Ir para conteúdo

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

tiagoxdd

[Arquivado] Vírus malware complicado de tirar

Recommended Posts

Estava ha uns 2 anos sem pegar um virus que realmente fizesse eu perder mais que 5 minutos, foi entao que ao ligar meu computador ele começou a ficar lento, abri o gerenciador de tarefas e estava com vários "cmd.exe" "services.exe" "ms18_word.exe".. no msconfig tinham varios arquivos como 1.tmp 2.tmp A.tmp, 17D.tmp etc..

 

tinha um tópico de um cara que pegou o mesmo vírus que eu, li o topico dele inteiro fiz a maioria dos passos, não consegui sucesso pra tirar o vírus

link do tópico ( http://forum.imasters.com.br/index.php?showtopic=352377&pid=1330737&mode=threaded&show=&st=0 )

 

vou mostrar uma screenshot do meu msconfig pra ver os arquivos que aparecem la, a maioria desses vou desativando, mas alguns voltam, no momento que to com o computador ligado a internet está baixando a 5kbps (net de 2mb, normal +200kbps, nao consigo entrar em sites direito, ta complicado mesmo, to a muito tempo pra fazer o cadastro e colocar algo no imageshack)

 

toda hora que fecho, se ja abrir volta aquele services.exe e regedit.exe

msconfigy.jpg

 

vou falar os procedimentos que fiz ontem pra tirar o virus

tentei passar o malwarebytes no modo de segurança, ele detectou alguns mas outras nao (por ex detectava o 1.tmp 2.tmp 7.tmp e deixava os outros ali), ainda no modo de segurança executei essa lista que fiz no avenger

Files to delete:C:\WINDOWS\system32\D.tmpC:\WINDOWS\system32\E.tmpC:\WINDOWS\system32\B.tmpC:\WINDOWS\system32\C.tmpC:\WINDOWS\system32\A.tmpC:\WINDOWS\system32\F.tmpC:\WINDOWS\system32\VTR1.tmpC:\WINDOWS\system32\1.tmpC:\WINDOWS\system32\2.tmpC:\WINDOWS\system32\3.tmpC:\WINDOWS\system32\4.tmpC:\WINDOWS\system32\5.tmpC:\WINDOWS\system32\6.tmpC:\WINDOWS\system32\7.tmpC:\WINDOWS\system32\8.tmpC:\WINDOWS\system32\9.tmpC:\WINDOWS\system32\10.tmpC:\WINDOWS\system32\11.tmpC:\WINDOWS\system32\12.tmpC:\WINDOWS\system32\D.tmp.exeC:\WINDOWS\system32\E.tmp.exeC:\WINDOWS\system32\B.tmp.exeC:\WINDOWS\system32\C.tmp.exeC:\WINDOWS\system32\A.tmp.exeC:\WINDOWS\system32\F.tmp.exeC:\WINDOWS\system32\VTR1.tmp.exeC:\WINDOWS\system32\1.tmp.exeC:\WINDOWS\system32\2.tmp.exeC:\WINDOWS\system32\3.tmp.exeC:\WINDOWS\system32\4.tmp.exeC:\WINDOWS\system32\5.tmp.exeC:\WINDOWS\system32\6.tmp.exeC:\WINDOWS\system32\7.tmp.exeC:\WINDOWS\system32\8.tmp.exeC:\WINDOWS\system32\9.tmp.exeC:\WINDOWS\system32\10.tmp.exeC:\WINDOWS\system32\11.tmp.exeC:\WINDOWS\system32\12.tmp.exe

 

Eu sabia que alguns nao ia conseguir deletar mas se deletasse os que tinham tava bom, ele deletava todos mas quando reiniciava o computador ja tava com eles abertos denovo, por destino um dia instalei o ad-aware e ele vem com um watcher, ele da uns avisos de bloqueio as vezes 3.tmp sei la, alguns ele bloqueia mas acho que alguns acabam passando

 

com o tempo fui descobrindo que vinham novos, ja vi uma hora o VTR2.tmp, e um 17D.tmp

 

vou postar o log do hijack no momento (aonde ja vi novos, como servises.exe, etc.. eu tento dar fix nos que sei mas provavelmente ta faltando algum que ta abrindo eles tudo denovo, o log está com o firefox e o msn aberto, infelizmente tem coisas abertas e na situação da minha internet fica dificil fechar

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:04:50, on 20/7/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal

 

Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Arquivos de programas\Lavasoft\Ad-Aware\AAWService.exeC:\WINDOWS\system32\spoolsv.exeC:\Arquivos de programas\Java\jre6\bin\jqs.exeC:\WINDOWS\System32\nvsvc32.exeC:\WINDOWS\system32\wscript.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\PnkBstrA.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\ctfmon.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\services.exeC:\WINDOWS\services.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\services.exeC:\Arquivos de programas\Lavasoft\Ad-Aware\AAWTray.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Arquivos de programas\Mozilla Firefox\firefox.exeC:\WINDOWS\System32\svchost.exeC:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exeC:\Arquivos de programas\Windows Live\Contacts\wlcomm.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\notepad.exeC:\Documents and Settings\TIAGOO\Desktop\HiJackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.aspR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.localF2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\killVBS.vbsO2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Arquivos de programas\Orbitdownloader\orbitcth.dllO2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dllO2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Arquivos de programas\AskBarDis\bar\bin\askBar.dllO2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Arquivos de programas\Microsoft Office\Office12\GrooveShellExtensions.dllO2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dllO2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dllO2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dllO3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Arquivos de programas\AskBarDis\bar\bin\askBar.dllO3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Arquivos de programas\Orbitdownloader\GrabPro.dllO4 - HKLM\..\Run: [21228] C:\WINDOWS\system32\17D.tmp.exeO4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exeO4 - HKLM\..\Run: [services] C:\WINDOWS\services.exeO4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exeO4 - HKLM\..\Run: [ms18_word] C:\WINDOWS\system32\ms18_word.exeO4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /backgroundO4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exeO4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')O4 - HKUS\S-1-5-21-2025429265-1123561945-725345543-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'postgres')O4 - HKUS\S-1-5-18\..\Run: [servises] C:\WINDOWS\system32\servises.exe (User 'SYSTEM')O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [servises] C:\WINDOWS\system32\servises.exe (User 'Default user')O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe (User 'Default user')O8 - Extra context menu item: &Download by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201O8 - Extra context menu item: &Grab video by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203O8 - Extra context menu item: Down&load all by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~3\Office12\EXCEL.EXE/3000O9 - Extra button: Incluir no Blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dllO9 - Extra 'Tools' menuitem: &Incluir no Blog no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dllO9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~3\Office12\ONBttnIE.dllO9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~3\Office12\ONBttnIE.dllO9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Arquivos de programas\PokerStars\PokerStarsUpdate.exeO9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~3\Office12\REFIEBAR.DLLO9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exeO14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.aspO16 - DPF: PrivateWire - http://cmt.caixa.gov.br/jpw.cabO16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos/OnlineScanner.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{31809E5D-FD86-4FC9-A257-99F29DC07B43}: NameServer = 201.10.120.3,201.10.1.2O17 - HKLM\System\CS1\Services\Tcpip\..\{31809E5D-FD86-4FC9-A257-99F29DC07B43}: NameServer = 201.10.120.3,201.10.1.2O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Arquivos de programas\Microsoft Office\Office12\GrooveSystemServices.dllO23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exeO23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exeO23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exeO23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Arquivos de programas\Lavasoft\Ad-Aware\AAWService.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exeO23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - C:\Arquivos de programas\PostgreSQL\8.3\bin\pg_ctl.exeO23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe--

Ps: nao uso nenhuma toolbar em nenhum navegador, não faço ideia o que é aquela C:\Arquivos de programas\AskBarDis\bar\bin\askBar.dll

 

Queria saber os procedimentos para tirar esse malware, vou entrar no topico constantemente aguardando uma resposta, desde já agradeço muito quem teve paciencia pra ler e que ajudam

 

Muito obrigado

Compartilhar este post


Link para o post
Compartilhar em outros sites

Opa tiagoxdd,

 

Baixe o ComboFix em:

ComboFix

 

1) Desabilite o seu anti-vírus temporariamente;

 

2) Dê um duplo-clique no combofix.exe e aguarde (o processo total demora cerca de 10 minutos);

 

3) A janela de NEGAÇÃO DE GARANTIA DO SOFTWARE abrir-se-á. Leia atentamente o texto contido nesta janela e clique sobre SIM para continuar.

 

PS.: Caso não concorde com os termos clique sobre NÃO para sair do software, cabendo lembrar que o processo de desinfecção não será possível sem a continuidade do ComboFix.

 

4) Outra janela irá abrir, caso a sua máquina não possua o CONSOLE DE RECUPERAÇÃO DO WINDOWS. É recomendável executar a instalação do console ante de dar continuidade ao processo, pois tal ação proporcionará a garantia de que o sistema poderá ser recuperado em caso de problemas durante a varredura.

 

Clique sobre SIM e aguarde, pois o processo de instalação do console dar-se-á automaticamente através do próprio ComboFix. Ele poderá demorar alguns minutos (dependerá da velocidade de sua conexão), portanto seja paciente.

 

Quando a janela INSTALANDO O CONSOLE DE RECUPERAÇÃO aparecer clique em OK, depois clique sobre SIM para aceitar a licença EULA.

 

Ao término da instalação do console de recuperação abrir-se-á uma janela avisando que O CONSOLE DE RECUPERAÇÃO FOI INSTALADA COM SUCESSO.

 

Clique sobre SIM para continuar a varredura.

 

5) O ComboFix iniciará o AUTOSCAN (aguarde).

 

ATENÇÃO: Não clique na janela do ComboFix, nem termine o processo abruptamente enquanto a ferramenta estiver sendo executada, pois isto implicará na desconfiguração de seu desktop (ele ficará todo branco).

 

Ao término do processo a máquina será reiniciada para a emissão do relatório.

 

6) Ao reiniciar a máquina o ComboFix irá executar o FIND3M para a criação do relatório final da varredura. O log ficará alocado em C:\ComboFix.txt.

 

7) Reabilite o seu anti-vírus;

 

8) Preciso que você cole o conteúdo do ComboFix.txt em sua próxima resposta.

 

OBS.1: Caso apareça uma mensagem avisando que ESTE NÃO É UM APLICATIVO WIN 32 VÁLIDO baixe o ComboFix novamente, mas salve-o em seu Desktop como KomboFix. Em último caso, tente utilizar o ComboFix em MODO SEGURO.

 

OBS.2: Caso haja um clique sobre a janela do ComboFix em execução, ela irá MAXIMIZAR, sobrepondo-se sobre as demais. Para minimizá-la novamente basta utilizar a combinação ALT + TAB.

 

Abraços.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Tópico Arquivado

 

Como o autor não respondeu por mais de 30 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.

Compartilhar este post


Link para o post
Compartilhar em outros sites

×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.