[Resolvido!] Win32/Virut;

[PdrCastro 0]

Pessoal, alguns dias atrás.. o meu irmao sem querer colocou o virus WIN32/VIRUT no nosso PC ;

Agora tá sendo um problemao pra retirar ele, eu nao consigo de jeito nenhum, não vou mentir.. eu já li uma penca de topicos explicando como tirar, mas mesmo assim eu nao consegui =/

Se tiver alguem aê disponivel a me ajudar AGRADEÇO DESDE AGORA x)

 

GRATO.

[DigRam 144]

Pessoal, alguns dias atrás.. o meu irmao sem querer colocou o virus WIN32/VIRUT no nosso PC ;

Agora tá sendo um problemao pra retirar ele, eu nao consigo de jeito nenhum, não vou mentir.. eu já li uma penca de topicos explicando como tirar, mas mesmo assim eu nao consegui =/

Se tiver alguem aê disponivel a me ajudar AGRADEÇO DESDE AGORA x)

 

GRATO.

<><><><><><><><><>

Opa! PdrCastro

 

 

<!> Poste o log do HijackThis,segundo este Tutorial.

 

< Regra Nº 02 - Utilizando O Hijackthis - LEIA ANTES DE POSTAR! >

 

Abraços!

[PdrCastro 0]

Ai a parada do HiJackThis..

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:12 , pdru, on 15/4/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARQUIV~1\AVG\AVG8\avgwdsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\ARQUIV~1\AVG\AVG8\avgemc.exe

C:\ARQUIV~1\AVG\AVG8\avgam.exe

C:\ARQUIV~1\AVG\AVG8\avgrsx.exe

C:\ARQUIV~1\AVG\AVG8\avgnsx.exe

C:\Arquivos de programas\AVG\AVG8\avgcsrvx.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Search Settings\SearchSettings.exe

C:\ARQUIV~1\AVG\AVG8\avgtray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Hijackthis\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.a...&tbid=60049

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bitway.com.br

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60049

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60049

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60049

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60049

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\ARQUIV~1\SPEEDB~1\proxy.pac

R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Arquivos de programas\Search Settings\kb127\SearchSettings.dll

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - C:\Arquivos de programas\AVG\AVG8\avgssie.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: AVG Security Toolbar - {a057a204-bacc-4d26-9990-79a187e2698e} - C:\ARQUIV~1\AVG\AVG8\AVGTOO~1.DLL

O2 - BHO: FDMIECookiesBHO Class - {cc59e0f9-7e43-44fa-9faa-8377850bf205} - C:\Arquivos de programas\Free Download Manager\iefdm2.dll

O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Arquivos de programas\Search Settings\kb127\SearchSettings.dll

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARQUIV~1\AVG\AVG8\AVGTOO~1.DLL

O4 - HKLM\..\Run: [searchSettings] C:\Arquivos de programas\Search Settings\SearchSettings.exe

O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARQUIV~1\AVG\AVG8\avgtray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Free Download Manager] "C:\Arquivos de programas\Free Download Manager\fdm.exe" -autorun

O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\Pedro\reader_s.exe

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')

O4 - Startup: Recorte de tela e Iniciador do OneNote 2007.lnk = C:\Arquivos de programas\Microsoft Office\Office12\ONENOTEM.EXE

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: Baixar com o FDM - file://C:\Arquivos de programas\Free Download Manager\dllink.htm

O8 - Extra context menu item: Baixar tudo com o FDM - file://C:\Arquivos de programas\Free Download Manager\dlall.htm

O8 - Extra context menu item: Download selecionado pelo FDM - file://C:\Arquivos de programas\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Download video with Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dlfvideo.htm

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O14 - IERESET.INF: START_PAGE_URL=http://www.bitway.com.br

O16 - DPF: {9C024426-7859-4B2D-AB4C-B1E370AE7549} - http://br.mcafee.com/Apps/WSC/pt-br/WscWlanScannerCtrl.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Arquivos de programas\AVG\AVG8\avgpp.dll

O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)

O20 - AppInit_DLLs: c:\progra~1\ThunMail\testabd.dll

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O20 - Winlogon Notify: bdbefdecceceefff - C:\WINDOWS\system32\bdbefdecceceefff.dll (file missing)

O23 - Service: afisicx Service (afisicx) - Unknown owner - C:\WINDOWS\system32\afisicx.exe

O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\ARQUIV~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARQUIV~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: Serviço de transferência inteligente de plano de fundo (BITS) - Unknown owner - C:\WINDOWS\

O23 - Service: Serviço de indexação (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe

O23 - Service: Context Manager Process Extension (cmpe) - Unknown owner - C:\WINDOWS\system32\cmpe.exe

O23 - Service: Aplicativo de sistema COM+ (COMSysApp) - Unknown owner - C:\WINDOWS\system32\dllhost.exe

O23 - Service: Serviço administrativo do gerenciador de disco lógico (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe (file missing)

O23 - Service: Compartilhamento remoto da área de trabalho do NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Windows Installer (MSIServer) - Unknown owner - C:\WINDOWS\system32\msiexec.exe (file missing)

O23 - Service: Pml Driver HPZ12 - Unknown owner - C:\WINDOWS\system32\HPZipm12.exe (file missing)

O23 - Service: Gerenciador de sessão de ajuda de área de trabalho remota (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: QoS RSVP (RSVP) - Unknown owner - C:\WINDOWS\system32\rsvp.exe

O23 - Service: Cartão inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: ServiceLayer - Unknown owner - C:\Arquivos de programas\Arquivos comuns\PCSuite\Services\ServiceLayer.exe (file missing)

O23 - Service: sopidkc Service (sopidkc) - Unknown owner - C:\WINDOWS\system32\sopidkc.exe

O23 - Service: MS Software Shadow Copy Provider (SwPrv) - Unknown owner - C:\WINDOWS\system32\dllhost.exe

O23 - Service: Logs e alertas de desempenho (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: tdctxte Service (tdctxte) - Unknown owner - C:\WINDOWS\system32\tdctxte.exe

O23 - Service: Sistema de alimentação ininterrupta (UPS) - Unknown owner - C:\WINDOWS\System32\ups.exe

O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Arquivos de programas\Windows Live\installer\WLSetupSvc.exe (file missing)

O23 - Service: Adaptador de desempenho WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

O23 - Service: Serviço de Compartilhamento de Rede do Windows Media Player (WMPNetworkSvc) - Unknown owner - C:\Arquivos de programas\Windows Media Player\WMPNetwk.exe (file missing)

O23 - Service: Atualizações Automáticas (wuauserv) - Unknown owner - C:\WINDOWS\

 

--

End of file - 9390 bytes

 

 

----------------------------------------

 

 

Ahh, desculpem-me por ter criado 2 topicos, a net deu erro =/

[DigRam 144]

Boa Tarde! PdrCastro

 

<@> Baixe: < Del.zip >

<@> À direita,digite na caixa o texto,e clique em: "Faça o download do seu Fiche..."

<@> Descompacte-o para o desktop...mas,não execute-o ainda! ( Del.bat )

<@> Reinicie o computador,em Modo de Segurança.

<@> Abra o HijackThis --> Clique: Do a system scan only

 

O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\Pedro\reader_s.exe

 

<@> Marque,àcima,esta entrada! --> Clique em Fix checked --> Sim!

<@> Ainda em Modo Seguro,execute o arquivo Del.bat,com um duplo-clique.

<@> Confirme a solicitação!

<@> Não reinicie,ainda,o computador!

<@> Faça um scan com o seu antivírus. ( AVG )

<@> Terminando,reinicie o computador e repita o scan com o AVG.

<@> Informe a situação e poste um novo log do HijackThis. <--

<><><><><><><><><><><><><><>

<@> Baixe:

 

< rmvirut.exe >

 

< rmvirut.nt >

 

<!> Ps: Salve-os em uma mesma pasta,por exemplo: C:\Virut

 

<@> Reinicie o computador em Modo de segurança.

<@> Vá até Iniciar --> Executar -> Digite: C:\Virut\rmvirut.exe C: --> Clique em OK.

 

<!> OBS: Caso possua outras unidades de disco,adicione-as ao comando,da seguinte forma:

 

C:\Virut\rmvirut.exe C: D:

 

<@> Aguarde a conclusão! --> Aperte Enter.

<@> O computador será reiniciado!

<><><><><><><><><><><><>

<@> Baixe: < DrWebCureIt >

<@> Salve-o no desktop!

<@> Reinicie o computador em Modo de Segurança.

<@> Inicie a instalação/execução,com um duplo-clique em drweb-cureit.

<@> Na janela que abrir,clique em Iniciar --> OK.

<@> Será dado início a "Verificação rápida" --> Feche a janela de propaganda!

<@> Terminando,marque a caixa de "Verificação Completa".

<@> Click em "Options" --> Em Change settings,desmarque a "Heuristic analysis".

 

Neste modo são verificados os seguintes objectos:

 

* Sectores de Arranque de Todos os Discos. <--

 

* Todas as Unidades Removíveis. <--

 

* Todos os Discos Locais. <--

<@> Clique em "Iniciar verificação" --> Aguarde!

<@> Surgindo mensagens para mover ou desinfectar arquivos,clique em Sim.

<@> Terminando,clique em "Ficheiro" --> "Guardar lista de relatórios".

<@> Procure salvá-lo em um local adequado. ( DrWeb.csv ) <-- Texto!

<@> Poste: DrWeb.csv

 

Abraços!

[PdrCastro 0]

Olha brother.. eu segui todos os seus comandos, mas o DEL.BAT não funcionou aqui do geito que eu esperava, mas aqui está o LOG do HIJACKTHIS :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:52 , pdru, on 17/4/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARQUIV~1\AVG\AVG8\avgwdsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\ARQUIV~1\AVG\AVG8\avgemc.exe

C:\ARQUIV~1\AVG\AVG8\avgam.exe

C:\ARQUIV~1\AVG\AVG8\avgrsx.exe

C:\ARQUIV~1\AVG\AVG8\avgnsx.exe

C:\Arquivos de programas\AVG\AVG8\avgcsrvx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Search Settings\SearchSettings.exe

C:\ARQUIV~1\AVG\AVG8\avgtray.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Arquivos de programas\Mozilla Firefox\Firefox.exe

C:\Arquivos de programas\AVG\AVG8\avgcsrvx.exe

C:\Hijackthis\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.a...&tbid=60049

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bitway.com.br

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60049

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60049

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60049

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60049

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\ARQUIV~1\SPEEDB~1\proxy.pac

R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Arquivos de programas\Search Settings\kb127\SearchSettings.dll

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - C:\Arquivos de programas\AVG\AVG8\avgssie.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: AVG Security Toolbar - {a057a204-bacc-4d26-9990-79a187e2698e} - C:\ARQUIV~1\AVG\AVG8\AVGTOO~1.DLL

O2 - BHO: FDMIECookiesBHO Class - {cc59e0f9-7e43-44fa-9faa-8377850bf205} - C:\Arquivos de programas\Free Download Manager\iefdm2.dll

O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Arquivos de programas\Search Settings\kb127\SearchSettings.dll

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARQUIV~1\AVG\AVG8\AVGTOO~1.DLL

O4 - HKLM\..\Run: [searchSettings] C:\Arquivos de programas\Search Settings\SearchSettings.exe

O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARQUIV~1\AVG\AVG8\avgtray.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Free Download Manager] "C:\Arquivos de programas\Free Download Manager\fdm.exe" -autorun

O4 - Startup: Recorte de tela e Iniciador do OneNote 2007.lnk = C:\Arquivos de programas\Microsoft Office\Office12\ONENOTEM.EXE

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: Baixar com o FDM - file://C:\Arquivos de programas\Free Download Manager\dllink.htm

O8 - Extra context menu item: Baixar tudo com o FDM - file://C:\Arquivos de programas\Free Download Manager\dlall.htm

O8 - Extra context menu item: Download selecionado pelo FDM - file://C:\Arquivos de programas\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Download video with Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dlfvideo.htm

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O14 - IERESET.INF: START_PAGE_URL=http://www.bitway.com.br

O16 - DPF: {9C024426-7859-4B2D-AB4C-B1E370AE7549} - http://br.mcafee.com/Apps/WSC/pt-br/WscWlanScannerCtrl.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Arquivos de programas\AVG\AVG8\avgpp.dll

O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)

O20 - AppInit_DLLs: c:\progra~1\ThunMail\testabd.dll

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O20 - Winlogon Notify: bdbefdecceceefff - C:\WINDOWS\system32\bdbefdecceceefff.dll (file missing)

O23 - Service: afisicx Service (afisicx) - Unknown owner - C:\WINDOWS\system32\afisicx.exe (file missing)

O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\ARQUIV~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARQUIV~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: Serviço de transferência inteligente de plano de fundo (BITS) - Unknown owner - C:\WINDOWS\

O23 - Service: Serviço de indexação (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)

O23 - Service: Context Manager Process Extension (cmpe) - Unknown owner - C:\WINDOWS\system32\cmpe.exe (file missing)

O23 - Service: Aplicativo de sistema COM+ (COMSysApp) - Unknown owner - C:\WINDOWS\system32\dllhost.exe (file missing)

O23 - Service: Serviço administrativo do gerenciador de disco lógico (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe (file missing)

O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe (file missing)

O23 - Service: Compartilhamento remoto da área de trabalho do NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe (file missing)

O23 - Service: Windows Installer (MSIServer) - Unknown owner - C:\WINDOWS\system32\msiexec.exe (file missing)

O23 - Service: Pml Driver HPZ12 - Unknown owner - C:\WINDOWS\system32\HPZipm12.exe (file missing)

O23 - Service: Gerenciador de sessão de ajuda de área de trabalho remota (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe (file missing)

O23 - Service: QoS RSVP (RSVP) - Unknown owner - C:\WINDOWS\system32\rsvp.exe (file missing)

O23 - Service: Cartão inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe (file missing)

O23 - Service: ServiceLayer - Unknown owner - C:\Arquivos de programas\Arquivos comuns\PCSuite\Services\ServiceLayer.exe (file missing)

O23 - Service: sopidkc Service (sopidkc) - Unknown owner - C:\WINDOWS\system32\sopidkc.exe (file missing)

O23 - Service: MS Software Shadow Copy Provider (SwPrv) - Unknown owner - C:\WINDOWS\system32\dllhost.exe (file missing)

O23 - Service: Logs e alertas de desempenho (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe (file missing)

O23 - Service: tdctxte Service (tdctxte) - Unknown owner - C:\WINDOWS\system32\tdctxte.exe (file missing)

O23 - Service: Sistema de alimentação ininterrupta (UPS) - Unknown owner - C:\WINDOWS\System32\ups.exe (file missing)

O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Arquivos de programas\Windows Live\installer\WLSetupSvc.exe (file missing)

O23 - Service: Adaptador de desempenho WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe (file missing)

O23 - Service: Serviço de Compartilhamento de Rede do Windows Media Player (WMPNetworkSvc) - Unknown owner - C:\Arquivos de programas\Windows Media Player\WMPNetwk.exe (file missing)

O23 - Service: Atualizações Automáticas (wuauserv) - Unknown owner - C:\WINDOWS\

 

--

End of file - 9648 bytes

 

----------------------

 

Mesmo o Del.bat nao funcionando eu posso fazer aquelees outros passos qe voce mandou?

 

Abraços leqq !

[DigRam 144]

Boa Noite! PdrCastro

 

Mesmo o Del.bat nao funcionando eu posso fazer aquelees outros passos qe voce mandou?

<!> Sim! :thumbsup:

 

Abraços!

[PdrCastro 0]

Olha a Analise Dr.Web foi feita uma boa parte, mas nao toda. Aí vai o LOG !

 

explorer.exe;c:\windows;Win32.Virut.56;Desinfectado.;

alg.exe;c:\windows\system32;Win32.Virut.56;Desinfectado.;

ie4uinit.exe;c:\windows\system32;Win32.Virut.56;Desinfectado.;

locator.exe;c:\windows\system32;Win32.Virut.56;Desinfectado.;

logon.scr;c:\windows\system32;Win32.Virut.56;Desinfectado.;

msdtc.exe;c:\windows\system32;Win32.Virut.56;Desinfectado.;

ntsd.exe;c:\windows\system32;Win32.Virut.56;Desinfectado.;

regsvr32.exe;c:\windows\system32;Win32.Virut.56;Desinfectado.;

shmgrate.exe;c:\windows\system32;Win32.Virut.56;Desinfectado.;

spoolsv.exe;c:\windows\system32;Win32.Virut.56;Desinfectado.;

ssbezier.scr;c:\windows\system32;Win32.Virut.56;Desinfectado.;

userinit.exe;c:\windows\system32;Win32.Virut.56;Desinfectado.;

vssvc.exe;c:\windows\system32;Win32.Virut.56;Desinfectado.;

winmgmt.exe;c:\windows\system32\wbem;Win32.Virut.56;Desinfectado.;

googletalk-setup-upgrade-pt-BR.exe\data009;C:\Arquivos de programas\Google\Google Talk\googletalk-1.0.0.104\googletalk-setup-upgrade-pt-BR.exe;Trojan.Click.4944;;

googletalk-setup-upgrade-pt-BR.exe;C:\Arquivos de programas\Google\Google Talk\googletalk-1.0.0.104;O arquivo contém objectos infectados;Movido.;

NPMySrch.dll;C:\Arquivos de programas\Mozilla Firefox\plugins;Adware.MyWay;;

CPLUtl64.exe;C:\Arquivos de programas\Realtek AC97;Win32.Virut.56;Desinfectado.;

0143B6624F544D72[1].da/data002\new_update\kidpo\GDyS4D9Ih.au3.tbl;C:\Documents and Settings\Neide\Configurações locais\Temporary Internet Files\Content.IE5\8F6Z8N0L\0143B6624F544D72[1].da/data0;Win32.HLLW.Autoruner.based;;

data002;C:\Documents and Settings\Neide\Configurações locais\Temporary Internet Files\Content.IE5\8F6Z8N0L;A pasta contem objectos infectados;;

0143B6624F544D72[1].da;C:\Documents and Settings\Neide\Configurações locais\Temporary Internet Files\Content.IE5\8F6Z8N0L;A pasta contem objectos infectados;Movido.;

googletalk-setup-pt-BR.exe\data009;C:\Documents and Settings\Pedro\Meus documentos\Instalações\googletalk-setup-pt-BR.exe;Trojan.Click.4944;;

googletalk-setup-pt-BR.exe;C:\Documents and Settings\Pedro\Meus documentos\Instalações;O arquivo contém objectos infectados;Movido.;

vremamp.exe;C:\Documents and Settings\Pedro\Meus documentos\Instalações;Program.AnalogProxy;;

imp64b.exe;C:\Documents and Settings\Pedro\Meus documentos\Internet\avira_antivir_personal_en\basic;Win32.Virut.56;Desinfectado.;

A1245373.DLL;C:\System Volume Information\_restore{F894D97F-17F2-46ED-98D7-DF0714105CA5}\RP389;Adware.MyWay;;

A1245374.DLL;C:\System Volume Information\_restore{F894D97F-17F2-46ED-98D7-DF0714105CA5}\RP389;Adware.MyWay;;

A1245377.DLL;C:\System Volume Information\_restore{F894D97F-17F2-46ED-98D7-DF0714105CA5}\RP389;Adware.Msearch;;

A1248519.exe;C:\System Volume Information\_restore{F894D97F-17F2-46ED-98D7-DF0714105CA5}\RP390;Win32.Virut.56;Desinfectado.;

A1252248.exe/data002\new_update\kidpo\GDyS4D9Ih.au3.tbl;C:\System Volume Information\_restore{F894D97F-17F2-46ED-98D7-DF0714105CA5}\RP391\A1252248.exe/data002;Win32.HLLW.Autoruner.based;;

data002;C:\System Volume Information\_restore{F894D97F-17F2-46ED-98D7-DF0714105CA5}\RP391;A pasta contem objectos infectados;;

A1252248.exe;C:\System Volume Information\_restore{F894D97F-17F2-46ED-98D7-DF0714105CA5}\RP391;A pasta contem objectos infectados;Movido.;

A1263682.exe;C:\System Volume Information\_restore{F894D97F-17F2-46ED-98D7-DF0714105CA5}\RP391;Win32.Virut.56;Desinfectado.;

A1263683.exe;C:\System Volume Information\_restore{F894D97F-17F2-46ED-98D7-DF0714105CA5}\RP391;Win32.Virut.56;Desinfectado.;

A1263684.exe;C:\System Volume Information\_restore{F894D97F-17F2-46ED-98D7-DF0714105CA5}\RP391;Win32.Virut.56;Desinfectado.;

[DigRam 144]

Bom Dia! PdrCastro

 

<@> Baixe: < Kaspersky Virus Removal Tool >

<@> Salve-o em Arquivos de Programas,e instale-o aí mesmo!

<@> Reinicie o computador,em Modo de Segurança! <-- Importante!

<@> Dê início ao exame,clicando em "Scan".

<@> A verificação é muito demorada. <-- Aguarde!

<@> Caso seja encontrada infecções,clique em "disinfect".

<@> Terminando,clique na aba Events.

<@> Desmarque a caixa de seleção "Show all events".

<@> Clique em "Save to file".

<@> Nomeie-o e salve-o no desktop! <-- Relatório para postagem!

 

Abraços!

[PdrCastro 0]

Pra eu fazer a analise aqui vai ser meio dificil, pois eu to sem tempo algum pra fazer, estudo de manha e a tarde.

Olha, eu ja vi uma maneira de retirar pelo USB, tem que mexer no Boot e fazer umas paradas la, e eu acho qe esse modo é mais facil e mais rapido.

Eu queria saber se tem como voce postar aqui pra eu tentar desse modo !

 

ABRAÇOS !

[DigRam 144]

Pra eu fazer a analise aqui vai ser meio dificil, pois eu to sem tempo algum pra fazer, estudo de manha e a tarde.

Olha, eu ja vi uma maneira de retirar pelo USB, tem que mexer no Boot e fazer umas paradas la, e eu acho qe esse modo é mais facil e mais rapido.

Eu queria saber se tem como voce postar aqui pra eu tentar desse modo !

 

ABRAÇOS !

<><><><><><><><><>

Opa! PdrCastro

 

<!> O escaneamento pela tool da Kaspersky,é lenta...mas muito eficiente.

<!> Procure realizá-la na madrugada! Deixe o computador ligado,e vá dormir. :closedeyes:

 

Abraços!

[PdrCastro 0]

Okay..

vou fazer hooje !

 

Desculpa a demora, =p

 

Dei sinal de vida =]

 

To fazendo a analise no pc infectado, espero que essa droga de virus vá de VEZ.. tá enchendo o saco ¬¬

[DigRam 144]

Okay..

vou fazer hooje !

 

Desculpa a demora, =p

<><><><><><><><>

Opa! PdrCastro

 

<!> Demorou pacas!! <_<

<!> Mas...tudo bem! Estás desculpado. rsrsr...

 

Abraços!

[PdrCastro 0]

Ae, eu consegui fazer a limpeza.. mas nao to conseguindo mandar o log, ta demorando muito..

Olha eu fiz tudo certin e tallz, mas alguns programas continuam nao querendo abrir, o que eu deveria fazer?

[DigRam 144]

Ae, eu consegui fazer a limpeza.. mas nao to conseguindo mandar o log, ta demorando muito..

Olha eu fiz tudo certin e tallz, mas alguns programas continuam nao querendo abrir, o que eu deveria fazer?

<><><><><><><><>

Opa! PdrCastro

 

<@> Formate e descarte qualquer backup.

<><><><><><><><>

<@> Baixe e execute o DrWebCureIt,e poste seu relatório.

<@> Poste,também,HijackThis atualizado.

 

Abraços!

[PdrCastro 0]

Okay, mas é pra formatar o Windows e o HD?

[DigRam 144]

Okay, mas é pra formatar o Windows e o HD?

<><><><><><><><>

Opa! PdrCastro

 

<!> Formate o HD. Não faça nenhum backup!

 

Abraços!

[PdrCastro 0]

Ai vai o log do Dr.Web

 

A0000291.exe;C:\System Volume Information\_restore{15135431-1EBF-45A5-A42B-0978B3AFA0B8}\RP2; Tool.Reboot; Incurável.Movido.;

 

------------------------------------------

 

O Log também do HijackThis!

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:35:19, on 16/5/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Safe mode

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Proprietário\Desktop\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bitway.com.br

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bitway.com.br

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [sMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O14 - IERESET.INF: START_PAGE_URL=http://www.bitway.com.br

 

--

End of file - 1852 bytes

 

Ahh e mesmo formatando e fazendo analise de virus, ainda encontro esses virus:

HEUR/HTML.Malware

SPR/DESERT.A

SPR/TOOL.REBOOT.E ;

 

me da uma solução aê, !

 

ABRAÇOOS!

[DigRam 144]

Bom Dia! PdrCastro

 

<@> Baixe: < Kaspersky Virus Removal Tool >

<@> Salve-o em Arquivos de Programas,e instale-o aí mesmo!

<@> Reinicie o computador,em Modo de Segurança! <-- Importante!

<@> Dê início ao exame,clicando em "Scan".

<@> A verificação é muito demorada. <-- Aguarde!

<@> Caso seja encontrada infecções,clique em "disinfect".

<@> Terminando,clique na aba Events.

<@> Desmarque a caixa de seleção "Show all events".

<@> Clique em "Save to file".

<@> Nomeie-o e salve-o no desktop! <-- Relatório para postagem!

<@> Poste,também,HijackThis atualizado.

 

Abraços!

[PdrCastro 0]

A analise do Kaspersky não foi encontrado nenhum virus,

Segue o log do HijackThis !

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:12:27, on 18/5/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Safe mode

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Proprietário\Meus documentos\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bitway.com.br

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.bitway.com.br/

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [sMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O14 - IERESET.INF: START_PAGE_URL=http://www.bitway.com.br

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

 

--

End of file - 2308 bytes

[DigRam 144]

Boa Noite! PdrCastro

 

<@> Baixe: < a-squared Free 4.0 >

 

<!> Link Opcional: < >

 

<@> Salve-o em Arquivos de programas.

<@> Abra o programa e clique em: Atualizar agora --> Aguarde!

<@> Terminando,clique em: "Scan PC"

<@> Escolha a opção: "A fundo" --> Clique,à seguir,em "Analisar".

<@> Terminando,marque as caixinhas dos ítens encontrados e clique em "Enviar marcados à Quarentena".

<@> Salve e poste o relatório desta verificação. ( a2scan_xxyy09-xxxxxx.txt )

 

Abraços!