[Arquivado] Vírus conficker

[Dêner 0]

Ajudem por favor, estava com vírus conficker, não conseguia acessar sites de scan on-line ou os da microsoft, nem instalar anti-vírus, e programas q precisam do windows installer. Consegui acessar esses sites somente dpois d conseguir completar a primeira etapa deste tópico: http://forum.imasters.com.br/index.php?showtopic=339903. Mas não consigo ainda instalar o anti-vírus e nem os programas q precisam do windows installer.

 

O log do Hijack:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13 07 Dêner, on 8/6/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

F:\WINDOWS\System32\smss.exe

F:\WINDOWS\system32\winlogon.exe

F:\WINDOWS\system32\services.exe

F:\WINDOWS\system32\lsass.exe

F:\WINDOWS\system32\svchost.exe

F:\WINDOWS\System32\svchost.exe

F:\WINDOWS\system32\spoolsv.exe

F:\WINDOWS\Explorer.EXE

F:\WINDOWS\system32\nvsvc32.exe

F:\WINDOWS\system32\wscntfy.exe

F:\Arquivos de programas\internet explorer\iexplore.exe

F:\Documents and Settings\Dêner\Meus documentos\HiJackThis.exe

 

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - F:\Arquivos de programas\AskBarDis\bar\bin\askBar.dll

O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - F:\Arquivos de programas\AskBarDis\bar\bin\askBar.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup

O17 - HKLM\System\CCS\Services\Tcpip\..\{06B922F3-D2AB-4CC1-9FD4-BEA8F6E3FD4F}: NameServer = 201.10.1.3 201.10.128.3

O17 - HKLM\System\CS1\Services\Tcpip\..\{06B922F3-D2AB-4CC1-9FD4-BEA8F6E3FD4F}: NameServer = 201.10.1.3 201.10.128.3

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe

 

--

End of file - 1368 bytes

[PedroN 1]

<@> Baixe:

 

<1> < Kaspersky Kido Killer 3.4.3 >

<2> < F-Downadup Removal Tool > ( ...by F-Secure )

<3> < Removal Tool for Win32.Worm.Downadup.Gen >

<4> < W32.Downadup Removal Tool > ( ...by Symantec )

<5> < MSRT by Microsoft - Malicious Software Removal Tool (KB890830) >

<6> < ssconftool_10_sfx.exe > ( 771,55kb )

 

<@> Ps: Antes de utilizar as ferramentas,procure instalar esta correção:

 

< MS08-067 >

 

<@> Desabilite:

 

<1> Qualquer conecção com a internet,ou rede.

<2> Auto-executar.

 

<@> Vá em Iniciar --> Executar --> Digite: gpedit.msc

<@> Diretiva Computador Local --> Configurações do Computador --> Modelos Administrativos --> Sistema.

<@> No Painel direito,dê um duplo-clique em Desativar Auto-Executar.

<@> Marque: Ativado --> Selecione: Todas as unidades --> Ok.

<@> Assim,você não será infectado ao conectar o drive infectado.

<@> Recomendo a formatação de suas mídias removíveis.

<3> Restauração do Sistema:

 

<@> Clique com o direito do mouse,em cima de Meu Computador --> Propriedades --> Restauração do Sistema.

<@> Marque: Desativar Restauração do Sistema --> Aplicar --> Aguarde! --> Ok.

<@> Depois,desmarque novamente! --> Aplicar --> Aguarde! --> Ok.

<@> Para maiores detalhes,leia o Tutorial: < Link >

<@> Ps: Rode as ferramentas,tendo atributos administrativos.

<@> Retire-as do zip,ao executá-las!

<><><><><><><><><><><>

<@> Baixe: < a-squared Free 4.0 >

 

<!> Link Opcional: < >

 

<@> Salve-o em Arquivos de programas.

<@> Abra o programa e clique em: Atualizar agora --> Aguarde!

<@> Terminando,clique em: "Scan PC"

<@> Escolha a opção: "A fundo" --> Clique,à seguir,em "Analisar".

<@> Terminando,marque as caixinhas dos ítens encontrados e clique em "Enviar marcados à Quarentena".

<@> Salve e poste o relatório desta verificação. ( a2scan_xxyy09-xxxxxx.txt )

<@> Poste,também,os relatórios das ferramentas antidownadup.

 

Tutorial: DigRam ;)

[Dêner 0]

Opa, então fiz tudo conforme acima, porém o problema perssiste. Aguardo por resposta

 

Log do HiJack:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19 59 Dêner, on 8/6/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

F:\WINDOWS\System32\smss.exe

F:\WINDOWS\system32\winlogon.exe

F:\WINDOWS\system32\services.exe

F:\WINDOWS\system32\lsass.exe

F:\WINDOWS\system32\svchost.exe

F:\WINDOWS\System32\svchost.exe

F:\WINDOWS\Explorer.EXE

F:\WINDOWS\system32\spoolsv.exe

F:\WINDOWS\system32\nvsvc32.exe

F:\WINDOWS\system32\wscntfy.exe

F:\Arquivos de programas\a-squared Free\a2service.exe

F:\Arquivos de programas\Internet Explorer\iexplore.exe

F:\Documents and Settings\Dêner\Meus documentos\HiJackThis.exe

 

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - F:\Arquivos de programas\AskBarDis\bar\bin\askBar.dll

O2 - BHO: (no name) - {6EF05952-B48D-4944-AA91-57A6A1A48EF8} - F:\Arquivos de programas\Puxa Rápido\IEBHO.DLL

O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - F:\Arquivos de programas\AskBarDis\bar\bin\askBar.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1244501811078

O17 - HKLM\System\CCS\Services\Tcpip\..\{06B922F3-D2AB-4CC1-9FD4-BEA8F6E3FD4F}: NameServer = 201.10.128.3 201.10.1.3

O17 - HKLM\System\CS1\Services\Tcpip\..\{06B922F3-D2AB-4CC1-9FD4-BEA8F6E3FD4F}: NameServer = 201.10.128.3 201.10.1.3

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - F:\Arquivos de programas\a-squared Free\a2service.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe

 

--

End of file - 1836 bytes

 

 

 

Log do a-squared:

 

a-squared Free - Versão 4.5

Última atualização 8/6/2009 16 16 39

 

Configurações da análise:

 

Scan type: deep

Objetos: Memória, Rastros, Cookies, C:\, F:\

Análise de arquivos: Ligado

Heurística: Desligado

Análise de ADS: Ligado

 

Início da análise: 8/6/2009 16 18 13

 

f:\windows\prefetch\wscript.exe-32960ab9.pf detectado: Trace.File.wewew.googlecode.com!A2

F:\Documents and Settings\Dêner\Cookies\dêner@adserver.dialhost.com[1].txt detectado: Trace.TrackingCookie.adserv!A2

F:\Documents and Settings\Dêner\Cookies\dêner@atdmt[1].txt detectado: Trace.TrackingCookie.atdmt!A2

F:\Documents and Settings\Dêner\Cookies\dêner@comofaco[2].txt detectado: Trace.TrackingCookie.com!A2

F:\Documents and Settings\Dêner\Cookies\dêner@com[1].txt detectado: Trace.TrackingCookie.com!A2

F:\Documents and Settings\Dêner\Cookies\dêner@doubleclick[1].txt detectado: Trace.TrackingCookie.doubleclick!A2

F:\Documents and Settings\Dêner\Cookies\dêner@google.com[1].txt detectado: Trace.TrackingCookie.google.com!A2

F:\Documents and Settings\Dêner\Cookies\dêner@ig.com[2].txt detectado: Trace.TrackingCookie.ig.com!A2

F:\Documents and Settings\Dêner\Cookies\dêner@insite.com[1].txt detectado: Trace.TrackingCookie.insite.com!A2

F:\Documents and Settings\Dêner\Cookies\dêner@media6degrees[2].txt detectado: Trace.TrackingCookie.media!A2

F:\Documents and Settings\Dêner\Cookies\dêner@specificclick[2].txt detectado: Trace.TrackingCookie.specificclick!A2

F:\Documents and Settings\Dêner\Cookies\dêner@zedo[2].txt detectado: Trace.TrackingCookie.zedo!A2

F:\Arquivos de programas\Infogrames\Grand Prix 4 2008\DLL\csmcontrol.ocx detectado: Backdoor.Win32.VB!IK

F:\Arquivos de programas\Infogrames\Grand Prix 4 2008\DLL\thread.dll detectado: Trojan-Downloader.Win32.Losabel!IK

F:\Documents and Settings\Dêner\Meus documentos\backups\backup-20090604-154216-226-Reboot.exe detectado: Riskware.RiskTool.Win32.Reboot!IK

 

Analisado

 

Arquivos: 39535

Objetos: 618829

Cookies: 180

Processos: 18

 

Encontrado

 

Arquivos: 3

Objetos: 1

Cookies: 12

Processos: 0

Chaves do registro: 0

 

Fim da análise: 8/6/2009 17 13 40

Duração da análise: 0:55:27

 

F:\Documents and Settings\Dêner\Meus documentos\backups\backup-20090604-154216-226-Reboot.exe Em quarentena Riskware.RiskTool.Win32.Reboot!IK

F:\Arquivos de programas\Infogrames\Grand Prix 4 2008\DLL\thread.dll Em quarentena Trojan-Downloader.Win32.Losabel!IK

F:\Arquivos de programas\Infogrames\Grand Prix 4 2008\DLL\csmcontrol.ocx Em quarentena Backdoor.Win32.VB!IK

F:\Documents and Settings\Dêner\Cookies\dêner@zedo[2].txt Em quarentena Trace.TrackingCookie.zedo!A2

F:\Documents and Settings\Dêner\Cookies\dêner@specificclick[2].txt Em quarentena Trace.TrackingCookie.specificclick!A2

F:\Documents and Settings\Dêner\Cookies\dêner@media6degrees[2].txt Em quarentena Trace.TrackingCookie.media!A2

F:\Documents and Settings\Dêner\Cookies\dêner@insite.com[1].txt Em quarentena Trace.TrackingCookie.insite.com!A2

F:\Documents and Settings\Dêner\Cookies\dêner@ig.com[2].txt Em quarentena Trace.TrackingCookie.ig.com!A2

F:\Documents and Settings\Dêner\Cookies\dêner@google.com[1].txt Em quarentena Trace.TrackingCookie.google.com!A2

F:\Documents and Settings\Dêner\Cookies\dêner@doubleclick[1].txt Em quarentena Trace.TrackingCookie.doubleclick!A2

F:\Documents and Settings\Dêner\Cookies\dêner@comofaco[2].txt Em quarentena Trace.TrackingCookie.com!A2

F:\Documents and Settings\Dêner\Cookies\dêner@com[1].txt Em quarentena Trace.TrackingCookie.com!A2

F:\Documents and Settings\Dêner\Cookies\dêner@atdmt[1].txt Em quarentena Trace.TrackingCookie.atdmt!A2

F:\Documents and Settings\Dêner\Cookies\dêner@adserver.dialhost.com[1].txt Em quarentena Trace.TrackingCookie.adserv!A2

f:\windows\prefetch\wscript.exe-32960ab9.pf Em quarentena Trace.File.wewew.googlecode.com!A2

 

Em quarentena

 

Arquivos: 3

Objetos: 1

Cookies: 11

[PedroN 1]

• Vá a este Link,e baixe: < Malwarebytes >

• Atualize o programa!

• Escolha o escaneamento Completo.

• Tenha em mente que o processo do scan é demorado, portanto, tenha paciencia.

• Desabilite programas de proteção,ao executar o malwarebytes.

• Procure enviar os ítens detectados para a quarentena,clicando em Remover itens.

• Para maiores detalhes: < Link >

-----------------------

• Poste,os relatórios: mbam-log-2008-xx-xx (00-00-00).txt + HijackThis,atualizado.

[Mário Monteiro 179]

Tópico Arquivado

 

Como o autor não respondeu por mais de 30 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.