[Arquivado]Problemas com virus!

Betone · Agosto 22, 2007

Há mais ou menos uma semana estou tentando acabar com uma verdadeira infestação de virus na minha máquina, no começo o AVAST detectou 26000 virus e conseguiu excluir 14000, agora só faltam 12000 e o pior é que não consigo instalar nenhum outro antivirus! O que fazer???

Logfile of HijackThis v1.99.1

Scan saved at 19:39:21, on 22/8/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\cmd.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Java\jre1.5.0_10\bin\jusched.exe

C:\WINDOWS\verify.exe

C:\STARR1\wsys.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\Uniblue\RegistryBooster 2\RegistryBooster.exe

C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\Wapp.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\DOCUME~1\ALLUSE~1\DADOSD~1\Yahoo!\MESSEN~1\ymsgr_tray.exe

C:\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://br.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://br.yahoo.com

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Documents and Settings\All Users\Dados de aplicativos\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Documents and Settings\All Users\Dados de aplicativos\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll (file missing)

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Documents and Settings\All Users\Dados de aplicativos\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [win] C:\WINDOWS\verify.exe

O4 - HKLM\..\Run: [winlogon] C:\WINDOWS\csrss.exe

O4 - HKLM\..\Run: [settings] C:\Arquivos de programas\System\Prefetch.exe

O4 - HKLM\..\Run: [windll] C:\STARR1\wsys.exe

O4 - HKLM\..\Run: [Wapp] C:\Arquivos de programas\Wapp.exe

O4 - HKLM\..\Run: [synchronization Agent] C:\Arquivos de programas\Sync Manager\agent\syncagent.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\DOCUME~1\ALLUSE~1\DADOSD~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

O4 - HKCU\..\Run: [swg] C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe

O4 - HKCU\..\Run: [uniblue RegistryBooster 2] C:\Arquivos de programas\Uniblue\RegistryBooster 2\RegistryBooster.exe/S /S

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Wapp.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: sfklg.dll

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll

O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - (no file)

Desde já muito obrigado!!! :!:

jgarcia · Agosto 24, 2007

Opa Betone,

1. Baixe o BankerFix.

2. Desative o seu anti-vírus temporariamente.

3. Dê um duplo-clique sobre o bankerfix.exe. Uma mensagem aparecerá avisando que o mesmo será baixado via internet. Clique em Ok -> Ok. Aperte Enter e aguarde o término do scan.

4. Terminado o scan, leia a mensagem na tela e aperte Enter novamente.

5. Habilite o seu anti-vírus.

6. Retorne com um novo log do HijackThis, juntamente com o relatorio.txt do BankerFix (ele estará em C:\LinhaDefensiva\).

7. Depois de postar a sua resposta você poderá deletar a pasta LinhaDefensiva contida no C.

Abraços.

Betone · Agosto 27, 2007

Olá JGarcia!

Você pediu para desabilitar meu antivirus, na verdade como já não serviam para nada mesmo eu resolvi desinstalar todos! Mas o problema não é esse!

Após baixar o BankerFix, deparei-me com a seguinte mensagem!

"O BankerFix será agora baixado da internet certifique-se de que sua conexão está funcionando completamente e clique em OK!"

"O BankerFix não conseguiu baixar as informações da nova versão. Verifique sua conexão com a internet"

"Não foi possível baixar a atualização. Verifique sua conexão com a internet"

Resumindo, não conseguí executar o BankerFix, apesar de que ele criou a pasta linha defensiva no C: e copiou alguns programas para lá, por exemplo:

Dowload

Iniciar BankerFix

Md5

Pv

Unzip

Version

Perdoe-me a ignorância, mas aonde foi que eu errei??? :upset:

jgarcia · Agosto 27, 2007

Opa Betone,

Siga as instruções deste tutorial e retorne com o resultado.

Poste ainda um novo log do HijackThis.

Abraços.

Betone · Agosto 29, 2007

jgarcia · Agosto 30, 2007

Opa Betone,

Rapaz, quanta praga! :skull:

Bem, vamos lá.

Habilite o Windows para mostrar todos os arquivos (até ocultos).

1ª Etapa

Baixe o Killbox em:

Killbox

Baixe, mas não execute ainda.

Baixe a ferramenta de correção da Symantec.

Baixe -> vá em Arquivo -> Salvar como em seu desktop, mas não a execute ainda.

Baixe o CCleaner em:

CCleaner

Baixe, mas não execute ainda.

2ª Etapa

1. Execute o Killbox, clique em Delete on Reboot.

2. Copie a lista abaixo em negrito para a área de transferência. Selecione tudo com o auxílio do mouse --> vá até a aba Editar na barra do navegador --> clique em Copiar.

C:\DOCUMENTS AND SETTINGS\ADMINISTRA\DADOS DE APLICATIVOS\HIDIRES\HIDR.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRA\DADOS DE APLICATIVOS\HIDIRES\ROSA.SYS

C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\Wapp.exe

C:\Arquivos de programas\System\Prefetch.exe

C:\Arquivos de programas\Wapp.exe

C:\WINDOWS\system32\28463\AKV.exe

C:\WINDOWS\system32\28463\UAEY.003

C:\WINDOWS\system32\28463\UAEY.004

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT

C:\WINDOWS\pss\Wapp.exe

C:\WINDOWS\verify.exe

C:\WINDOWS\csrss.exe

C:\WINDOWS\9129837.exe

C:\WINDOWS\systeo1.exe

C:\STARR1\wsys.exe

C:\Downloads\Driver-dm[1].exe

3. Retorne ao Killbox. Clique em File > Paste from clipboard. Clique em All Files.

4. Aperte em "X". Responda "não" à pergunta.

3ª Etapa

Reinicie o computador em Modo Normal.

Execute a ferramenta de correção. Para isto dê um clique-direito sobre UnHookExec.inf contido em seu desktop e depois clique em instalar.

Vá em Iniciar -> Executar -> digite regedit -> dê Ok.

Navegue e delete as seguintes subchaves, se houver:

HKEY_CURRENT_USER\Software\FirstRRRun

HKEY_CURRENT_USER\Software\FIRSTRUXZX

Navegue até a seguinte subchave:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

No painel à direita, delete os seguintes valores, se houver:

"drvsyskit" = "%Userprofiles%\Application Data\hidires\hidr.exe"

"drvsyskit" = "%Userprofiles%\Application Data\hidires\m_hook.sys"

"drvsyskit" = "%Userprofiles%\Application Data\hidires\rosa.sys"

"drvsyskit" = "%Userprofiles%\Application Data\hidn\hidn2.exe"

"german.exe" = "%System%\wintems.exe"

"hldrrr" = "%System%\hldrrr.exe"

Navegue até a seguinte subchave:

HKEY_CURRENT_USER\Software\DateTime4

No painel à direita, restaure os seguintes valores originais, se necessário:

"port" = "0x5B7E"

"uid" = "[RANDOM]"

"wdrn" = "0x00000001"

Navegue até a seguinte subchave:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

Selecione a pasta (Control) -> dê um clique-direito -> Novo -> Chave -> coloque o nome de Safeboot.

Criada a pasta Safeboot, a selecione -> dê um clique-direito -> Novo -> Valor da sequência -> dê o nome de AlternateShell.

No painel à direita selecione AlternateShell -> dê um clique-direito -> Modificar -> no local destinado ao valor coloque cmd.exe.

Saia do Editor do Registro.

Localize e delete:

C:\DOCUMENTS AND SETTINGS\ADMINISTRA\DADOS DE APLICATIVOS\HIDIRES <- a pasta

C:\WINDOWS\exefld <- a pasta

C:\WINDOWS\system32\28463 <- a pasta

Vá até a pasta C:\!Killbox e delete o conteúdo.

4ª Etapa

Execute o HijackThis, clique em Do a system scan only e marque:

O4 - HKLM\..\Run: [win] C:\WINDOWS\verify.exe
O4 - HKLM\..\Run: [winlogon] C:\WINDOWS\csrss.exe

O4 - HKLM\..\Run: [settings] C:\Arquivos de programas\System\Prefetch.exe

O4 - HKLM\..\Run: [windll] C:\STARR1\wsys.exe

O4 - HKLM\..\Run: [Wapp] C:\Arquivos de programas\Wapp.exe

O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe

O4 - Global Startup: Wapp.exe

O20 - AppInit_DLLs: sfklg.dll

Clique em Fix Checked.

5ª Etapa

Reinicie em Modo Normal novamente.

Execute o CCleaner e clique em Executar Cleaner.

Retorne com um novo log do HijackThis e verifique se a máquina já está reiniciando em Modo Seguro.

Aguardo retorno.

Um abraço.

Betone · Agosto 30, 2007

:thumbsup: Caro JGarcia.

Aqui está o log como solicitado!

Logfile of HijackThis v1.99.1

Scan saved at 19:37:16, on 30/8/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\cmd.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Java\jre1.5.0_10\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\HijackThis.exe