Publicado em 18 de set.

[Resolvido] Pen drive infectado

Boa noite precisei colocar meu pen drive em um computador diferente durante uma viagem que fiz recentemente

Entretanto ele aparentemente foi infectado e todos os arquivos são listados pelo antivirus como infectados e quando aparecem ficam parecendo que são apenas links para arquivos

Ainda não conectei o mesmo em meu notebook

Gostaria de saber que procedimentos posso fazer para tentar solucionar o caso

Discussão (11)

Entre ou cadastre-se para participar da discussão

Entrar Criar conta

DigRam· 18 de set.

Boa Noite! Mário Monteiro

Baixe: /applications/core/interface/imageproxy/imageproxy.php?img=http://www.en.usbfix.net/wp-content/plugins/wpdm-download-button/images/53442913675ab.png&key=23e89e44ec93bb0919c57246d43d86c3a30782905d11493408697ed05cdcc5e8" alt="53442913675ab.png" />

Salve-a no desktop!
Abra a ferramenta UsbFix >> Clique: Opções

/applications/core/interface/imageproxy/imageproxy.php?img=http://i1143.photobucket.com/albums/n629/j2ram/My%2520Tools%25203/My%2520Tools%25204/UsbFix_Opccedilotildees_zpsa5c8112a.jpg&key=c02a9cbb09a6884ec37dabc3958d13c9d9ca3d41bde00c49e601cdffa3991669" alt="UsbFix_Opccedilotildees_zpsa5c8112a.jpg" />

Marque a caixa "Desativar Autorun/AutoPlay".
Clique "Aplicar".
Insira,agora,seu pendrive infectado e na tela principal da ferramenta,clique "Limpar".
Poste o relatório!

A+

Mário Monteiro· 19 de set.

>
############################## | UsbFix V 7.182 | [Limpar]

Usuário: Mario (Administrador) # MARIO

Atualizado em 14/09/2014 por El Desaparecido - SosVirus

Começou em 16:51:59 | 19/09/2014

Site : http://www.pt.usbfix.net/

Changelog : http://www.usbfix.net/maj/

Asistencia : http://www.sosvirus.net/

Upload Malware : http://www.sosvirus.net/upload_malware.php

Detecção en vivo : http://how-to-remove.us/

Contato : http://www.pt.usbfix.net/contato/

################## | System information |

MB: Dell Inc. (0GH8WH)

CPU: Intel® Core i7-4500U CPU @ 1.80GHz

GC: Intel® HD Graphics Family

GC: NVIDIA GeForce GT 740M

RAM -> [Total : 8096 Mo | Free : 5667 Mo]

Bios: Dell Inc.

Boot: Normal boot

OS: Microsoft™ Windows 8.1 Single Language (6.3.9600 64-Bit)

WB: Internet Explorer : 11.00.9600.16384

WB: Google Chrome : 37.0.2062.120

WB: Mozilla Firefox : 32.0.1

################## | Security Information |

AV: McAfee Anti-Virus and Anti-Spyware [(!) Não ativo |Atualizado]

AV: Windows Defender [Ativo |Atualizado]

AS: McAfee Anti-Virus and Anti-Spyware [(!) Não ativo |Atualizado]

AS: Windows Defender [Ativo |Atualizado]

FW: Windows Firewall [Ativo]

SC: Security Center [Ativo]

WU: Windows Update [Ativo]

################## | Disk Information |

C:\ (%SystemDrive%) -> Disco fixo # 921 Gb (787 Gb livre - 85%) [OS] # NTFS

F:\ -> Disco removível # 4 Gb (4 Gb livre - 100%) [] # FAT32

################## | Procura genérica |

Não supprimido ! ... Tentative au redémarrage... F:\COOL.vbs

(!) Ficheiros temporários suprimido. (21.6489181518555 MB)

################## | Registro |

################## | Regedit Run |

F2 - HKLM\..\Winlogon : [shell] explorer.exe

F2 - [x64] HKLM\..\Winlogon : [shell] explorer.exe

F2 - HKLM\..\Winlogon : [userinit] userinit.exe

F2 - [x64] HKLM\..\Winlogon : [userinit] C:\Windows\system32\userinit.exe,

04 - HKCU\..\Run : [GoogleDriveSync] "C:\Program Files (x86)\Google\Drive\googledrivesync.exe" /autostart

04 - HKCU\..\Run : [CCleaner] "C:\Program Files\CCleaner\CCleaner64.exe" /AUTO

04 - HKLM\..\Run : [mcpltui_exe] "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey

04 - HKLM\..\Run : [bCSSync] "C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe" /DelayServices

04 - HKLM\..\Run : [sunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"

04 - HKLM\..\Policies\Explorer\run : [btvStack] "C:\Program Files (x86)\Dell Wireless\Bluetooth Suite\BtvStack.exe"

04 - [x64] HKLM\..\Run : [RTHDVCPL] "C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe" -s

04 - [x64] HKLM\..\Run : [RtHDVBg] "C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe" /MAXX4P1

04 - [x64] HKLM\..\Run : [RtHDVBg_PushButton] "C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe" /IM

04 - [x64] HKLM\..\Run : [iAStorIcon] "C:\Program Files\Intel\Intel® Rapid Storage Technology\IAStorIconLaunch.exe" "C:\Program Files\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe" 60

04 - [x64] HKLM\..\Run : [QuickSet] c:\Program Files\Dell\QuickSet\QuickSet.exe

04 - [x64] HKLM\..\Run : [igfxTray] "C:\Windows\system32\igfxtray.exe"

04 - [x64] HKLM\..\Run : [HotKeysCmds] "C:\Windows\system32\hkcmd.exe"

04 - [x64] HKLM\..\Run : [Persistence] "C:\Windows\system32\igfxpers.exe"

04 - [x64] HKLM\..\Run : [shadowPlay] C:\Windows\system32\rundll32.exe C:\Windows\system32\nvspcap64.dll,ShadowPlayOnSystemStart

04 - [x64] HKLM\..\Run : [NvBackend] "C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe"

04 - [x64] HKLM\..\Policies\Explorer\run : [btvStack] "C:\Program Files (x86)\Dell Wireless\Bluetooth Suite\BtvStack.exe"

04 - HKU\S-1-5-21-3056077811-389232429-1466393426-1002\..\Run : [GoogleDriveSync] "C:\Program Files (x86)\Google\Drive\googledrivesync.exe" /autostart

04 - HKU\S-1-5-21-3056077811-389232429-1466393426-1002\..\Run : [CCleaner] "C:\Program Files\CCleaner\CCleaner64.exe" /AUTO

################## | UsbFix - Informação |

Info : Como remover o vírus do atalho no disco flash (Vídeo)

Info : Atalho vírus no disco flash, que é isso?

################## | Hijack |

Restorado! [N] F:\Novo Documento de Texto.txt

Restorado! [N] F:\Novo Documento de Texto (2).txt

################## | Vaccin |

C:\Autorun.inf -> Vacina criada por UsbFix (El Desaparecido)

F:\Autorun.inf -> Vacina criada por UsbFix (El Desaparecido)

################## | E.O.F | http://www.sosvirus.net/ | http://www.pt.usbfix.net/ |

Removi o pen drive e aguardo novas orientações para saber se posso voltar a inseri-lo novamente

DigRam· 19 de set.

Boa Tarde! Mario Monteiro

Seu pendrive,ainda,está infectado!
Coloquei no caminho ao COOL.vbs,seu nome de usuário "Mario". Corrija se estiver incorreto!

C:\Users\Mario << ?

Baixe: < /applications/core/interface/imageproxy/imageproxy.php?img=http://i1143.photobucket.com/albums/n629/j2ram/My%2520Tools%25203/My%2520Tools%25204/smeenk_nick_zpscd4dfd37.jpg&key=893bd0776ef3b7e97d6fbb06db4836732ba16ff0107e60528a0b4ae83c486ef9" alt="smeenk_nick_zpscd4dfd37.jpg" /> > ( ... by smeenk )

Salve-a no desktop! << Importante!
Copie este script,que está em vermelho,para o Bloco de Notas.
Salve-o no desktop,com o nome ZAScript. << Texto!

C:\Users\Mario\AppData\Roaming\Microsoft\Windows\Menu Iniciar\Programas\Startup\COOL.vbs;f
C:\Users\Mario\AppData\Roaming\COOL.vbs;f
F:\COOL.vbs;f

F:\COOL.vbs;fs
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\Run\COOL.vbs];r64
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\Run\COOL.vbs];r

Feche o navegador! << Importante!
Desabilite seu antivírus,para que não detecte a ferramenta.
Insira seu pendrive,com a tecla shift apertada,para que não ocorra auto-inicialização do pendrive.
Execute a ferramenta ZA-Scan.exe e aguarde sua conclusão!
Confirme o reboot e poste o relatório ao concluir! ( C:\zoek-results.log )

Abs!

Mário Monteiro· 19 de set.

C:\Users\Mario\AppData\Roaming\Microsoft\Windows\Menu Iniciar\Programas\Startup\COOL.vbs;f

C:\Users\Mario\AppData\Roaming\COOL.vbs;f

F:\COOL.vbs;f

F:\COOL.vbs;fs

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\Run\COOL.vbs];r64

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\Run\COOL.vbs];r

É para trocar todas as ocorrencias de COOL.vbs acima para o nome de usuario?

Não ficou bem claro isso

-----------

Ou é para trocar onde aparece

C:\Users\Mario\

Para o caminho correto?

Vou testar da segunda forma assim o texto que postou já está correto

DigRam· 19 de set.

Vou testar da segunda forma assim o texto que postou já está correto

Boa Noite! Mário Monteiro

Então acertei seu nome de usuário e vc não precisa alterar nada!

A+

Mário Monteiro· 20 de set.

Acho que não deu muito certo

Não foi encontrado algumas coisas e consequentemente não deu reboot

>
ZA-Scan V1.0.0.3 Updated 20-September-2014

Tool run by Mario on 19/09/2014 at 21:57:13,12.

Microsoft Windows 8.1 Single Language 6.3.9600 x64

Running in: Normal Mode Internet Access Detected

Launched: C:\Users\Mario\Desktop\ZA-Scan.exe

Script used: C:\Users\Mario\Desktop\ZAScript.txt

==== Registry Fix Code ======================

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\Run\COOL.vbs]

==== Registry Fix Code x64 ======================

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\Run\COOL.vbs]

==== Deleting Files \ Folders ======================

F:\COOL.vbs not found

"C:\Users\Mario\AppData\Roaming\Microsoft\Windows\Menu Iniciar\Programas\Startup\COOL.vbs" not found

"C:\Users\Mario\AppData\Roaming\COOL.vbs" not found

"F:\COOL.vbs" not found

==== EOF on 19/09/2014 at 21:57:47,83 ======================

DigRam· 20 de set.

Acho que não deu muito certo

Não foi encontrado algumas coisas e consequentemente não deu reboot

Boa Noite! Mário Monteiro

Apenas nos mostra que UsbFix removeu o COOL.vbs em seu reboot.
Seu computador está limpo e seu pendrive também está limpo.
Caso queira,vc pode confirmar com UsbFix em modo diagnóstico.
Mas com o pendrive inserido e sem autoinicializar.

A+

Mário Monteiro· 21 de set.

>
############################## | UsbFix V 7.182 | [Pesquisa]

Usuário: Mario (Administrador) # MARIO

Atualizado em 14/09/2014 por El Desaparecido - SosVirus

Começou em 22:12:16 | 20/09/2014

Site : http://www.pt.usbfix.net/

Changelog : http://www.usbfix.net/maj/

Asistencia : http://www.sosvirus.net/

Upload Malware : http://www.sosvirus.net/upload_malware.php

Detecção en vivo : http://how-to-remove.us/

Contato : http://www.pt.usbfix.net/contato/

################## | System information |

MB: Dell Inc. (0GH8WH)

CPU: Intel® Core i7-4500U CPU @ 1.80GHz

GC: Intel® HD Graphics Family

GC: NVIDIA GeForce GT 740M

RAM -> [Total : 8096 Mo | Free : 5425 Mo]