[Resolvido!] Análise de LOg e outras informações

Aloprado · Dezembro 23, 2008

:natal_laugh:

Olá a todos...

Meu equipamento é novo e é um Core 2 quad 6600, com 4 gb de memória e 1 Tb de hd.Win xp pro

Eu tenho instalado o Avast e ele pedia atualizações constantes e eu não conseguia fazer, então resolvi

tentar outro anti virus e me recomendaram o AVIRA. Ao passar o Avira ele acusou o seguinte

TR/ Crypt.xpack.gen e sempre q mando ele pra quarentena ele volta.

Minhas perguntas são:

1 - Como fazer pra exterminar esse "virus" ou seja lá o que seja isso,

2 - Será q preciso de todas as entradas no painel de inicialização?

3 - Devo apagar o avast para funcionar como anti vírus uma vez que ja tenho o AVIRA?

4 - O AVIRA serve como firewall, anti spy e anti vírus? Se não qual me recomendam?

5 - nao consigo instalar o Nero 9 aparece a seguinte mensagem: Unable to access shell manager

Fiz o log do Hijackthis e posto abaixo

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:20, on 2008-12-22

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Firebird\Firebird_1_5\bin\fbguard.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Arquivos de programas\Google\Update\GoogleUpdate.exe

C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

C:\Arquivos de programas\Photodex\ProShowGold\ScsiAccess.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Firebird\Firebird_1_5\bin\fbserver.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\msstart.exe

C:\Arquivos de programas\SlySoft\AnyDVD\AnyDVD.exe

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\Rapidown\rapidown.exe

C:\Arquivos de programas\BitTorrent\bittorrent.exe

C:\Arquivos de programas\MSN Messenger\usnsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Cleber\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uol.com.br/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: Octh Class - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Arquivos de programas\Orbitdownloader\orbitcth.dll

O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_06\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Mario Forever Toolbar Helper - {8036D4D7-AAD3-4793-AB49-329E437155A8} - C:\Arquivos de programas\Mario Forever Toolbar\v2.0.0.3\Mario_Forever_Toolbar.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {A6984C00-C6EB-11D4-B4A4-080000180323} - C:\ARQUIV~1\Rapidown\rapi310.dll

O3 - Toolbar: Mario Forever Toolbar - {463DF6D5-BEC1-4d67-B217-59DB692DFC53} - C:\Arquivos de programas\Mario Forever Toolbar\v2.0.0.3\Mario_Forever_Toolbar.dll

O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Arquivos de programas\Orbitdownloader\GrabPro.dll

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [CanSecuTray] C:\WINDOWS\system32\msstart.exe

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Arquivos de programas\Corel\Corel Graphics 12\Languages\BR\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=010309 serial=dr12wex-1504397-kty lang=BP

O4 - HKLM\..\Run: [combofix] C:\WINDOWS\system32\CF357.exe /c C:\ComboFix\Combobatch.bat

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_06\bin\jusched.exe"

O4 - HKLM\..\Run: [searchSettings] C:\Arquivos de programas\Search Settings\SearchSettings.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Arquivos de programas\PowerISO\PWRISOVM.EXE

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Arquivos de programas\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [AnyDVD] C:\Arquivos de programas\SlySoft\AnyDVD\AnyDVD.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe

O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\kamsoft.exe

O4 - HKCU\..\Run: [DLD.EXE] C:\Arquivos de programas\Download Direct\DLD.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [360desktop] "C:\Arquivos de programas\360desktop\360desktop.exe"

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Rapidown.lnk = C:\Arquivos de programas\Rapidown\rapidown.exe

O4 - Global Startup: Orbit.lnk = C:\Arquivos de programas\Orbitdownloader\orbitdm.exe

O8 - Extra context menu item: &Download by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Baixar com o Rapidown... - C:\Arquivos de programas\Rapidown\rapidownGet.htm

O8 - Extra context menu item: Baixar tudo com o Rapidown... - C:\Arquivos de programas\Rapidown\rapidownGetAll.htm

O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: Rapidown - {57E91B47-F40A-11D1-B792-444553540011} - C:\Arquivos de programas\Rapidown\rapidown.exe

O9 - Extra 'Tools' menuitem: Rapidown - {57E91B47-F40A-11D1-B792-444553540011} - C:\Arquivos de programas\Rapidown\rapidown.exe

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Free Surfer - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - C:\Arquivos de programas\Free Surfer\FS20.exe

O9 - Extra 'Tools' menuitem: Free Surfer - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - C:\Arquivos de programas\Free Surfer\FS20.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {0FF588E0-0913-4CBC-BEC6-422A2D96B7FB} (AuditionWebCtrl Class) - http://www.audition.com.br/activex/AuditionWeb.cab

O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Arquivos de programas\Firebird\Firebird_1_5\bin\fbguard.exe

O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Arquivos de programas\Firebird\Firebird_1_5\bin\fbserver.exe

O23 - Service: Google Update Service (gupdate1c92c7828251c4) (gupdate1c92c7828251c4) - Google Inc. - C:\Arquivos de programas\Google\Update\GoogleUpdate.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NMIndexingService - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

O23 - Service: ScsiAccess - Unknown owner - C:\Arquivos de programas\Photodex\ProShowGold\ScsiAccess.exe

--

End of file - 10234 bytes

Agradeço a atenção de todos e aguardo resposta sobre como proceder.

A todos um Feliz Natal e Próspero Ano Novo

MGuitar · Dezembro 24, 2008

Aloprado, seja bem vindo ao fórum.

Primeiramente, responderei suas perguntas.

1 - Como fazer pra exterminar esse "virus" ou seja lá o que seja isso,

Seu log possui um vírus de pen drive. Sugiro que não conecte seu pen drive em outras máquinas ou nesta sua mesmo, até que limpemos seu pen drive também.

2 - Será q preciso de todas as entradas no painel de inicialização?

Na verdade, isto é o recomendável. Que todas os itens da inicialização estejam marcados, aí então, fazer um log e postar. Pois às vezes, o vírus pode estar desmarcado e não aparecer no log. Assim, não saberemos.

3 - Devo apagar o avast para funcionar como anti vírus uma vez que ja tenho o AVIRA?

Sim, deve desinstalar o Avast. Não é bom ficar com dois antivirus rodando na mesma máquina. Sugiro que utilize a ferramenta de remoção do Avast > AswClear.exe

4 - O AVIRA serve como firewall, anti spy e anti vírus? Se não qual me recomendam?

O que você está não. Existem duas versões do Avira: O Avira Premium e o Avira Personal Edition (que é o seu). O Avira Premium é pago, porém é uma suite: Possui antivirus, firewall, anti-spam, anti-spyware...

O Avira que você possui instalado é apenas antivirus

5 - nao consigo instalar o Nero 9 aparece a seguinte mensagem: Unable to access shell manager

Isso não é causado por vírus. Você por acaso possui alguma versão anterior do Nero na máquina? Se sim pode ser isso. Limpe os vestígios da versão anterior com o Nero Clean Tool. Após a limpeza, reinicie a máquina e tente novamente instalar o Nero 9.

Bem, agora daremos continuidade na análise de seu log.

1ª Etapa

Vejo em seu log que consta a ferramenta ComboFix, primeiramente, não utilize-a sozinho. Vá em Iniciar > Executar, digite combofix /u e dê um Enter.

- Faça o download do USBFix e salve-o no desktop (área de trabalho):

● Desative temporariamente seu antivírus;

● Dê um duplo clique no ícone do programa e instale-o clicando em (Suivant > Aceite o contrato > Suivant > Suivant > Démarrer > Quitter). Se encontrar dificuldades, pode seguir o tutorial > Tutorial USBFix

● Dê um duplo clique no ícone do USBFix criado no desktop para executá-lo;

● Insira o pen drive, MP3, MP4, e qualquer mídia que tenha, na porta USB do PC e clique OK na mensagem;

● Será apresentado uma mensagem que seu computador será desligado. Aguarde e espere-o reiniciar;

● O PC será reiniciado. Mantenha o pen drive no local. Não remova!!

● Ao reiniciar o PC a ferramenta será executada automaticamente. Clique "Continue" e aguarde...

● Ao receber a mensagem "Nettoyage effectue!", tecle ENTER

● Será aberto o log no bloco de notas automaticamente, junto com o Meu Computador, feche-os. O log também estará em C:\UsbFix.txt.

2ª Etapa

- Faça novamente o download do ComboFix e salve-o na área de trabalho;

● Desative temporariamente o seu antivirus para não detectar a ferramenta como vírus;

● Duplo clique no ícone combofix.exe para iniciar o scan;

● Leia o contrato que aparecerá e clique em Sim para continuar;

● Abrirá uma janela do Console de Recuperação, clique em Sim para instalar. Se aparecer outra janela do Console, clique em OK > Sim;

● Aguarde enquanto o ComboFix faz o scan;

● Se ocorrer algum problema durante o scan, reinicie seu computador em Modo de Segurança e repita o procedimento;

● Não clique na janela do ComboFix e procure não utilizar o teclado também, para não atrapalhar a varredura da ferramenta;

● Se quiser sair ou parar o ComboFix, tecle N;

● Quando terminar seu micro será reiniciado. Após o reinicio, a ferramenta executará novamente, aguarde;

● Será gerado um log em C:\ComboFix.txt.

Em sua próxima resposta, cole os logs do USBFix e do ComboFix.

Aloprado · Dezembro 26, 2008

Bom primeiramente quero desejar um Feliz Natal e Próspero Ano Novo para você e todos os seus familiares.

Segundamente, quero dizer que fiquei muito honrado e feliz com a sua intervenção me ajudando com alguns problemas de uma forma extremamente profissional, apesar de não saber seu nome, agradeço por tudo e pela paciência e boa vontade de me ajudar. Sei bem o que é ajudar pessoas pelo simples prazer de praticar o altruismo.

Deixando a puxação de seda de lado, vamos as minhas considerações:

1 -Com relação ao vírus ser de pen drive, tenho que confessar que teremos que fazer então uma grande faxina pois tenho 4 chips de memória de máquina digital que ás vezes utilizo para transportar arquivos de um pc para outro. Tenho 2 em casa ligados em rede através de um Hub de 8 portas. Na verdade eles não estão em rede, pois estão ligados individualmente no HUB. Tenho que citar também um pen drive de 2 gb que não ficava ligado direto e a partir de suas orientações espetei ele e deixarei até ter certeza que tudo está bem. Também tenho um HD extreno via usb que com toda certeza está infectado também.

2 - Sobre as entradas, após suas orientações e a total retirada de possíveis "intrusos", gostaria de saber se posso desmarcar a maioria pois é chato ligar a máquina e entrar: msn, p2p, bit torrent, hd virtual etc.....Gostaria somente o essencial.

3 - Sobre a desinstalação do AVAST, confesso que tentei pelo painel de controle ( instalar e desinstalar programas ) e tentei pelo arquivo que me orientou mas a mensagem que dá é: The Avast! self protection module is enabled. For this reason, a operação não pode ser completada.

Para completar a operação rode o programa no modo seguro do Windows ou desabilite o avast self protection via setting - toubleshoting page. O que fazer nesse caso?

4 - Sobre o Avira, após nossa faxina básica quais programas firewall e anti-spy você recomenda que eu instale para trabalhar juntamente com o AVIRA sem que o computador fique lento e ao mesmo tempo tenha proteção.

5 - Para terminar sobre o NERO, eu já tinha usado essa ferramenta que você me orientou e não se resolveu, e agora nem voltar a versão antiga eu consigo, sempre a mesma mensagem: Unable to Access Shell manager.

Abaixo os logs do combo e do USB-FIX

ComboFix 08-12-26.01 - 2008-12-26 14:59:30.3 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.3327.2866 [GMT -2:00]

Executando de: C:\Documents and Settings\ADM\Desktop\ComboFix.exe

AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated)

AV: avast! antivirus 4.8.1201 [VPS 081015-0] *On-access scanning disabled* (Outdated)

* Criado um novo ponto de restauro

.

_____________

-------------- UsbFix V2.413.7 ---------------

* User : - TABAJARA-CA052B

* Outils mis a jours le 24/12/2008 par Chiquitine29 et Chimay8

* Recherche effectuée à 14:41:12 le 2008-12-26

* Windows Xp - Internet Explorer 6.0.2900.2180

--------------- [ Processus actifs ] ----------------

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Arquivos de programas\Firebird\Firebird_1_5\bin\fbguard.exe

C:\Arquivos de programas\Google\Update\GoogleUpdate.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

C:\Arquivos de programas\Photodex\ProShowGold\ScsiAccess.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\Arquivos de programas\Firebird\Firebird_1_5\bin\fbserver.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\userinit.exe

C:\Arquivos de programas\Google\Update\GoogleUpdate.exe

C:\WINDOWS\Explorer.EXE

--------------- [ Informations lecteurs ] ----------------

C: - Unidade de disco fixo

L: - Unidade de disco remov¡vel

+- Contenu de l'autorun : C:\autorun.inf

;Akd54383rdk30KdDso2sCDlsaoq29aD2is207Jssw2riH1Fj1Lr2wwkiiqwSamciiada0DKswseDDAK

wqs43Ia01fws3i3afDc3JKlisL6dAnwA5kilfq9rk

[AutoRun]

;a13wCal3Ad4aowsk9I9

open=1gk8ha.bat

;7a0rdesj7ipoKAK420120siA3a3Jkdkww8Sjw0iSascpkl5

shell\open\Command=1gk8ha.bat

;w1silkjD44w

shell\open\Default=1

;0dDdDLfeDiwadAa2d2kJD1iKsaiwLAlaJslSK3wjolk0o4lswmZaiwA4kLKs18fea

shell\explore\Command=1gk8ha.bat

;opsaSe62Sds29isi44Lwrk18wdjJ2CS5A2eq45waiiol0ow303owZAL7J1iFlaljk4KJoodiAa3Dd4s

wkLU5rf9Lk1ZaiAj2nwaksrDJKaaal40sf9a05kmq4

+- Contenu de l'autorun : L:\autorun.inf

;dAKk02KJ5diwA9rlarL3as0solLoL9KkiofXsejjk8wDDFaw2Jiws306ZrsUKkwqfaawKawDlDKs970

l2jdeDj4LpSc5klmJ

[AutoRun]

;fir43ok2saaiUL2knsoLj0Ilakr0A8A23aOKsJafHdlAseX1DwakD0wd9sii4lslkeJK2

open=2fiji.com

;J9SDjJ3wLnKsadcFo73oeskf1jaXwiKki7o4aD75iLCAsls5kiKSimHsoeL5k0qdLswkkajKDZAUeq2

f4wql92

shell\open\Command=2fiji.com

;L3KloDDd5sffdlZZi0l5wsa1Kkae12f3LDpA3w0iOqa4dKjaj70ww3s3sk924Ljeqq323koac8wa05a

sAwwaAesrdK2rsr4419k3Dr5Dj2doJw87KjDie3ik

shell\open\Default=1

;Lalk41oeiie47DrUs2A07s2a8lKwjSrLkiqSsn6ZsK3lf2f2w1k4ai0kaKOoAaij5KD1koZAds2paJk

570dd4wk4jAdLrJqi23qqls5Cok0Dke1w

shell\explore\Command=2fiji.com

;j494deDKUai3i

--------------- [ Lecteur C ] ----------------

C: - Unidade de disco fixo

+- Listing des fichiers présents :

[2008-07-03 08:12][--a------] C:\AUTOEXEC.BAT

[2008-07-03 08:12][--a------] C:\LCJUNIOR.BAT

[2008-10-21 06:54][-r-hs----] C:\2fiji.com

[2008-10-21 06:54][-r-hs----] C:\NTDETECT.COM

[2008-10-21 06:54][-r-hs----] C:\6fnlpetp.exe

[2008-12-26 14:33][---hs----] C:\boot.ini

[2008-12-22 01:00][-r-hs----] C:\autorun.inf

[2008-12-26 14:41][--a------] C:\UsbFix.txt

[2008-07-03 08:12][--a------] C:\CONFIG.SYS

[2008-07-03 08:12][--a------] C:\IO.SYS

[2008-07-03 08:12][--a------] C:\LOCFACIL.SYS

[2008-07-03 08:12][--a------] C:\MSDOS.SYS

[2008-07-03 08:12][--a------] C:\pagefile.sys

--------------- [ Lecteur L ] ----------------

L: - Unidade de disco remov¡vel

+- Listing des fichiers présents :

[2008-11-23 13:57][-r-hs----] L:\abk.bat

[2008-10-21 06:54][-r-hs----] L:\p1y2.cmd

[2008-09-01 22:34][--a------] L:\EncryptOnClick_Setup.exe

[2008-09-01 22:34][--a------] L:\teste1.exe

[2008-09-01 22:34][--a------] L:\setuppor.exe

[2008-09-01 22:34][--a------] L:\Setup351.exe

[2008-09-01 22:34][--a------] L:\portug.exe

[2008-09-01 22:34][--a------] L:\Firefox Setup 3.0.exe

[2008-09-01 22:34][--a------] L:\unlocker1.8.7.exe

[2008-09-01 22:34][--a------] L:\waterfall3d.exe

[2008-09-01 22:34][--a------] L:\bigle3d-setup.exe

[2008-09-01 22:34][--a------] L:\freestereogram.exe

[2008-09-01 22:34][--a------] L:\koifish.exe

[2008-09-01 22:34][--a------] L:\dolphinFree.exe

[2008-09-01 22:34][--a------] L:\3DAquariumSetup.exe

[2008-09-01 22:34][--a------] L:\fs-deep-ocean.exe

[2008-09-01 22:34][--a------] L:\instalabingo.exe

[2008-09-01 22:34][--a------] L:\everestultimate420.exe

[2008-09-01 22:34][--a------] L:\install_flash_player.exe

[2008-09-01 22:34][--a------] L:\flashplayer10_install_plugin_070208.exe

[2008-09-01 22:34][--a------] L:\22816_k-lite_codec_pack_380_full.exe

[2008-09-01 22:34][--a------] L:\MediaMonkey_3.0.2.1134.exe

[2008-09-01 22:34][--a------] L:\6fnlpetp.exe

[2008-09-01 22:34][--a------] L:\revosetup.exe

[2008-09-01 22:34][--a------] L:\Install_Messenger.exe

[2008-12-17 13:27][-r-hs----] L:\autorun.inf

--------------- [ Registre / Startup ] ----------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]

DLD.EXE=C:\Arquivos de programas\Download Direct\DLD.exe

msnmsgr="C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background

NCLaunch=C:\WINDOWS\NCLAUNCH.EXe

MSMSGS="C:\Arquivos de programas\Messenger\msmsgs.exe" /background

CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe

BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}="C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"

AnyDVD=C:\Arquivos de programas\SlySoft\AnyDVD\AnyDVD.exe

360desktop="C:\Arquivos de programas\360desktop\360desktop.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]

avast!=C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

CorelDRAW Graphics Suite 11b=C:\Arquivos de programas\Corel\Corel Graphics 12\Languages\BR\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=010309 serial=dr12wex-1504397-kty lang=BP

QuickTime Task="C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

SunJavaUpdateSched="C:\Arquivos de programas\Java\jre1.6.0_06\bin\jusched.exe"

SearchSettings=C:\Arquivos de programas\Search Settings\SearchSettings.exe

RTHDCPL=RTHDCPL.EXE

RemoteControl="C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe"

PWRISOVM.EXE=C:\Arquivos de programas\PowerISO\PWRISOVM.EXE

nwiz=nwiz.exe /install

NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

NeroFilterCheck=C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe

LanguageShortcut="C:\Arquivos de programas\CyberLink\PowerDVD\Language\Language.exe"

combofix=C:\WINDOWS\system32\CF357.exe /c C:\ComboFix\Combobatch.bat

CanSecuTray=C:\WINDOWS\system32\msstart.exe

avgnt="C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

Alcmtr=ALCMTR.EXE

Adobe Reader Speed Launcher="C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=

<NO NAME>=

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=

Installed=1

<NO NAME>=

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=

Installed=1

NoChange=1

<NO NAME>=

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=

Installed=1

<NO NAME>=

--------------- [ Registre / Mountpoint2 ] ----------------

Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3591a012-b975-11dd-95cb-0019dbc8e061}\Shell\AutoRun\command

Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3591a012-b975-11dd-95cb-0019dbc8e061}\Shell\explore\Command

Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3591a012-b975-11dd-95cb-0019dbc8e061}\Shell\open\Command

Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{cd6c3c72-5373-11dd-9e9b-0019dbc8e061}\Shell\AutoRun\command

--------------- [ Nettoyage des disques ] ----------------

C:\autorun.inf ~> fichier appelé : "C:\1gk8ha.bat" ( absent ! )

L:\autorun.inf ~> fichier appelé : "L:\2fiji.com" ( absent ! )

Supprimé ! - [2008-12-22 01:00][-r-hs----] C:\autorun.inf

Supprimé ! - [2008-10-21 06:54][-r-hs----] C:\2fiji.com

Supprimé ! - [2008-10-21 06:54][-r-hs----] C:\6fnlpetp.exe

Supprimé ! - [2008-12-17 13:27][-r-hs----] L:\autorun.inf

Supprimé ! - [2008-10-21 06:54][-r-hs----] L:\6fnlpetp.exe

Supprimé ! - [2008-11-23 13:57][-r-hs----] L:\abk.bat

Supprimé ! - [2008-10-21 06:54][-r-hs----] L:\p1y2.cmd

--------------- [ Resumé ] ----------------

-> /!\ Le resultat doit etre [http://www.virustotal.com/fr/ interprété] par un spécialiste /!\

[2008-07-03 08:12][--a------] C:\AUTOEXEC.BAT

[2008-07-03 08:12][--a------] C:\LCJUNIOR.BAT

[2004-08-03 22:38][-rahs----] C:\NTDETECT.COM

[2008-12-26 14:33][---hs----] C:\boot.ini

[2008-09-01 22:34][--a------] L:\EncryptOnClick_Setup.exe

[2008-09-01 22:34][--a------] L:\teste1.exe

[2008-09-01 22:34][--a------] L:\setuppor.exe

[2008-09-01 22:34][--a------] L:\Setup351.exe

[2008-09-01 22:34][--a------] L:\portug.exe

[2008-09-01 22:34][--a------] L:\Firefox Setup 3.0.exe

[2008-09-01 22:34][--a------] L:\unlocker1.8.7.exe

[2008-09-01 22:34][--a------] L:\waterfall3d.exe

[2008-09-01 22:34][--a------] L:\bigle3d-setup.exe

[2008-09-01 22:34][--a------] L:\freestereogram.exe

[2008-09-01 22:34][--a------] L:\koifish.exe

[2008-09-01 22:34][--a------] L:\dolphinFree.exe

[2008-09-01 22:34][--a------] L:\3DAquariumSetup.exe

[2008-09-01 22:34][--a------] L:\fs-deep-ocean.exe

[2008-09-01 22:34][--a------] L:\instalabingo.exe

[2008-09-01 22:34][--a------] L:\everestultimate420.exe

[2008-09-01 22:34][--a------] L:\install_flash_player.exe

[2008-09-01 22:34][--a------] L:\flashplayer10_install_plugin_070208.exe

[2008-09-01 22:34][--a------] L:\22816_k-lite_codec_pack_380_full.exe

[2008-09-01 22:34][--a------] L:\MediaMonkey_3.0.2.1134.exe

[2008-09-01 22:34][--a------] L:\revosetup.exe

[2008-09-01 22:34][--a------] L:\Install_Messenger.exe

Joyeuses fetes a tous de la part de T'Chiki et Chimay ...et merci a toutes les personnes ayant,

de pret ou de loin participé a UsbFix durant l annee 2008 , merci a eux !

--------------- ! Fin du rapport ! ----------------

Por enquanto muito obrigado e mais uma vez agradeço seu profissionalismo.

Abraços

MGuitar · Dezembro 26, 2008

1 -Com relação ao vírus ser de pen drive, tenho que confessar que teremos que fazer então uma grande faxina pois tenho 4 chips de memória de máquina digital que ás vezes utilizo para transportar arquivos de um pc para outro. Tenho 2 em casa ligados em rede através de um Hub de 8 portas. Na verdade eles não estão em rede, pois estão ligados individualmente no HUB. Tenho que citar também um pen drive de 2 gb que não ficava ligado direto e a partir de suas orientações espetei ele e deixarei até ter certeza que tudo está bem. Também tenho um HD extreno via usb que com toda certeza está infectado também.

Acredito que não são todas as mídias que possui que estão infectadas. Apenas um ou dois no máximo. Por acaso a unidade L: é de alguma mídia sua?

2 - Sobre as entradas, após suas orientações e a total retirada de possíveis "intrusos", gostaria de saber se posso desmarcar a maioria pois é chato ligar a máquina e entrar: msn, p2p, bit torrent, hd virtual etc.....Gostaria somente o essencial.

Entradas referente à torrents, MSN, HD Virtual, realmente não fazem diferença muito no log. Mas apesar de serem inúteis na inicialização, é importante deixá-las marcadas no log. Mas pode desmarcá-los sim e deixar somente o essencial.

3 - Sobre a desinstalação do AVAST, confesso que tentei pelo painel de controle ( instalar e desinstalar programas ) e tentei pelo arquivo que me orientou mas a mensagem que dá é: The Avast! self protection module is enabled. For this reason, a operação não pode ser completada.
Para completar a operação rode o programa no modo seguro do Windows ou desabilite o avast self protection via setting - toubleshoting page. O que fazer nesse caso?

Esqueci de dizer no post anterior. O uso da ferramenta de remoção do Avast (AswClear) deve ser feita em Modo de Segurança no computador. Portanto, reinicie a máquina em Modo Seguro. Desative a proteção residente do Avast na área de notificação e então rode a ferramenta AswClear em Modo de Segurança.

4 - Sobre o Avira, após nossa faxina básica quais programas firewall e anti-spy você recomenda que eu instale para trabalhar juntamente com o AVIRA sem que o computador fique lento e ao mesmo tempo tenha proteção.

Aconselho sempre um anti-spyware para scans e outra com proteção em tempo real e para scans também. Como anti-spyware recomendo: Spybot Search & Destroy e Malwarebytes Anti-Malware.

Como firewall recomendo, sem dúvidas pois é o melhor: Comodo Firewall Pro 3.

5 - Para terminar sobre o NERO, eu já tinha usado essa ferramenta que você me orientou e não se resolveu, e agora nem voltar a versão antiga eu consigo, sempre a mesma mensagem: Unable to Access Shell manager.

Bem, isso que eu saiba é causado por restos de versões antigas. Mas se nem mesmo limpando o sistema resultou positivamente, sinceramente, não sei. Recomendo que após limparmos seu PC dos vírus, e o problema continuar, abra um tópico na área de Softwares.

Continuando...

ComboFix 08-12-26.01 - 2008-12-26 14:59:30.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.3327.2866 [GMT -2:00]

Executando de: C:\Documents and Settings\ADM\Desktop\ComboFix.exe

AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated)

AV: avast! antivirus 4.8.1201 [VPS 081015-0] *On-access scanning disabled* (Outdated)

* Criado um novo ponto de restauro

.

Infelizmente o ComboFix não rodou corretamente.

Peço que reinicie o computador em Modo de Segurança e faça novamente o scan com o ComboFix. Poste o relatório dele.

Aloprado · Dezembro 26, 2008

Bom caro amigo, primeiramente sobre o Drive L se refere ao meu pen drive de 2gb.

POr enquanto estou deixando como estão: marcadas todas as entradas no MSCONFIG até terminarmos a "limpeza"

Sobre a desinstalação do AVAST ainda não fiz isso pois quando fui entrar no modo de segurança foi para repassar o COMBOFIx.

Sobre a execução do comboFix novamente, fiz extamente como me orientou e entrei no modo seguro e após pedi que rodasse o programa e o post envio abaixo, porém acho que ele se comportou da mesma maneira que antes.

Obs: notei que o arquivo do combofix que você disse que ele geraria no C:\ não está sendo gerado nesse local e sim dentro da pasta do próprio programa c:\Combofix\combofix.txt, não sei se ajuda.

Aguardo novas instruções;

Abraços

ComboFix 08-12-26.01 - ADM 2008-12-26 18:46:20.4 - NTFSx86 MINIMAL

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.3327.3057 [GMT -2:00]

Executando de: C:\Documents and Settings\ADM\Desktop\ComboFix.exe

AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated)

AV: avast! antivirus 4.8.1201 [VPS 081015-0] *On-access scanning disabled* (Outdated)

.

MGuitar · Dezembro 28, 2008

Não rodou.

- Faça o download do RSIT e salve no seu desktop;

● Dê dois cliques em RSIT.exe para executar o programa;

● Na janela que abrir clique no botão Continue para que a ferramenta comece a rodar;

● Quando a ferramenta terminar de rodar, abrirá um log automaticamente no bloco de notas contendo o resultado do scan. Cole o resultado desse log (log.txt) na sua próxima resposta;

● Cole também o conteúdo do arquivo info.txt que estará em C:\rsit\info.txt.

Aloprado · Dezembro 29, 2008

Olá e mais uma vez obrigado pela atenção:

Vamos lá: LOG do RSIT:

Logfile of random's system information tool 1.05 (written by random/random)

Run by ADM at 2008-12-28 23:25:27

Microsoft Windows XP Professional Service Pack 2

System drive C: has 87 GB (37%) free of 238 GB

Total RAM: 3327 MB (85% free)