[Resolvido!] Retirar o virus "cid"

Gabriel.F · Maio 21, 2009

Formatei meu pc e comecei a usar o Firefox, mas toda hora aparece umas janelas da Cid e de outros sites no Internet Explorer...

ja passei antivirus e outros programas, vi outros topicos com esse problema mas nem deu certo, vlw quem ajudar :thumbsup:

Log ae:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:17:37, on 21/5/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16827)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\ittala\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [AXIS TONS THE MP3] C:\Documents and Settings\All Users\Dados de aplicativos\Readme Live Axis Tons\PURE ROAM.exe

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1241304266038

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1241304716507

O17 - HKLM\System\CCS\Services\Tcpip\..\{91E43D18-1204-4DAE-A1C8-4D9359708EE6}: NameServer = 192.168.30.1

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

Power Max · Maio 21, 2009

:thumbsup: Olá Gabriel! Seja bem-vindo ao Fórum Imasters.

:seta: Você conhece este programa abaixo que está sendo iniciado juntamente com o Windows?

O4 - HKLM\..\Run: [AXIS TONS THE MP3] C:\Documents and Settings\All Users\Dados de aplicativos\Readme Live Axis Tons\PURE ROAM.exe

_______________________________________________________________________________

:seta: Faça o download do Lop S&D no endereço abaixo:

http://eric.71.mespages.googlepages.com/LopSD.exe

# Temporariamente desative seus programas de proteção (Antivirus, etc.) para não interferirem com a ferramenta.

# Dê um Duplo-Clique com o botão esquerdo do mouse no ícone do Lop S&D que estará no desktop (área de trabalho).

Se utiliza o Windows Vista, dê clique direito do mouse no LopSD.exe e escolha 'Executar como administrador'.

# Irá surgir uma janela, tecle P de Português e dê enter.

# Pressione agora o numero "2 - Remocao + Hosts" pressionando a tecla "2" e dê ENTER.

# A ferramenta irá rodar para que a infecção possa ser removida.

# No final será gerado um log que estará em C:\lopR.txt

Poste este log em sua próxima resposta juntamente com um novo log do Hijackthis e nos diga como está o PC após este procedimento.

Ficamos no aguardo.

Gabriel.F · Maio 21, 2009

Conheço não cara...

E deu um tempo naquelas janelas sim, ate agora nao abriu nenhuma... tava abrindo 2 ou 3 janelas quase em seguida antes :thumbsup:

ta ai:

--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3

X86-based PC ( Uniprocessor Free : Intel® Celeron® CPU 2.53GHz )

BIOS : Award Modular BIOS v6.00PG

USER : ittala ( Administrator )

BOOT : Normal boot

Antivirus : avast! antivirus 4.8.1335 [VPS 090520-0] 4.8.1335 (Not Activated)

A:\ (USB)

C:\ (Local Disk) - NTFS - Total:76 Go (Free:68 Go)

D:\ (CD or DVD)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )

Option : [2] ( qui 21/05/2009|18:42 )

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\

--------------------\\ Lista de pastas em DADOSD~1

[16/05/2009|08:56] C:\DOCUME~1\ALLUSE~1\DADOSD~1\Adobe

[01/05/2009|16:38] C:\DOCUME~1\ALLUSE~1\DADOSD~1\CyberLink

[03/05/2009|07:45] C:\DOCUME~1\ALLUSE~1\DADOSD~1\Messenger Plus!

[03/05/2009|07:02] C:\DOCUME~1\ALLUSE~1\DADOSD~1\Microsoft

[08/05/2009|18:13] C:\DOCUME~1\ALLUSE~1\DADOSD~1\Windows Genuine Advantage

[01/05/2009|16:04] C:\DOCUME~1\DEFAUL~1\DADOSD~1\Microsoft

[06/05/2009|14:23] C:\DOCUME~1\ittala\DADOSD~1\Adobe

[04/05/2009|18:31] C:\DOCUME~1\ittala\DADOSD~1\CyberLink

[03/05/2009|08:21] C:\DOCUME~1\ittala\DADOSD~1\Identities

[02/05/2009|19:58] C:\DOCUME~1\ittala\DADOSD~1\Macromedia

[19/05/2009|20:18] C:\DOCUME~1\ittala\DADOSD~1\Microsoft

[02/05/2009|19:30] C:\DOCUME~1\ittala\DADOSD~1\Mozilla

[03/05/2009|08:22] C:\DOCUME~1\ittala\DADOSD~1\PhotoFiltre Studio X

[19/05/2009|20:01] C:\DOCUME~1\ittala\DADOSD~1\Sun

[03/05/2009|07:40] C:\DOCUME~1\ittala\DADOSD~1\WinRAR

[08/05/2009|18:14] C:\DOCUME~1\LOCALS~1\DADOSD~1\Microsoft

[01/05/2009|16:04] C:\DOCUME~1\NETWOR~1\DADOSD~1\Microsoft

--------------------\\ Tarefas Agendadas na pasta C:\WINDOWS\Tasks

[21/05/2009 18:27][--ah-----] C:\WINDOWS\tasks\SA.DAT

[28/10/2001 12:07][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Lista de pastas em C:\Arquivos de programas

[16/05/2009|08:55] C:\Arquivos de programas\Adobe

[03/05/2009|10:19] C:\Arquivos de programas\Alwil Software

[15/05/2009|15:58] C:\Arquivos de programas\Arquivos comuns

[01/05/2009|16:25] C:\Arquivos de programas\AvRack

[19/05/2009|20:13] C:\Arquivos de programas\CCleaner

[03/05/2009|11:24] C:\Arquivos de programas\Cicle Developement

[01/05/2009|16:00] C:\Arquivos de programas\ComPlus Applications

[01/05/2009|16:38] C:\Arquivos de programas\CyberLink

[13/05/2009|14:06] C:\Arquivos de programas\InstallShield Installation Information

[13/05/2009|15:07] C:\Arquivos de programas\Internet Explorer

[19/05/2009|20:04] C:\Arquivos de programas\Java

[03/05/2009|13:24] C:\Arquivos de programas\Messenger

[03/05/2009|07:37] C:\Arquivos de programas\Messenger Plus! Live

[03/05/2009|07:02] C:\Arquivos de programas\Microsoft

[01/05/2009|16:05] C:\Arquivos de programas\microsoft frontpage

[01/05/2009|16:29] C:\Arquivos de programas\Microsoft Office

[01/05/2009|16:30] C:\Arquivos de programas\Microsoft.NET

[03/05/2009|05:56] C:\Arquivos de programas\Movie Maker

[21/05/2009|18:37] C:\Arquivos de programas\Mozilla Firefox

[01/05/2009|16:00] C:\Arquivos de programas\MSN Gaming Zone

[03/05/2009|05:53] C:\Arquivos de programas\NetMeeting

[03/05/2009|05:53] C:\Arquivos de programas\Outlook Express

[03/05/2009|08:25] C:\Arquivos de programas\PhotoFiltre Studio X

[01/05/2009|16:25] C:\Arquivos de programas\Realtek Sound Manager

[01/05/2009|16:02] C:\Arquivos de programas\Serviços on-line

[01/05/2009|16:14] C:\Arquivos de programas\Uninstall Information

[01/05/2009|16:23] C:\Arquivos de programas\VIA

[03/05/2009|07:02] C:\Arquivos de programas\Windows Live

[03/05/2009|07:02] C:\Arquivos de programas\Windows Live SkyDrive

[08/05/2009|18:04] C:\Arquivos de programas\Windows Media Connect 2

[08/05/2009|18:03] C:\Arquivos de programas\Windows Media Player

[03/05/2009|05:53] C:\Arquivos de programas\Windows NT

[01/05/2009|16:02] C:\Arquivos de programas\WindowsUpdate

[02/05/2009|19:38] C:\Arquivos de programas\WinRAR

[01/05/2009|16:05] C:\Arquivos de programas\xerox

--------------------\\ Lista de pastas em C:\Arquivos de programas\Arquivos comuns

[16/05/2009|08:56] C:\Arquivos de programas\Arquivos comuns\Adobe

[01/05/2009|16:29] C:\Arquivos de programas\Arquivos comuns\DESIGNER

[01/05/2009|16:24] C:\Arquivos de programas\Arquivos comuns\InstallShield

[04/05/2009|20:26] C:\Arquivos de programas\Arquivos comuns\Microsoft Shared

[01/05/2009|16:01] C:\Arquivos de programas\Arquivos comuns\MSSoap

[01/05/2009|12:52] C:\Arquivos de programas\Arquivos comuns\ODBC

[01/05/2009|16:01] C:\Arquivos de programas\Arquivos comuns\Serviços

[01/05/2009|12:52] C:\Arquivos de programas\Arquivos comuns\SpeechEngines

[03/05/2009|05:53] C:\Arquivos de programas\Arquivos comuns\System

[03/05/2009|06:08] C:\Arquivos de programas\Arquivos comuns\Windows Live

--------------------\\ Process

( 31 Processes )

... OK !

--------------------\\ Procura pelo S_Lop

Não foram encontradas pastas com o Lop!

--------------------\\ Procura por Arquivos/Ficheiros e pastas do Lop

Não foram encontradas pastas com o Lop!

--------------------\\ Procura no Registro

..... OK !

--------------------\\ Verificando o Arquivos/Ficheiros Hosts

Arquivos/Ficheiros Hosts LIMPO

--------------------\\ Procurando Arquivos/Ficheiros ocultos com o Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-05-21 18:45:58

Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden files ...

scan completed successfully

hidden processes: 0

hidden files: 0

--------------------\\ Procurando por outras infecções

Não foram encontradas outras infecções.

[F:3][D:4]-> C:\DOCUME~1\ittala\CONFIG~1\Temp

[F:25][D:0]-> C:\DOCUME~1\ittala\Cookies

[F:67][D:4]-> C:\DOCUME~1\ittala\CONFIG~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - qui 21/05/2009|18:46 - Option : [2]

--------------------\\ Verificação completa em 18:46:50

Hijackthis: