Cuesta 0 Denunciar post Postado Agosto 20, 2009 Olá!! Peguei este virus Trojan.Win32.Pakes.cob na minha Pen Sandisk de 16G e conforme ia limpando-a com o antivirus fui na verdade perdendo todas as pastas. Por ex: ele pega as pastas originais e cria pastas ocultas com o mesmo nome.exe tipo pasta Documentos ele cria oculta Documentos.exe só que quando fui limpamdo as pastas detectadas como .exe também acabei perdendo as pastas originais , tentei passar o Combofix na Pen mas não deu certo usei o antivirus Kaspersky para limpar a Pen e no final perdi todas as pastas inclusive a pasta Sistem da Sandisk alguem poderia me ajudar pois acho que não vou mais recuperar minhas pastas. Estava na Lan de um amigo meu...quando dei por mim que tinha perdido todas as pastas fui na maquina onde tinha estado antes e ao colocar a pen as pastas apareceram mas como arquivo oculto e os conteudos dentro em propriedades dava como arquivo morto. Bom no final tentei recuperar mas não consegui. Gostaria de saber aqui o que aconteceu e como deve-se proceder para não se perder todos os arquivos...e fica aqui para todos.No entanto quando seleciono a Pen em meu computador e em Ferramentas seleciono opçoes de pasta e em modos de exibição não seleciono Ocultar arquivos protegidos do sistema operacional as minhas pasta perdidas aparecem....com todos os arquivos mas o antivirus ainda vai detectando alguns arquivos clones tipo .exe tipo excluído: Programa de cavalo de Tróia Trojan.Win32.Pakes.cob Arquivo: G:\Documents\Escritorio.exe , excluído: Programa de cavalo de Tróia Trojan.Win32.Pakes.cob Arquivo: G:\Documents\Programas.exe e este meio estranho para mim excluído: Programa de cavalo de Tróia Trojan.Win32.Pakes.cob Arquivo: G:\Documents\signupshield.exe Seria possivel recuperar estas pastas minhas que foram transformadas como pastas do sistema operacional e só podem serem vistas se a seleção Ocultar arquivos protegidos do sistema operacional ...desabilitada??? Ufa!! Agradeço por mim e todos que tiverem este problema.... Obrigado :thumbsup: Cuesta Compartilhar este post Link para o post Compartilhar em outros sites
Silas Martins 0 Denunciar post Postado Agosto 25, 2009 Por favor sigas as instruções da regra 02 Regra02'>http://forum.imasters.com.br/index.php?showtopic=165906"]Regra02 Utilizando o Hijackthis Aguardo retorno Compartilhar este post Link para o post Compartilhar em outros sites
Cuesta 0 Denunciar post Postado Agosto 25, 2009 Olá!! amigos !! o procedimento acima é para o PC , mas tentei usa-lo na raiz da pen mas quando ele executa sai o log do PC e como estou usando outro limpo , conforme abaixo...mas se vcs lerem novamente o meu problema verão que depois do mal já feito pelo virus , restam as pastas daquela forma como descrevi ".No entanto quando seleciono a Pen em meu computador e em Ferramentas seleciono opçoes de pasta e em modos de exibição não seleciono Ocultar arquivos protegidos do sistema operacional as minhas pasta perdidas aparecem..." o pen esta limpa mas as pastas ficaram desta forma e conteudo delas dá para ser usado mas em propriedades esta selecionado arquivo morto. Questão 1.- Terei que recriar uma nova pasta e transferir o conteudo e depois um a um alterar tirando eles de conteudo morto...para... Questão 2 - Este engenhoso virus que fez isto na Pen ....como evita-lo pois se o Kaspersky detectou e o procedimento de exclusão levou as pastas a esta condição ... Questão 3 - Se alguem realmente souber como este virus age e como exclui-lo sem causar estes problemas , pois com o antivirus não foi evitado, favor deixar aqui para outros e até algum tuto....cuidado com Trojan.Win32.Pakes.cob procedimentos para evitar danos!!. Bom!! vou tentando manualmente mas se houver outra forma. Obrigado!!! Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:03:00, on 25/8/2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Arquivos de programas\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\WINDOWS\system32\svchost.exe C:\Arquivos de programas\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\Arquivos de programas\Ares\Ares.exe C:\WINDOWS\system32\ctfmon.exe C:\Arquivos de programas\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wscntfy.exe C:\Arquivos de programas\Megaupload\Mega Manager\MegaManager.exe C:\Documents and Settings\xp\Dados de aplicativos\U3\173871168F8127C0\LaunchPad.exe F:\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Arquivos de programas\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll O2 - BHO: (no name) - {6EF05952-B48D-4944-AA91-57A6A1A48EF8} - C:\Arquivos de programas\Puxa Rápido\IEBHO.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Arquivos de programas\Megaupload\Mega Manager\MegaIEMn.dll O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll O3 - Toolbar: Barra de Ferramentas do Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [AVP] "C:\Arquivos de programas\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" O4 - HKCU\..\Run: [ares] "C:\Arquivos de programas\Ares\Ares.exe" -h O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200 O8 - Extra context menu item: Download Link Using Mega Manager... - C:\Arquivos de programas\Megaupload\Mega Manager\mm_file.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Estatísticas do Antivírus da Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll O9 - Extra button: Incluir no Blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: &Incluir no Blog no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\xdogcat.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\xdogcat.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\xdogcat.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\xdogcat.dll O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1246274203405 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2D0E04B3-57FA-4E2A-A942-D021920EEF04}: NameServer = 208.67.222.222,208.67.220.220 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe O23 - Service: NMIndexingService - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe (file missing) -- End of file - 6645 bytes Compartilhar este post Link para o post Compartilhar em outros sites
Silas Martins 0 Denunciar post Postado Agosto 25, 2009 1º Passo Faça o download das ferramentas a baixo. lspfix.zip'>http://www.cexx.org/lspfix.zip"]lspfix.zip WinsockFix.->'>http://www.bu.edu/pcsc/internetaccess/w2fix.exe"]WinsockFix.-> Para Windows 98/ME '>http://computer-comfort.nl/downloads/WinsockXPFix.exe"] WinsockFix-> Para Windows XP *Após o download das ferramentas, desconecte-se da internet *Duplo clique em LSP-Fix.exe *Ao abrir o programa, selecione a dll problemática *Clique no botão [ >> ] para enviar para o lado direito Remove. *Selecione a caixa "I know what I'm doing" *Clique em Finish *Se a conexão cair ou não for recuperada, execute o WinsockFix. A- Clique em Reg-Backup > OK > OK > YES (espere o término) > OK. B- Clique em Fix > YES > OK > Reinicie o PC 2º Passo baixe o PenClean'>https://dl.getdropbox.com/u/1035720/PenClean.zip"]PenClean e salve-o em seu desktop; • Execute o programa; • Conecte o seu pendrive ao computador; • Selecione a opção Verificar todas as unidades e clique sobre o botão Verificar; <<Aguarde alguns instantes, o exame é bem rápido>> • Se algo for encontrado será solicitada a reinicialização da máquina. Clique sobre Sim. O computador será reiniciado; • Um relatório sobre a execução será gerado e salvo em C:\PenClean\PenClean.txt. e em mando o penclean.txt poste o penclean.txt e o novo log do Hijackthis Aviso: se dados de seu pen estiverem infectados serão removidos. Compartilhar este post Link para o post Compartilhar em outros sites
Cuesta 0 Denunciar post Postado Agosto 26, 2009 Ok!! vou fazer isto!! mas estou ajudando o meu amigo aqui na Lan e limpei uma maquina com o Combofix e depois ainda passei o Malwarebytes e ainda instalei o Deep Freeze mas quando fui usar o Mozila da Pen ele pediu uma atualização de uma extenção que uso resolvi fazer e para minha surpresa depois do dowload ele apareceu de novo ...Trojan.Win32.Pakes.cob cliquei em exluir....para limpar...mas acho que danificou a extenção.... Sera que ele fica alojado no servidor da Lam e quando se faz algum dowload ele pode aparecer....!!??? Obrigado!!! Compartilhar este post Link para o post Compartilhar em outros sites
Silas Martins 0 Denunciar post Postado Agosto 26, 2009 Peço que não execute ferramentas sem minha supervisão. E poste os logs que solicitei. Aguardo retorno Compartilhar este post Link para o post Compartilhar em outros sites
Mário Monteiro 179 Denunciar post Postado Setembro 27, 2009 Tópico Arquivado Como o autor não respondeu por mais de 30 dias, o tópico foi arquivado. Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura. Compartilhar este post Link para o post Compartilhar em outros sites