[Resolvido!] vírus avg.exe

[rhebeka 0]

eu acabei de achar esse arquivo no disco local e não sei o que fazer; não posso excluí-lo e aparecem duas mensagens de erro quando ligo o computador!

 

se alguém puder me dizer o que fazer, ficarei muito grata.

[Sam Spade 2]

Olá rhebeka! Baixe > HijackThis

 

Abra uma pasta em C:\ e salve nela.

 

Quando abrir a ferramenta, clique em "Do a system scan and save a logfile". Selecione, copie todo o seu conteúdo e cole na sua próxima resposta.

[rhebeka 0]

Logfile of HijackThis v1.99.1

Scan saved at 01:40:24, on 6/9/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Eset\nod32krn.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\pctspk.exe

C:\Arquivos de programas\Ahead\InCD\InCD.exe

C:\Arquivos de programas\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe

C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

C:\Arquivos de programas\Velox\Manager\desp2k.exe

C:\Arquivos de programas\Java\jre1.6.0_05\bin\jusched.exe

C:\Arquivos de programas\Winamp\winampa.exe

C:\Arquivos de programas\QuickTime\qttask.exe

C:\Arquivos de programas\Eset\nod32kui.exe

C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\system32\sistray.exe

C:\Arquivos de programas\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqimzone.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Arquivos de programas\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

C:\Arquivos de programas\avg.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Arquivos de programas\Windows Live\Messenger\usnsvc.exe

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Nova pasta\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://awesomestart.com/mcfly/

R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Arquivos de programas\AskSBar\bar\1.bin\ASKSBAR.DLL

O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Arquivos de programas\AskSBar\bar\1.bin\ASKSBAR.DLL

O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [inCD] C:\Arquivos de programas\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [ulead Memory Card Detector] C:\Arquivos de programas\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [desp2k] C:\Arquivos de programas\Velox\Manager\desp2k.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Arquivos de programas\Winamp\winampa.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [nod32kui] "C:\Arquivos de programas\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [avg] C:\Arquivos de programas\avg.exe

O4 - HKLM\..\Run: [] C:\Windows\System32\Decrite.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Arquivos de programas\eMule\emule.exe -AutoStart

O4 - HKCU\..\Run: [MicrosoftUpgrade] C:\WINDOWS\inetinfx.exe

O4 - Startup: Ferramenta de Verificação de Mídia do Cyber-shot Viewer.lnk = C:\Arquivos de programas\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe

O4 - Global Startup: avg.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicialização rápida do HP Image Zone.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://img4.orkut.com/activex/10036/photouploader.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab56986.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/PT-BR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/Facebo...otoUploader.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab56986.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{7946D8FB-80F1-40AC-AF30-5038771D61BD}: NameServer = 200.149.55.142 200.165.132.154

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

O23 - Service: iPod Service - Unknown owner - C:\Arquivos de programas\iPod\bin\iPodService.exe (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Arquivos de programas\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

[Sam Spade 2]

OK, o log mostra uma infecção por trojans banker. Este trojan captura senhas e as envia para um hacker. É recomendável que troque as mesmas, depois que limpar o PC.

 

Baixe > BankerFix

 

Salve ou imprima estas instruções:

 

1 - É aconselhável que desinstale a AskSBar. Veja porque neste link abaixo:

 

http://www.benedelman.org/spyware/ask-toolbars/

 

2 - Desative o seu anti vírus temporariamente, para não haver conflitos.

 

• Clique com o direito no ícone do Nod32, ao lado do relógio
  
• Clique em
  
• Vá em Iniciar > Executar e digite services.msc
  
• Na próxima janela, role o painel do lado direito e localize Nod32 Kernel Service.
  
• Dê um duplo clique para abrir as propriedades. Em tipo de inicialização, escolha Desativado.
  
• Clique em Aplicar e depois em OK
  
• Feche a janela.
  

Quando terminar os procedimentos, torne a ativar o Nod32

 

Para ativá-lo:

• Vá em Iniciar > Executar e digite services.msc
  
• Na próxima janela, role o painel do lado direito e localize Nod32 Kernel Service.
  
• Dê um duplo clique para abrir as propriedades. Em tipo de inicialização, escolha Automático.
  
• Clique em Aplicar e depois em OK
  
• Feche a janela.
  
• Vá em Iniciar > Todos os Programas > Eset > Nod32 Control Center
  

3 - Dê dois cliques no bankerfix.exe para executá-lo.

 

Clique em OK na primeira e na segunda vez que aparecerem caixas de mensagem. Se você estiver executando o BankerFix pela segunda vez, ele irá pedir para verificar por uma atualização. Diga que Sim e depois clique em OK.

 

Quando ele executar, aparecerá uma tela preta pedindo para que aperte qualquer tecla. Tecle Enter e espere ele terminar. Pode levar algum tempo.

 

Ao terminar, leia a mensagem na tela e aperte Enter novamente.

 

Atenção: não rode o BankerFix mais de uma vez, pois isso sobrescreverá o resultado e não se saberá se a remoção foi bem-sucedida.

 

4 - Reinicie o PC e aperte F8 intermitentemente. No menu escolha: modo seguro.

 

5 - Abra o HijackThis e clique em Do a system scan only. Aguarde o exame acabar.

 

Cada entrada tem uma caixa do lado esquerdo. Marque apenas as caixas das entradas abaixo, se ainda as encontrar:

 

O4 - HKLM\..\Run: [avg] C:\Arquivos de programas\avg.exe

 

O4 - HKLM\..\Run: [] C:\Windows\System32\Decrite.exe

 

O4 - HKCU\..\Run: [MicrosoftUpgrade] C:\WINDOWS\inetinfx.exe

 

O4 - Global Startup: avg.exe

 

Ficará com um sinal V dentro de cada caixa.

 

Clique então em . Dê o Ok para a pergunta e depois feche o HijackThis.

 

6 - Reinicie o PC normalmente. Habilite o seu anti vírus novamente.

 

7 - Gere um novo log com o HijackThis e poste, juntamente com o relatorio.txt do BankerFix que está em C:\LinhaDefensiva\

[rhebeka 0]

Primeiramente, obrigada pela ajuda!

 

Durante o processo ocorreram dois problemas:

no passo "4- Reinicie o PC e aperte F8 interminantemente. No menu escolha: modo seguro" não apareceu a opção "modo seguro" e apenas opções em inglês, apertei ESC que era a opção para sair daquela tela. (conforme estava escrito na mesma)

 

meu antívirus não ativou ainda, aparece uma mensagem: "um erro ocorreu durante a comunicação com o serviço NOD32 Kernel"

a seguir o log do hijack:

 

Logfile of HijackThis v1.99.1

Scan saved at 11:56:03, on 7/9/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\pctspk.exe

C:\Arquivos de programas\Ahead\InCD\InCD.exe

C:\Arquivos de programas\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe

C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

C:\Arquivos de programas\Velox\Manager\desp2k.exe

C:\Arquivos de programas\Java\jre1.6.0_05\bin\jusched.exe

C:\Arquivos de programas\Winamp\winampa.exe

C:\Arquivos de programas\QuickTime\qttask.exe

C:\Arquivos de programas\Eset\nod32kui.exe

C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\sistray.exe

C:\Arquivos de programas\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqimzone.exe

C:\WINDOWS\system32\WgaTray.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

C:\Nova pasta\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://awesomestart.com/mcfly/

R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [inCD] C:\Arquivos de programas\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [ulead Memory Card Detector] C:\Arquivos de programas\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [desp2k] C:\Arquivos de programas\Velox\Manager\desp2k.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Arquivos de programas\Winamp\winampa.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [nod32kui] "C:\Arquivos de programas\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Arquivos de programas\eMule\emule.exe -AutoStart

O4 - Startup: Ferramenta de Verificação de Mídia do Cyber-shot Viewer.lnk = C:\Arquivos de programas\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicialização rápida do HP Image Zone.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://img4.orkut.com/activex/10036/photouploader.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab56986.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/PT-BR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/Facebo...otoUploader.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab56986.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

O23 - Service: iPod Service - Unknown owner - C:\Arquivos de programas\iPod\bin\iPodService.exe (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Arquivos de programas\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

 

 

relatorio.txt:

 

BankerFix 3.0 VALKYRIE {beta} - Removedor de Bankers

Linha Defensiva | http://www.linhadefensiva.org

http://www.linhadefensiva.org/bankerfix/

-------------------------------------------------------

Data: 2008-09-07 - 11:35

-------------------------------------------------------

Lista de Definição: 2008-09-07-1 | CORE: 2008-09-07-1

=======================================================

 

Arquivo infectado detectado: C:\WINDOWS\inetinfx.exe

Arquivo infectado removido com sucesso!

 

Arquivo infectado detectado: C:\WINDOWS\inidirx.ini

Arquivo infectado removido com sucesso!

 

Arquivo infectado detectado: C:\WINDOWS\system\msgstcm.exe

Arquivo infectado removido com sucesso!

 

Arquivo infectado detectado: C:\WINDOWS\system\msmginst.exe

Arquivo infectado removido com sucesso!

 

Arquivo infectado detectado: C:\WINDOWS\system\ocxmsn.exe

Arquivo infectado removido com sucesso!

 

Arquivo infectado detectado: C:\WINDOWS\system32\PLUG.SYS

Arquivo infectado removido com sucesso!

 

Arquivo infectado detectado: C:\Arquivos de programas\avg.exe

Arquivo infectado removido com sucesso!

 

Arquivo infectado detectado: C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\avg.exe

Arquivo infectado removido com sucesso!

 

 

 

----- Fim -------------------------

[Sam Spade 2]

Olá. faça um scan on line na Kaspersky

 

Acesse o site, clique em .

 

Obs: O site só funciona com o Internet Explorer.

 

Aceite o download do Java, depois clique em Accept para permitir a instalação do controle activeX, e quando terminar, clique em Run para permitir a execução do ActiveX.

O site atualizará a base de dados.

Clique em Settings para configurar o scan. Marque todas as opções e clique em Save para salvar as configurações.

Clique no botão Scan e selecione My Computer

 

É demorado, portanto, seja paciente.

 

Quando terminar, clique em Save Report As... para salvar o log.

 

Salve o resultado como .txt, segundo a imagem abaixo:

 

á, Faça um scan on line na Kaspersky

 

Acesse o site, clique em .

 

Obs: O site só funciona com o Internet Explorer.

 

Aceite o download do Java, depois clique em Accept para permitir a instalação do controle activeX, e quando terminar, clique em Run para permitir a execução do ActiveX.

O site atualizará a base de dados.

Clique em Settings para configurar o scan. Marque todas as opções e clique em Save para salvar as configurações.

Clique no botão Scan e selecione My Computer

 

É demorado, portanto, seja paciente.

 

Quando terminar, clique em Save Report As... para salvar o log.

 

Salve o resultado como .txt, segundo a imagem abaixo:

 

[rhebeka 0]

no começo do scan deu erro, aí dizia que eu tinha que desativar meu antívirus.

aí eu desativei e funcionou. era pra desativar mesmo?

agora, no nod, a atualização está inativa. tudo bem? pq na verdade, eu não sei mexer muito bem no nod... hahaha

 

abaixo o scan report:

 

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7 REPORT

Sunday, September 14, 2008

Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Saturday, September 13, 2008 22:20:00

Records in database: 1221843

--------------------------------------------------------------------------------

 

Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes

 

Scan area - My Computer:

A:\

C:\

D:\

E:\

 

Scan statistics:

Files scanned: 72318

Threat name: 8

Infected objects: 12

Suspicious objects: 0

Duration of the scan: 05:39:46

 

 

File name / Threat name / Threats count

C:\Arquivos de programas\ESET\infected\3UX5T2BA.NQF Infected: Trojan-Downloader.Win32.Banload.edd 1

C:\Arquivos de programas\ESET\infected\5PGDGTDA.NQF Infected: Trojan-Downloader.Win32.Dadobra.nv 1

C:\Arquivos de programas\ESET\infected\KSQGLSDA.NQF Infected: Trojan-Downloader.Win32.Banload.bej 1

C:\Arquivos de programas\ESET\infected\OV0DHYAA.NQF Infected: Trojan-Downloader.Win32.Banload.hmj 1

C:\LinhaDefensiva\QUA\Arquivos\Arquivos de programas\avg.exe Infected: Trojan-Banker.Win32.Banbra.cqf 1

C:\LinhaDefensiva\QUA\Arquivos\Inicializar\avg.exe Infected: Trojan-Banker.Win32.Banbra.cqf 1

C:\LinhaDefensiva\QUA\Arquivos\system\msgstcm.exe Infected: Trojan-Banker.Win32.Banbra.cqf 1

C:\LinhaDefensiva\QUA\Arquivos\system\ocxmsn.exe Infected: Trojan-Banker.Win32.Banbra.cle 1

C:\LinhaDefensiva\QUA\Arquivos\system32\PLUG.SYS Infected: Trojan-Banker.Win32.Banker.tsw 1

C:\LinhaDefensiva\QUA\Arquivos\WINDOWS\inetinfx.exe Infected: Trojan-Banker.Win32.Banbra.cle 1

C:\WINDOWS\system32\Decrite.exe Infected: Trojan-Banker.Win32.Banbra.cqf 1

C:\WINDOWS\system32\videobaixar-90292039394049online9204948[1].scr Infected: Trojan-Downloader.Win32.Banload.unf 1

 

The selected area was scanned.

[Sam Spade 2]

Olá, a maioria dos ítens detectados estão na quarentena do NOD e do BankerFix. Apenas estes dois que contam:

 

C:\WINDOWS\system32\Decrite.exe Infected: Trojan-Banker.Win32.Banbra.cqf 1

C:\WINDOWS\system32\videobaixar-90292039394049online9204948[1].scr Infected: Trojan-Downloader.Win32.Banload.unf 1

Baixe > KillBox

 

Salve ou imprima estas instruções:

 

1 - Rode o KillBox, marque Delete on Reboot e coloque em Full Path of File to Delete:

 

C:\WINDOWS\system32\Decrite.exe

 

Clique no botão . Responda Não à pergunta.

 

Coloque agora:

 

C:\WINDOWS\system32\videobaixar-90292039394049online9204948[1].scr

 

Clique no botão . Desta vez, responda Sim à pergunta.

 

Haverá uma contagem regressiva e o PC irá reiniciar.

 

2 - Delete:

 

- A pasta !KillBox que está em C:\

- A pasta LinhaDefensiva que também está em C:\

 

3 - Esvazie a quarentena do seu anti vírus.

 

4 - Repita o scan na Kaspersky e poste o resultado.

[rhebeka 0]

Olá, segue o scan do kaspersky:

 

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7 REPORT

Wednesday, September 17, 2008

Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Wednesday, September 17, 2008 02:11:45

Records in database: 1243608

--------------------------------------------------------------------------------

 

Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes

 

Scan area - My Computer:

A:\

C:\

D:\

E:\

 

Scan statistics:

Files scanned: 71561

Threat name: 4

Infected objects: 8

Suspicious objects: 0

Duration of the scan: 05:18:29

 

 

File name / Threat name / Threats count

C:\Arquivos de programas\plugin\Ferresd.exe Infected: Trojan-Banker.Win32.Banker.xij 1

C:\RECYCLER\S-1-5-21-1229272821-926492609-839522115-1003\Dc13\Decrite.exe Infected: Trojan-Banker.Win32.Banbra.cqf 1

C:\RECYCLER\S-1-5-21-1229272821-926492609-839522115-1003\Dc14\QUA\Arquivos\Arquivos de programas\avg.exe Infected: Trojan-Banker.Win32.Banbra.cqf 1

C:\RECYCLER\S-1-5-21-1229272821-926492609-839522115-1003\Dc14\QUA\Arquivos\Inicializar\avg.exe Infected: Trojan-Banker.Win32.Banbra.cqf 1

C:\RECYCLER\S-1-5-21-1229272821-926492609-839522115-1003\Dc14\QUA\Arquivos\system\msgstcm.exe Infected: Trojan-Banker.Win32.Banbra.cqf 1

C:\RECYCLER\S-1-5-21-1229272821-926492609-839522115-1003\Dc14\QUA\Arquivos\system\ocxmsn.exe Infected: Trojan-Banker.Win32.Banbra.cle 1

C:\RECYCLER\S-1-5-21-1229272821-926492609-839522115-1003\Dc14\QUA\Arquivos\system32\PLUG.SYS Infected: Trojan-Banker.Win32.Banker.tsw 1

C:\RECYCLER\S-1-5-21-1229272821-926492609-839522115-1003\Dc14\QUA\Arquivos\WINDOWS\inetinfx.exe Infected: Trojan-Banker.Win32.Banbra.cle 1

 

The selected area was scanned.

[rhebeka 0]

alguma resposta?

[Sam Spade 2]

Opa, desculpe a demora, mas o tempo apertou.

 

Rode o KillBox, marque Delete on Reboot e coloque em Full Path of File to Delete:

 

C:\Arquivos de programas\plugin\Ferresd.exe

 

Clique no botão . Responda Sim à pergunta.

 

Depois que reiniciar, delete a pasta !KillBox que está em C:\

 

Esvazie a Lixeira.

 

Faça um novo scan online e poste o resultado.

[rhebeka 0]

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7 REPORT

Sunday, September 28, 2008

Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Sunday, September 28, 2008 00:46:00

Records in database: 1266952

--------------------------------------------------------------------------------

 

Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes

 

Scan area - My Computer:

A:\

C:\

D:\

E:\

 

Scan statistics:

Files scanned: 71582

Threat name: 1

Infected objects: 1

Suspicious objects: 0

Duration of the scan: 05:26:22

 

 

File name / Threat name / Threats count

C:\Arquivos de programas\ESET\infected\QQOETACA.NQF Infected: Trojan-Downloader.Win32.Banload.unf 1

 

The selected area was scanned.

[Sam Spade 2]

Ok, o PC está limpo. Esta detecção está na quarentena do seu anti vírus.

 

Para finalizar, Desabilite e Reabilite a função de Restauração Automática do XP. Clique aqui para ver como.

 

Faça uma limpeza nos temporários e corrija erros no Registro com o CCleaner.

 

Atualize o Java.

Versões antigas têm vunerabilidades que alguns malwares podem usar para infectar seu sistema.

• Faça download da última versão do Java Runtime Environment (JRE) 6u7.
  
• Procure onde está escrito "Java Runtime Environment (JRE) 6update7".
  
• Clique no botão Download.
  
• Marque a opção que diz Accept License Agreement.
  
• A página será atualizada.
  
• Clique no link para download Windows Offline Installation e salve no seu desktop. (O arquivo tem em torno de 70 Mb)
  
• Feche qualquer programa que esteja executando, especialmente navegadores.
  
• Vá em Iniciar > Painel de Controle duplo clique em Adicionar ou Remover Programas e remova todas as versões antigas do Java.
  Exemplos de versões antigas
  Java 2 Runtime Environment, SE v1.4.2
  J2SE Runtime Environment 5.0
  J2SE Runtime Environment 5.0 Update 6
  
• Selecione qualquer item com nome Java Runtime Environment (JRE ou J2SE).
  
• Clique no botão Remover ou Alterar/Remover.
  
• Repita quantas vezes for necessária para remover cada versão do Java.
  
• Reincie seu computador uma vez que todas as versões do Java tenham sido removidas.
  
• Agora vá no seu desktop, clique duas vezes em jre-6u7-windows-i586-p.exe para instalar a mais nova versão.
  

Visite o Windows Update e atualize o seu sistema, baixando o Service Pack 3

 

Ou, se preferir, baixe e instale o pacote completo (+- 300 Mb):

http://www.microsoft.com/downloads/details...splayLang=pt-br

 

Leia estes artigos sobre segurança:

 

Proteja seu PC

Cuidados ao navegar na net.

 

 

Abraço.

[rhebeka 0]

Obrigada!!!

:D

[Sam Spade 2]

PROBLEMA RESOLVIDO!

 

Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico.