[Resolvido!] Pc infectado por Win32.Sality

[ctrindade 0]

Olá galera!

 

Muitos executáveis do meu pc estão infectados pelo Win32.Sality (de acordo com o Avast) e esse vírus infecta praticamente todos os executáveis do meu pc... já estou de saco cheio dele, o avast acusa o vírus toda hora, meu pc tá lento... e pra completar, não consigo instalar nenhum outro antivírus.

 

Queria pedir a ajuda de vocês para tirar esse vírus e também desinfectar meus executáveis.

 

Agradeço a ajuda.

 

----- Log do HijackThis -----

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 03:03:28, on 29/7/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:WINDOWSSystem32smss.exe

C:WINDOWSsystem32winlogon.exe

C:WINDOWSsystem32services.exe

C:WINDOWSsystem32lsass.exe

C:WINDOWSsystem32svchost.exe

C:WINDOWSSystem32svchost.exe

C:Arquivos de programasAlwil SoftwareAvast4aswUpdSv.exe

C:Arquivos de programasAlwil SoftwareAvast4ashServ.exe

C:WINDOWSExplorer.EXE

C:WINDOWSsystem32spoolsv.exe

C:ARQUIV~1ALWILS~1Avast4ashDisp.exe

C:WINDOWSsystem32ctfmon.exe

C:Arquivos de programasDAPDAP.EXE

C:Arquivos de programasMSN Messengermsnmsgr.exe

C:Documents and SettingsAdministradorDesktopVirus Removal Toolis-DE3F4is-DE3F4.exe

C:Documents and SettingsAdministradorDesktopVirus Removal Tool1is-04P3Eis-04P3E.exe

C:WINDOWSsystem32svchost.exe

C:Arquivos de programasJavajre6binjqs.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSsystem32svchost.exe

C:Arquivos de programasIVT CorporationBlueSoleilBlueSoleil_.exe

C:Arquivos de programasAlwil SoftwareAvast4ashMaiSv.exe

C:Arquivos de programasAlwil SoftwareAvast4ashWebSv.exe

C:WINDOWSsystem32wbemwmiapsrv.exe

C:WINDOWSregedit.exe

C:Arquivos de programasInternet Exploreriexplore.exe

C:Arquivos de programasInternet Exploreriexplore.exe

C:Arquivos de programasTrend MicroHijackThisHijackThis.exe

 

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft....k/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157"]http://go.microsoft....k/?LinkId=69157

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft....k/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896"]http://go.microsoft....k/?LinkId=54896

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft....k/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896"]http://go.microsoft....k/?LinkId=54896

R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft....k/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157"]http://go.microsoft....k/?LinkId=69157

R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyServer = 188.40.49.200:80

R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = local

R3 - URLSearchHook: Barra de Ferramentas do Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:Arquivos de programasYahoo!CompanionInstallscpnyt.dll

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:Arquivos de programasYahoo!CompanionInstallscpnyt.dll

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:Arquivos de programasHPSmart Web Printinghpswp_printenhancer.dll

O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:Arquivos de programasHPSmart Web Printinghpswp_framework.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:Arquivos de programasArquivos comunsAdobeAcrobatActiveXAcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:Arquivos de programasSpybot - Search & DestroySDHelper.dll

O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:Arquivos de programasJavajre6binjp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:Arquivos de programasJavajre6libdeployjqsiejqs_plugin.dll

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:Arquivos de programasYahoo!CompanionInstallscpnYTSingleInstance.dll

O2 - BHO: DAPIELoader Class - {FF6C3CF0-4B15-11D1-ABED-709549C10000} - C:ARQUIV~1DAPDAPIEL~1.DLL

O3 - Toolbar: Barra de Ferramentas do Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:Arquivos de programasYahoo!CompanionInstallscpnyt.dll

O4 - HKLM..Run: [avast!] C:ARQUIV~1ALWILS~1Avast4ashDisp.exe

O4 - HKLM..RunOnce: [Malwarebytes' Anti-Malware] C:Arquivos de programasMalwarebytes' Anti-Malwarembamgui.exe /install /silent

O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe

O4 - HKCU..Run: [DownloadAccelerator] "C:Arquivos de programasDAPDAP.EXE" /STARTUP

O4 - HKCU..Run: [msnmsgr] "C:Arquivos de programasMSN Messengermsnmsgr.exe" /background

O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SYSTEM')

O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'Default user')

O4 - Startup: is-04P3E.lnk = C:Documents and SettingsAdministradorDesktopVirus Removal Tool1is-04P3Estartup.exe

O4 - Startup: is-DE3F4.lnk = C:Documents and SettingsAdministradorDesktopVirus Removal Toolis-DE3F4startup.exe

O4 - Global Startup: BlueSoleil.lnk = C:Arquivos de programasIVT CorporationBlueSoleilBlueSoleil.exe

O8 - Extra context menu item: &Clean Traces - C:Arquivos de programasDAPPrivacy Packagedapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:Arquivos de programasDAPdapextie.htm

O8 - Extra context menu item: Add to AMV Converter... - C:Arquivos de programasMP3 Player Utilities 4.15AMVConvertergrab.html

O8 - Extra context menu item: Download &all with DAP - C:Arquivos de programasDAPdapextie2.htm

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:ARQUIV~1MICROS~2Office10EXCEL.EXE/3000

O8 - Extra context menu item: MediaManager tool grab multimedia file - C:Arquivos de programasMP3 Player Utilities 4.15MediaManagergrab.html

O9 - Extra button: Livro de recortes HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:Arquivos de programasHPSmart Web Printinghpswp_extensions.dll

O9 - Extra button: Seleção HP Smart - {700259D7-1666-479a-93B1-3250410481E8} - C:Arquivos de programasHPSmart Web Printinghpswp_extensions.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:Arquivos de programasSpybot - Search & DestroySDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:Arquivos de programasSpybot - Search & DestroySDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Arquivos de programasMessengermsmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Arquivos de programasMessengermsmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft....k/?linkid=39204'>http://go.microsoft.com/fwlink/?linkid=39204"]http://go.microsoft....k/?linkid=39204

O17 - HKLMSystemCCSServicesTcpip..{D7040CF4-EBF8-416F-9D0B-A12FADD3DC5A}: NameServer = 192.168.1.1,172.16.1.1

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:Arquivos de programasAlwil SoftwareAvast4aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:Arquivos de programasAlwil SoftwareAvast4ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:Arquivos de programasAlwil SoftwareAvast4ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:Arquivos de programasAlwil SoftwareAvast4ashWebSv.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Arquivos de programasArquivos comunsInstallShieldDriver11Intel 32IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:Arquivos de programasJavajre6binjqs.exe

 

--

End of file - 8025 bytes

[PedroN 1]

<@> Baixe: < SafeBootKeyRepair >

<@> Salve-a,diretamente,no Disco-local ©.

<@> Execute-a!E,ao terminar,gerará um relatório: C:\SafeBoot_Repair.txt <-- Não poste!

---------------------------------------------------------------------------------

Baixe: < '>http://dnl-us6.kaspersky-labs.com/devbuilds/AVPTool/"]Kaspersky Virus Removal Tool >

Salve-o em Arquivos de Programas,e instale-o aí mesmo!

Reinicie o computador,em Modo de Segurança! <-- Importante!

Dê início ao exame,clicando em "Scan".

A verificação é um pouco demorada. Aguarde!

Caso seja encontrada infecções,clique em "disinfect".

Terminando,clique na aba Events.

Desmarque a caixa de seleção "Show all events".

Clique em "Save to file".

Nomeie-o e salve-o no desktop! <-- Relatório para postagem!

Poste,também,HijackThis atualizado.

[ctrindade 0]

Olá, desculpe a demora em responder!

 

Consegui me livrar desse vírus!!! Me recomendaram o antivírus DrWebCureIt. Ele não é igual os outros que mandavam todos os meus executáveis para a quarentena ou até mesmo excluía muitos. Esse antivírus consegue desinfectar os executáveis sem apagá-los. É muito bom! Então fiz uma varredura e ele limpou todos os arquivos infectados.

 

Usei também a ferramenta Sality_Off mas não detectou nada. Não funcionou.

 

Depois usei a ferramenta Safe Boot Repair, que você me indicou pois o vírus desativou o Modo de Segurança. Simplesmente não funcionava, quando eu tentava entrar o computador reiniciava. Voltou tudo ao normal

 

Foi difícil mas consegui tirar esse vírus sem formatar meu pc!!

 

Não cheguei a testar o Kaspersky, mas acredito que funcionaria também, assim como o DrWebCureIt.

 

Agradeço a ajuda de todos. Valeu mesmo a atenção.

 

Um abraço.

[Mário Monteiro 179]

PROBLEMA RESOLVIDO!

 

Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico.