[Arquivado] vírus !

[TheMasterInf 0]

Dae galera... sou novato na comunidade e já preciso de ajuda... é o seguinte:

 

Tenho 5 computadores em rede com Win XP Pro, todos estão com um vírus que se propaga entre pastas sozinho, e entre eles, ele não precisa ser executado para aparecer na máquina, veio do autorun.inf de um pen drive, ele infecta vários arquivos .exe da máquina com o vírus Sality, conhecido nosso, ele trava tudo: Gerenciador de tarefas, regedit, modo oculto de pastas(ele fica setando lá nas opções de pastas, paranão mostrar arquivos ocultos), desativa o firewall, o avast ele tenta desativar mas não consegue, ele desativa o Spybot, entre outras coisas... estou trabalhando em 1 pc especifico, onde começou tudo... ele é particionado em 2, onde o Windows fica sozinho no C: e os demais arquivos no D:, ele começou acusando vírus no C:, uso o avast como anti virus, o vírus que o avast pega é o Sality, apenas ele, usei o Trend On Line, e ele acusa outros 2 vírus sempre, que ficam na pasta C:\Documents and Settings\Dudu\Configurações locais\Temp, mas são apagados no Trend, mesmo assim o bendito do vírus volta a infectar tudo denovo a máquina sozinho, não posso formatar o D: sem antes fazer um backup, mas mesmo formatando ele vem junto denovo no backup e logo se ativa sozinho novamente... preciso da ajuda de vcs.... segue abaixo o log que fiz da maquina logo após formatar e ele aparecer pela primeira vez...

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:01:14, on 27/4/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

F:\FILES\SETUP\OSE.EXE

C:\WINDOWS\system32\msiexec.exe

D:\Programas\HijackThis.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

--

End of file - 4706 bytes

 

Ae galera, mais algumas coisas que podem ajudar na identificação do mesmo... o Avast acusa de tempos em tempos uns 3 vírus diferentes no pc, sempre com os mesmos nomes e sempre ele remove eles... quando se reinicia o PC tambem eles aparecem... preciso muito da ajuda de vcs !!!

[Power Max 54]

:thumbsup: Olá TheMasterInf!

 

*Baixe o programa do link e salve-o no desktop (área de trabalho):

http://support.kaspersky.com/downloads/utils/sality_off.zip

*Extraia o conteúdo de sality_off.zip para C:\

*Desative seu antivírus temporariamente

*Entenda o procedimento...este programa irá rodar em 2 janelas distintas ao mesmo tempo.

*A primeira janela:

*Clique em Iniciar > Executar > digite: C:\Sality_off.exe -m

 

 

*Clique OK

*Mantenha o programa rodando. Não feche-o!! Ele ficará monitorando a memória...se desejar, minimize-o. Não se preocupe com ele.

 

*A segunda janela:

*Dê duplo clique em C:\Sality_off.exe e aguarde. Pode demorar...

*Ao término, tecle [ENTER]

*Ao terminar o processo da segunda janela informe como está o seu computador após este procedimento.

_______________________________________________________________________________

 

:seta: Faça também o seguinte:

 

:seta: Sugiro que você salve ou imprima essas instruções abaixo, pois em alguns momentos você poderá precisar usar o computador sem o acesso à internet:

 

- Faça o download do USBFix e salve-o no desktop (área de trabalho):

http://rapidshare.com/files/186762158/UsbFix.exe

Obs: Quando acessar o site acima, clique no botão Free user > aguarde a contagem regressiva > Clique no botão Download.

 

● Desative temporariamente seu antivírus;

● Dê um duplo clique no ícone do programa e instale-o clicando em (Suivant > Aceite o contrato > Suivant > Suivant > Démarrer > Quitter);

● Dê um duplo clique no ícone do USBFix criado no desktop para executá-lo;

● Insira o pen drive, MP3, MP4, ou outra mídia removível que você suspeite que possa estar infectada na porta USB do PC;

● Tecle 1, pressione Enter e siga as instruções que aparecer. Seu computador será reiniciado, aguarde e espere-o reiniciar;

● O PC será reiniciado. Mantenha o pen drive no local. Não remova!

● Quando estiver reiniciando aparecerá uma tela azul lhe dizendo que as unidades estão sendo verificadas;

● Após reiniciar, a ferramenta será executada automaticamente. Apenas aguarde sem mover o mouse ou usar o teclado;

● Ao receber a mensagem "Nettoyage effectue!", tecle ENTER

● Será aberto o log no bloco de notas automaticamente. O log também estará em C:\UsbFix.txt.

 

OBS: Se após reiniciar o seu desktop sumir, tecle Ctrl + Alt + Delete para rodar o gerenciador de tarefas. Clique em Arquivo > Executar nova tarefa, digite: explorer.exe e dê um OK.

 

Poste este log em sua próxima resposta juntamente com um novo log do Hijackthis e nos diga como está o PC após estes procedimentos.

 

Ficamos no aguardo.

[TheMasterInf 0]

Opa... Então o link do sality_off.exe esta fora do ar... você teria outro ???

[TheMasterInf 0]

Olá Antonio,

 

Então cara... fiz o procedimento normal que me pediu e ele não achou nada(0 arquivos infectados e 0 curados)... com as 2 telas abertas e tudo... Porém os dispositivos do Windows voltaram a funcionar (Gerenciador, regedit...etc) e por enquanto ele não acusou mais nada de vírus no avast... vou continuar testando aqui nas demais máquinas e já posto novamente se resolveu nossos problemas....

 

Para quem esta acompanhando e queira baixar o Sality_off.exe, pode baixar por aqui tb...

http://support.kaspersky.com/faq/?qid=208279889

o link fica bem no meio da página, sem erro...

 

até mais !!!

[TheMasterInf 0]

apenas para completar vai o log após o procedimento !!!!

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:43:01, on 28/4/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16827)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\Explorer.EXE

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

D:\Programas\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [C6501Sound] RunDll32 c6501.cpl,CMICtrlWnd

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flas...ent/swflash.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

--

End of file - 4919 bytes

[TheMasterInf 0]

Olá povo, então... o procedimento sitado pelo Antonio conseguiu remover o vírus blzinha... porém não removeu o gatilho... ou seja, ele remove o vírus que esta rodando porém, não o cara que iniciou tudo, resultado o avast acusou um vírus no temp da pasta windows e ele voltou a ativa... tudo denovo !!! Preciso de uma orientação de como remover o gatilho, o cara que inicia isso... Para adiantar um pouco vou realizar o procedimento novamente, e após ele remover tudo irei apagar a pasta Temp do Windows pois não é usada... Para ver se o gatilho esta lá... o pen drive esta limpo, testei ele em outro pc limpo e tudo... esta zeradinho...

 

Se alguem tiver mais alguma solução para ir adiantando aqui agradeço...

 

Um abraço,

 

Anderson

[Power Max 54]

Olá Anderson!

 

:!: Você se esqueceu de fazer o procedimento com o Usbfix e postar o log dele, faça isto por gentileza e poste o log dele em sua próxima resposta.

________________________________________________________________________________

 

* Faça também o seguinte:

 

:seta: Sugiro que você salve ou imprima essas instruções abaixo, pois em alguns momentos você poderá precisar usar o computador sem o acesso à internet:

 

* Faça o download do Dr. Web CureIt:

ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

 

* Reinicie o computador em Modo de Segurança (apertando a tecla F8 (ou a tecla F5 em alguns computadores) repetidas vezes quando o computador estiver reiniciando e escolhendo a opção Modo Seguro ou Modo de Segurança);

 

* Caso não seja possível reiniciar o computador em Modo de segurança, faça o escaneamento no modo normal.

 

* Dê um duplo clique no ícone dele e clique em Iniciar. Aguarde o scan inicial das áreas vitais do sistema terminar;

 

* Caso encontre algo, clique em "Sim";

 

* Quando o scan rápido terminar, clique em Opções > Alterar Definições. Na aba Verificar desmarque a opção Análise Heurística e clique no botão Ok.

 

* Depois disto, marque a opção Verificação Completa e clique na seta verde;

 

*Clique sempre na opção "Sim" para a remoção dos problemas encontrados;

 

*Ao término, clique em "Arquivo" e salve o relatório no desktop (área de trabalho);

 

*O relatório terá extensão .csv

 

*Feche o DrWebCureIt e reinicie o PC;

 

* Vá na sua área de trabalho, abra este relatório, selecione-o inteiramente, copie-o e poste-o em sua próxima resposta juntamente com um novo log do Hijackthis e com o log do Usbfix e nos diga como está o seu PC depois destes procedimentos;

 

* Ficamos no aguardo.

[TheMasterInf 0]

opa Antonio,

 

pois é cara não rolou tudo bem... mas temos um começo... olha executei da maneira que me passou o Sality_Off.exe, ele removeu tudo e funcionava bem... só que o vírus voltou... Não executei o outro pq achei sem necessidade devido ter conseguido ZERAR o pen drive manualmente, mas vou passar para você ver o log... Estou executando o hd infectado em outro pc... para limpar melhor e por enquanto esta indo bem... Apenas para você acompanhar certinho o meu caso... estes são os vírus que o avast começou a detectar após o vírus ter infectado minha máquina... note que são vários e que são repetidos várias vezes...

 

27/4/2009 15:00:51 1240855251 Dudu 988 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\iphqs.sys" file.

27/4/2009 15:08:41 1240855721 Dudu 1364 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\iphqs.sys" file.

27/4/2009 15:11:51 1240855911 Dudu 1364 Sign of "Win32:Agent-QNK [Trj]" has been found in "C:\DOCUME~1\Dudu\CONFIG~1\Temp\winftqoo.exe\[uPX]" file.

27/4/2009 15:13:47 1240856027 Dudu 1364 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\iphqs.sys" file.

27/4/2009 15:17:10 1240856230 Dudu 1364 Sign of "Win32:Agent-QNK [Trj]" has been found in "C:\DOCUME~1\Dudu\CONFIG~1\Temp\winksity.exe\[uPX]" file.

27/4/2009 15:17:17 1240856237 Dudu 1364 Sign of "Win32:Crypt-DMJ [Trj]" has been found in "C:\DOCUME~1\Dudu\CONFIG~1\Temp\winnxwuyt.exe\[uPX]" file.

27/4/2009 15:45:35 1240857935 Dudu 1364 Sign of "Win32:Sality" has been found in "D:\Programas\ComboFix.exe" file.

27/4/2009 16:04:30 1240859070 Dudu 1348 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\iphqs.sys" file.

27/4/2009 16:04:34 1240859074 Dudu 1348 Sign of "Win32:Sality" has been found in "C:\COMBOFIX\ComboFix.exe" file.

27/4/2009 16:06:18 1240859178 Dudu 1348 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\iphqs.sys" file.

27/4/2009 16:11:15 1240859475 Dudu 1348 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\iphqs.sys" file.

27/4/2009 16:13:25 1240859605 Dudu 1348 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\iphqs.sys" file.

27/4/2009 16:16:37 1240859797 Dudu 1348 Sign of "Win32:Agent-QNK [Trj]" has been found in "C:\DOCUME~1\Dudu\CONFIG~1\Temp\winuced.exe\[uPX]" file.

27/4/2009 16:38:10 1240861090 Dudu 1348 Sign of "Win32:Sality" has been found in "D:\Programas\ComboFix.exe" file.

27/4/2009 16:46:19 1240861579 Dudu 1348 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\iphqs.sys" file.

27/4/2009 16:47:46 1240861666 Dudu 1376 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\iphqs.sys" file.

27/4/2009 16:52:52 1240861972 Dudu 1376 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\iphqs.sys" file.

27/4/2009 16:56:00 1240862160 Dudu 1376 Sign of "Win32:Agent-QNK [Trj]" has been found in "C:\DOCUME~1\Dudu\CONFIG~1\Temp\winombarq.exe\[uPX]" file.

27/4/2009 16:59:11 1240862351 Dudu 1376 Sign of "Win32:Crypt-DMJ [Trj]" has been found in "C:\DOCUME~1\Dudu\CONFIG~1\Temp\fqwt.exe\[uPX]" file.

27/4/2009 17:17:51 1240863471 Dudu 1376 Sign of "Win32:Sality" has been found in "D:\Programas\ComboFix.exe" file.

27/4/2009 17:35:33 1240864533 Dudu 1688 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\iphqs.sys" file.

27/4/2009 17:37:26 1240864646 Dudu 1688 Sign of "Win32:Sality" has been found in "C:\Documents and Settings\Dudu\Desktop\rmtanat.exe" file.

27/4/2009 17:39:39 1240864779 Dudu 1372 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\iphqs.sys" file.

27/4/2009 17:42:16 1240864936 Dudu 1388 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\iphqs.sys" file.

28/4/2009 09:49:56 1240922996 Dudu 1372 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\iphqs.sys" file.

28/4/2009 10:02:01 1240923721 Dudu 1668 Sign of "Win32:Crypt-DMJ [Trj]" has been found in "c:\docume~1\dudu\config~1\temp\winkvwl.exe\[uPX]" file.

28/4/2009 10:02:10 1240923730 Dudu 1996 Sign of "Win32:Crypt-DMJ [Trj]" has been found in "c:\docume~1\dudu\config~1\temp\winkvwl.exe\[uPX]" file.

28/4/2009 10:08:32 1240924112 Dudu 1380 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\iphqs.sys" file.

28/4/2009 10:12:00 1240924320 Dudu 1380 Sign of "Win32:Crypt-DMJ [Trj]" has been found in "C:\DOCUME~1\Dudu\CONFIG~1\Temp\dmlnd.exe\[uPX]" file.

28/4/2009 10:13:42 1240924422 Dudu 1380 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\iphqs.sys" file.

28/4/2009 10:17:00 1240924620 Dudu 1380 Sign of "Win32:Agent-QNK [Trj]" has been found in "C:\DOCUME~1\Dudu\CONFIG~1\Temp\jpxub.exe\[uPX]" file.

28/4/2009 10:17:10 1240924630 Dudu 1380 Sign of "Win32:Crypt-DMJ [Trj]" has been found in "C:\DOCUME~1\Dudu\CONFIG~1\Temp\kaxe.exe\[uPX]" file.

28/4/2009 10:24:26 1240925066 Dudu 1380 Sign of "Win32:Sality" has been found in "C:\DOCUMENTS AND SETTINGS\DUDU\DESKTOP\UsbFix.exe" file.

28/4/2009 11:08:27 1240927707 Dudu 3024 Sign of "Win32:Sality" has been found in "D:\Programas\ComboFix.exe" file.

28/4/2009 11:30:27 1240929027 Dudu 3084 Sign of "Win32:Sality" has been found in "C:\Documents and Settings\Dudu\Desktop\rmtanat.exe" file.

28/4/2009 11:30:33 1240929033 Dudu 3084 Sign of "Win32:Sality" has been found in "C:\Documents and Settings\Dudu\Desktop\UsbFix.exe" file.

28/4/2009 11:30:57 1240929057 Dudu 1368 Sign of "Win32:Sality" has been found in "D:\Programas\HijackThis.exe" file.

28/4/2009 11:34:42 1240929282 Dudu 1368 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\mloon.sys" file.

28/4/2009 11:34:53 1240929293 Dudu 1368 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\mloon.sys" file.

28/4/2009 11:37:09 1240929429 Dudu 1360 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\mloon.sys" file.

28/4/2009 11:53:44 1240930424 Dudu 1356 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\jpnun.sys" file.

28/4/2009 13:06:26 1240934786 Dudu 1356 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\mnsqi.sys" file.

28/4/2009 13:06:26 1240934786 Dudu 1356 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\mnsqi.sys" file.

 

Ele infecta tudo... vou fazer o que me pediu e já posto para você...

 

Um abraço, Anderson

[Power Max 54]

Não executei o outro pq achei sem necessidade devido ter conseguido ZERAR o pen drive manualmente

:seta: Mesmo limpando o pendrive é importante usar aquele programa para eliminar os virus que estejam no seu Hd.

 

vou fazer o que me pediu e já posto para você...

:thumbsup: Valeu, ficamos no aguardo.

[TheMasterInf 0]

Mesmo limpando o pendrive é importante usar aquele programa para eliminar os virus que estejam no seu Hd.

Pensei que ele só limpava o pen drive... desculpe...

 

Coloquei a máquina infectada novamente para rodar, o Windows não rodou mesmo em modo de segurança... então estou executando o Dr. Web em modo normal mesmo... e ele já detectou vários arquivos úteis para o windows infectados e por enquanto limpou todos... assim que terminar passo o USBFix e mando os logs...

 

Desde já lhe agradeço pela ajuda, e por tudo o que tem feito no nosso mundo virtual para ajudar as pessoas... sei que você frequenta outros sites de ajuda e sempre dá o melhor para ajudar... Obrigado por enquanto !!!

[Power Max 54]

:thumbsup: Valeu, amigo! Pode sempre contar com a gente. Ficamos aqui na espera de que o seu PC fique bom o mais rápido possível.

[TheMasterInf 0]

Meus PC´s... :D pois são 5, meu pai tem uma farmácia, então tá tudo parado a 3 dias já... e tem uma fila de pc´s para ajeitar... tudo igual... tirei eles da rede... e estou tentando arrumar 1 de cada vez para não ter rolos... :D espero que pelo menos este Servidor volte sem ter que formatar, ele e 2 terminais tem backp´s de 15 anos de farmacia... imagine perder tudo... temos em DVD tb... mas esta desatualizado... jamais pensamos que aconteceria isso em todos de uma vez... é triste... imagine que estou a 2 dias sem dormir 100 % tentando ver isso... achei uns fóruns com uns caras com o mesmo problema que eu... e tudo sem solução... e o pessoal me cobrando... é complicado... :D mas vai dar certo... tenho certeza, suas dicas de ontem para cá já melhoram muito a maquina... até pensei em determinado tempo que tinha resolvido... :D

 

Um abraço

[TheMasterInf 0]

Hey Antonio, estou vendo que este Dr. Web esta achando muitos arquivos infectados na pasta System Volume Information, que pelo que sei é a pasta de restauração do Windows, vou desativar a restauração em todos os hd´s... caso esteje errado me diga tá... mas acho que é por isso que removemos da primeira vez e ele voltou... Desativei ok...

[TheMasterInf 0]

aqui vai o log do Dr. Web...

 

 

reader_sl.exe c:\arquivos de programas\adobe\reader 9.0\reader Win32.Sector.19 Desinfectado.

powers.exe c:\windows Win32.Sector.19 Desinfectado.

nwiz.exe c:\windows\system32 Win32.Sector.19 Desinfectado.

AcroRd32.exe C:\Arquivos de programas\Adobe\Reader 9.0\Reader Win32.Sector.19 Desinfectado.

Eula.exe C:\Arquivos de programas\Adobe\Reader 9.0\Reader Win32.Sector.19 Desinfectado.

CmiInstallAudio.exe C:\Arquivos de programas\C-Media 6501 Sound Win32.Sector.19 Desinfectado.

Filzip.exe C:\Arquivos de programas\Filzip Win32.Sector.19 Desinfectado.

EXCEL.EXE C:\Arquivos de programas\Microsoft Office\OFFICE11 Win32.Sector.19 Desinfectado.

MSPUB.EXE C:\Arquivos de programas\Microsoft Office\OFFICE11 Win32.Sector.19 Desinfectado.

WINWORD.EXE C:\Arquivos de programas\Microsoft Office\OFFICE11 Win32.Sector.19 Desinfectado.

VBAPB10.CHM\html/pbproStartInNextTextBox.htm C:\Arquivos de programas\Microsoft Office\OFFICE11\1046\VBAPB10.CHM Modificação de Avispa.2048

VBAPB10.CHM C:\Arquivos de programas\Microsoft Office\OFFICE11\1046 A pasta contem objectos infectados

SDUpdate.exe C:\Arquivos de programas\Spybot - Search & Destroy Win32.Sector.19 Desinfectado.

wmpshare.exe C:\Arquivos de programas\Windows Media Player Win32.Sector.19 Desinfectado.

RegUBP2b-Dudu.reg C:\Documents and Settings\All Users\Dados de aplicativos\Spybot - Search & Destroy\Snapshots2 Trojan.StartPage.1505 Eliminado.

A0003185.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP10 Win32.Sector.19 Desinfectado.

A0003186.EXE C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP10 Win32.Sector.19 Desinfectado.

A0003187.EXE C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP10 Win32.Sector.19 Desinfectado.

A0003189.EXE C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP10 Win32.Sector.19 Desinfectado.

A0003191.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP10 Win32.Sector.19 Desinfectado.

A0003192.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP10 Win32.Sector.19 Desinfectado.

A0003193.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP10 Win32.Sector.19 Desinfectado.

A0003195.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP10 Win32.Sector.19 Desinfectado.

A0003196.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP10 Win32.Sector.19 Desinfectado.

A0003197.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP10 Win32.Sector.19 Desinfectado.

A0003198.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP10 Win32.Sector.19 Desinfectado.

A0003458.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP10 Win32.Sector.19 Desinfectado.

A0003459.EXE C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP10 Win32.Sector.19 Desinfectado.

A0003460.EXE C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP10 Win32.Sector.19 Desinfectado.

A0003462.EXE C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP10 Win32.Sector.19 Desinfectado.

A0003464.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 Win32.Sector.19 Desinfectado.

A0003465.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 Win32.Sector.19 Desinfectado.

A0003476.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 Win32.Sector.19 Desinfectado.

A0003491.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 Win32.Sector.19 Desinfectado.

A0003510.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 Win32.Sector.19 Desinfectado.

A0003511.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 Win32.Sector.19 Desinfectado.

A0003634.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 Win32.Sector.19 Desinfectado.

A0003635.EXE C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 Win32.Sector.19 Desinfectado.

A0003636.EXE C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 Win32.Sector.19 Desinfectado.

A0003638.EXE C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 Win32.Sector.19 Desinfectado.

A0003640.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 Win32.Sector.19 Desinfectado.

A0003699.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 Win32.Sector.19 Desinfectado.

A0003700.EXE C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 Win32.Sector.19 Desinfectado.

A0003701.EXE C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 Win32.Sector.19 Desinfectado.

A0003703.EXE C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 Win32.Sector.19 Desinfectado.

A0003705.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 Win32.Sector.19 Desinfectado.

A0003706.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 Win32.Sector.19 Desinfectado.

A0003708.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 Win32.Sector.19 Desinfectado.

A0003709.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 Win32.Sector.19 Desinfectado.

A0003710.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 Win32.Sector.19 Desinfectado.

A0003711.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 Win32.Sector.19 Desinfectado.

A0003739.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 Win32.Sector.19 Desinfectado.

A0003757.exe\data010 C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11\A0003757.exe Tool.Prockill

A0003757.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 A pasta contem objectos infectados

A0003792.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 Win32.Sector.19 Desinfectado.

A0003793.EXE C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 Win32.Sector.19 Desinfectado.

A0003795.EXE C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 Win32.Sector.19 Desinfectado.

A0003796.EXE C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 Win32.Sector.19 Desinfectado.

A0003799.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 Win32.Sector.19 Desinfectado.

A0003800.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 Win32.Sector.19 Desinfectado.

A0003802.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 Win32.Sector.19 Desinfectado.

A0003804.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 Win32.Sector.19 Desinfectado.

A0003805.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 Win32.Sector.19 Desinfectado.

A0003806.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 Win32.Sector.19 Desinfectado.

A0003806.exe\data010 C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11\A0003806.exe Tool.Prockill

A0003806.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 A pasta contem objectos infectados

A0003807.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP11 Win32.Sector.19 Desinfectado.

A0003923.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP12 Win32.Sector.19 Desinfectado.

A0003924.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP12 Win32.Sector.19 Desinfectado.

A0003925.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP12 Win32.Sector.19 Desinfectado.

A0003926.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP12 Win32.Sector.19 Desinfectado.

A0003961.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP12 Win32.Sector.19 Desinfectado.

A0003962.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP12 Win32.Sector.19 Desinfectado.

A0003963.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP12 Win32.Sector.19 Desinfectado.

A0003964.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP12 Win32.Sector.19 Desinfectado.

A0004011.reg C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP12 Trojan.StartPage.1505 Eliminado.

A0004047.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP12 Win32.Sector.19 Desinfectado.

A0004048.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP12 Win32.Sector.19 Desinfectado.

A0004049.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP12 Win32.Sector.19 Desinfectado.

A0004050.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP12 Win32.Sector.19 Desinfectado.

A0004052.EXE C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP12 Win32.Sector.19 Desinfectado.

A0004053.EXE C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP12 Win32.Sector.19 Desinfectado.

A0004054.EXE C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP12 Win32.Sector.19 Desinfectado.

A0004108.reg C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP12 Trojan.StartPage.1505 Eliminado.

A0004146.bat C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP12 Provavelmente BATCH.Virus

A0004161.bat C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP12 Provavelmente BATCH.Virus

A0004215.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP12 Win32.Sector.19 Desinfectado.

A0004216.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP12 Win32.Sector.19 Desinfectado.

A0004217.EXE C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP12 Win32.Sector.19 Desinfectado.

A0004218.EXE C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP12 Win32.Sector.19 Desinfectado.

A0004219.EXE C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP12 Win32.Sector.19 Desinfectado.

A0004220.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP12 Win32.Sector.19 Desinfectado.

A0004247.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP12 Win32.Sector.19 Desinfectado.

A0004248.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP12 Win32.Sector.19 Desinfectado.

A0004249.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP12 Win32.Sector.19 Desinfectado.

A0004250.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP12 Win32.Sector.19 Desinfectado.

A0004268.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP12 Win32.Sector.19 Desinfectado.

A0004269.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP12 Win32.Sector.19 Desinfectado.

A0004270.reg C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP12 Trojan.StartPage.1505 Eliminado.

A0001876.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP5 Win32.Sector.19 Desinfectado.

A0001878.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP5 Win32.Sector.19 Desinfectado.

A0001879.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP5 Win32.Sector.19 Desinfectado.

A0001880.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP5 Win32.Sector.19 Desinfectado.

A0001881.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP5 Win32.Sector.19 Desinfectado.

A0001946.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP5 Win32.Sector.19 Desinfectado.

A0001989.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP5 Win32.Sector.19 Desinfectado.

A0002114.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP6 Win32.Sector.19 Desinfectado.

A0002373.bat C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP7 Provavelmente BATCH.Virus

A0002376.bat C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP7 Provavelmente BATCH.Virus

A0002406.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP7 Win32.Sector.19 Desinfectado.

A0002421.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP7 Win32.Sector.19 Desinfectado.

A0002424.EXE C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP7 Win32.Sector.19 Desinfectado.

A0002425.EXE C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP7 Win32.Sector.19 Desinfectado.

A0002426.EXE C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP7 Win32.Sector.19 Desinfectado.

A0002451.EXE C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP7 Win32.Sector.19 Desinfectado.

A0002453.EXE C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP7 Win32.Sector.19 Desinfectado.

A0002454.EXE C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP7 Win32.Sector.19 Desinfectado.

A0002466.EXE C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP7 Win32.Sector.19 Desinfectado.

A0002467.EXE C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP7 Win32.Sector.19 Desinfectado.

A0002469.EXE C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP7 Win32.Sector.19 Desinfectado.

A0002473.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP7 Win32.Sector.19 Desinfectado.

A0002475.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP7 Win32.Sector.19 Desinfectado.

A0002481.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP7 Win32.Sector.19 Desinfectado.

A0002524.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP7 Win32.Sector.19 Desinfectado.

A0002713.sys C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP7 Win32.Sector.12 Eliminado.

A0002715.EXE C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP7 Win32.Sector.19 Desinfectado.

A0002717.EXE C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP7 Win32.Sector.19 Desinfectado.

A0002718.EXE C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP7 Win32.Sector.19 Desinfectado.

A0002720.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP7 Win32.Sector.19 Desinfectado.

A0002721.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP7 Win32.Sector.19 Desinfectado.

A0002723.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP7 Win32.Sector.19 Desinfectado.

A0002724.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP7 Win32.Sector.19 Desinfectado.

A0002752.exe C:\System Volume Information\_restore{33CE098E-AD97-467B-8B28-43222C25F3C6}\RP7 Win32.Sector.19 Desinfectado.

[Power Max 54]

Hey Antonio, estou vendo que este Dr. Web esta achando muitos arquivos infectados na pasta System Volume Information, que pelo que sei é a pasta de restauração do Windows, vou desativar a restauração em todos os hd´s

Realmente a maioria dos arquivos infectados estavam na pasta de Restauração do Sistema e é importante mesmo neste caso manter ela desativada até terminarmos a limpeza.

 

:seta: Siga as dicas deste tutorial para fazer um escaneamento com o Kaspersky Virus Removal Tool:

 

Tutorial do Kaspersky Virus Removal Tool

 

Depois disto poste o log dele e nos diga como está o PC depois disto.

 

Ficamos no aguardo.

[TheMasterInf 0]

Olá Antonio... segue abaixo os logs criados... postei na web para ficar melhor sua visualização !!!

 

http://www.turboupload.com/qjp105k9jdh9/hijackthis3.txt.html

http://www.turboupload.com/ar0xcvvftqo9/UsbFix.txt.html

http://www.turboupload.com/0zdp90eubbq2/DrWeb.csv.html

 

Estou vendo o fórum que me pediu...

[Power Max 54]

Vários arquivos foram desinfectados pelo Dr Web CureIt. Quando você terminar o escaneamento com o Kaspersky Virus Removal Tool poste o log dele.

 

Ficamos no aguardo.

[TheMasterInf 0]

Olá Antonio... O Download do Kapersky removal esta muito devagar... creio eu que ficará para amanha apenas... mas "aparentemente" a máquina esta bem e foi removido todos os vírus aqui... mas irei continuar testando e usando para ver se aparece algum escondidinho aqui antes de colocá-los em rede novamente, e já vou executando os seus procedimentos nos outros pc´s via pen drive fora da rede né... para não termos riscos de infectar denovo... sei que você já deve saber, mas apenas para quem esta acompanhando o meu problema... Formatando o pen drive via dos mesmo no XP apaga e até mesmo força a desconexão do mesmo do Windows completamente, ou seja, quando você não tem nada a perder no pen drive como eu, e que usa-lo para algo em uma máquina limpa de vírus, para pegar algum programa ou arquivo como eu, é só você espeta-lo na máquina "sem executar o autorun", abrir o dos (iniciar \ executar \ cmd) e escrever format x: (no meu caso o x é g :D) e seguir os passos que aparecem... e pronto, se sua máquina esta limpa o pen drive tb fica... mas tem que ser feito isso sempre para não haver erros ou dúvidas, pois no meu caso o vírus que vem junto é um autorun.inf e um outro .pif... e sempre ocultos...

 

Amanhã posto o log do kaperski seu eu conseguir baixar ele né... :D

 

 

Um abraço !!!

[Power Max 54]

É um pouco demorado o download dele porque ele tem aproximadamente 37 Mb. Mas é muito importante usá-lo para completarmos a remoção dos problemas.

 

Ficamos no aguardo.

[TheMasterInf 0]

Ola Antonio, estou terminando de postar o log do Kaperski... Ele ficou com 14 mb :D assim que terminar posto aqui para você... mas já adiantou que todas as máquinas estão aparentemente normais... realmente o kaperski removeu mais uma variação do Sality que não aparecia nos outros...

 

Desde lhe agradeço pela ajuda !!!