[Resolvido!] Executável com início winxxx.exe

[bLurG_!!! 0]

Log do programa:

Logfile of Trend Micro HijackThis v2.0.2Scan saved at 01:15:18, on 12/12/2008Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Boot mode: NormalRunning processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\Arquivos de programas\Google\Google Talk\googletalk.exeC:\Arquivos de programas\Mozilla Firefox\firefox.exeC:\DOCUME~1\JAMESS~1\CONFIG~1\Temp\windjnu.exe	 //esse seria o problemaC:\DOCUME~1\JAMESS~1\CONFIG~1\Temp\winhulvx.exe   //sempre em doisC:\Hihack\HiJackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.aspR1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.kaspersky.com.br/trials/O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Arquivos de programas\Orbitdownloader\orbitcth.dllO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARQUIV~1\MICROS~2\Office12\GRA8E1~1.DLLO2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe"  -osbootO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKCU\..\Run: [googletalk] "C:\Arquivos de programas\Google\Google Talk\googletalk.exe" /autostartO4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /backgroundO4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exeO4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')O8 - Extra context menu item: &Download by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201O8 - Extra context menu item: &Grab video by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203O8 - Extra context menu item: Down&load all by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dllO9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dllO9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLLO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exeO14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.aspO18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MICROS~2\Office12\GR99D3~1.DLLO18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL--End of file - 4001 bytes

 

Encontrei o arquivo nos documentos, mesmo deletando, ele irá criar mais arquivos no mesmo lugar com algum nome aleatório, também encontrei lá alguns registros só que não no formato .reg, e sim um outro qualquer, quando entro neles, vejo que alteram vários componentes do próprio windows.

 

Já formatei a repartição (c:) no intuíto de "apagar" ele, mas parece que ele criou "raízes" dentro de outras repartições, embora não exista nenhum arquivo autorun.ini nas outras repartições em oculto, parece que ele conseguiu penetrar dentro das pastas de quase todas as repartições.

 

Geralmente eu acabo com malwares no solo, mas esse parece de outra categoria, precisarei de ajuda. Espero que me possam ajudar.

[DigRam 144]

Bom Dia! bLurG_!!!

 

<@> Baixe: < KillBox.exe >

<@> Salve-o numa pasta,em C:/xxx... <-- Pasta própria!

--------------------------

<@> Abra o KillBox --> Marque a opção: Delete on Reboot

<@> Marque a caixa: "End Explorer Shell While Killing File" --> Minimize a ferramenta!

<@> Copie o(s) ficheiro(s),sob o QUOTE,para o Bloco de Notas.

<@> Estando desconectado(a),acesse o Bloco de Notas e execute estes atalhos: ( ctrl + a ) --> ( ctrl + c )

 

C:\DOCUME~1\JAMESS~1\CONFIG~1\Temp\windjnu.exe

 

C:\DOCUME~1\JAMESS~1\CONFIG~1\Temp\winhulvx.exe

<@> No KillBox,que estava minimizado,clique em File --> Paste from clipboard --> All Files.

<@> Clique no X e,na pergunta,diga Não!

<@> Reinicie o computador! <-- Importante!

<@> Vá até a pasta: C:\!KillBox

<@> Poste o relatório de backup,que está em seu interior! ( C:\!Killbox\Logs\kb.log )

--------------------------

<@> Baixe: < FindyKill > ( ...par Chiquitine29 )

<@> Salve-a em Arquivos de Programas!

<@> Feche programas que estejam abertos.

<@> Desabilite a proteção residente de antivírus e antispywares.

<@> Instale a ferramenta,e aceite todas as condições pedidas.

<@> Terminando;execute a ferramenta com um duplo-clique,em: C:\Arquivos de Programas\FindyKill\FindyKill.bat <--

<@> No prompt,aperte o C. --> Enter. <-- Opção de linguas!

<@> À seguir,aperte o 2. ( "Eliminar los ficheros infectados" )

<@> Aperte Enter --> O computador vai reiniciar,por duas vezes! --> Aguarde!

<@> Terminando,clique em uma área vazia do prompt! --> Aperte Enter.

<@> Abrir-se-à o Bloco de Notas,com o relatório: C:\FindyKill.txt <-- Rapport!

-------------------------

<!> Poste: kb.log + FindyKill.txt + HijackThis,atualizado.

 

Abraços!

[bLurG_!!! 0]

KB log - Eu tive que alterar o nome do arquivo pq ele sempre altera os nomes, logo nomes anteriores não irão adiantar, e no momento que eu apliquei, só existia 1 arquivo daqueles em aberto, mas veja:

Pocket Killbox version 2.0.0.978

Running on Windows XP as James Str(Administrator)

was started @ domingo, dezembro 14, 2008, 5:32 PM

 

# 1 [Delete on Reboot]

Path = C:\DOCUME~1\JAMESS~1\CONFIG~1\Temp\winpvai.exe

 

 

Killbox Closed(Exit) @ 5:36:07 PM

 

FindyKill log

----------------- FindyKill V4.709 ------------------

 

* User : James Str - HOME-DB4F7EB919

* executed from : C:\Arquivos de programas\FindyKill

* Update on 10/12/08 par Chiquitine29

* Start at 17:46:03 the dom 14/12/2008

* Windows XP - Internet Explorer 6.0.2900.2180

 

 

((((((((((((((( *** deleting *** ))))))))))))))))))

 

 

--------------- [ Active Processes ] ----------------

 

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\logonui.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\system32\spoolsv.exe

 

--------------- [ Infected files / folders ] ----------------

 

 

»»»» Supression files in C:

 

 

»»»» Supression files in C:\WINDOWS

 

 

»»»» Supression files in C:\WINDOWS\Prefetch

 

 

»»»» Supression files in C:\WINDOWS\system32

 

 

»»»» Supression files in C:\WINDOWS\system32\config\systemprofile\AppData\Roaming

 

 

»»»» Supression files in C:\WINDOWS\system32\drivers

 

 

»»»» Supression files in C:\Documents and Settings\James Str\Dados de aplicativos

 

 

»»»» Supression files in C:\DOCUME~1\JAMESS~1\CONFIG~1\Temp

 

 

»»»» Supression files in C:\Documents and Settings\James Str\Local Settings\Temporary Internet Files\Content.IE5

 

 

--------------- [ Registry / Infected keys ] ----------------

 

 

--------------- [ States / Restarting of services ] ----------------

 

+- Safe boot mode restored !

 

 

+- Services : [ Auto=2 / Request=3 / Disable=4 ]

 

Ndisuio - Type of startup = 3

 

Ip6Fw - Type of startup = 2

 

SharedAccess - Type of startup = 2

 

wuauserv - Type of startup = 2

 

wscsvc - Type of startup = 2

 

HiJack log

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:10:04, on 14/12/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\cleanmgr.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

C:\DOCUME~1\JAMESS~1\CONFIG~1\Temp\winnbei.exe

C:\DOCUME~1\JAMESS~1\CONFIG~1\Temp\winmjlahc.exe

C:\DOCUME~1\JAMESS~1\CONFIG~1\Temp\winaexsb.exe

C:\Hihack\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.kaspersky.com.br/trials/

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Arquivos de programas\Orbitdownloader\orbitcth.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARQUIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [googletalk] "C:\Arquivos de programas\Google\Google Talk\googletalk.exe" /autostart

O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &Download by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

 

--

End of file - 3980 bytes

 

Como deu para perceber, criaram outros arquivos .exe no diretório "C:\DOCUME~1\JAMESS~1\CONFIG~1\Temp\",

e como disse antes, eles sempre alteram os nomes, logo o nomes que eles tem agora não serão iguais a daqui a pouco.

 

E eles não se iniciam junto com o boot, logo ele não irá se abrir logo no início do windows, ele se abre depois de uns 5 a 10min geralmente

[DigRam 144]

Boa Noite! bLurG_!!!

 

<@> Baixe: < McAfee Avert Stinger >

<@> Salve-o no Desktop!

<@> Clique em Add,e adicione as demais unidades de disco que possua. ( Por exemplo, a unidade D:\ ).

<@> Em seguida,clique em "Scan now".

<@> Aguarde o término do Scan.

-------------------------------

<@> Baixe: < >

 

<@> Na página,clique em External Mirror 1. <-- Link direto!

<@> Salve-o no Desktop!

<@> Desative,temporariamente,a Restauração do sistema.

<@> Execute o arquivo: drweb-cureit.exe

<@> Clique em Iniciar e escolha a verificação express scan.

<@> Se for encontrado,algum ficheiro infectado,clique no botão yes,para acionar a cura.

<@> Quando o scan rápido terminar,clique em Opções --> Alterar Definições.

<@> Na aba Verificação,desmarque a Análise Heurística e confirme!

<@> De volta à janela principal,marque os drives que você deseja examinar.

<@> Selecione todos! Um ponto vermelho,vai indicar os drives selecionados.

<@> Clique na seta verde,para iniciar o exame.

 

 

<@> Caso haja uma solicitação,para curar/mover o arquivo,clique em Sim,para todos.

<@> Quando o exame terminar,observe se o ícone "objetos encontrados" < > está habilitado.

<@> Se estiver,clique nele!

<@> À seguir clique no ícone,logo abaixo,e selecione: Mover incuráveis

 

 

<@> Caso o programa não possa curá-los,ele irá move-los para a pasta Quarentena,no diretório DoctorWeb.

<@> Feito isto, vá no menu superior e clique na opção Ficheiros --> Guardar listas de arquivos.

<@> Salve a lista no desktop. ( DrWeb.csv ) <-- Relatório para postagem!

<@> Feche o programa!

<@> Reinicie o computador,para que o programa termine de deletar/mover,os arquivos que estavam sendo utilizados.

 

Abraços!

[bLurG_!!! 0]

Olá DigRam,

 

eu tentei pegar os 2 links que me passou, porém em ambos, os links deram problemas.

 

O link do McAfee está dizendo essa msg:"HTTP/1.1 404 Object Not Found"

 

e o outro link não entra.

 

Se tiver outros links, me ajudaria em muito.

 

Grato.

[DigRam 144]

Olá DigRam,

 

eu tentei pegar os 2 links que me passou, porém em ambos, os links deram problemas.

 

O link do McAfee está dizendo essa msg:"HTTP/1.1 404 Object Not Found"

 

e o outro link não entra.

 

Se tiver outros links, me ajudaria em muito.

 

Grato.

------------------------

Opa! bLurG_!!!

 

<!> Editei lá no Post,se bem que o Link ao DrWebCureit,estava funcionando!

 

Abraços!

[bLurG_!!! 0]

Opa! bLurG_!!!

 

<!> Editei lá no Post,se bem que o Link ao DrWebCureit,estava funcionando!

 

Abraços!

------------

Olá DigRam

 

Obrigado pelo stinger consegui puxar, mas o Dr. web cureit sempre fecha o meu navegador em qual eu estiver acessando ele,

 

está conseguindo acessar normal o link?

[DigRam 144]

Opa! bLurG_!!!

 

<!> Editei lá no Post,se bem que o Link ao DrWebCureit,estava funcionando!

 

Abraços!

------------

Olá DigRam

 

Obrigado pelo stinger consegui puxar, mas o Dr. web cureit sempre fecha o meu navegador em qual eu estiver acessando ele,

 

está conseguindo acessar normal o link?

----------------------

Opa! bLurG_!!!

 

<!> Sim! E utilizando o IE7,como navegador,cliquei em External Mirror 1.

 

Abraços!

[bLurG_!!! 0]

Opa! bLurG_!!!

 

<!> Editei lá no Post,se bem que o Link ao DrWebCureit,estava funcionando!

 

Abraços!

------------

Olá DigRam

 

Obrigado pelo stinger consegui puxar, mas o Dr. web cureit sempre fecha o meu navegador em qual eu estiver acessando ele,

 

está conseguindo acessar normal o link?

----------------------

Opa! bLurG_!!!

 

<!> Sim! E utilizando o IE7,como navegador,cliquei em External Mirror 1.

 

Abraços!

Olá DigRam,

 

Para ter certeza, eu puxei o IE7, abri o link nesse navegador, e logo após fechou o navegador, exatamente igual a outros navegadores que utilizei, será que não está deixando acessar por causa dos programas acima ditos para executar no pc?

 

Vou tentar ver com um amigo para ver se ele consegue acessar e fazer o download para mim, mas não teria outro links alternativos para download?

 

Grato.

[bLurG_!!! 0]

Descobertas :natal_ohmy:

 

Fui pesquisar no Google se tinha outros links para o programa, e um fato misterioso aconteceu, fechou o navegador novamente, pode ser estranho, mas estou desconfiando que esse malware deve estar fechando programas onde tenham essas palavras junto com .exe --", ou será apenas coisas da minha cabeça o.O

[DigRam 144]

Descobertas :natal_ohmy:

 

Fui pesquisar no Google se tinha outros links para o programa, e um fato misterioso aconteceu, fechou o navegador novamente, pode ser estranho, mas estou desconfiando que esse malware deve estar fechando programas onde tenham essas palavras junto com .exe --", ou será apenas coisas da minha cabeça o.O

-------------------------

Opa! bLurG_!!!

 

<!> E o DrWebCureit,ainda não conseguiu baixá-lo?

------------------------

<@> BAIXE: < Kaspersky Virus Removal Tool >

------------------------

<@> Faça o download da atualização mais recente! <-- Observe as datas!

<@> Salve-o em Arquivos de Programas,e instale-o aí mesmo!

<@> Reinicie o computador,em Modo de Segurança! <-- Importante!

<@> Execute a ferramenta,com um duplo-clique em seu executável.

<@> Abrir-se-á,a seguinte janela:

 

 

<@> Na opção: Manual Cure,marque todas as caixas e clique em Scan.

<@> Ps: Na ausência da opção,escolha: Automatic Scan

<@> Terminando,a verificação,copie e poste o relatório.

 

Ps: Confirme a solicitação de remoção,aos arquivos detectados!

 

Abraços!

[bLurG_!!! 0]

Olá DigRam,

 

Passei o Kaspersky Virus Removal Tool, só que não em modo de segurança, (tentei entrar em modo de segurança 5 vezes, e quando ia pra iniciar o modo, ele reiniciava --"),

 

Eu iria passar o log do scan, mas ficou enorme, que nem deixa copiar, mas basicamente: o virús Win32.Sality.z infectou todos os arquivos no formato .exe, e alguns nem deram para desinfectar, embora tinha falado para dar preferência em excluí-los(eu não seria doido de apagar todos os arquivos desse formato --"), daí eu apaguei, o que eu faço com alguns arquivos que sobraram de backup?

 

Aaaa, uma dúvida, quando eu executei os arquivos KillBox.exe e FindyKill não consigo mais entrar no msn, teria como dar um jeito?

 

Grato.

[DigRam 144]

Bom Dia! bLurG_!!!

 

Eu iria passar o log do scan, mas ficou enorme, que nem deixa copiar, mas basicamente: o virús Win32.Sality.z infectou todos os arquivos no formato .exe, e alguns nem deram para desinfectar, embora tinha falado para dar preferência em excluí-los(eu não seria doido de apagar todos os arquivos desse formato --"), daí eu apaguei, o que eu faço com alguns arquivos que sobraram de backup?

<!> Por enquanto,não faça nada!

 

Aaaa, uma dúvida, quando eu executei os arquivos KillBox.exe e FindyKill não consigo mais entrar no msn, teria como dar um jeito?

<!> Posteriormente,após a desinfecção,trataremos do assunto.

----------------------------

<@> Baixe: < Win32/Sality >

<@> Baixe os três seguintes arquivos: ( rmsality.exe, rmsality.nt, rmsality.dos)

<@> Salve-os em uma mesma pasta!

<@> Execute o arquivo: rmsality.exe

 

Você também pode especificar os discos (ou partições),para restaurar como um parâmetro de um comando, e.x.: "rmsality C: D:". Se o comando é usado sem parâmetros, será restaurado todos os discos (partições) no computador.

<!> Provavelmente,o relatório será enorme.

<!> Peço-lhe que faça upload,em um servidor,e envie-nos o Link para análise.

<!> Sugiro: < Badongo >

 

A execução bem-sucedida do removedor necessita de direitos de acesso de administrador. Para a funcionalidade apropriada do removedor, é necessário salvar o rmsality.nt e o rmsality.dos na mesma pasta que o rmsality.exe.

Abraços!

[bLurG_!!! 0]

Olá DigRam,

 

O link para download está aqui e estou conseguindo agora baixar o dr. Web CureIt, precisa fazer um scan com ele também?

 

Parece que o vírus já foi desinfectado, mas espero pela sua resposta.

 

 

Grato.

[DigRam 144]

Olá DigRam,

 

O link para download está aqui e estou conseguindo agora baixar o dr. Web CureIt, precisa fazer um scan com ele também?

 

Parece que o vírus já foi desinfectado, mas espero pela sua resposta.

 

Grato.

------------------------

Boa Tarde! bLurG_!!!

 

<!> A ferramenta antiSality,cumpriu o seu papel e desinfectou os ficheiros da sua máquina.

<!> Portanto,pode abortar a utilização do DrWebCureit,na desinfecção.

-----------------------

<!> O MSN já está funcionando?

-----------------------

<@> Baixe: < ATF-Cleaner >

-----------------------

<@> Salve-o no Desktop!

<@> Reinicie o computador,em Modo de Segurança!

<@> Clique em ATF-Cleaner.exe

<@> Em "Select Files To Delete",marque Select All.

<@> Clique em Empty Selected.

<@> Na janela Done Cleaning,dê o OK --> Exit

 

<@> Atenção: Se utiliza o Firefox:

 

* No topo,clique em Firefox e escolha: Select All --> Clique em Empty Selected.

 

<@> Atenção: Se utiliza o Opera:

 

* No topo,clique em Opera e escolha: Select All --> Clique em Empty Selected.

 

<@> Reinicie em Modo Normal.

-----------------------

<!> Após o procedimento,reinstale o MSN,caso o mesmo não esteja funcionando.

 

Abraços!

[bLurG_!!! 0]

Olá DigRam,

 

O msn ainda não voltou a funcionar.

 

Mas agradeço por tudo, pretendo nesse domingo formatar o pc, tem muitas coisas que preciso apagar e a única coisa que estava esperando para a formatação era limpar esse vírus.

 

Obrigado por tudo, Grato.

[DigRam 144]

PROBLEMA RESOLVIDO!

 

Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico.