[Resolvido!] Suspeita de LoP

[JonJon CS 1]

Olá pessoal, estou com um problema muito chato.

É o seguinte, alguns tempos pra cá, começou a abrir o

Meu Computador do nada, a qualquer hora, e depois disso

começou a aumentar a Freqüência, e agora tem vez que

abre varias vezes sem parar, colocando a janela na frente,

naum deixando eu fazer nada, só para com a m**** depois

que eu fecho o explorer.exe.

O pior disso tudo, é que eu instalei o seven, e depois de 1

dia começou o problema também. O pior é que no Seven abre

varias janelas diferentes do "Meu Computador". Bom, num sei

se era alguma coisa que eu instalei, mas to achando mais é que

algumas pasta esteja infectado. Tentei ver se era o Autorun.inf

mas eu ja deletei todos do PC.

 

Ja tentei tirar com o Combofix, Malwarebytes, com o COMODO

(para ver se pelo menos achava o que estava acessando o explorer)

tentei ver se era um LoP e nada...

Fiz um log do HiJackThis.

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:43:27, on 6/10/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\Ati2evxx.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\system32\Ati2evxx.exe

E:\WINDOWS\system32\spoolsv.exe

E:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

E:\WINDOWS\Explorer.EXE

E:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

E:\WINDOWS\system32\ctfmon.exe

E:\Arquivos de programas\Advanced Registry Doctor\RegManServ.exe

E:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

E:\WINDOWS\system32\svchost.exe

E:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe

E:\Arquivos de programas\LClock\lclock.exe

E:\Arquivos de programas\Skype\Phone\Skype.exe

E:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

E:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe

E:\Arquivos de programas\JustVoip.com\JustVoip\JustVoip.exe

E:\Arquivos de programas\Styler\Styler.exe

E:\Arquivos de programas\Skype\Plugin Manager\skypePM.exe

E:\WINDOWS\System32\svchost.exe

E:\Arquivos de programas\WinRAR\WinRAR.exe

E:\DOCUME~1\Jonathan\IMPOST~2\Temp\Rar$EX00.734\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - E:\Arquivos de programas\Orbitdownloader\orbitcth.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Arquivos de programas\Java\jre6\bin\ssv.dll (file missing)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - E:\Arquivos de programas\Styler\TB\StylerTB.dll

O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - E:\Arquivos de programas\Orbitdownloader\GrabPro.dll

O4 - HKLM\..\Run: [avgnt] "E:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [LClock] E:\Arquivos de programas\LClock\lclock.exe

O4 - HKCU\..\Run: [skype] "E:\Arquivos de programas\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [spybotSD TeaTimer] E:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [Advanced SystemCare 3] "E:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe" /startup

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O4 - Startup: Styler.lnk = ?

O4 - Global Startup: Orbit.lnk = E:\Arquivos de programas\Orbitdownloader\orbitdm.exe

O8 - Extra context menu item: &Download by Orbit - res://E:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://E:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://E:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://E:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Arquivos de programas\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Arquivos de programas\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {A4508A45-F1C4-40F3-99B4-0CA08AC77E3B} (Kdfense8 Control) - https://member.netmarble.net/kdefense/kdfense8237.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - E:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe

O23 - Service: CiSvc - Unknown owner - E:\WINDOWS\system32\cisvc.exe (file missing)

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - E:\WINDOWS\system32\GameMon.des.exe (file missing)

O23 - Service: Registry Management Service (RegManServ) - Unknown owner - E:\Arquivos de programas\Advanced Registry Doctor\RegManServ.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - E:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - E:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)

 

 

Edit:

Bom, estive lembrando das ultimas coisas que havia feito, e lembrei que haviam aberto um email com o Virus Tim.scr, e eu tenho quase certeza que seja ele, porque quando vou tentar mudar de Protetor de tela, ele exclui o arquivo rundll32.exe, fazendo com que eu não edite. Quem quiser analizá-lo, eu mando ele em forma de texto (tim.scr > tim.txt). Procurei varias soluções e nada encontrado.

 

Acabei de ver, troquei o arquivo rundll32.exe e ta trocando o screensaver. Bom, só sei que ta dificil tirar esse virus :/

[Power Max 54]

:thumbsup: Olá JonJon! Desculpe-nos pela demora na resposta.

 

:seta: Configure o seu antivirus Avira seguindo as dicas destes tutoriais:

 

Tutorial do Avira Antivir 9 free (instalação e configuração)

 

Tutorial do Avira Antivir 9 free (como usá-lo corretamente)

 

Depois de configurar o Avira Antivir seguindo as dicas dos tutoriais acima, atualize-o (faça um update) e reinicie o seu computador e entre pelo Modo de Segurança (apertando a tecla F8 (ou a tecla F5 em alguns computadores) repetidas vezes quando o computador estiver reiniciando e escolhendo a opção Modo Seguro ou Modo de Segurança). Aí quando o computador tiver reiniciado, clique com o botão direito do mouse sobre o símbolo do Avira (aquele guarda-chuva vermelho aberto ao lado do relógio do Windows) e escolha a opção Start Antivir > clique na opção Scan system now > e aguarde a conclusão do escaneamento.

_________________________________________

 

:seta: Quando você tiver removido os virus que o Avira Antivir encontrar, reinicie o computador normalmente. Clique com o botão direito do mouse sobre o ícone do Avira (aquele guarda-chuva vermelho aberto ao lado do relógio do Windows) e escolha a opção Start Antivir > clique na opção Reports > dê um duplo clique com o botão esquerdo do mouse sobre o log mais recente e clique no botão Report file > Depois será aberta uma tela com o log, então é só selecionar este Log (Clique no menu: Editar » Selecionar Tudo), depois disso volte novamente no menu: Editar » e clique na opção: Copiar) > Depois disso é só voltar aqui no fórum e postar este log do Avira Antivir juntamente com um novo log do Hijackthis para que eles possam ser analizados.

 

Ficamos no aguardo de sua resposta.

[JonJon CS 1]

Scan do Avira

 

Avira AntiVir Personal

Report file date: sábado, 17 de outubro de 2009 18:35

 

Scanning for 1796380 virus strains and unwanted programs.

 

Licensee : Avira AntiVir Personal - FREE Antivirus

Serial number : 0000149996-ADJIE-0000001

Platform : Windows XP

Windows version : (Service Pack 3) [5.1.2600]

Boot mode : Secure booted

Username : Jonathan

Computer name : ICE2

 

Version information:

BUILD.DAT : 9.0.0.410 18074 Bytes 9/25/2009 11:56:00

AVSCAN.EXE : 9.0.3.7 466689 Bytes 7/21/2009 17:36:14

AVSCAN.DLL : 9.0.3.0 40705 Bytes 2/27/2009 14:58:24

LUKE.DLL : 9.0.3.2 209665 Bytes 2/20/2009 15:35:49

LUKERES.DLL : 9.0.2.0 12033 Bytes 2/27/2009 14:58:52

ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 10/27/2008 16:30:36

ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 6/24/2009 13:21:42

ANTIVIR2.VDF : 7.1.6.50 4333568 Bytes 9/29/2009 19:53:37

ANTIVIR3.VDF : 7.1.6.110 525824 Bytes 10/14/2009 23:30:56

Engineversion : 8.2.1.35

AEVDF.DLL : 8.1.1.2 106867 Bytes 9/23/2009 23:48:25

AESCRIPT.DLL : 8.1.2.35 483707 Bytes 10/4/2009 17:11:48

AESCN.DLL : 8.1.2.5 127346 Bytes 9/23/2009 23:48:22

AERDL.DLL : 8.1.3.2 479604 Bytes 10/4/2009 17:11:37

AEPACK.DLL : 8.2.0.0 422261 Bytes 9/23/2009 23:48:21

AEOFFICE.DLL : 8.1.0.38 196987 Bytes 7/23/2009 13:59:39

AEHEUR.DLL : 8.1.0.167 2011511 Bytes 10/8/2009 20:06:50

AEHELP.DLL : 8.1.7.0 237940 Bytes 9/23/2009 23:48:12

AEGEN.DLL : 8.1.1.67 364916 Bytes 10/4/2009 17:10:11

AEEMU.DLL : 8.1.1.0 393587 Bytes 10/4/2009 17:10:02

AECORE.DLL : 8.1.8.1 184693 Bytes 9/23/2009 23:48:09

AEBB.DLL : 8.1.0.3 53618 Bytes 10/9/2008 18:32:40

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 12:47:59

AVPREF.DLL : 9.0.3.0 44289 Bytes 9/27/2009 02:09:53

AVREP.DLL : 8.0.0.3 155905 Bytes 1/20/2009 18:34:28

AVREG.DLL : 9.0.0.0 36609 Bytes 12/5/2008 14:32:09

AVARKT.DLL : 9.0.0.3 292609 Bytes 3/24/2009 19:05:41

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 1/30/2009 14:37:08

SQLITE3.DLL : 3.6.1.0 326401 Bytes 1/28/2009 19:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 2/2/2009 12:21:33

NETNT.DLL : 9.0.0.0 11521 Bytes 12/5/2008 14:32:10

RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 5/15/2009 19:39:58

RCTEXT.DLL : 9.0.37.0 86785 Bytes 4/17/2009 14:19:48

 

Configuration settings for the scan:

Jobname.............................: ShlExt

Configuration file..................: E:\DOCUME~1\Jonathan\IMPOST~2\Temp\428b70ec.avp

Logging.............................: low

Primary action......................: repair

Secondary action....................: delete

Scan master boot sector.............: on

Scan boot sector....................: on

Boot sectors........................: E:,

Process scan........................: off

Scan registry.......................: off

Search for rootkits.................: off

Integrity checking of system files..: off

Scan all files......................: All files

Scan archives.......................: on

Recursion depth.....................: 20

Smart extensions....................: on

Deviating archive types.............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,

Macro heuristic.....................: on

File heuristic......................: medium

Deviating risk categories...........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

 

Start of the scan: sábado, 17 de outubro de 2009 18:35

 

Starting the file scan:

 

Begin scan in 'E:\'

E:\hiberfil.sys

[WARNING] The file could not be opened!

[NOTE] This file is a Windows system file.

[NOTE] This file cannot be opened for scanning.

E:\pagefile.sys

[WARNING] The file could not be opened!

[NOTE] This file is a Windows system file.

[NOTE] This file cannot be opened for scanning.

E:\WINDOWS\system32\drivers\sptd.sys

[WARNING] The file could not be opened!

 

 

End of the scan: sábado, 17 de outubro de 2009 19:15

Used time: 40:23 Minute(s)

 

The scan has been done completely.

 

5254 Scanned directories

141205 Files were scanned

0 Viruses and/or unwanted programs were found

0 Files were classified as suspicious

0 files were deleted

0 Viruses and unwanted programs were repaired

0 Files were moved to quarantine

0 Files were renamed

3 Files cannot be scanned

141202 Files not concerned

1297 Archives were scanned

3 Warnings

2 Notes

 

Log do HiJackThis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:48:33, on 17/10/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\Ati2evxx.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\system32\Ati2evxx.exe

E:\WINDOWS\system32\spoolsv.exe

E:\WINDOWS\system32\ctfmon.exe

E:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

E:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe

E:\Arquivos de programas\LClock\lclock.exe

E:\Arquivos de programas\Skype\Phone\Skype.exe

E:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

E:\Arquivos de programas\Styler\Styler.exe

E:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

E:\Arquivos de programas\Advanced Registry Doctor\RegManServ.exe

E:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\Arquivos de programas\Skype\Plugin Manager\skypePM.exe

E:\Documents and Settings\Jonathan\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

E:\Documents and Settings\Jonathan\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

E:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

E:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe

E:\Documents and Settings\Jonathan\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

E:\Documents and Settings\Jonathan\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

E:\Documents and Settings\Jonathan\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

E:\Documents and Settings\Jonathan\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

E:\WINDOWS\system32\taskmgr.exe

E:\HiJackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - E:\Arquivos de programas\Orbitdownloader\orbitcth.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - E:\ARQUIV~1\MICROS~3\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Arquivos de programas\Java\jre6\bin\ssv.dll (file missing)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - E:\Arquivos de programas\Styler\TB\StylerTB.dll

O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - E:\Arquivos de programas\Orbitdownloader\GrabPro.dll

O4 - HKLM\..\Run: [avgnt] "E:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [LClock] E:\Arquivos de programas\LClock\lclock.exe

O4 - HKCU\..\Run: [skype] "E:\Arquivos de programas\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [spybotSD TeaTimer] E:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O4 - Startup: is-36BTQ.lnk = E:\Documents and Settings\Jonathan\Desktop\Virus Removal Tool\is-36BTQ\startup.exe

O4 - Startup: Styler.lnk = ?

O8 - Extra context menu item: &Download by Orbit - res://E:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://E:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://E:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://E:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://E:\ARQUIV~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\ARQUIV~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\ARQUIV~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\ARQUIV~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {A4508A45-F1C4-40F3-99B4-0CA08AC77E3B} (Kdfense8 Control) - https://member.netmarble.net/kdefense/kdfense8237.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\ARQUIV~1\MICROS~3\Office12\GR99D3~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - E:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe

O23 - Service: CiSvc - Unknown owner - E:\WINDOWS\system32\cisvc.exe (file missing)

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - E:\WINDOWS\system32\GameMon.des.exe (file missing)

O23 - Service: Registry Management Service (RegManServ) - Unknown owner - E:\Arquivos de programas\Advanced Registry Doctor\RegManServ.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - E:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - E:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)

 

--

End of file - 7720 bytes

 

Mesmo assim o virus continuou, aguardo novas instruções.

[Power Max 54]

O log do Avira está limpo.

 

:seta: Abra o HijackThis, clique em Do a system scan only, marque as entradas abaixo e clique em Fix checked:

 

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

 

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Arquivos de programas\Java\jre6\bin\ssv.dll (file missing)

______________________________________

 

:seta: Depois disto siga, por gentileza, as dicas deste tutorial para fazer uma limpeza com o Spyware Doctor:

 

Tutorial do Spyware Doctor Starter Edition

 

Na sua próxima resposta poste este log do Spyware Doctor juntamente com um novo log do Hijackthis e nos diga como está o seu Pc depois disto.

 

Ficamos no aguardo.

[JonJon CS 1]

Não saiu :/ Simplesmente quando acabei de rodar o spyware doctor no modo completo, eu iniciei o explorer, e não achou nada.

 

Log do PC'>http://www.webng.com/suajuda/log.htm"]PC Spyware Doctor (ta linkado pq eu coloquei na opção htm)

Log do HijackThis

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:11:08, on 19/7/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\csrss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\Ati2evxx.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\system32\Ati2evxx.exe

E:\WINDOWS\system32\spoolsv.exe

E:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

E:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe

E:\Arquivos de programas\LClock\lclock.exe

E:\Arquivos de programas\Styler\Styler.exe

E:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

E:\Arquivos de programas\Advanced Registry Doctor\RegManServ.exe

E:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\alg.exe

E:\WINDOWS\System32\svchost.exe

E:\Arquivos de programas\Spyware Doctor\pctsAuxs.exe

E:\Arquivos de programas\Spyware Doctor\pctsSvc.exe

E:\Arquivos de programas\Spyware Doctor\pctsTray.exe

E:\WINDOWS\system32\taskmgr.exe

E:\WINDOWS\system32\ctfmon.exe

E:\HiJackThis\HijackThis.exe

E:\WINDOWS\system32\wbem\wmiprvse.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - E:\Arquivos de programas\Orbitdownloader\orbitcth.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - E:\ARQUIV~1\MICROS~3\Office12\GRA8E1~1.DLL

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - E:\Arquivos de programas\Styler\TB\StylerTB.dll

O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - E:\Arquivos de programas\Orbitdownloader\GrabPro.dll

O4 - HKLM\..\Run: [avgnt] "E:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [iSTray] "E:\Arquivos de programas\Spyware Doctor\pctsTray.exe"

O4 - HKCU\..\Run: [LClock] E:\Arquivos de programas\LClock\lclock.exe

O4 - HKCU\..\Run: [skype] "E:\Arquivos de programas\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [spybotSD TeaTimer] E:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O4 - Startup: is-36BTQ.lnk = E:\Documents and Settings\Jonathan\Desktop\Virus Removal Tool\is-36BTQ\startup.exe

O4 - Startup: Styler.lnk = ?

O8 - Extra context menu item: &Download by Orbit - res://E:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://E:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://E:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://E:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://E:\ARQUIV~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\ARQUIV~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\ARQUIV~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\ARQUIV~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {A4508A45-F1C4-40F3-99B4-0CA08AC77E3B} (Kdfense8 Control) - https://member.netmarble.net/kdefense/kdfense8237.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\ARQUIV~1\MICROS~3\Office12\GR99D3~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - E:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe

O23 - Service: CiSvc - Unknown owner - E:\WINDOWS\system32\cisvc.exe (file missing)

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - E:\WINDOWS\system32\GameMon.des.exe (file missing)

O23 - Service: Registry Management Service (RegManServ) - Unknown owner - E:\Arquivos de programas\Advanced Registry Doctor\RegManServ.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - E:\Arquivos de programas\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - E:\Arquivos de programas\Spyware Doctor\pctsSvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - E:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - E:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)

 

--

End of file - 7250 bytes

[Power Max 54]

:thumbsup: Várias ameaças foram removidas pelo Spyware Doctor, incluindo alguns trojans.

 

:seta: Siga, por gentileza, as dicas deste tutorial para fazer uma limpeza de seu PC com o Findykill:

 

Tutorial do Findykill

 

Na sua próxima resposta poste o log do Findykill que estará em C:\FindyKill.txt e nos diga como está o seu Pc depois disto.

 

Ficamos no aguardo.

[JonJon CS 1]

Opa, eu acabei formatando meu computador, porém eu salvei meus arquivos em outro HD.

Eu queria dizer que o que eu achjo ser mais importante, é que ao entrar em uma determinada pasta, o windows deu um carregamento (tanto que o mouse deu ocioso) dai começou o virus tudo denovo.

 

Então eu fiquei curioso, como é que o virus escondeu dentro da pasta, nenhum anti-virus achou; bom, eu pensei ser o thumbs.db, mas não era. Caso vocês sou berem o que seja, me digam, eui neste momento estou pegando os arquivos mais importantes daquela pasta, e colocando em um arquivo .rar para excluir a pasta.

[Power Max 54]

ao entrar em uma determinada pasta, o windows deu um carregamento (tanto que o mouse deu ocioso) dai começou o virus tudo denovo.

 

Então eu fiquei curioso, como é que o virus escondeu dentro da pasta, nenhum anti-virus achou; bom, eu pensei ser o thumbs.db, mas não era. Caso vocês souberem o que seja, me digam, eui neste momento estou pegando os arquivos mais importantes daquela pasta, e colocando em um arquivo .rar para excluir a pasta.

Seria importante neste caso então enviar os arquivos desta pasta (um de cada vez) para serem analisados neste site abaixo:

http://virscan.org/

 

Neste site acima o arquivo será escaneado por vários antivírus ao mesmo tempo, o que dará uma certeza muito maior de que o arquivo seja seguro ou não.

[JonJon CS 1]

Ok, vou dar umas verificadas, se eu achar algo, eu aviso, e se não, tbm aviso e formato o pc.

[Power Max 54]

Ok, vou dar umas verificadas, se eu achar algo, eu aviso, e se não, tbm aviso e formato o pc.

Valeu, ficamos na espera.

[JonJon CS 1]

Como eu disse acima, eu formatei meu computador, e a pasta que eu não queria excluir, eu guardei em um outro pc na rede. A pasta que estava infectada foi deletada, e guardei os arquivos de la em um arquivo rar (exclui os inuteis e só deixei os mais importantes).

Agora eu nem vou entrar naquela pasta, quero o seguinte, antes de instalar qualquer coisa eu queria uma indicação para não ser infectado de maneira alguma, exemplo, o COMODO evita acesso dos arquivos/programas a outros programas, e eu quero ter tudo ao meu controle, e cada monimentação no computador só será permitida se eu deixar.

 

Se não tiver esse programa (que eu acho que não deve existir) queria saber uma maneira mais segura de poder ter meus arquivos de volta.

 

Obs.: Minha nova instalação do XP istá intacta, a praga não se manifestou (justamente porque não acessei nenhuma pasta ainda).

[Power Max 54]

Se não tiver esse programa (que eu acho que não deve existir) queria saber uma maneira mais segura de poder ter meus arquivos de volta.

O mais seguro, na minha opinião, seria excluir definitivamente esta pasta e os arquivos dela para evitar novas infecções.

 

Mas se não for possível fazer isto, você pode tentar desinfectar usando ferramentas como estas abaixo:

 

Tutorial do Kaspersky Virus Removal Tool

 

Tutorial do Dr. Web CureIt

 

Tutorial do antivirus Nod32 Online

[JonJon CS 1]

Hehe, descobri o problema, era o teclado que ta uma m****

Imagina, formatar o PC, passar raiva por causa de um teclado...

Quase taquei ele na parede.

 

Tópico Resolvido

[Power Max 54]

PROBLEMA RESOLVIDO!

 

Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico.