[Resolvido!] Não estou conseguindo instalar um Anti-vírus

[PabloRhuan 0]

Boa noite!

 

Estou com uma maquina que de uns tempos pra ca vem min dando dor de cabeça, recentemente apareceu um malware esquisito. Ele abre uma janela com os dizeres "Apakah Anda Seorang Muslim?", dando duas opções, algo como sim ou não, suspeito que esse processo windowsmp.exe tenha algo com isso, e depois desse dia venho tendo problemas para instalar um anti-vírus ele simplismente impede a instalaçao .

 

OBS: Formatei a maquina esta semana e o virus continua no pc, formatei so a partiçao C: não a D: pode ser que a partiçao D: esteja contaminada?.

 

LOG.

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 20:03:50, on 18/5/2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe

C:\Arquivos de programas\ThreatFire\TFTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe

C:\Arquivos de programas\IObit\Advanced SystemCare 3\Sup_SmartRAM.exe

C:\Arquivos de programas\PC Tools AntiVirus\PCTAVSvc.exe

C:\Arquivos de programas\ThreatFire\TFService.exe

C:\WINDOWS\System32\svchost.exe

D:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbam.exe

C:\Documents and Settings\HP\Meus documentos\Downloads\HiJackThis.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\system32\init.exe,

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [siSRaid] C:\Arquivos de programas\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe

O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [PCTAVApp] "C:\Arquivos de programas\PC Tools AntiVirus\PCTAV.exe" /MONITORSCAN

O4 - HKLM\..\Run: [windowsmp] C:\WINDOWS\windowsmp.exe

O4 - HKLM\..\Run: [ThreatFire] C:\Arquivos de programas\ThreatFire\TFTray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe" /startup

O4 - HKCU\..\Run: [smartRAM] "C:\Arquivos de programas\IObit\Advanced SystemCare 3\Sup_SmartRAM.exe" /m

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: PC Tools AntiVirus Engine (PCTAVSvc) - Unknown owner - C:\Arquivos de programas\PC Tools AntiVirus\PCTAVSvc.exe

O23 - Service: ThreatFire - PC Tools - C:\Arquivos de programas\ThreatFire\TFService.exe

 

--

End of file - 4075 bytes

[wings 22]

Boa noite...

 

 

1.

*Baixe o RegUnlocker e salve-o no desktop

*Execute o programa e na aba "A - Restricciones", selecione a opção:

 

1 - Elimina las restricciones del Sistema

*Clique em [Aplicar]

 

2.

*Baixe o USBFix e salve-o no desktop

*Espete o Pendrive no PC

*Duplo clique em UsbFix

*Tecle P > [ENTER]

*Tecle 1 > [ENTER] e aguarde o término

*Remova o Pendrive

*Cole o relatório criado em C:\UsbFix.txt

[PabloRhuan 0]

Boa noite...

 

1

Baixei o RegUnlocker executei e selecionei a primeira opçao (1 - Elimina las restricciones del Sistema)Creio que não tenha resolvido.

 

 

2

Baixei o USBFix espetei o pendrive Apertei P ... Depois 1 ...

 

 

LOG.

 

############################## | UsbFix V6.114 |

 

User : HP (Administradores) # HP-QASA39F02BWH

Update on 17/05/2010 by El Desaparecido , C_XX & Chimay8

Start at: 22:28:43 | 18/5/2010

Website : http://pagesperso-orange.fr/NosTools/index.html

Contact : FindyKill.Contact@gmail.com

 

Intel® Celeron® CPU 2.80GHz

Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 2

Internet Explorer 6.0.2900.2180

Windows Firewall Status : Disabled

AV : PC Tools AntiVirus 6.1.0.25 6.1.0.25 [ (!) Disabled | Updated ]

 

A:\ -> Unidade de disquete de 3 1/2 polegadas

C:\ -> Disco fixo local # 11,72 Go (8,29 Go free) # NTFS

D:\ -> Disco fixo local # 25,54 Go (19,77 Go free) # NTFS

E:\ -> Disco CD-ROM

F:\ -> Disco removível # 954,05 Mo (474,86 Mo free) [PAULO] # FAT

 

################## | Ficheiros # pastas infeciosos |

 

C:\WINDOWS\windowsmp.exe

C:\WINDOWS\System32\init.exe

C:\autorun.inf

C:\explorer.exe

D:\autorun.inf

D:\explorer.exe

F:\autorun.inf -> ficheiro chamado : "F:\dfdvo.cmd" ( Presente ! )

F:\autorun.inf

F:\explorer.exe

F:\vffg.pif

F:\ykqiv.pif

F:\mekjue.pif

F:\Recycler\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe

F:\Recycler\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini

F:\Recycler\S-1-5-21-1482476501-1644491937-682003330-1013

F:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx

F:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665

 

################## | Registro |

 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "windowsmp"

[HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\policies\System] "DisableRegistryTools"

[HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\policies\System] "DisableTaskMgr"

[HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\policies\System] "DisableRegistryTools"

[HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\policies\System] "DisableTaskMgr"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoResolveSearch"

 

################## | Mountpoints2 |

 

HKCU\..\..\Explorer\MountPoints2\{58f39be9-62c5-11df-8337-000feaa536ed}

sheLl\AUtoPlAY\COmMand =F:\dfdvo.cmd

sheLl\AutoRun\command =F:\dfdvo.cmd

sheLl\eXploRE\cOmmanD =F:\dfdvo.cmd

sheLl\opEn\cOMmand =F:\dfdvo.cmd

 

HKCU\..\..\Explorer\MountPoints2\{f551cf40-61f7-11df-832d-000feaa536ed}

sHElL\aUTOPlay\Command =F:\ppqeqr.exe

sHElL\AutoRun\command =F:\ppqeqr.exe

sHElL\eXpLore\ComManD =F:\ppqeqr.exe

sHElL\OpeN\ComMand =F:\ppqeqr.exe

 

################## | Vaccin |

 

 

################## | ! Fim do relatório # UsbFix V6.114 ! |

[wings 22]

1.

*Delete o RegUnlocker

 

2.

*Espete novamente o Pendrive no PC

*Duplo clique em UsbFix

*Tecle P > [ENTER]

*Tecle 2 > [ENTER] e aguarde o término

*Remova o Pendrive

*Cole o relatório criado em C:\UsbFix.txt

[PabloRhuan 0]

Intão..

 

Fiz oque você pedio.

 

"1.

*Delete o RegUnlocker

 

2.

*Espete novamente o Pendrive no PC

*Duplo clique em UsbFix

*Tecle P > [ENTER]

*Tecle 2 > [ENTER] e aguarde o término"

 

Depois o Pc Reiniciou e iniciou normalmente não apareceu nenhum relatorio do UsobFix.

 

Aqui vai um Relatorio com o hijackthis

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 00:01:14, on 19/5/2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\PC Tools AntiVirus\PCTAVSvc.exe

C:\Arquivos de programas\ThreatFire\TFService.exe

C:\Arquivos de programas\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe

C:\Arquivos de programas\ThreatFire\TFTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe

C:\Arquivos de programas\IObit\Advanced SystemCare 3\Sup_SmartRAM.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

D:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Documents and Settings\HP\Meus documentos\Downloads\HiJackThis.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [siSRaid] C:\Arquivos de programas\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe

O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [PCTAVApp] "C:\Arquivos de programas\PC Tools AntiVirus\PCTAV.exe" /MONITORSCAN

O4 - HKLM\..\Run: [windowsmp] C:\WINDOWS\windowsmp.exe

O4 - HKLM\..\Run: [ThreatFire] C:\Arquivos de programas\ThreatFire\TFTray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe" /startup

O4 - HKCU\..\Run: [smartRAM] "C:\Arquivos de programas\IObit\Advanced SystemCare 3\Sup_SmartRAM.exe" /m

O4 - HKCU\..\Run: [Gadwin PrintScreen] C:\Arquivos de programas\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: PC Tools AntiVirus Engine (PCTAVSvc) - Unknown owner - C:\Arquivos de programas\PC Tools AntiVirus\PCTAVSvc.exe

O23 - Service: ThreatFire - PC Tools - C:\Arquivos de programas\ThreatFire\TFService.exe

 

--

End of file - 4036 bytes

[wings 22]

Algum PC que você tenha espetado o seu pendrive está contaminado pelo Conficker. O arquivo jwgkvsq.vmx refere-se a ele e já foi removido do seu pendrive. Após o procedimento abaixo, iremos procurar pelo mesmo no PC.

 

1.

*Duplo clique em UsbFix

*Tecle P > [ENTER]

*Tecle 6 > [ENTER]

 

2.

*Baixe o MalwareBytes Anti-malware e salve-o no desktop

*Instale o programa

*Se alguma atualização existir,o download será automático. Aguarde...

*O programa será aberto automaticamente.

*Na aba [Verificação], selecione a opção [Verificação completa]...pode demorar.

*Clique em [Verificar] e selecione as unidades a serem examinadas

*Ao término do scan, poderá ser interrogado se deseja remover objetos da memória. Clique [sIM] > [OK] > [Mostrar Resultados]

*Clique em [Remover Selecionados]

*Um relatório (mbam-log-ano-mês-data.txt) será apresentado.

*Cole-o na sua próxima resposta

[PabloRhuan 0]

Feito...

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Versão da Base de Dados: 4052

 

Windows 5.1.2600 Service Pack 2

Internet Explorer 6.0.2900.2180

 

19/5/2010 00:46:01

mbam-log-2010-05-19 (00-46-01).txt

 

Tipo de Verificação: Verificação Completa (A:\|C:\|D:\|E:\|)

Objetos escaneados: 125418

Tempo decorrido: 28 minuto(s), 48 segundo(s)

 

Processos de Memória Infectados: 0

Módulos de Memória Infectados: 0

Chaves de Registro Infectadas: 1

Valores de Registro Infectados: 1

Itens de Dados no Registro Infectados: 5

Pastas Infectadas: 0

Arquivos Infectados: 8

 

Processos de Memória Infectados:

(Não foram detectados ítens maliciosos)

 

Módulos de Memória Infectados:

(Não foram detectados ítens maliciosos)

 

Chaves de Registro Infectadas:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\4lli (Worm.AutoRun) -> Quarantined and deleted successfully.

 

Valores de Registro Infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windowsmp (Worm.AutoRun) -> Quarantined and deleted successfully.

 

Itens de Dados no Registro Infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Pastas Infectadas:

(Não foram detectados ítens maliciosos)

 

Arquivos Infectados:

C:\Documents and Settings\HP\Configurações locais\Temp\tS+pwnTD.exe.part (Malware.Packer.Gen) -> Quarantined and deleted successfully.

C:\Documents and Settings\HP\Configurações locais\Temp\mfUl8_KF.exe.part (Malware.Packer.Gen) -> Quarantined and deleted successfully.

C:\Documents and Settings\HP\Configurações locais\Temp\PhsMv3bO.exe.part (Malware.Packer.Gen) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{D483EF6F-FEAB-4177-8D3E-ED1C7D939387}\RP6\A0010637.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

C:\autorun.inf (Worm.AutoRun) -> Quarantined and deleted successfully.

C:\explorer.exe (Worm.AutoRun) -> Quarantined and deleted successfully.

C:\WINDOWS\Windowsmp.exe (Worm.AutoRun) -> Delete on reboot.

C:\WINDOWS\yoos.b (Worm.AutoRun) -> Quarantined and deleted successfully.

[wings 22]

1.

*Abra o programa Malwarebytes e na aba [Quarentena], selecione todos os resultados e clique em [Remover tudo]

*Clique na aba [Logs], selecione o relatório e clique em [Remover]

 

2.

*Desative a Restauração do Sistema

 

Clique com o botão direito do mouse em Meu Computador > Propriedades > Restauração do Sistema > Desativar Restauração do Sistema > OK > Sim

3.

*Baixe a atualização KB958644 e salve-a no desktop

*Instale-a. Caso seu Windows informe que a versão presente no seu PC é mais atual, cancele a instalação da atualização e siga para o passo seguinte.

 

4.

*Baixe o KidoKiller e salve-o no desktop

*Extraia o seu conteúdo para C:\

*Clique em [iniciar] > [Executar] > copie e cole: C:\kk.exe -x -y -l conficker.txt -v

*Clique OK e aguarde o término do scan. O programa será fechado automaticamente.

*Cole o resumo localizado no final do relatório criado em C:\conficker.txt

 

Exemplo:

15:25:43:548 1868 scanning Flash drives ...

15:25:43:638 1868

completed

15:25:43:638 1868 Infected jobs: 0

15:25:43:638 1868 Infected files: 1

15:25:43:638 1868 Infected threads: 7

15:25:43:638 1868 Spliced functions: 7

15:25:43:638 1868 Cured files: 1

15:25:43:638 1868 Fixed registry keys: 6

15:25:43:638 1868

 

Após o procedimento informe se consegue baixar e instalar um antivírus. Caso não consiga, o problema pode ser pior, pode ser uma contaminação por Sality.

[PabloRhuan 0]

Bom dia!

 

Fiz oque pedio.e continuo sem conseguir instalar o anti-vírus o instalador simplismente feicha

 

ai vai o log.

 

 

6:7:43:750 1704 scanning Flash drives ...

6:7:43:890 1704

completed

6:7:43:890 1704 Infected jobs: 0

6:7:43:890 1704 Infected files: 0

6:7:43:890 1704 Infected threads: 0

6:7:43:890 1704 Spliced functions: 0

6:7:43:890 1704 Cured files: 0

6:7:43:890 1704 Fixed registry keys: 0

6:7:43:890 1704

[wings 22]

Olá Pablo...

 

Pode ser Sality mesmo....o Sality costuma infectar arquivos .exe do seu PC, bloqueia acesso a sites de antivírus, assim como o acesso ao registro e inicialização em Modo de Sefurança.

 

Vamos procurar quem está bloqueando...

 

1.

*Delete os arquivos C:\KK.exe e C:\conficker.txt

 

2.

*Repita o scan com o Malwarebytes.

 

3.

*Baixe o SalityKiller e salve-o no desktop

*Extraia o seu conteúdo para C:\

 

*Este programa irá rodar em 2 janelas distintas ao mesmo tempo!!

 

*A primeira janela:

*Clique em [iniciar] > [Executar] > copie e cole: C:\salitykiller.exe -m

*Clique [OK]

*Mantenha a janela rodando. Não feche-a!! Se desejar, minimize-a.

 

*A segunda janela:

*Clique em [iniciar] > [Executar] > copie e cole: C:\salitykiller.exe -y -x -j -l sality.txt -v

*Clique [OK]

*Ao término, a janela 2 será fechada automaticamente. Feche, então, a janela 1.

*Cole o resumo localizado no final do arquivo C:\sality.txt, conforme mostrado abaixo:

 

23:57:51:0 Infected files: 8

23:57:51:0 Infected processes: 0

23:57:51:0 Infected threads: 2

23:57:51:0 Cured files: 8

23:57:51:0 Executed registry scripts: 1

[PabloRhuan 0]

Boa Noite!

 

Só uma duvida. O WINDOWSMP.EXE pode ser um Sality?

 

Feito oque pedio aqui vai o resumo.

 

completed

20:42:2:890 Infected files: 1567

20:42:2:906 Infected processes: 0

20:42:2:906 Infected threads: 0

20:42:2:906 Cured files: 1556

20:42:2:906 Executed registry scripts: 1

[wings 22]

Boa Noite!

 

Só uma duvida. O WINDOWSMP.EXE pode ser um Sality?

 

Não...

 

Vamos tentar a remoção completa, porém pode haver a necessidade de formatação. Pelo resumo do SalityKiller ainda há arquivos contaminados que não foram resolvidos.

 

Portanto, sugiro que você salve seus arquivos pessoais (fotos, documentos do Office,...) antes de fazer o procedimento abaixo. Não salve aplicativos (arquivos .exe)!!! OK?

 

1.

*Baixe o sality_regkeys e salve-o no desktop

*Extraia o conteúdo para o desktop

 

2.

*Baixe o DrWebCureIt e salve-o no desktop

*Renomei-o para DrWebCureIt.com

*Instale o programa

 

3.

*Na pasta SalityRegKeys dê duplo clique no arquivo SafeBootWinXP.reg e aceite a entrada no registro

 

4.

*Reinicie o PC em Modo de Segurança (Pressione intermitentemente F8 durante a inicialização, no menu que aparecer escolha Modo Seguro)

 

5.

*Em Modo de Segurança...

*Execute o DrWebCureIt

*Clique em Iniciar e aguarde o scan inicial das áreas vitais do sistema terminar

*Caso encontre algo, clique em "Sim"

*Ao término, selecione a opção "Scan completo" e clique na seta verde ou azul

*Clique sempre "Sim" para a remoção

*Ao término, clique em "Arquivo" e salve o relatório no desktop

*O relatório terá extensão .csv

*Feche o DrWebCureIt e reinicie o PC

*Cole o relatório na sua próxima resposta.

[PabloRhuan 0]

Baixei o sality_regkeys e o DrWebCureIt , nenhum dos dois fucionaram .

1- Duplo clic em SafeBootWinXP (erro: edição de registro foi destivada pelo administrador)

2- o link do DrWebCureIt que você min passou não abriu aqui baixei de outro site Renomei para DrWebCureIt.com e o programa não rodou.

 

Amigo sera que a saida mais rapida para a soluçao sera a formatação? eu não min porto em formatala mais minha duvida é a seguinte, eu ja formatei ela essa semana mais so a PARTIÇÂO C: a partiçao D: estavao todos os meus programas (SP2, Drives,anti-vurus,etc...) apos a formataçao o virus continuou no meu pc, Pode ser que esses meus programas Da partiçao D: estejão contaminados?. se eu formata as duas partiçao C: e D: pode resolver meu problema?

a outros meios fora a formataçao agora para solucionar esse problema?.

 

 

 

 

Obrigado pela Atenção.

[wings 22]

Olá Pablo....

 

 

A formatação é o procedimento mais rápido.

 

O motivo de você ter formatado e o vírus ter continuado é porque ele certamente está na partição D:\.

 

Faça o seguinte:

 

Grave seus arquivos pessoais num CD. Evite os arquivos .exe.

 

Formate ambas as partições: C e D

 

Instale o Windows e o Office.

 

Depois de instalados, baixe um antivírus....você pode usar o Avast 5. Não baixe-o agora!!...baixe-o após a formatação.

 

Antes de instalar qualquer programa no PC, gravado no CD, faça um scan com o antivírus do programa. Assim, você saberá onde está a fonte da contaminação. Evite cracks e keygens...eles são fontes constantes deste tipo de contaminação...seja prudente!!

[PabloRhuan 0]

Ok vou realizar a formatação, Quando pronto postarei os resultados.

[PabloRhuan 0]

Boa tarde!

 

Amigo Obrigado pela sua ajuda , Formatei as duas partições e ta tudo beleza consegui instalar tudo oque eu queria.

Obrigado mais uma vez.

 

 

[Problema Resolvido]

[wings 22]

PROBLEMA RESOLVIDO!

 

Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico.