[Resolvido!] Sality.aa

Reivax · Agosto 12, 2009

Caros colegas do Fórum, desde já agradeço pela ajuda.

Recentemente meu pc foi infectado pelo vírus Win32/Sality.aa. Nisso eu estava usando o Win Vista Ultimate 64x em uma das duas partições, e na outra eu uso para guardar meus arquivos, também infectados.

Na falta de ferramentas para remover esse vírus compatível com meu SO, resolvi instalar o WinXP no lugar do Vista (sem excluir nem formatar minha outra partição), onde tentei varias formas de remover essa praga. Na minha última tentativa pensei ter obtido sucesso, usando o Sality_off e o Dr, Web, que detectaram mais de mil arquivos infectados e restaurados (pelo menos era o que o Dr. Web dizia).

Senti uma melhora considerável no sistema, porém, com o passar do tempo, ele começou a ficar mais lento, e qualquer antivírus que eu utilize não atualiza de jeito nenhum, além de demorar pra acessar os arquivos na outra partição que uso pra armazenar dados.

Já formatei o PC várias vezes depois disso e os sintomas sempre voltam. Já tentei usar as ferramentas usadas acima e não detectaram nenhum outro vírus, mas dá pra perceber nitidamente que o PC está infectado.

Preciso da ajuda de vcs pra resolver esse problema, pois não posso formatar a partição de dados (que está infectada) pois tenho muitos arquivos importantes nele.

Segue o log do Hijackthis abaixo. Mais uma vez obrigado! Abraços!

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:39:53, on 11/08/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\Ati2evxx.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\system32\Ati2evxx.exe

E:\WINDOWS\system32\spoolsv.exe

E:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

E:\WINDOWS\Explorer.EXE

E:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe

E:\WINDOWS\system32\ctfmon.exe

E:\Arquivos de programas\Internet Download Manager\IDMan.exe

E:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

E:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBService.exe

E:\Arquivos de programas\Internet Download Manager\IEMonitor.exe

E:\Arquivos de programas\Mozilla Firefox\firefox.exe

E:\WINDOWS\AhnRpta.exe

E:\Arquivos de programas\ESET\ESET Online Scanner\OnlineScannerApp.exe

E:\Arquivos de programas\ESET\ESET Online Scanner\OnlineCmdLineScanner.exe

E:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

E:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe

E:\WINDOWS\system32\svchost.exe

E:\Hijackthis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - E:\Arquivos de programas\Internet Download Manager\IDMIECC.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Arquivos de programas\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: IEHlprObj Class - {AF4DA69B-E1D6-469A-855B-6445294857D4} - E:\WINDOWS\system32\ahnxsds0.dll

O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - E:\Arquivos de programas\DAEMON Tools Toolbar\DTToolbar.dll

O4 - HKLM\..\Run: [avgnt] "E:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ahnsoft] E:\WINDOWS\system32\ahnsbsb.exe

O4 - HKCU\..\Run: [iDMan] E:\Arquivos de programas\Internet Download Manager\IDMan.exe /onboot

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Download all links with IDM - E:\Arquivos de programas\Internet Download Manager\IEGetAll.htm

O8 - Extra context menu item: Download FLV video content with IDM - E:\Arquivos de programas\Internet Download Manager\IEGetVL.htm

O8 - Extra context menu item: Download with IDM - E:\Arquivos de programas\Internet Download Manager\IEExt.htm

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://E:\ARQUIV~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Arquivos de programas\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Arquivos de programas\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\ARQUIV~1\MICROS~4\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1249779356781

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - E:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - E:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - E:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMIndexingService.exe

--

End of file - 5801 bytes

DigRam · Agosto 12, 2009

Boa Noite! Reivax

<!> O ideal,para a desinfecção,seria baixar as ferramentas por intermédio de outro computador,mantendo esse desconectado. Desabilite,também,a Restauração do Sistema.

<><><><><><><><><><>

<@> Baixe: < SafeBootKeyRepair >

<@> Salve-a,diretamente,no Disco-local (E).

<@> Execute-a!E,ao terminar,gerará um relatório: E:\SafeBoot_Repair.txt <-- Não poste!

<@> Verifique se já pode entrar,em Modo de Segurança!

<><><><><><><><><><>

<@> Baixe: < AVPTool > ( by Kaspersky Labs )

<@> Salve-o em Arquivos de Programas,e instale-o aí mesmo!

<@> Reinicie o computador,em Modo de Segurança! <-- Importante!

<@> Dê início ao exame,clicando em "Scan".

<@> A verificação é muito demorada. <-- Aguarde!

<@> Caso sejam encontradas infecções,clique em "disinfect" se a opção estiver habilitada.

<@> Ps: Para algumas detecções ( Cracks ou Keygens ),conhecidas,clique em skip.

<@> Evite,para esses casos,a opção "Delete".

<@> Terminando,clique na aba Events.

<@> Desmarque a caixa de seleção "Show all events".

<@> Clique em "Save to file".

<@> Nomeie-o e salve-o no desktop! <-- Relatório para postagem!

<@> Poste,também,HijackThis atualizado.

Abraços!

Reivax · Agosto 12, 2009

Boa noite, DigRam!

Bom, você disse que o scan ia ser demorado, mas nao imaginei que fosse tanto...

Deixei a noite toda, fui trabalhar, cheguei agora a pouco e só tinha scaneado 6% do Micro!

Será que nao teria outra ferramenta (sem querer abusar)?

DigRam · Agosto 13, 2009

Boa noite, DigRam!

Bom, você disse que o scan ia ser demorado, mas nao imaginei que fosse tanto...

Deixei a noite toda, fui trabalhar, cheguei agora a pouco e só tinha scaneado 6% do Micro!

Será que nao teria outra ferramenta (sem querer abusar)?

<><><><><><><><><>

Opa! Reivax

<!> Desmarcou essa caixa: "Show all events" <--

<!> Desmarque-a e repita o scan.

<!> Tendo,ainda,dificuldades utilize primeiro o DrWebCureIt.

<><><><><><><><><>

<@> Baixe: < DrWebCureIt >

<@> Caso tenha dificuldades para o download,utilize outro computador ou proxy.

<@> Vá em: < Proxify >

<@> Digite,na caixa,a URL ao DrWebCureIt.

<@> Clique em Proxify.

<@> Salve a ferramenta no desktop!

<@> Reinicie o computador em Modo de Segurança.

<@> Inicie a instalação/execução,com um duplo-clique em drweb-cureit.

<@> Na janela que abrir,clique em Iniciar --> OK.

<@> Será dado início a "Verificação rápida" --> Feche a janela de propaganda!

<@> Terminando,marque a caixa de "Verificação Completa".

<@> Click em "Options" --> Em Change settings,desmarque a "Heuristic analysis".

Neste modo são verificados os seguintes objectos:

* Sectores de Arranque de Todos os Discos. <--

* Todas as Unidades Removíveis. <--

* Todos os Discos Locais. <--

<@> Clique em "Iniciar verificação" --> Aguarde!

<@> Surgindo mensagens para mover ou desinfectar arquivos,clique em Sim.

<@> Terminando,clique em "Ficheiro" --> "Guardar lista de relatórios".

<@> Procure salvá-lo em um local adequado. ( DrWeb.csv ) <-- Converta em Texto!

<@> Poste: DrWeb.csv + HijackThis,atualizado.

Abraços!

Reivax · Agosto 15, 2009

Opa, beleza?!

Antes de fazer o que você pediu, instalei o Avira versão gratuita, e ele identificou mais de 320 TR/Agent.542720.C, e senti uma leve melhora no sistema. Bom, taí o log do Dr.Web.

A0001670.exe;D:\System Volume Information\_restore{34DA3DC3-4202-435F-A9AC-3C86AF8AA968}\RP13;Trojan.PWS.Wsgame.10150;Eliminado.;

A0001712.exe;D:\System Volume Information\_restore{34DA3DC3-4202-435F-A9AC-3C86AF8AA968}\RP13;Trojan.PWS.Wsgame.10150;Eliminado.;

A0001836.exe;D:\System Volume Information\_restore{34DA3DC3-4202-435F-A9AC-3C86AF8AA968}\RP13;Trojan.PWS.Wsgame.10150;Eliminado.;

A0001842.exe;D:\System Volume Information\_restore{34DA3DC3-4202-435F-A9AC-3C86AF8AA968}\RP14;Trojan.PWS.Wsgame.10150;Eliminado.;

A0001972.exe;D:\System Volume Information\_restore{34DA3DC3-4202-435F-A9AC-3C86AF8AA968}\RP15;Trojan.PWS.Wsgame.10150;Eliminado.;

A0001979.exe;D:\System Volume Information\_restore{34DA3DC3-4202-435F-A9AC-3C86AF8AA968}\RP16;Trojan.PWS.Wsgame.10150;Eliminado.;

A0001643.exe;E:\System Volume Information\_restore{34DA3DC3-4202-435F-A9AC-3C86AF8AA968}\RP13;Trojan.PWS.Wsgame.10150;Eliminado.;

A0001645.dll;E:\System Volume Information\_restore{34DA3DC3-4202-435F-A9AC-3C86AF8AA968}\RP13;Trojan.PWS.Wsgame.11478;Eliminado.;

A0001650.exe;E:\System Volume Information\_restore{34DA3DC3-4202-435F-A9AC-3C86AF8AA968}\RP13;Trojan.PWS.Wsgame.10150;Eliminado.;

A0001662.dll;E:\System Volume Information\_restore{34DA3DC3-4202-435F-A9AC-3C86AF8AA968}\RP13;Trojan.PWS.Wsgame.11478;Eliminado.;

A0001672.exe;E:\System Volume Information\_restore{34DA3DC3-4202-435F-A9AC-3C86AF8AA968}\RP13;Trojan.PWS.Wsgame.10150;Eliminado.;

A0001706.dll;E:\System Volume Information\_restore{34DA3DC3-4202-435F-A9AC-3C86AF8AA968}\RP13;Trojan.PWS.Wsgame.11478;Eliminado.;

A0001714.exe;E:\System Volume Information\_restore{34DA3DC3-4202-435F-A9AC-3C86AF8AA968}\RP13;Trojan.PWS.Wsgame.10150;Eliminado.;

A0001831.dll;E:\System Volume Information\_restore{34DA3DC3-4202-435F-A9AC-3C86AF8AA968}\RP13;Trojan.PWS.Wsgame.11478;Eliminado.;

A0001838.exe;E:\System Volume Information\_restore{34DA3DC3-4202-435F-A9AC-3C86AF8AA968}\RP13;Trojan.PWS.Wsgame.10150;Eliminado.;

A0001844.exe;E:\System Volume Information\_restore{34DA3DC3-4202-435F-A9AC-3C86AF8AA968}\RP14;Trojan.PWS.Wsgame.10150;Eliminado.;

A0001974.exe;E:\System Volume Information\_restore{34DA3DC3-4202-435F-A9AC-3C86AF8AA968}\RP15;Trojan.PWS.Wsgame.10150;Eliminado.;

A0001981.exe;E:\System Volume Information\_restore{34DA3DC3-4202-435F-A9AC-3C86AF8AA968}\RP16;Trojan.PWS.Wsgame.10150;Eliminado.;

A0001984.dll;E:\System Volume Information\_restore{34DA3DC3-4202-435F-A9AC-3C86AF8AA968}\RP16;Trojan.PWS.Wsgame.12342;Eliminado.;

A0001989.exe;E:\System Volume Information\_restore{34DA3DC3-4202-435F-A9AC-3C86AF8AA968}\RP16;Trojan.PWS.Wsgame.10150;Eliminado.;

A0002004.dll;E:\System Volume Information\_restore{34DA3DC3-4202-435F-A9AC-3C86AF8AA968}\RP16;Trojan.PWS.Wsgame.12342;Eliminado.;

A0002366.dll;E:\System Volume Information\_restore{34DA3DC3-4202-435F-A9AC-3C86AF8AA968}\RP21;Trojan.PWS.Wsgame.12342;Eliminado.;

A0002369.bat;E:\System Volume Information\_restore{34DA3DC3-4202-435F-A9AC-3C86AF8AA968}\RP21;Trojan.Nsanti.Packed.56;Incurável.Movido.;

A0002370.dll;E:\System Volume Information\_restore{34DA3DC3-4202-435F-A9AC-3C86AF8AA968}\RP21;Trojan.PWS.Wsgame.11478;Eliminado.;

Hijackthis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:46:09, on 14/08/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\Ati2evxx.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\system32\Ati2evxx.exe

E:\WINDOWS\system32\spoolsv.exe

E:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

E:\WINDOWS\Explorer.EXE

E:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

E:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBService.exe

E:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe

E:\Arquivos de programas\Internet Download Manager\IDMan.exe

E:\Arquivos de programas\Internet Download Manager\IEMonitor.exe

E:\Arquivos de programas\Mozilla Firefox\firefox.exe

E:\WINDOWS\system32\ctfmon.exe

E:\WINDOWS\system32\wuauclt.exe

E:\Documents and Settings\Robson\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - E:\Arquivos de programas\Internet Download Manager\IDMIECC.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Arquivos de programas\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: IEHlprObj Class - {AF4DA69B-E1D6-469A-855B-6445294857D4} - E:\WINDOWS\system32\ahnxsds0.dll (file missing)