[Arquivado] Trojan.Win32.Pakes.cob

[Cuesta 0]

Olá!! Peguei este virus Trojan.Win32.Pakes.cob na minha Pen Sandisk de 16G e conforme ia limpando-a com o antivirus fui na verdade perdendo todas as pastas. Por ex: ele pega as pastas originais e cria pastas ocultas com o mesmo nome.exe

tipo pasta Documentos ele cria oculta Documentos.exe só que quando fui limpamdo as pastas detectadas como .exe também acabei perdendo as pastas originais , tentei passar o Combofix na Pen mas não deu certo usei o antivirus Kaspersky para limpar a Pen e no final perdi todas as pastas inclusive a pasta Sistem da Sandisk alguem poderia me ajudar pois acho que não vou mais recuperar minhas pastas. Estava na Lan de um amigo meu...quando dei por mim que tinha perdido todas as pastas fui na maquina onde tinha estado antes e ao colocar a pen as pastas apareceram mas como arquivo oculto e os conteudos dentro em propriedades dava como arquivo morto. Bom no final tentei recuperar mas não consegui. Gostaria de saber aqui o que aconteceu e como deve-se proceder para não se perder todos os arquivos...e fica aqui para todos.No entanto quando seleciono a Pen em meu computador e em Ferramentas seleciono opçoes de pasta e em modos de exibição não seleciono Ocultar arquivos protegidos do sistema operacional as minhas pasta perdidas aparecem....com todos os arquivos mas o antivirus ainda vai detectando alguns arquivos clones tipo .exe tipo excluído: Programa de cavalo de Tróia Trojan.Win32.Pakes.cob Arquivo: G:\Documents\Escritorio.exe ,

excluído: Programa de cavalo de Tróia Trojan.Win32.Pakes.cob Arquivo: G:\Documents\Programas.exe

e este meio estranho para mim

excluído: Programa de cavalo de Tróia Trojan.Win32.Pakes.cob Arquivo: G:\Documents\signupshield.exe

 

Seria possivel recuperar estas pastas minhas que foram transformadas como pastas do sistema operacional e só podem serem vistas se a seleção Ocultar arquivos protegidos do sistema operacional ...desabilitada???

 

Ufa!!

 

 

Agradeço por mim e todos que tiverem este problema....

 

Obrigado :thumbsup:

 

Cuesta

[Silas Martins 0]

Por favor sigas as instruções da regra 02 Regra02'>http://forum.imasters.com.br/index.php?showtopic=165906"]Regra02 Utilizando o Hijackthis

Aguardo retorno

[Cuesta 0]

Olá!! amigos !! o procedimento acima é para o PC , mas tentei usa-lo na raiz da pen mas quando ele executa sai o log do PC e como estou usando outro limpo , conforme abaixo...mas se vcs lerem novamente o meu problema verão que depois do mal já feito pelo virus , restam as pastas daquela forma como descrevi ".No entanto quando seleciono a Pen em meu computador e em Ferramentas seleciono opçoes de pasta e em modos de exibição não seleciono Ocultar arquivos protegidos do sistema operacional as minhas pasta perdidas aparecem..." o pen esta limpa mas as pastas ficaram desta forma e conteudo delas dá para ser usado mas em propriedades esta selecionado arquivo morto.

Questão 1.- Terei que recriar uma nova pasta e transferir o conteudo e depois um a um alterar tirando eles de conteudo morto...para...

Questão 2 - Este engenhoso virus que fez isto na Pen ....como evita-lo pois se o Kaspersky detectou e o procedimento de exclusão levou as pastas a esta condição ...

Questão 3 - Se alguem realmente souber como este virus age e como exclui-lo sem causar estes problemas , pois com o antivirus não foi evitado, favor deixar aqui para outros e até algum tuto....cuidado com Trojan.Win32.Pakes.cob procedimentos para evitar danos!!.

 

Bom!! vou tentando manualmente mas se houver outra forma.

 

Obrigado!!!

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:03:00, on 25/8/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\Arquivos de programas\Ares\Ares.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Megaupload\Mega Manager\MegaManager.exe

C:\Documents and Settings\xp\Dados de aplicativos\U3\173871168F8127C0\LaunchPad.exe

F:\HiJackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Arquivos de programas\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: (no name) - {6EF05952-B48D-4944-AA91-57A6A1A48EF8} - C:\Arquivos de programas\Puxa Rápido\IEBHO.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Arquivos de programas\Megaupload\Mega Manager\MegaIEMn.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: Barra de Ferramentas do Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [AVP] "C:\Arquivos de programas\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"

O4 - HKCU\..\Run: [ares] "C:\Arquivos de programas\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200

O8 - Extra context menu item: Download Link Using Mega Manager... - C:\Arquivos de programas\Megaupload\Mega Manager\mm_file.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Estatísticas do Antivírus da Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll

O9 - Extra button: Incluir no Blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Incluir no Blog no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\xdogcat.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\xdogcat.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\xdogcat.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\xdogcat.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1246274203405

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2D0E04B3-57FA-4E2A-A942-D021920EEF04}: NameServer = 208.67.222.222,208.67.220.220

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

O23 - Service: NMIndexingService - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe (file missing)

 

--

End of file - 6645 bytes

[Silas Martins 0]

1º Passo

Faça o download das ferramentas a baixo.

lspfix.zip'>http://www.cexx.org/lspfix.zip"]lspfix.zip

 

WinsockFix.->'>http://www.bu.edu/pcsc/internetaccess/w2fix.exe"]WinsockFix.-> Para Windows 98/ME

'>http://computer-comfort.nl/downloads/WinsockXPFix.exe"]

WinsockFix-> Para Windows XP

 

*Após o download das ferramentas, desconecte-se da internet

*Duplo clique em LSP-Fix.exe

*Ao abrir o programa, selecione a dll problemática

*Clique no botão [ >> ] para enviar para o lado direito Remove.

*Selecione a caixa "I know what I'm doing"

*Clique em Finish

 

*Se a conexão cair ou não for recuperada, execute o WinsockFix.

A- Clique em Reg-Backup > OK > OK > YES (espere o término) > OK.

B- Clique em Fix > YES > OK > Reinicie o PC

 

2º Passo

baixe o PenClean'>https://dl.getdropbox.com/u/1035720/PenClean.zip"]PenClean

e salve-o em seu desktop;

• Execute o programa;

• Conecte o seu pendrive ao computador;

• Selecione a opção Verificar todas as unidades e clique sobre o botão Verificar;

<<Aguarde alguns instantes, o exame é bem rápido>>

• Se algo for encontrado será solicitada a reinicialização da máquina. Clique sobre Sim. O computador será reiniciado;

• Um relatório sobre a execução será gerado e salvo em C:\PenClean\PenClean.txt.

e em mando o penclean.txt poste o penclean.txt e o novo log do Hijackthis

Aviso: se dados de seu pen estiverem infectados serão removidos.

[Cuesta 0]

Ok!! vou fazer isto!! mas estou ajudando o meu amigo aqui na Lan e limpei uma maquina com o Combofix e depois ainda passei o Malwarebytes e ainda instalei o Deep Freeze

mas quando fui usar o Mozila da Pen ele pediu uma atualização de uma extenção que uso resolvi fazer e para minha surpresa depois do dowload ele apareceu de novo ...Trojan.Win32.Pakes.cob

cliquei em exluir....para limpar...mas acho que danificou a extenção....

Sera que ele fica alojado no servidor da Lam e quando se faz algum dowload ele pode aparecer....!!???

 

Obrigado!!!

[Silas Martins 0]

Peço que não execute ferramentas sem minha supervisão.

E poste os logs que solicitei.

Aguardo retorno

[Mário Monteiro 179]

Tópico Arquivado

 

Como o autor não respondeu por mais de 30 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.