Ir para conteúdo

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

Mário Monteiro

[Resolvido] Pen drive infectado

Recommended Posts

Boa noite precisei colocar meu pen drive em um computador diferente durante uma viagem que fiz recentemente

 

Entretanto ele aparentemente foi infectado e todos os arquivos são listados pelo antivirus como infectados e quando aparecem ficam parecendo que são apenas links para arquivos

 

Ainda não conectei o mesmo em meu notebook

 

Gostaria de saber que procedimentos posso fazer para tentar solucionar o caso

Compartilhar este post


Link para o post
Compartilhar em outros sites

Boa Noite! Mário Monteiro

 

> Baixe: 53442913675ab.png
>
> Salve-a no desktop!
> Abra a ferramenta UsbFix >> Clique: Opções

 

UsbFix_Opccedilotildees_zpsa5c8112a.jpg

 

> Marque a caixa "Desativar Autorun/AutoPlay".
> Clique "Aplicar".
> Insira,agora,seu pendrive infectado e na tela principal da ferramenta,clique "Limpar".
> Poste o relatório!

 

A+

Compartilhar este post


Link para o post
Compartilhar em outros sites

############################## | UsbFix V 7.182 | [Limpar]

 

Usuário: Mario (Administrador) # MARIO

Atualizado em 14/09/2014 por El Desaparecido - SosVirus

Começou em 16:51:59 | 19/09/2014

 

Site : http://www.pt.usbfix.net/

Changelog : http://www.usbfix.net/maj/

Asistencia : http://www.sosvirus.net/

Upload Malware : http://www.sosvirus.net/upload_malware.php

Detecção en vivo : http://how-to-remove.us/

Contato : http://www.pt.usbfix.net/contato/

 

################## | System information |

 

MB: Dell Inc. (0GH8WH)

CPU: Intel® Core™ i7-4500U CPU @ 1.80GHz

GC: Intel® HD Graphics Family

GC: NVIDIA GeForce GT 740M

RAM -> [Total : 8096 Mo | Free : 5667 Mo]

Bios: Dell Inc.

Boot: Normal boot

 

OS: Microsoft™ Windows 8.1 Single Language (6.3.9600 64-Bit)

WB: Internet Explorer : 11.00.9600.16384

WB: Google Chrome : 37.0.2062.120

WB: Mozilla Firefox : 32.0.1

 

################## | Security Information |

 

AV: McAfee Anti-Virus and Anti-Spyware [(!) Não ativo |Atualizado]

AV: Windows Defender [Ativo |Atualizado]

AS: McAfee Anti-Virus and Anti-Spyware [(!) Não ativo |Atualizado]

AS: Windows Defender [Ativo |Atualizado]

FW: Windows Firewall [Ativo]

SC: Security Center [Ativo]

WU: Windows Update [Ativo]

 

################## | Disk Information |

 

C:\ (%SystemDrive%) -> Disco fixo # 921 Gb (787 Gb livre - 85%) [OS] # NTFS

F:\ -> Disco removível # 4 Gb (4 Gb livre - 100%) [] # FAT32

 

################## | Procura genérica |

 

Não supprimido ! ... Tentative au redémarrage... F:\COOL.vbs

 

(!) Ficheiros temporários suprimido. (21.6489181518555 MB)

 

################## | Registro |

 

 

################## | Regedit Run |

 

F2 - HKLM\..\Winlogon : [shell] explorer.exe

F2 - [x64] HKLM\..\Winlogon : [shell] explorer.exe

F2 - HKLM\..\Winlogon : [userinit] userinit.exe

F2 - [x64] HKLM\..\Winlogon : [userinit] C:\Windows\system32\userinit.exe,

04 - HKCU\..\Run : [GoogleDriveSync] "C:\Program Files (x86)\Google\Drive\googledrivesync.exe" /autostart

04 - HKCU\..\Run : [CCleaner] "C:\Program Files\CCleaner\CCleaner64.exe" /AUTO

04 - HKLM\..\Run : [mcpltui_exe] "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey

04 - HKLM\..\Run : [bCSSync] "C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe" /DelayServices

04 - HKLM\..\Run : [sunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"

04 - HKLM\..\Policies\Explorer\run : [btvStack] "C:\Program Files (x86)\Dell Wireless\Bluetooth Suite\BtvStack.exe"

04 - [x64] HKLM\..\Run : [RTHDVCPL] "C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe" -s

04 - [x64] HKLM\..\Run : [RtHDVBg] "C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe" /MAXX4P1

04 - [x64] HKLM\..\Run : [RtHDVBg_PushButton] "C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe" /IM

04 - [x64] HKLM\..\Run : [iAStorIcon] "C:\Program Files\Intel\Intel® Rapid Storage Technology\IAStorIconLaunch.exe" "C:\Program Files\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe" 60

04 - [x64] HKLM\..\Run : [QuickSet] c:\Program Files\Dell\QuickSet\QuickSet.exe

04 - [x64] HKLM\..\Run : [igfxTray] "C:\Windows\system32\igfxtray.exe"

04 - [x64] HKLM\..\Run : [HotKeysCmds] "C:\Windows\system32\hkcmd.exe"

04 - [x64] HKLM\..\Run : [Persistence] "C:\Windows\system32\igfxpers.exe"

04 - [x64] HKLM\..\Run : [shadowPlay] C:\Windows\system32\rundll32.exe C:\Windows\system32\nvspcap64.dll,ShadowPlayOnSystemStart

04 - [x64] HKLM\..\Run : [NvBackend] "C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe"

04 - [x64] HKLM\..\Policies\Explorer\run : [btvStack] "C:\Program Files (x86)\Dell Wireless\Bluetooth Suite\BtvStack.exe"

04 - HKU\S-1-5-21-3056077811-389232429-1466393426-1002\..\Run : [GoogleDriveSync] "C:\Program Files (x86)\Google\Drive\googledrivesync.exe" /autostart

04 - HKU\S-1-5-21-3056077811-389232429-1466393426-1002\..\Run : [CCleaner] "C:\Program Files\CCleaner\CCleaner64.exe" /AUTO

 

################## | UsbFix - Informação |

 

Info : Como remover o vírus do atalho no disco flash (Vídeo)

Info : Atalho vírus no disco flash, que é isso?

 

################## | Hijack |

 

Restorado! [N] F:\Novo Documento de Texto.txt

Restorado! [N] F:\Novo Documento de Texto (2).txt

 

################## | Vaccin |

 

C:\Autorun.inf -> Vacina criada por UsbFix (El Desaparecido)

F:\Autorun.inf -> Vacina criada por UsbFix (El Desaparecido)

 

################## | E.O.F | http://www.sosvirus.net/ | http://www.pt.usbfix.net/ |

Removi o pen drive e aguardo novas orientações para saber se posso voltar a inseri-lo novamente

Compartilhar este post


Link para o post
Compartilhar em outros sites

Boa Tarde! Mario Monteiro

 

> Seu pendrive,ainda,está infectado!
> Coloquei no caminho ao COOL.vbs,seu nome de usuário "Mario". Corrija se estiver incorreto!
>
> C:\Users\Mario << ?
>
> Baixe: < smeenk_nick_zpscd4dfd37.jpg > ( ... by smeenk )

>

> Salve-a no desktop! << Importante!
> Copie este script,que está em vermelho,para o Bloco de Notas.
> Salve-o no desktop,com o nome ZAScript. << Texto!

 

C:\Users\Mario\AppData\Roaming\Microsoft\Windows\Menu Iniciar\Programas\Startup\COOL.vbs;f
C:\Users\Mario\AppData\Roaming\COOL.vbs;f
F:\COOL.vbs;f

F:\COOL.vbs;fs
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\Run\COOL.vbs];r64
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\Run\COOL.vbs];r

 

> Feche o navegador! << Importante!
> Desabilite seu antivírus,para que não detecte a ferramenta.
> Insira seu pendrive,com a tecla shift apertada,para que não ocorra auto-inicialização do pendrive.
> Execute a ferramenta ZA-Scan.exe e aguarde sua conclusão!
> Confirme o reboot e poste o relatório ao concluir! ( C:\zoek-results.log )

 

Abs!

Compartilhar este post


Link para o post
Compartilhar em outros sites

C:\Users\Mario\AppData\Roaming\Microsoft\Windows\Menu Iniciar\Programas\Startup\COOL.vbs;f

C:\Users\Mario\AppData\Roaming\COOL.vbs;f

F:\COOL.vbs;f

F:\COOL.vbs;fs

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\Run\COOL.vbs];r64

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\Run\COOL.vbs];r

 

É para trocar todas as ocorrencias de COOL.vbs acima para o nome de usuario?

 

Não ficou bem claro isso

-----------

 

Ou é para trocar onde aparece

 

C:\Users\Mario\

 

Para o caminho correto?

 

Vou testar da segunda forma assim o texto que postou já está correto

Compartilhar este post


Link para o post
Compartilhar em outros sites

 

Vou testar da segunda forma assim o texto que postou já está correto

Boa Noite! Mário Monteiro

 

> Então acertei seu nome de usuário e vc não precisa alterar nada!

 

A+

Compartilhar este post


Link para o post
Compartilhar em outros sites

Acho que não deu muito certo

 

Não foi encontrado algumas coisas e consequentemente não deu reboot

 

ZA-Scan V1.0.0.3 Updated 20-September-2014

Tool run by Mario on 19/09/2014 at 21:57:13,12.

Microsoft Windows 8.1 Single Language 6.3.9600 x64

Running in: Normal Mode Internet Access Detected

Launched: C:\Users\Mario\Desktop\ZA-Scan.exe

Script used: C:\Users\Mario\Desktop\ZAScript.txt

 

==== Registry Fix Code ======================

 

Windows Registry Editor Version 5.00

 

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\Run\COOL.vbs]

 

==== Registry Fix Code x64 ======================

 

Windows Registry Editor Version 5.00

 

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\Run\COOL.vbs]

 

==== Deleting Files \ Folders ======================

 

F:\COOL.vbs not found

"C:\Users\Mario\AppData\Roaming\Microsoft\Windows\Menu Iniciar\Programas\Startup\COOL.vbs" not found

"C:\Users\Mario\AppData\Roaming\COOL.vbs" not found

"F:\COOL.vbs" not found

 

==== EOF on 19/09/2014 at 21:57:47,83 ======================

Compartilhar este post


Link para o post
Compartilhar em outros sites

 

Acho que não deu muito certo

Não foi encontrado algumas coisas e consequentemente não deu reboot

Boa Noite! Mário Monteiro

 

> Apenas nos mostra que UsbFix removeu o COOL.vbs em seu reboot.

> Seu computador está limpo e seu pendrive também está limpo.

> Caso queira,vc pode confirmar com UsbFix em modo diagnóstico.

> Mas com o pendrive inserido e sem autoinicializar.

 

A+

Compartilhar este post


Link para o post
Compartilhar em outros sites

############################## | UsbFix V 7.182 | [Pesquisa]

 

Usuário: Mario (Administrador) # MARIO

Atualizado em 14/09/2014 por El Desaparecido - SosVirus

Começou em 22:12:16 | 20/09/2014

 

Site : http://www.pt.usbfix.net/

Changelog : http://www.usbfix.net/maj/

Asistencia : http://www.sosvirus.net/

Upload Malware : http://www.sosvirus.net/upload_malware.php

Detecção en vivo : http://how-to-remove.us/

Contato : http://www.pt.usbfix.net/contato/

 

################## | System information |

 

MB: Dell Inc. (0GH8WH)

CPU: Intel® Core™ i7-4500U CPU @ 1.80GHz

GC: Intel® HD Graphics Family

GC: NVIDIA GeForce GT 740M

RAM -> [Total : 8096 Mo | Free : 5425 Mo]

Bios: Dell Inc.

Boot: Normal boot

 

OS: Microsoft™ Windows 8.1 Single Language (6.3.9600 64-Bit)

WB: Internet Explorer : 11.00.9600.16384

WB: Google Chrome : 37.0.2062.120

WB: Mozilla Firefox : 32.0.1

 

################## | Security Information |

 

AV: McAfee Anti-Virus and Anti-Spyware [(!) Não ativo |Atualizado]

AV: Windows Defender [Ativo |Atualizado]

AS: McAfee Anti-Virus and Anti-Spyware [(!) Não ativo |Atualizado]

AS: Windows Defender [Ativo |Atualizado]

FW: Windows Firewall [Ativo]

SC: Security Center [Ativo]

WU: Windows Update [Ativo]

 

################## | Disk Information |

 

C:\ (%SystemDrive%) -> Disco fixo # 921 Gb (787 Gb livre - 85%) [OS] # NTFS

F:\ -> Disco removível # 4 Gb (4 Gb livre - 100%) [] # FAT32

 

################## | Regedit Run |

 

F2 - HKLM\..\Winlogon : [shell] explorer.exe

F2 - [x64] HKLM\..\Winlogon : [shell] explorer.exe

F2 - HKLM\..\Winlogon : [userinit] userinit.exe

F2 - [x64] HKLM\..\Winlogon : [userinit] C:\Windows\system32\userinit.exe,

04 - HKCU\..\Run : [GoogleDriveSync] "C:\Program Files (x86)\Google\Drive\googledrivesync.exe" /autostart

04 - HKCU\..\Run : [CCleaner] "C:\Program Files\CCleaner\CCleaner64.exe" /AUTO

04 - HKLM\..\Run : [mcpltui_exe] "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey

04 - HKLM\..\Run : [bCSSync] "C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe" /DelayServices

04 - HKLM\..\Run : [sunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"

04 - HKLM\..\Policies\Explorer\run : [btvStack] "C:\Program Files (x86)\Dell Wireless\Bluetooth Suite\BtvStack.exe"

04 - [x64] HKLM\..\Run : [RTHDVCPL] "C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe" -s

04 - [x64] HKLM\..\Run : [RtHDVBg] "C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe" /MAXX4P1

04 - [x64] HKLM\..\Run : [RtHDVBg_PushButton] "C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe" /IM

04 - [x64] HKLM\..\Run : [iAStorIcon] "C:\Program Files\Intel\Intel® Rapid Storage Technology\IAStorIconLaunch.exe" "C:\Program Files\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe" 60

04 - [x64] HKLM\..\Run : [QuickSet] c:\Program Files\Dell\QuickSet\QuickSet.exe

04 - [x64] HKLM\..\Run : [igfxTray] "C:\Windows\system32\igfxtray.exe"

04 - [x64] HKLM\..\Run : [HotKeysCmds] "C:\Windows\system32\hkcmd.exe"

04 - [x64] HKLM\..\Run : [Persistence] "C:\Windows\system32\igfxpers.exe"

04 - [x64] HKLM\..\Run : [shadowPlay] C:\Windows\system32\rundll32.exe C:\Windows\system32\nvspcap64.dll,ShadowPlayOnSystemStart

04 - [x64] HKLM\..\Run : [NvBackend] "C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe"

04 - [x64] HKLM\..\Policies\Explorer\run : [btvStack] "C:\Program Files (x86)\Dell Wireless\Bluetooth Suite\BtvStack.exe"

04 - HKU\S-1-5-21-3056077811-389232429-1466393426-1002\..\Run : [GoogleDriveSync] "C:\Program Files (x86)\Google\Drive\googledrivesync.exe" /autostart

04 - HKU\S-1-5-21-3056077811-389232429-1466393426-1002\..\Run : [CCleaner] "C:\Program Files\CCleaner\CCleaner64.exe" /AUTO

 

################## | Procura genérica |

 

 

################## | Registro |

 

 

################## | UsbFix - Informação |

 

Info : Como remover o vírus do atalho no disco flash (Vídeo)

Info : Atalho vírus no disco flash, que é isso?

 

################## | Hijack |

 

 

################## | E.O.F | http://www.sosvirus.net/ | http://www.pt.usbfix.net/ |

Compartilhar este post


Link para o post
Compartilhar em outros sites

Boa Noite! Mário Monteiro

 

> O relatório veio limpo!

> Podes utilizar seu pendrive tranquilamente...

>

> Bom trabalho! :thumbsup:

 

A+

Compartilhar este post


Link para o post
Compartilhar em outros sites

Muito obrigado

Compartilhar este post


Link para o post
Compartilhar em outros sites

PROBLEMA RESOLVIDO

 

Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.

×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.