 0scan.com

127.0.0.1 www.1000gratisproben.com

127.0.0.1 1000gratisproben.com

127.0.0.1 1001namen.com

127.0.0.1 www.1001namen.com

127.0.0.1 100888290cs.com

127.0.0.1 www.100888290cs.com

127.0.0.1 www.100sexlinks.com

[...]

 

 

¤¤¤ Verificaçao do MBR: ¤¤¤

 

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) (Unidades de disco padrão) - ST3120213A +++++

--- User ---

[MBR] 649cf311737d8239d631433681a97423

[bSP] f64e138c180850feff55528353f6cefa : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 114463 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Concluido : << RKreport[0]_S_10102013_160223.txt >>

Share this post


Link to post
Share on other sites

Agora vamos remover as entradas que o roguekiller encontrou.
 
Faça o download do RogueKiller by Tigzy, e salve na sua área de trabalho (Desktop).
http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe

  • Feche todos os programas
  • Execute RogueKiller.exe.
    ** Usuários do Windows Vista, Windows 7 e Windows 8:
    Clique com o direito sobre o arquivo rogueKiller.exe, depois clique em execadmin.png
    .
  • Quando a Eula aparecer, clique em Accept.
  • Aguarde ate que o Pre-scan tenha terminado...
  • Clique em verificar.png
  • Aguarde ate que o scan termine.
  • Clique em deletar.png
  • Aguarde ate que o programa termine de deletar as infecções.

Abra o arquivo RKreport[x].txt salvo no seu desktop, copie e cole todo o conteudo na sua próxima resposta.

Nota: Caso tenha mais de um arquivo RKreport[x].txt, poste o conteudo de todos.

Share this post


Link to post
Share on other sites
Seguem 2 logs após verificar e deletar:

RogueKiller V8.7.2 [Oct  3 2013] Por Tigzy
mail : tigzyRK<at>gmail<dot>com
 
Sistema Operacional : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Iniciado em : Modo Normal
Usuario : u [Privilegios de Admnistrador]
Modo : Verificar -- Data : 10/10/2013 22:43:01
| ARK || FAK || MBR |
 
¤¤¤ Entradas ruins : 0 ¤¤¤
 
¤¤¤ Entradas do Registro : 5 ¤¤¤
[HJ POL][PUM] HKCU\[...]\System : DisableTaskMgr (0) -> ENCONTRADO
[HJ POL][PUM] HKCU\[...]\System : DisableRegistryTools (0) -> ENCONTRADO
[HJ POL][PUM] HKLM\[...]\System : DisableTaskMgr (0) -> ENCONTRADO
[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> ENCONTRADO
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> ENCONTRADO
 
¤¤¤ As tarefas agendadas : 2 ¤¤¤
[V1][sUSP PATH] SBW_UpdateTask_Logon_343237313636333233362d3437415a556c2a3223346c41.job : C:\WINDOWS\system32\wscript.exe - //B "C:\Documents and Settings\All Users\Dados de aplicativos\SpeedBit\sbhe.js" sbu.exe /invoke /f:check_services /l:1 [7][-][x] -> ENCONTRADO
[V1][sUSP PATH] SBW_UpdateTask_Time_343237313636333233362d3437415a556c2a3223346c41.job : C:\WINDOWS\system32\wscript.exe - //B "C:\Documents and Settings\All Users\Dados de aplicativos\SpeedBit\sbhe.js" sbu.exe /invoke /f:check_services /l:0 [7][-][x] -> ENCONTRADO
 
¤¤¤ entradas de inicialização : 0 ¤¤¤
 
¤¤¤ Os navegadores da Web : 0 ¤¤¤
 
¤¤¤ Arquivos / Pastas Pessoais: ¤¤¤
 
¤¤¤ Driver : [Carregado] ¤¤¤
[inline] EAT @explorer.exe (@Classes@TFiler@) : rtl150.bpl -> HOOKED (Unknown @ 0x3059296C)
[inline] EAT @explorer.exe (@Classes@TReader@) : rtl150.bpl -> HOOKED (Unknown @ 0xB45933BC)
[inline] EAT @explorer.exe (@Classes@TStreamWriter@) : rtl150.bpl -> HOOKED (Unknown @ 0x54599FB5)
[inline] EAT @explorer.exe (@Comobj@TAutoObjectEvent@) : rtl150.bpl -> HOOKED (Unknown @ 0xDC5BB8A4)
[inline] EAT @explorer.exe (@Ioutils@TPath@FInvalidFileNameChars) : rtl150.bpl -> HOOKED (Unknown @ 0xC81EBEB3)
[inline] EAT @explorer.exe (@Msxml@IID_ISAXEntityResolver) : rtl150.bpl -> HOOKED (Unknown @ 0x1FB8BAB5)
[inline] EAT @explorer.exe (@Oledb@DBOBJECT_DOMAIN) : rtl150.bpl -> HOOKED (Unknown @ 0x43E12FD7)
[inline] EAT @explorer.exe (@Oledb@DBOBJECT_SCHEMA) : rtl150.bpl -> HOOKED (Unknown @ 0x43E12FC7)
[inline] EAT @explorer.exe (@System@ExceptionClass) : rtl150.bpl -> HOOKED (Unknown @ 0xDD6A1039)
[inline] EAT @explorer.exe (@Wincodec@CATID_WICFormatConverters) : rtl150.bpl -> HOOKED (Unknown @ 0x6490FC7F)
[inline] EAT @explorer.exe (@Controls@TCustomTouchManager@) : vcl150.bpl -> HOOKED (Unknown @ 0x34772A44)
[inline] EAT @explorer.exe (@Controls@TDockTree@) : vcl150.bpl -> HOOKED (Unknown @ 0xC0779121)
[inline] EAT @explorer.exe (@Controls@TTouchManager@) : vcl150.bpl -> HOOKED (Unknown @ 0x34772FF8)
[inline] EAT @explorer.exe (@Jclmath@Catalan) : Jcl150.bpl -> HOOKED (Unknown @ 0x00BF2040)
[inline] EAT @explorer.exe (@Jclmath@Cbrt3) : Jcl150.bpl -> HOOKED (Unknown @ 0x90B1D717)
[inline] EAT @explorer.exe (@Jclmath@LnPi) : Jcl150.bpl -> HOOKED (Unknown @ 0xCA671DA3)
[inline] EAT @explorer.exe (@Jclmath@Log3) : Jcl150.bpl -> HOOKED (Unknown @ 0x84D25F65)
[inline] EAT @explorer.exe (@Jclsimplexml@TJclSimpleXMLProps@) : Jcl150.bpl -> HOOKED (Unknown @ 0x4858BACA)
[inline] EAT @explorer.exe (@Jclstructstorage@UnitVersioning) : Jcl150.bpl -> HOOKED (Unknown @ 0xF469DFA7)
[inline] EAT @explorer.exe (@Jclwin32@RtdlNetGroupAdd) : Jcl150.bpl -> HOOKED (Unknown @ 0x3467D32D)
[inline] EAT @explorer.exe (@Mscorlib_tlb@CLASS_AsymmetricSignatureDeformatter) : Jcl150.bpl -> HOOKED (Unknown @ 0x269C6902)
[inline] EAT @explorer.exe (@Mscorlib_tlb@CLASS_Buffer) : Jcl150.bpl -> HOOKED (Unknown @ 0x8313E316)
[inline] EAT @explorer.exe (@Mscorlib_tlb@CLASS_CaseInsensitiveComparer) : Jcl150.bpl -> HOOKED (Unknown @ 0x6C9E7D34)
[inline] EAT @explorer.exe (@Mscorlib_tlb@CLASS_FileNotFoundException) : Jcl150.bpl -> HOOKED (Unknown @ 0xEB14FC04)
[inline] EAT @explorer.exe (@Mscorlib_tlb@CLASS_JulianCalendar) : Jcl150.bpl -> HOOKED (Unknown @ 0x607DE6A9)
[inline] EAT @explorer.exe (@Mscorlib_tlb@CLASS_PKCS1MaskGenerationMethod) : Jcl150.bpl -> HOOKED (Unknown @ 0x5E0E5459)
[inline] EAT @explorer.exe (@Mscorlib_tlb@CLASS_ProgIdAttribute) : Jcl150.bpl -> HOOKED (Unknown @ 0x64693527)
[inline] EAT @explorer.exe (@Mscorlib_tlb@CLASS_SHA384) : Jcl150.bpl -> HOOKED (Unknown @ 0x062DADDF)
[inline] EAT @explorer.exe (@Mscorlib_tlb@CLASS_SoapDateTime) : Jcl150.bpl -> HOOKED (Unknown @ 0x886A688F)
[inline] EAT @explorer.exe (@Mscorlib_tlb@IID_IChannel) : Jcl150.bpl -> HOOKED (Unknown @ 0xB577C87E)
[inline] EAT @explorer.exe (@Mscorlib_tlb@IID__BitConverter) : Jcl150.bpl -> HOOKED (Unknown @ 0xD97E4C5E)
[inline] EAT @explorer.exe (@Mscorlib_tlb@IID__CryptographicException) : Jcl150.bpl -> HOOKED (Unknown @ 0xFA6AC5AF)
[inline] EAT @explorer.exe (@Mscorlib_tlb@IID__CustomAttributeBuilder) : Jcl150.bpl -> HOOKED (Unknown @ 0x47E035A9)
[inline] EAT @explorer.exe (@Mscorlib_tlb@IID__ExternalException) : Jcl150.bpl -> HOOKED (Unknown @ 0x70C9C911)
[inline] EAT @explorer.exe (@Mscorlib_tlb@IID__IsolatedStorageFilePermission) : Jcl150.bpl -> HOOKED (Unknown @ 0x292E9B90)
[inline] EAT @explorer.exe (@Mscorlib_tlb@IID__Pointer) : Jcl150.bpl -> HOOKED (Unknown @ 0x03125CDC)
[inline] EAT @explorer.exe (@Mscorlib_tlb@IID__RegionInfo) : Jcl150.bpl -> HOOKED (Unknown @ 0xD76F9F58)
[inline] EAT @explorer.exe (@Mscorlib_tlb@IID__SiteIdentityPermission) : Jcl150.bpl -> HOOKED (Unknown @ 0x4E9A9BCB)
[inline] EAT @explorer.exe (@Mscorlib_tlb@IID__ThaiBuddhistCalendar) : Jcl150.bpl -> HOOKED (Unknown @ 0xA3E88D47)
[inline] EAT @explorer.exe (@Aspbehavior@TRulerBehavior@) : vclie150.bpl -> HOOKED (Unknown @ 0x70A59DD1)
[inline] EAT @explorer.exe (@Mshtml@CLASS_HTMLFieldSetElement) : vclie150.bpl -> HOOKED (C:\Arquivos de programas\FreeTime\FormatFactory\MSVCR110.dll @ 0x05861024)
[inline] EAT @explorer.exe (@Mshtml@CLASS_HTMLLegendElement) : vclie150.bpl -> HOOKED (C:\Arquivos de programas\FreeTime\FormatFactory\MSVCR110.dll @ 0x05861044)
[inline] EAT @explorer.exe (@Mshtml@CLASS_HTMLTableSection) : vclie150.bpl -> HOOKED (C:\Arquivos de programas\FreeTime\FormatFactory\MSVCR110.dll @ 0x05860D43)
[inline] EAT @explorer.exe (@Mshtml@IID_IHTMLControlElement) : vclie150.bpl -> HOOKED (C:\Arquivos de programas\FreeTime\FormatFactory\MSVCR110.dll @ 0x0585FD25)
[inline] EAT @explorer.exe (??_7CInstance@@6B@) : framedyn.dll -> HOOKED (Unknown @ 0x09E892A0)
 
¤¤¤ Hives externas: ¤¤¤
 
¤¤¤ Infecção :  ¤¤¤
 
¤¤¤ Arquivo de Hosts: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
 
 
127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
[...]
 
 
¤¤¤ Verificaçao do MBR: ¤¤¤
 
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) (Unidades de disco padrão) - ST3120213A +++++
--- User ---
[MBR] 649cf311737d8239d631433681a97423
[bSP] f64e138c180850feff55528353f6cefa : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 114463 Mo
User = LL1 ... OK!
User = LL2 ... OK!
 
Concluido : << RKreport[0]_S_10102013_224301.txt >>
RKreport[0]_S_10102013_160223.txt
 
 
RogueKiller V8.7.2 [Oct  3 2013] Por Tigzy
mail : tigzyRK<at>gmail<dot>com
 
Sistema Operacional : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Iniciado em : Modo Normal
Usuario : u [Privilegios de Admnistrador]
Modo : Remover -- Data : 10/10/2013 22:52:03
| ARK || FAK || MBR |
 
¤¤¤ Entradas ruins : 0 ¤¤¤
 
¤¤¤ Entradas do Registro : 5 ¤¤¤
[HJ POL][PUM] HKCU\[...]\System : DisableTaskMgr (0) -> DELETADO
[HJ POL][PUM] HKCU\[...]\System : DisableRegistryTools (0) -> DELETADO
[HJ POL][PUM] HKLM\[...]\System : DisableTaskMgr (0) -> DELETADO
[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> SUBSTITUIDO (0)
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> SUBSTITUIDO (0)
 
¤¤¤ As tarefas agendadas : 2 ¤¤¤
[V1][sUSP PATH] SBW_UpdateTask_Logon_343237313636333233362d3437415a556c2a3223346c41.job : C:\WINDOWS\system32\wscript.exe - //B "C:\Documents and Settings\All Users\Dados de aplicativos\SpeedBit\sbhe.js" sbu.exe /invoke /f:check_services /l:1 [7][-][x] -> DELETADO
[V1][sUSP PATH] SBW_UpdateTask_Time_343237313636333233362d3437415a556c2a3223346c41.job : C:\WINDOWS\system32\wscript.exe - //B "C:\Documents and Settings\All Users\Dados de aplicativos\SpeedBit\sbhe.js" sbu.exe /invoke /f:check_services /l:0 [7][-][x] -> DELETADO
 
¤¤¤ entradas de inicialização : 0 ¤¤¤
 
¤¤¤ Os navegadores da Web : 0 ¤¤¤
 
¤¤¤ Arquivos / Pastas Pessoais: ¤¤¤
 
¤¤¤ Driver : [Carregado] ¤¤¤
[inline] EAT @explorer.exe (@Classes@TFiler@) : rtl150.bpl -> HOOKED (Unknown @ 0x3059296C)
[inline] EAT @explorer.exe (@Classes@TReader@) : rtl150.bpl -> HOOKED (Unknown @ 0xB45933BC)
[inline] EAT @explorer.exe (@Classes@TStreamWriter@) : rtl150.bpl -> HOOKED (Unknown @ 0x54599FB5)
[inline] EAT @explorer.exe (@Comobj@TAutoObjectEvent@) : rtl150.bpl -> HOOKED (Unknown @ 0xDC5BB8A4)
[inline] EAT @explorer.exe (@Ioutils@TPath@FInvalidFileNameChars) : rtl150.bpl -> HOOKED (Unknown @ 0xC81EBEB3)
[inline] EAT @explorer.exe (@Msxml@IID_ISAXEntityResolver) : rtl150.bpl -> HOOKED (Unknown @ 0x1FB8BAB5)
[inline] EAT @explorer.exe (@Oledb@DBOBJECT_DOMAIN) : rtl150.bpl -> HOOKED (Unknown @ 0x43E12FD7)
[inline] EAT @explorer.exe (@Oledb@DBOBJECT_SCHEMA) : rtl150.bpl -> HOOKED (Unknown @ 0x43E12FC7)
[inline] EAT @explorer.exe (@System@ExceptionClass) : rtl150.bpl -> HOOKED (Unknown @ 0xDD6A1039)
[inline] EAT @explorer.exe (@Wincodec@CATID_WICFormatConverters) : rtl150.bpl -> HOOKED (Unknown @ 0x6490FC7F)
[inline] EAT @explorer.exe (@Controls@TCustomTouchManager@) : vcl150.bpl -> HOOKED (Unknown @ 0x34772A44)
[inline] EAT @explorer.exe (@Controls@TDockTree@) : vcl150.bpl -> HOOKED (Unknown @ 0xC0779121)
[inline] EAT @explorer.exe (@Controls@TTouchManager@) : vcl150.bpl -> HOOKED (Unknown @ 0x34772FF8)
[inline] EAT @explorer.exe (@Jclmath@Catalan) : Jcl150.bpl -> HOOKED (Unknown @ 0x00BF2040)
[inline] EAT @explorer.exe (@Jclmath@Cbrt3) : Jcl150.bpl -> HOOKED (Unknown @ 0x90B1D717)
[inline] EAT @explorer.exe (@Jclmath@LnPi) : Jcl150.bpl -> HOOKED (Unknown @ 0xCA671DA3)
[inline] EAT @explorer.exe (@Jclmath@Log3) : Jcl150.bpl -> HOOKED (Unknown @ 0x84D25F65)
[inline] EAT @explorer.exe (@Jclsimplexml@TJclSimpleXMLProps@) : Jcl150.bpl -> HOOKED (Unknown @ 0x4858BACA)
[inline] EAT @explorer.exe (@Jclstructstorage@UnitVersioning) : Jcl150.bpl -> HOOKED (Unknown @ 0xF469DFA7)
[inline] EAT @explorer.exe (@Jclwin32@RtdlNetGroupAdd) : Jcl150.bpl -> HOOKED (Unknown @ 0x3467D32D)
[inline] EAT @explorer.exe (@Mscorlib_tlb@CLASS_AsymmetricSignatureDeformatter) : Jcl150.bpl -> HOOKED (Unknown @ 0x269C6902)
[inline] EAT @explorer.exe (@Mscorlib_tlb@CLASS_Buffer) : Jcl150.bpl -> HOOKED (Unknown @ 0x8313E316)
[inline] EAT @explorer.exe (@Mscorlib_tlb@CLASS_CaseInsensitiveComparer) : Jcl150.bpl -> HOOKED (Unknown @ 0x6C9E7D34)
[inline] EAT @explorer.exe (@Mscorlib_tlb@CLASS_FileNotFoundException) : Jcl150.bpl -> HOOKED (Unknown @ 0xEB14FC04)
[inline] EAT @explorer.exe (@Mscorlib_tlb@CLASS_JulianCalendar) : Jcl150.bpl -> HOOKED (Unknown @ 0x607DE6A9)
[inline] EAT @explorer.exe (@Mscorlib_tlb@CLASS_PKCS1MaskGenerationMethod) : Jcl150.bpl -> HOOKED (Unknown @ 0x5E0E5459)
[inline] EAT @explorer.exe (@Mscorlib_tlb@CLASS_ProgIdAttribute) : Jcl150.bpl -> HOOKED (Unknown @ 0x64693527)
[inline] EAT @explorer.exe (@Mscorlib_tlb@CLASS_SHA384) : Jcl150.bpl -> HOOKED (Unknown @ 0x062DADDF)
[inline] EAT @explorer.exe (@Mscorlib_tlb@CLASS_SoapDateTime) : Jcl150.bpl -> HOOKED (Unknown @ 0x886A688F)
[inline] EAT @explorer.exe (@Mscorlib_tlb@IID_IChannel) : Jcl150.bpl -> HOOKED (Unknown @ 0xB577C87E)
[inline] EAT @explorer.exe (@Mscorlib_tlb@IID__BitConverter) : Jcl150.bpl -> HOOKED (Unknown @ 0xD97E4C5E)
[inline] EAT @explorer.exe (@Mscorlib_tlb@IID__CryptographicException) : Jcl150.bpl -> HOOKED (Unknown @ 0xFA6AC5AF)
[inline] EAT @explorer.exe (@Mscorlib_tlb@IID__CustomAttributeBuilder) : Jcl150.bpl -> HOOKED (Unknown @ 0x47E035A9)
[inline] EAT @explorer.exe (@Mscorlib_tlb@IID__ExternalException) : Jcl150.bpl -> HOOKED (Unknown @ 0x70C9C911)
[inline] EAT @explorer.exe (@Mscorlib_tlb@IID__IsolatedStorageFilePermission) : Jcl150.bpl -> HOOKED (Unknown @ 0x292E9B90)
[inline] EAT @explorer.exe (@Mscorlib_tlb@IID__Pointer) : Jcl150.bpl -> HOOKED (Unknown @ 0x03125CDC)
[inline] EAT @explorer.exe (@Mscorlib_tlb@IID__RegionInfo) : Jcl150.bpl -> HOOKED (Unknown @ 0xD76F9F58)
[inline] EAT @explorer.exe (@Mscorlib_tlb@IID__SiteIdentityPermission) : Jcl150.bpl -> HOOKED (Unknown @ 0x4E9A9BCB)
[inline] EAT @explorer.exe (@Mscorlib_tlb@IID__ThaiBuddhistCalendar) : Jcl150.bpl -> HOOKED (Unknown @ 0xA3E88D47)
[inline] EAT @explorer.exe (@Aspbehavior@TRulerBehavior@) : vclie150.bpl -> HOOKED (Unknown @ 0x70A59DD1)
[inline] EAT @explorer.exe (@Mshtml@CLASS_HTMLFieldSetElement) : vclie150.bpl -> HOOKED (C:\Arquivos de programas\FreeTime\FormatFactory\MSVCR110.dll @ 0x05861024)
[inline] EAT @explorer.exe (@Mshtml@CLASS_HTMLLegendElement) : vclie150.bpl -> HOOKED (C:\Arquivos de programas\FreeTime\FormatFactory\MSVCR110.dll @ 0x05861044)
[inline] EAT @explorer.exe (@Mshtml@CLASS_HTMLTableSection) : vclie150.bpl -> HOOKED (C:\Arquivos de programas\FreeTime\FormatFactory\MSVCR110.dll @ 0x05860D43)
[inline] EAT @explorer.exe (@Mshtml@IID_IHTMLControlElement) : vclie150.bpl -> HOOKED (C:\Arquivos de programas\FreeTime\FormatFactory\MSVCR110.dll @ 0x0585FD25)
[inline] EAT @explorer.exe (??_7CInstance@@6B@) : framedyn.dll -> HOOKED (Unknown @ 0x09E892A0)
 
¤¤¤ Hives externas: ¤¤¤
 
¤¤¤ Infecção :  ¤¤¤
 
¤¤¤ Arquivo de Hosts: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
 
 
127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
[...]
 
 
¤¤¤ Verificaçao do MBR: ¤¤¤
 
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) (Unidades de disco padrão) - ST3120213A +++++
--- User ---
[MBR] 649cf311737d8239d631433681a97423
[bSP] f64e138c180850feff55528353f6cefa : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 114463 Mo
User = LL1 ... OK!
User = LL2 ... OK!
 
Concluido : << RKreport[0]_D_10102013_225202.txt >>
RKreport[0]_S_10102013_160223.txt;RKreport[0]_S_10102013_224301.txt
 
 
 

Obs: o Malwarebytes agora mostra a todo momento caixa de diálogo com sites maliciosos bloqueados, mostrando seus endereços apenas em números, e a frase: ''Tipo: Saída'', é normal?


Obs2: Parece que tomou o mesmo problema do Avast

Share this post


Link to post
Share on other sites

São mensagens no canto esquerdo da barra de tarefas muito rápidas, não deu ainda pra fazer um Print Screen.
Reparei que mesmo depois de todos os passos que fiz, inclusive o Panda Vaccine, meus pendrives voltaram a ter o autorun, por enquanto não transformaram pastas em atalhos porque não coloquei nenhuma.


Consegui uma das.


Outra.

post-138240-0-33205900-1381518276_thumb.

post-138240-0-86113600-1381519051_thumb.

Share this post


Link to post
Share on other sites

Segue novo log:
 

Logfile of HijackThis v1.99.1
Scan saved at 17:23:44, on 11/10/2013
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\AVAST Software\Avast\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Java\jre7\bin\jqs.exe
C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamscheduler.exe
C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Arquivos de programas\Spybot - Search & Destroy 2\SDFSSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Spybot - Search & Destroy 2\SDUpdSvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamgui.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Spybot - Search & Destroy 2\SDUpdate.exe
C:\Arquivos de programas\Common Files\SpeedBit\SBUpdate\sbu.exe
C:\Arquivos de programas\AVAST Software\Avast\avastUI.exe
C:\Arquivos de programas\Spybot - Search & Destroy 2\SDTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\u\Configurações locais\Dados de aplicativos\Google\Update\1.3.21.153\GoogleCrashHandler.exe
C:\Documents and Settings\u\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\u\Dados de aplicativos\uTorrent\uTorrent.exe
C:\Documents and Settings\u\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\u\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\u\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\u\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\u\Desktop\Desinfecção do PC\hijackthis\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy 2\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre7\bin\ssv.dll
O2 - BHO: avast! Online Security - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Arquivos de programas\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: LinkVerifierBHO - {D5974A72-C81C-4DC3-BE77-A8A7BBC8864E} - C:\Arquivos de programas\DAP\LinkVerifier.dll
O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre7\bin\jp2ssv.dll
O3 - Toolbar: avast! Online Security - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Arquivos de programas\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [avast] "C:\Arquivos de programas\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [sDTray] "C:\Arquivos de programas\Spybot - Search & Destroy 2\SDTray.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\u\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c
O8 - Extra context menu item: &Download with &DAP - C:\Arquivos de programas\DAP\dapextie.htm
O8 - Extra context menu item: &Verify with DAP - C:\Arquivos de programas\DAP\dapverify.htm
O8 - Extra context menu item: Download &all with DAP - C:\Arquivos de programas\DAP\dapextie2.htm
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Arquivos de programas\Spybot - Search & Destroy 2\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Arquivos de programas\Spybot - Search & Destroy 2\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O11 - Options group: [iNTERNATIONAL] International
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1360145942531
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - (no file)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: SDWinLogon - SDWinLogon.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Arquivos de programas\AVAST Software\Avast\AvastSvc.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Arquivos de programas\Java\jre7\bin\jqs.exe" -service -config "C:\Arquivos de programas\Java\jre7\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: MBAMScheduler - Malwarebytes Corporation - C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamscheduler.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe
O23 - Service: SpeedBit Update (SBUpd) - Speedbit Ltd. - C:\Arquivos de programas\Common Files\SpeedBit\SBUpdate\sbu.exe
O23 - Service: Spybot-S&D 2 Scanner Service (SDScannerService) - Safer-Networking Ltd. - C:\Arquivos de programas\Spybot - Search & Destroy 2\SDFSSvc.exe
O23 - Service: Spybot-S&D 2 Updating Service (SDUpdateService) - Safer-Networking Ltd. - C:\Arquivos de programas\Spybot - Search & Destroy 2\SDUpdSvc.exe
O23 - Service: Spybot-S&D 2 Security Center Service (SDWSCService) - Safer-Networking Ltd. - C:\Arquivos de programas\Spybot - Search & Destroy 2\SDWSCSvc.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Arquivos de programas\Skype\Updater\Updater.exe

Share this post


Link to post
Share on other sites

Os IPs bloqueados pelo Malwarebytes acredito que sejam do utorrent. Seguido o malwarebytes bloqueia sites suspeitos de torrent, p2p, etc.
 
No mais está tudo ok.
 
Ultimas instruções.

  • Faça o download do TFC by Oldtimer<-link:

    ** Usuários do Windows Vista e Windows 7:
    Clique com o direito sobre o arquivo TFC.exe, depois clique em execadmin.png
    .

    Clique em Start e aguarde ate que o programa realize a limpeza.
     
  • java-1.png Versões antigas do Java, têm vulnerabilidades que alguns malwares podem usar para infectar seu sistema. Verifique se o seu sistema tem a última versão instalada:
    Baixe > JavaRa <-link
    Dê um duplo-clique no JavaRa.exe. Depois clique em Search For Updates. Selecione a opção Update Using jucheck.exe. Clique então no botão Search.

    Se estiver atualizado, receberá um aviso de que tem a última versão. Caso contrário, aguarde a nova versão do Java ser baixada e instalada. Depois clique no botão Remove Older Versions para que as versões antigas que existirem no PC sejam desinstaladas.
  • flashPlayer-logo.png Mantenha o Flash Player atualizado. Versões antigas também têm vulnerabilidades que são exploradas por malwares. Clique aqui <-link e instale a mais nova versão.
  • worm.png Worms USB (vírus de pendrive) podem infectar qualquer tipo de dispositivo de armazenamento removível (pendrives, mp3, mp4, celulares, cartões de memória, câmeras fotográficas). Este tipo de malware explora um recurso nativo do Windows chamado Autorun, ou Autoplay (é aquele assistente que aparece quando você insere um cd ou pendrive, perguntando com qual programa você deseja abri-lo). O Autoplay precisa de um arquivo chamado autorun.inf para funcionar.

    Mantenha um cópia limpa e protegida do arquivo autorun.inf em todos os dispositivos removíveis e em todas as unidades do sistema. Deste modo, se acaso você plugar o seu pendrive em algum pc infectado, o malware não vai conseguir sobreescrever o arquivo pré-existente. Mas ainda assim ele poderá copiar seus executáveis maliciosos para o pendrive, tais como .EXE, .SCR, .CMD, .PIF, .BAT, .COM.
    Se você plugar este pendrive em uma máquina limpa e executar algum desses arquivos maliciosos, esse sistema será infectado da mesma forma. Portanto, tenha cuidado e use o bom senso.

    Para criar um arquivo autorun.inf protegido no Windows XP:

    Faça o download do Flash_Disinfector.exe <-link e salve na sua área de trabalho.
    • Conecte todos os dispositivos de armazenamento removível nas portas USBs. Salve o que achar necessário, EXCETO arquivos executáveis, depois formate as mídias, indo em Meu Computador e clicando com o direito sobre a unidade da mídia, escolhendo a opção Formatar
    • Execute o Flash_Disinfector.exe
    • Vá seguindo os prompts que poderão aparecer.
    • Espere até que o programa conclua a busca e depois saia do programa.
    Para Windows Vista e 7: Panda USB Vaccine <-link
  • MANTENHA O SO ATUALIZADO:

    Visite o Windows Update <-link regularmente e verifique por atualizações. Novas brechas de segurança são descobertas com freqüência. Muitos malwares exploram essas brechas, infectando sistemas sem depender de nenhuma ação do usuário. A Microsoft corrige essas brechas através das atualizações. Por isso é fundamental manter o seu sistema atualizado.
  • Desative e ative novamente a Restauração do sistema como mostra no link abaixo:
    http://www.linhadefe...cao-do-sistema/ <-link
  • Leia o artigo Proteja seu PC <-link para maiores informações sobre como evitar infecções;
  • AdBlockforSafari2541sml.gif Cansado de propagandas chatas no navegador? Instale a extensão Adblock.
  • Se não tiver mais problema em relação a malwares, clique no botão reportar.png e diga que o seu caso foi resolvido.

Se você tiver alguma dúvida relacionada a informática e tecnologia, sinta-se à vontade para postar em qualquer área do forum Linha Defensiva.

Att. Elias Pereira

Share this post


Link to post
Share on other sites

TFC by Oldtimer  não deu muito certo, pois esperei 12h seguidas e só mostrou arquivos ocultos como album art, e arquivos Thumbs.bd e Desktop.ini nos meus diretórios e pastas. Apenas exibia a opção cancelar. Mas quando cancelado ele travava. Então deixei de lado.

Atualizei Java, Adobe Flash Player e instalei o Adobe Shockwave Player.

Usei o Panda USB Vaccine que já tinha aqui nos Pen drives, porque o Flash_Disinfector.exe não funcionou.

Desabilitei a Restauração do sistema, mas devo reabilitar depois? Se sim, só após reiniciar o pc?

Do mais está tudo bem.

Obrigado pela ajuda em todos esses dias.

Edited by Yuri Legaia

Share this post


Link to post
Share on other sites

Pode ativar sim a restauração dos sistema. Você pode substituir o TFC pleo Ccleaner.

 

No mais está tudo ok?

Share this post


Link to post
Share on other sites

PROBLEMA RESOLVIDO


Caso queira solicitar a reabertura do tópico, utilize o botão Denunciar para entrar em contato com a moderação.

Nota: Somente o autor pode realizar essa solicitação na área Remoção de Malware.

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.
Sign in to follow this  
Followers 0

  • Similar Content

    • Chrome com play-bar.net adware
      By MegaStation
      Olá, estou com um problema muito ruim no meu chrome, uma tal de play-bar.net, fica uma barra de pesquisa que vai direto pro play-bar.net quando pesquisado, como nessa imagem: http://imgur.com/0LNxVar além de abrir pop-ups do nada em qualquer tipo de site como o youtube que não tem esse tipo de propaganda, já tentei usar malwarebytes, adwcleaner, ccleaner, spyhunter 4, mas nenhum encontrou nada, não sei mais o que fazer, alguém pode me ajudar?
    • Malwares na instalação do TeamSpeak 3
      By fharlang
      Olá, meus amigos. Caso eu tenha criado o tópico no lugar errado, me perdoem. Tentei clicar em "Removação de Malware", mas a opção mostrava-se fechada. Agradeço a colaboração de todos no fórum deste site que foi recomendado pela minha namorada. Vamos lá. Comprei um computador novinho, não faz nem uma semana e já o impregnei de vírus na instalação do cliente do TeamSpeak 3. Tentei ler com atenção todos os tópicos do instalador, mas com certeza algum passou despercebido, ocasionando este desastre. Gostaria de acessar os prints que tirei mostrando os devidos vírus para listá-los aqui, mas quando tento abrir uma imagem fala "Este aplicativo não pode ser aberto pelo administrador interno", como faço pra resolver isso? Tem alguma coisa a ver com os vírus que foram infestados no PC? 

      Eu uso no McAfee no meu computador, foi ele que acusou os possíveis vírus no sistema. Quando percebi que cada vez que eu iniciava o sistema, uma nova instalação (aparentemente oculta) era efetuada. No desespero, instalei o SpyHunter 4 para visualizar melhor os vírus: foi identificado aproximadamente 300 malwares no sistema (até mais), e então, resolvi tirar os tais prints que mencionei acima para mostrar à vocês. Gostaria de eliminar qualquer vestígio deles e entender o motivo de eu não conseguir acessar alguns aplicativos por conta do "administrador interno". 

      Obrigado pela ajuda, amigos.
      ZA-Scan.txt
      FSS.txt
      MbrScan.log
       




    • SUSPEITA DE MALWARE
      By Rodrigow
      Boa noite amigos do fórum. 
      Fui acessar essa página da web (http://ethnomusicologyreview.ucla.edu/journal/volume/17/piece/583) e o  Internet Security Essentials (ISE) acusou uma infecção. O programa disse que efetuou a limpeza. Parecia tudo Ok. Mas, de ontem pra hoje, ao reiniciar o PC (3 vezes), reparei que o ISE encontrava-se sempre deligado (a proteção em tempo real). Ao reiniciar, eu tinha que reabilita-la sempre... Dai, desconfio que algum malware desconfigurou alguma coisa. Podem me ajudar a checar se estou infectado com alguma praga? Muito obrigado!  
    • quem é o virus win32/heri? e o que ele faz?
      By kifirefox
      estou com um virus no hd chamado win32/heri, tem um virus que vai para o system32, recycler.bin, system volume information, são .dll. e fica escondido em programas do sistema operacional e fica infectado em programas .exe, .rar de programas.
      acabei deixando o hd que está o win32/heri guardado para futura remoção de malware, pois não tem como usar o hd junto com o windows, estou com um hd guardado em quarentena.
       
      win32/heri algumas caracteristicas:
      1- ele parece que fica infectado em programas como cdburnerxp, avira, formatfactory, k-lite codec, emisoft anti-malware, etc. infectou o anti malware emisoft, com uma dll clean.dll
      2- ele fica no sistema operacional xp e 7, e geralmente gosta de infectar o k-lite codec, e toda vez que você abre o media player codec, voce deve ativar ainda mais esse virus.
      3 - ele infecta programas de pen drive para passar para outro pc e continuar a infectar mais ainda. parece que ele corrompeu a .dll aescn.dll do avira.exe no pen drive.
      4 - parece que esse virus roda automaticamente, em pen drives, fica em outro hd secundario guardado esperando você instalar o k-lite codec ou outro programa para infecta-lo e se instalar no sistema operacional.
      5 - muitos antivirus não detecta ele, e cds de antivirus rescue não detecta ele(só o avg rescue). o avg não detecta ele no pc, não consegue encontrar ele, mas bloqueia as .dll que esse virus manda para o sistema operacional. mas não consegue encontrar aonde ele está no hd.
      6 - se passar um anti-malware scanear, o virus fica toda hora tentando mandar .dll para o sistema operacional, mas o avg consegue bloquear. parece que ele está tentando se esconder do escaneamento de programas.
      7 - virus fica em hd secundario, mesmo formatando o hd primario, o virus volta denovo ao fazer uma reinstalação e instalar programas como o k-lite codec, parece que ele fica no outro hd esperando ser reativado. não sei se está infectado em programas .exe ou está escondido em alguma pasta oculta.
      8 - muitas pessoas estão achando esse virus extremamente perigoso como um falso positivo do avg, sendo que na verdade ele está escondido em um outro hd ativo esperando você instalar programas para se auto ativar e se instalar nos programas que você está instalando ou instalou.  teve uma vez que eu nem instalei nada, mas já tinha um programa instalado e ele infectou ele em questão de minutos, mesmo com o avg instalado com proteção residente.
       
       
  • Recently Browsing   0 members

    No registered users viewing this page.