[Resolvido!] Analise

[Jackson Dias 68]

Olá iMasters!

 

Nobres, venho passando uns "aperreios" com umas pragas no local onde trabalho (são a17 computadores que sou responsavél por eles com o mesmo problema). Freqüentemente, os computadores abri o Internet Explorer exibindo a página abaixo

 

http://img13.imageshack.us/i/666zqq.jpg/

 

No inicializar também tem rastros da maldita:

 

http://img19.imageshack.us/i/6662f.jpg/

 

Invadiu também as propriedades de vídeo:

 

http://img19.imageshack.us/i/6663z.jpg/

 

 

Outra, ele cria um aplicativo.exe como o ícone de uma pasta dentro da pasta e repetindo o mesmo nome da pasta. Quando clica normalmente leva para meus documentos.

 

http://img19.imageshack.us/i/6664p.jpg/

 

De inicio tentei eliminar a (s) praga (s) com o "Penclean", mas não adiantou.

Iniciando relatório do PenClean 2.0.3

Por Renato Victor Mejias

renatomejias@yahoo.com.br

4/8/2009 10:13:27

-----------------------------------------------------------

Arquivos excluídos da unidade escolhida:

 

Malware não detectado na unidade escolhida!

 

-----------------------------------------------------------

Fim da análise, a unidade verificada foi C:

 

-----------------------------------------------------------

Arquivos excluídos da unidade escolhida:

 

Malware não detectado na unidade escolhida!

 

-----------------------------------------------------------

Fim da análise, a unidade verificada foi E:

 

-----------------------------------------------------------

Arquivos excluídos da unidade escolhida:

 

Malware não detectado na unidade escolhida!

 

-----------------------------------------------------------

Fim da análise, a unidade verificada foi E:

 

-----------------------------------------------------------

 

Tentei usar o HiJackThis para gerar o log, mas a instalação não foi possível, sempre que tento instalar o computador reinicia (mesmo em modo de segurança).

 

Consegui fazer uma analise com o Malwarebytes, segue abaixo o log:

 

Malwarebytes' Anti-Malware 1.36

Versão do banco de dados: 1945

Windows 5.1.2600 Service Pack 2

 

4/8/2009 10:46:24

mbam-log-2009-08-04 (10-46-24).txt

 

Tipo de Verificação: Completa (C:\|E:\|)

Objetos verificados: 101728

Tempo decorrido: 19 minute(s), 23 second(s)

 

Processos da Memória infectados: 0

Módulos de Memória Infectados: 0

Chaves do Registro infectadas: 0

Valores do Registro infectados: 3

Ítens do Registro infectados: 7

Pastas infectadas: 0

Arquivos infectados: 9

 

Processos da Memória infectados:

(Nenhum ítem malicioso foi detectado)

 

Módulos de Memória Infectados:

(Nenhum ítem malicioso foi detectado)

 

Chaves do Registro infectadas:

(Nenhum ítem malicioso foi detectado)

 

Valores do Registro infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xp-d6c66751 (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Bron-Spizaetus (Worm.Brontok) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tok-Cirrhatus (Worm.Brontok) -> Quarantined and deleted successfully.

 

Ítens do Registro infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Backdoor.Bot) -> Data: c:\windows\eksplorasi.exe -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Pastas infectadas:

(Nenhum ítem malicioso foi detectado)

 

Arquivos infectados:

C:\Documents and Settings\TERMINAL1\Dados de aplicativos\Wplugin.dll (Trojan.Dropper) -> Delete on reboot.

C:\System Volume Information\_restore{91B0D098-D918-4261-AAD3-2147730DC457}\RP2\A0000014.dll (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{91B0D098-D918-4261-AAD3-2147730DC457}\RP8\A0006317.dll (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\WINDOWS\Wplugin.dll (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\XP-D6C66751.EXE (Trojan.Agent) -> Delete on reboot.

C:\WINDOWS\system32\krnln.fnr (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\eksplorasi.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\WINDOWS\SHELLNEW\sempalong.exe (Worm.Brontok) -> Quarantined and deleted successfully.

C:\Documents and Settings\TERMINAL1\Configurações locais\Dados de aplicativos\smss.exe (Worm.Brontok) -> Quarantined and deleted successfully.

 

a

 

Após reiniciar o computador em Programas > Inicializar... Saiu o arquivo "iiiii".

Os aplicativos com o nome da pasta continuam.

 

Agradeço por qualquer dica para eliminar esses safadinhos.

 

 

Jackson Dias

:thumbsup:

[Silas Martins 0]

Olá Lung,

Siga as instruções abaixo, no período em que eu estiver em seu caso não execute qualquer ferramenta de remoção que eu não tenha indicado.

 

 

Faça download do '>http://dnl-us6.kaspersky-labs.com/devbuilds/AVPTool/"]Kaspersky Removal Tool. Salve em seu desktop (área de trabalho).

• Instale o programa normalmente, seguindo todas as instruções.
• Uma pasta chamada Virus Removal Tool será criada no desktop.
• Na tela principal do programa clique na opção Meu computador, Startup objects, Disk boot sectors e depois clique no botão Scan.
• Seja paciente, o scan pode demorar
• Se ele encontrar alguma infecção abrirá uma janela de alerta clique em skip.
• Após completar tudo, clique no botão Reports... e clique em Save to file.
• Dê um nome para o arquivo e salve numa pasta de sua preferência.
• Feche o resultado clicando no X da janela.
• Logo em seguida feche o programa também clicando no X da janela. Ao fazer isso será questionado se quer desinstalar a ferramenta, clique em No. Poste o conteúdo desse arquivo em sua próxima resposta e aguarde. Caso o arquivo de resposta fique grande para postagem upe ele em http://baixa.la e poste aqui o link

Aguardo retorno.

[Jackson Dias 68]

Boa tarde.

Silas,

 

Espero que não interfira na analise, o site que você me indicou estava demorando muito para fazer o upload. Então enviei direto para uma hospedagem. www.cesfri-itz.com.br/log_kaperskay.rar

 

Nobre, uma vez iniciei uma analise aqui e acabei desistindo, pois o arquivo tinha dado 180MB e não estava conseguindo upar. Dessa vez o arquivo deu mais de 50MB. E a solução foi compactar ele com o Winrar, ficou 2MB!

 

Segue aí a dica para quem tiver com dificuldades para fazer o upload desses logs monstruosos.

 

Grato pela paciência.

 

:thumbsup:

[Silas Martins 0]

Olá Lung,

Pelo resultado do scan tenho que lhe advertir que:

O aconselhável é a formatação, podemos tentar desinfetar mais os níveis de desinfecção poderão não ser satisfatórios.

Caso opte pela análise, será um processo que demandara algum tempo, e como dito podemos não obter resultados expressivos.

A desinfecção trará perdas consideráveis de dados em seu computador, se mesmo assim queira tentar a desinfecção eis as instruções:

 

• Agora abra a apasta Virus Removal Tool que foi criada no desktop.
• Clique no ícone do Kaspersky cujo nome é Star.
• Feche a pasta Virus Removal Tool.
• Agora localize abaixo o subtítulo Statistics.
• Clique aí...
• Surgira a janela com o resultado do scan feito anteriormente.
• Certifique que a caixa abaixo Show neutralized objetcs, esteja selecionada.
• Clique no botão Neutralize all.
• Ao fazer isto a janela de alerta (e um ruído) irá surgir.
• Clique na caixa Aplly to all.
• Agora clique no botão Desinfect.
• Caso a janela de alerta abra novamente, repita o procedimento.
• Pode acontecer que da opção Desinfect não esteja habilitada, então escolha Delete.
• Pode ser que a ferramenta reinicie seu computador para que alguns malwares sejam deletados.
• Após completar tudo, clique no botão Reports... e clique em Save to file.
• Dê um nome diferente para o arquivo e salve numa pasta de sua preferência.
• Feche o resultado clicando no X da janela.
• Logo em seguida feche o programa também clicando no X da janela. Ao fazer isso será questionado se quer desinstalar a ferramenta, clique em Yes.
• Abrirá um aviso perguntando se quer realmente desinstalar, clique em Sim.
• Por fim será pedido para reiniciar o computador, clique novamente em Sim.
• Poste o conteúdo desse arquivo em sua próxima resposta.

Observação: Caso apareça alguma mensagem pedindo para colocar uma senha, clique no botão "Skip".

 

Aguardo retorno

[Jackson Dias 68]

Ok, mas a formatação não adiantará muito por enquanto, pois meu pendrive (que tenho praticamente tudo que preciso para trabalhar está infectado também), e mesmo formatando iria ter que usa-lo. Ia novamente infectar as máquinas formatadas e teria que formatar novamente e ficaria nesse ciculo vicioso (risos).

 

Farei o máximo para postar logo o novo log.

 

Grato

[Silas Martins 0]

Ficarei no aguardo :thumbsup:

[Jackson Dias 68]

Gzuizeeee, inventei de usar a m**** do IE, postei coisa demais e perdi o post (risos).

(...Postando novamente...)

Silas,

 

Nobre, através do Karperskay, consegui remover o "Wplugin.dll", funcionou 100% contra esse safado.

Em relação aos aplicativos .exe que ficam com o ícone o com o mesmo nome da pasta que se escondiam esses consegui remover de uma outra forma;

Utilizei o Avira, o danado do Avira removeu todos, não deixou nem rastro. Que aplicativos eram esses mesmos? (risos) Já até esqueci que eles passaram por lá.

 

Me parece que os computadores agora estão "cabaços", mas qualquer coisa nos proximos tres dias, posto novamente. Caso não postar é porque realmente meu problema foi sanado.

 

Log:

 

www.cesfri-itz.com.br/log_kaperskay2.rar

 

Depois isso consegui executar o HiJackThis:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 07:23:36, on 7/8/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

c:\Arquivos de programas\Arquivos comuns\Protexis\License Service\PsiService_2.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Mx One\mogtr.exe

E:\Naevius USB Antivirus\usbantivirus.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Mx_One_Guardian_Tiempo_Real] C:\Arquivos de programas\Mx One\mogtr.exe

O4 - HKLM\..\Run: [nusbantivirus] "E:\Naevius USB Antivirus\usbantivirus.exe" -hide

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Arquivos de programas\Arquivos comuns\Protexis\License Service\PsiService_2.exe

 

--

End of file - 2415 bytes

[Silas Martins 0]

Faça o download do '>http://swandog46.geekstogo.com/avenger2/download.php"]Avenger2 e salve no seu Desktop em seguida descompacte-o.

 

Selecione e copie o texto dentro do QUOTE (caixa verde) abaixo:

 

Begin copying here:

Files to delete:

C:\WINDOWS\system32\olhrwef.exe

 

Rode agora o Avenger, clicando no ícone que está no desktop.

• Clique com o botão direito do mouse na janela debaixo de Input script here:, e escolha colar ou (control + v).
• Clique em Execute
• Escolha "Yes" duas vezes, quando questionado.

• O Avenger, automaticamente irá fazer o seguinte:
  • Reinciará o seu computador. (Nos casos em que existam "Drivers to delete", reiniciará duas vezes.)
  • Durante o reinício, rapidamente abre uma janela preta (command window) no desktop, isso é normal.
  • Após o reinicio, será gerado um log que abrirá com os resultados das ações efectuadas pelo Avenger. Este log pode ser encontrado em: C:avenger.txt
  • O Avenger também gera um backup (cópia de segurança) de todos os arquivos, etc., que eliminámos, compacta este backup e o move para C:avengerbackup.zip.
  • Cole o log avenger.txt em sua próxima resposta.

# Inicie o computador em modo de segurança

 

# Execute a ferramenta HiJackThis;

 

# Selecione o(s) item(s) abaixo indicado(s):

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

 

# Clique no botão "Fix checked";

Na proxima resposta poste novo log do hijackthis

 

Aguardo retorno

[Jackson Dias 68]

Ok Silas!

 

Acredito que 2ª Feira será possivel postar.

Inté!!!

[Jackson Dias 68]

Silas,

 

Fiz o processo com o avenger tudo ok.

O log segue abaixo:

 

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

 

Platform: Windows XP

 

*******************

 

Script file opened successfully.

Script file read successfully.

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

Rootkit scan active.

No rootkits found!

 

 

Error: file "C:\WINDOWS\system32\olhrwf.exe" not found!

Deletion of file "C:\WINDOWS\system32\olhrwf.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Completed script processing.

 

*******************

 

Finished! Terminate.

 

O Hijackthis não deu para ser executado em modo de segurança, pois co computador não reiniciou em modo de segurança.

Não sei se adiantou alguma coisa, porém fiz o processo em modo normal:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:57:58, on 10/8/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

c:\Arquivos de programas\Arquivos comuns\Protexis\License Service\PsiService_2.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe

C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe

C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe

C:\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [nusbantivirus] "E:\Naevius USB Antivirus\usbantivirus.exe" -hide

O4 - HKLM\..\Run: [] C:\WINDOWS\system\KEYBOARD.exe

O4 - HKLM\..\RunOnce: [] C:\WINDOWS\system32\dllcache\Default.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

O4 - HKCU\..\RunOnce: [] C:\WINDOWS\system32\dllcache\Default.exe

O4 - HKLM\..\Policies\Explorer\Run: [sys] C:\WINDOWS\Fonts\Fonts.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Arquivos de programas\Arquivos comuns\Protexis\License Service\PsiService_2.exe

 

--

End of file - 2771 bytes

 

 

 

A novidade agora é que aparece uma tela indicando que não tem um disco na unidade de cd/dvd. E repeti o tempo todo.

[Silas Martins 0]

Olá lung,

 

Como já era de se esperar a infecção não saiu. Siga os procedimentos abaixo:

 

Baixe o'>http://www.sophos.com/support/cleaners/brontgui.com"] Free Brontok Removal Tool (by: Sophos)

Execute o aplicativo brontgui.com e scaneie a unidade afetada pelo vírus.

A ferramenta é um auto-executável por isso basta seguir as orientações que a mesma te fornecer.

Ao termino do scan reinicie o computador.Gere um novo log do Hijackthis e poste-o na sua nova resposta.

 

Aguardo retorno

[Jackson Dias 68]

Boa Noite,

 

Silas...

 

Antes mesmo de fazer o processo com a ferramenta, gostaria de deixar isso aqui:

 

No cartão de memória do meu celular (que uso nas mesmas máquinas) e no meu pendrive aparece um arquivo:

 

autorum:

 

[AutoRun]

;txgCdn

;Ntpnwhqwt

OpEn= kutcu.pif

;

Shell\eXPLore\cOMmanD = kutcu.pif

;ofXFFKskpytNvcLvgoriyQqarVWBqjOd DWouoyhQjeTMgfx VixDcrcl

Shell\oPen\coMMANd = kutcu.pif

 

;xOjLai sGggLxSp vcGnRrydcnjNLvtirsSb

ShELl\open\DeFauLT=1

sheLl\AUTOplAY\ComMand=kutcu.pif

 

;

 

 

 

Apagar nem com os diaxos.

Todas as minhas pasta assumiram um formato *exe. Só dar para pegar o conteúdo que desejo em computadores que não tem antivirus, caso o computador tenha não tem como. É muito conteúdo que não posso perder.

Se tiver uma maneira de deixar essas pasta normais novamente seria uma salvação.

 

Logo mais postarei o log.

 

Abraços,

 

Jackson

[Silas Martins 0]

Olá Lung para remover esse autorun, pode ser feito da seguinte forma:

 

Abra o bloco de notas e cole lá dentro:

@echo off

DEL /A /F /S /Q F:\autorun.inf > C:\look.txt

notepad C:\look.txt

Obs: ( F: é referente a unidade a qual você conexta seu cartão ou pen, ou seja se você nectar da J: altere o bat para J: no lugar de F:

Salve com nome de Remove.bat

altere o formato de txt para todos os arquivos, como mostra a imagem abaixo:

 

Após salvar, clique duas vezes sobre o arquivo, para que a remoção se dê por completo.

Poste o hijackthis como já tinah pedido, junto com o C:\look.txt

 

Aguardo retorno

[Jackson Dias 68]

Silas,

 

Fiz todo o procedimento o Autorun sempre volta.

O executavel que você me enviou não gerou um log dentro do arquvo look.

Fiz o procedimento todo mas quando fui pegar o log não tinha uma linha se quer de log.

O HiJackThis só em modo normal.

 

 

=(

[Silas Martins 0]

Poste o log do Hijackthis em modo normal

[Jackson Dias 68]

Olá Lung,

Pelo resultado do scan tenho que lhe advertir que:

O aconselhável é a formatação, podemos tentar desinfetar mais os níveis de desinfecção poderão não ser satisfatórios.

 

Feito!

 

Estava delicioso está brincando com os vírus. Mas consegui os cds de instalação dos programas (pois só estava no pendrive infectado os programas) e formatei as danadas.

 

Abraços

 

Jackson

[Silas Martins 0]

Sendo assim o caso será dado como resolvido.

Disponha de nosso atendimento

[Silas Martins 0]

PROBLEMA RESOLVIDO!

 

Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico.