Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

IuriMattos

[Resolvido] &nbspVirut,Brontok,Acumulo de Memoria

Recommended Posts

Olá, estava no google, ví vários tópicos que foram solucionados por vocês. E gostei realmente do trabalho. Então, resolvi postar esse meu problema.

 

Estou com um virus muito tenso. Ele cria processos "svchost.exe" e acumula muita memória deixando meu PC muito lento. Também, muda o nome do "explorer.exe" para "eksplorasi.exe"

deixando uma tela preta assim que eu inicio o meu windows. Quando eu abro meu gerenciador de tarefas eu e executo uma nova tarefa "explorer.exe" vários processos de nomes "8kasdjh.exe" ou "789ajkhera.exe" que eu tenho em mente que seja algum virus.

Fora esse novo virus estou acostumado a viver com o Brontok. Que não deixa eu executar o cmd e ou regedit.

Gostaria de uma solução sem ter a necessidade de formatar o meu computador. Grato. Aprecio muito o trabalho de vocês. Em ajudar o próximo. :)

 

Log Hijackthis

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 02:48:18, on 20/10/2011

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\system32\taskeng.exe

C:\Windows\explorer.exe

C:\Windows\System32\igfxtray.exe

C:\Windows\System32\igfxpers.exe

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\Windows\RtHDVCpl.exe

C:\Windows\System32\hkcmd.exe

C:\Program Files\Yuna Software\Messenger Plus!\PlusService.exe

C:\Program Files\Common Files\Java\Java Update\jusched.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Windows\System32\rundll32.exe

C:\Windows\system32\igfxsrvc.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Mozilla Firefox\plugin-container.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\notepad.exe

C:\Windows\system32\svchost.exe

C:\Program Files\PC Connectivity Solution\Transports\NclIrSrv.exe

C:\Trend Micro\HiJackThis\HiJackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=6200efe2000000000000001fe23188ce&tlver=1.4.23.10&affID=18889

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Softonic_Brasil Toolbar - {12fc3d37-2a42-4fe3-8489-81296878cba5} - C:\Program Files\Softonic_Brasil\tbSoft.dll

R3 - URLSearchHook: (no name) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - (no file)

R3 - URLSearchHook: (no name) - {e0301295-ab3e-4af3-979f-3d453c5f9f48} - (no file)

F2 - REG:system.ini: Shell=Explorer.exe "C:\Windows\eksplorasi.exe"

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Softonic_Brasil - {12fc3d37-2a42-4fe3-8489-81296878cba5} - C:\Program Files\Softonic_Brasil\tbSoft.dll

O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MI1933~1\Office12\GRA8E1~1.DLL

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: DealPly - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files\DealPly\DealPlyIE.dll

O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O2 - BHO: kikin Plugin - {E601996F-E400-41CA-804B-CD6373A7EEE2} - C:\Program Files\kikin\ie_kikin.dll

O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\GTASanAndreas\Hotspot Shield\HssIE\HssIE.dll

O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)

O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: Softonic_Brasil Toolbar - {12fc3d37-2a42-4fe3-8489-81296878cba5} - C:\Program Files\Softonic_Brasil\tbSoft.dll

O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll

O3 - Toolbar: (no name) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - (no file)

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [igfxTray] C:\Windows\system32\igfxtray.exe

O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [skytel] Skytel.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe

O4 - HKLM\..\Run: [PlusService] C:\Program Files\Yuna Software\Messenger Plus!\PlusService.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [bgz0ueitgy] C:\ProgramData\bgz0ueitgy.exe

O4 - HKLM\..\Run: [7z4u1v4b42] C:\ProgramData\7z4u1v4b42.exe

O4 - HKLM\..\Run: [Regedit32] C:\Windows\system32\regedit.exe

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [ManyCam] "C:\Program Files\ManyCam\Bin\ManyCam.exe" /silent

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun

O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Users\Iuri\AppData\Roaming\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" -inv:bootrun

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [bgz0ueitgy] C:\Users\Iuri\bgz0ueitgy.exe

O4 - HKCU\..\Run: [musqbvtkq8] C:\Users\Iuri\musqbvtkq8.exe

O4 - HKCU\..\Run: [38t2] C:\Users\Iuri\AppData\Roaming\dfhbt3y.exe

O4 - HKCU\..\Run: [7z4u1v4b42] C:\Users\Iuri\7z4u1v4b42.exe

O4 - HKCU\..\Run: [Chrome update] C:\Users\Iuri\AppData\Local\Temp\js83kgso.exe

O4 - HKCU\..\Run: [Network Device] C:\Users\Iuri\AppData\Local\Temp\dji63rgw.exe

O4 - HKCU\..\Run: [Firefox update] C:\Users\Iuri\AppData\Local\Temp\fidr4e7fox.exe

O4 - HKCU\..\Run: [i6g8xs] C:\Users\Iuri\AppData\Roaming\i6g8xs.exe

O4 - HKCU\..\Run: [system Photo Imager] RunDll32 "C:\Users\Iuri\AppData\Roaming\skypePM\hostsrv.dll",Init

O4 - HKCU\..\Run: [Regedit32] C:\Windows\system32\regedit.exe

O4 - HKUS\S-1-5-18\..\Run: [38t2] C:\Windows\System32\config\systemprofile\AppData\Roaming\dfhbt3y.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [system Photo Imager] RunDll32 "C:\Program Files\Common Files\perfhost.dll",Init (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [mssend] "C:\Windows\system32\config\systemprofile\AppData\Roaming\xdm1rraliyizplvtrataxrcleozcnlyw2\svcnost.exe" (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [msmsgs] C:\Windows\TEMP\908\nmsmsgs.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [v0lut47] C:\Windows\System32\config\systemprofile\AppData\Roaming\3kvq.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [Chrome update] C:\Windows\TEMP\js83kgso.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [Network Device] C:\Windows\TEMP\dji63rgw.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [Firefox update] C:\Windows\TEMP\fidr4e7fox.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [i6g8xs] C:\Windows\System32\config\systemprofile\AppData\Roaming\i6g8xs.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [38t2] C:\Windows\System32\config\systemprofile\AppData\Roaming\dfhbt3y.exe (User 'Default user')

O4 - Global Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Link to &MidpX - C:\Users\Iuri\Desktop\TibiaME\JadInvoker\Extent\jad_wrap.htm

O9 - Extra button: (no name) - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Program Files\kikin\ie_kikin.dll

O9 - Extra 'Tools' menuitem: My kikin - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Program Files\kikin\ie_kikin.dll

O9 - Extra button: Incluir no Blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Incluir no Blog no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll

O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MI1933~1\Office12\GR99D3~1.DLL

O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: C:\Windows\system32\sysprep\pt-BR\perflog.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll

O23 - Service: BlueSoleilCS - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe (file missing)

O23 - Service: BsHelpCS - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BsHelpCS.exe (file missing)

O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Serviço do Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: LogMeIn Hamachi Tunneling Engine (Hamachi2Svc) - Unknown owner - C:\HaMaChi\hamachi-2.exe (file missing)

O23 - Service: Hotspot Shield Monitoring Service (HssWd) - Unknown owner - C:\GTASanAndreas\Hotspot Shield\bin\hsswd.exe

O23 - Service: lxbc_device - - C:\Windows\system32\lxbccoms.exe

O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)

O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: TeamViewer 6 (TeamViewer6) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe

 

--

End of file - 11908 bytes

 

Nunca usei o Hijackthis. Acho que fiz tudo certo seguir o tutorial dos tópicos fixos.

Espero que possam me ajudar. Fico no aguardo.

Grato.

Compartilhar este post


Link para o post
Compartilhar em outros sites

:) Olá!

 

Primeiramente, para evitar que os vírus voltem, desative a restauração do sistema e mantenha ela desativada até que o problema tenha sido resolvido. Para isto, siga as dicas do site abaixo:

http://www.baboo.com.br/conteudo/modelos/Desativando-a-Restauracao-do-Sistema-no-Windows-Vista_a31528_z0.aspx

___________________

 

:seta: Depois disto, siga, por gentileza, as dicas deste tutorial:

 

Tutorial do Norman Malware Cleaner

 

Na sua próxima resposta poste o conteúdo do log do Norman Malware Cleaner juntamente com um novo log do Hijackthis e nos diga como está o seu PC depois disto.

 

Ficamos na espera.

Compartilhar este post


Link para o post
Compartilhar em outros sites

:) Olá!

 

Primeiramente, para evitar que os vírus voltem, desative a restauração do sistema e mantenha ela desativada até que o problema tenha sido resolvido. Para isto, siga as dicas do site abaixo:

http://www.baboo.com.br/conteudo/modelos/Desativando-a-Restauracao-do-Sistema-no-Windows-Vista_a31528_z0.aspx

___________________

 

:seta: Depois disto, siga, por gentileza, as dicas deste tutorial:

 

Tutorial do Norman Malware Cleaner

 

Na sua próxima resposta poste o conteúdo do log do Norman Malware Cleaner juntamente com um novo log do Hijackthis e nos diga como está o seu PC depois disto.

 

Ficamos na espera.

 

Consegui desativar a restauração do sistema.

Mas, esse tutorial que você colocou sobre o Norman Malware Cleaner.

Não bate com a versão que está disponivel no site.

 

norman1.jpg

depois, dessa tela de acordo com o tutorial deveria aparecer esta

norman4.jpg

mas, a tela que aparece é esta

tutoerrado.jpg

 

Tentei fazer scan. Mas, muitas opções estão desativadas. Como na imagem abaixo

tutoerrado.jpg

 

Obrigado por uma resposta rápida. :)

Se ainda poder me ajudar eu agradeço muito.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Mas, esse tutorial que você colocou sobre o Norman Malware Cleaner.

Não bate com a versão que está disponivel no site.

A questão é que teve uma atualização depois e algumas partes ficaram diferentes. Mas acabei de atualizar o tutorial e agora já está de acordo com a versão mais recente deste programa.

____________________

 

Tentei fazer scan. Mas, muitas opções estão desativadas

:seta: Faça o download dele no endereço abaixo:

http://www.megaupload.com/?d=9FYEHEPU

 

Obs: ao acessar o link acima aguarde a contagem regressiva e clique em Download Comum para baixá-lo.

 

Descompacte-o > clique no botão Accept > Marque a opção Full > clique na aba Options e deixe todas as caixinhas marcadas > e clique em Start > depois de concluir o escaneamento poste o log dele aqui juntamente com novo log do Hijackthis e nos diga como está o PC depois disto.

Compartilhar este post


Link para o post
Compartilhar em outros sites

A questão é que teve uma atualização depois e algumas partes ficaram diferentes. Mas acabei de atualizar o tutorial e agora já está de acordo com a versão mais recente deste programa.

____________________

 

 

:seta: Faça o download dele no endereço abaixo:

http://www.megaupload.com/?d=9FYEHEPU

 

Obs: ao acessar o link acima aguarde a contagem regressiva e clique em Download Comum para baixá-lo.

 

Descompacte-o > clique no botão Accept > Marque a opção Full > clique na aba Options e deixe todas as caixinhas marcadas > e clique em Start > depois de concluir o escaneamento poste o log dele aqui juntamente com novo log do Hijackthis e nos diga como está o PC depois disto.

 

 

Agora literalmente "fudeu"

Enquanto eu fazia o scan como você pediu,meu PC reiniciou sozinho. E agora o explorer.exe não aparece mais. Antigamente eu conseguia executar ele pelo gerenciador de tarefas clicando em nova tarefa e inicializando ele.

Mas, como eu tenho uma noção das coisas. Abrir o gerenciador de tarefas e executei o processo do "firefox.exe" e do "msnmsgr.exe" Continuo esperando uma solução se possível pois, não quero formatar meu PC. Minha ultima solução vai ser comprar um novo HD e deixar esse como escravo.

Aqui vão as fotos.

 

explorerbugador.jpg

Note que na imagem acima, meu explorer não dá para ser executado através do gerenciador de tarefas.

 

explorerbugado.jpg

Na imagem acima você percebe que existe um arquivo executavel na pasta windows com nome "eksplorasi.exe" e o "explorer.exe" que foi alterado para "explorer.exe.local" Acho que por esse fato não consigo mas, executa-lo.

Porfavor, tente me ajudar. Grato.

 

OBS: Isso sempre ocorria. Mas, eu conseguia executar o explorer.exe

Aconteceu depois que estava fazendo o scan. com o Norman_Malware_Cleaner (1) Que você colocou para download.

Compartilhar este post


Link para o post
Compartilhar em outros sites

O problema destes file infectors é que nem sempre se consegue vencê-los, pois eles vão infectando todos os arquivos e causando estes problemas no registro do Windows, o que vai piorando a infecção dele. Mas há estes dois programas abaixo que são muito bons para se desinfectar também:

 

Tutorial do Kaspersky Virus Removal Tool

 

Tutorial do Dr. Web CureIt

 

Obs: Na hora de salvar estes programas acima no PC, clique com o botão direito do mouse sobre o link deles e escolha a opção Salvar link como... > salve-o com qualquer nome respeitando a extensão .rar (como por exemplo: Golden.rar), (esta medida é importante para evitar que virus e/ou malwares bloqueiem o download e/ou execução dos programas ou que venham a contaminar o executável deles) e salve-o no Desktop (área de trabalho do seu PC).

____________________

 

Se ainda assim os métodos acima falharem, há a opção de usar os antivírus bootáveis (os quais você pode gravar em um cd ou dvd, de preferência em outro PC que esteja sem vírus, e utilizar para desinfectar o PC contaminado):

 

Free Avira AntiVir Rescue System CD

 

Kaspersky Rescue Disk

 

Dr.Web LiveCD

 

F-Secure Rescue CD

 

BitDefender Rescue CD:

http://www.baixaki.com.br/download/bitdefender-rescue-cd.htm

Compartilhar este post


Link para o post
Compartilhar em outros sites

Não funcinou, tive que formatar meu computador.

Realmente neste tipo de infecção, infelismente, em vários casos é necessária a formatação para a remoção completa do problema.

___________________

 

Mas, se possível. Me indique alguns arquivos que removem malware. Para eu usar eles constantemente aqui.

:seta: Há vários programas e serviços online muito bons que você usar de tempos em tempos para manter seu PC livre de vírus e malwares, como estes abaixo:

 

Malwarebytes Anti-Malware

 

Nod32 Online

 

SUPERAntispyware

 

Ad-Aware Free Internet Security

_________________

 

:seta: Sugiro também um ótimo antivirus gratuito para você, como o Avira AntiVir Personal Edition Classic.

 

Para instalar, configurar e usar corretamente o Avira antivir é só seguir as dicas destes tutoriais:

 

Tutorial do Avira AntiVir Personal Edition Classic (Instalação e Configuração)

 

Tutorial do Avira AntiVir Personal Edition Classic (como usá-lo corretamente)

__________________

 

:thumbsup: Foi um prazer ajudar, conte sempre conosco

Compartilhar este post


Link para o post
Compartilhar em outros sites

:seta: Há vários programas e serviços online muito bons que você usar de tempos em tempos para manter seu PC livre de vírus e malwares, como estes abaixo:

 

Malwarebytes Anti-Malware

 

Nod32 Online

 

SUPERAntispyware

 

Ad-Aware Free Internet Security

 

Obrigado pela sua grande ajuda. Dentre esses qual você me indicaria??

preciso realmente limpar, notei que mesmo eu formatando meu PC o virus Pifi ainda continua.

Deseja um log do Hijackthis?

Compartilhar este post


Link para o post
Compartilhar em outros sites

:seta: Poste um novo log do Hijackthis, por gentileza.

 

Abaixo.

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 09:37:46, on 25/10/2011

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\taskeng.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Windows\RtHDVCpl.exe

C:\Windows\System32\igfxtray.exe

C:\Windows\System32\hkcmd.exe

C:\Windows\System32\igfxpers.exe

C:\Windows\system32\igfxsrvc.exe

D:\LogMeIn Hamachi\hamachi-2-ui.exe

C:\Program Files\Yuna Software\Messenger Plus!\PlusService.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

D:\Multi Thief Auto San Andreas v1.1.1\Multi Theft Auto.exe

C:\Windows\system32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

D:\DOWNLOADS\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://adde.dina.fr/wp-includes/Text/Diff/Renderer/avidadagente.globo.com.txt

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [isCfgWiz] "C:\Program Files\Common Files\Symantec Shared\OPC\{C86EA115-FACD-4aa8-BFA2-398C677D0936}\SYMCUW.exe" -G:{77CCBE0B-A541-49a9-883E-14F8337EC861} -T:Config -REBOOT

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [skytel] Skytel.exe

O4 - HKLM\..\Run: [igfxTray] C:\Windows\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe

O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "D:\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start

O4 - HKLM\..\Run: [PlusService] C:\Program Files\Yuna Software\Messenger Plus!\PlusService.exe

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter

O4 - HKCU\..\Run: [i6g8xs] C:\Users\Iuri\AppData\Roaming\i6g8xs.exe

O4 - HKCU\..\Run: [skype] "D:\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Chrome update] C:\Users\Iuri\AppData\Local\Temp\js83kgso.exe

O4 - HKCU\..\Run: [Network Device] C:\Users\Iuri\AppData\Local\Temp\dji63rgw.exe

O4 - HKCU\..\Run: [Firefox update] C:\Users\Iuri\AppData\Local\Temp\fidr4e7fox.exe

O4 - HKCU\..\Run: [7z4u1v4b42] C:\Users\Iuri\7z4u1v4b42.exe

O4 - HKCU\..\Run: [bgz0ueitgy] C:\Users\Iuri\bgz0ueitgy.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [musqbvtkq8] C:\Users\Iuri\musqbvtkq8.exe

O4 - HKCU\..\Run: [Regedit32] C:\Windows\system32\regedit.exe

O4 - HKCU\..\Run: [] RunDll32 "C:\Users\Iuri\AppData\Local\LogMeIn Hamachi\hostsvc.dll",Init

O9 - Extra button: Incluir no Blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Incluir no Blog no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe

O23 - Service: LogMeIn Hamachi Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - D:\LogMeIn Hamachi\hamachi-2.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE

O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: lxbc_device - - C:\Windows\system32\lxbccoms.exe

O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe

 

--

End of file - 6758 bytes

Compartilhar este post


Link para o post
Compartilhar em outros sites

:seta: Primeiramente, para evitar que os vírus voltem, desative a restauração do sistema e mantenha ela desativada até que o problema tenha sido resolvido. Para isto, siga as dicas do site abaixo:

http://www.baboo.com.br/conteudo/modelos/Desativando-a-Restauracao-do-Sistema-no-Windows-Vista_a31528_z0.aspx

___________________

 

:seta: Abra o HijackThis, clique em Do a system scan only, marque as entradas abaixo e clique em Fix checked:

 

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

 

O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "D:\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start

 

O4 - HKCU\..\Run: [i6g8xs] C:\Users\Iuri\AppData\Roaming\i6g8xs.exe

 

O4 - HKCU\..\Run: [Chrome update] C:\Users\Iuri\AppData\Local\Temp\js83kgso.exe

 

O4 - HKCU\..\Run: [Network Device] C:\Users\Iuri\AppData\Local\Temp\dji63rgw.exe

 

O4 - HKCU\..\Run: [Firefox update] C:\Users\Iuri\AppData\Local\Temp\fidr4e7fox.exe

 

O4 - HKCU\..\Run: [7z4u1v4b42] C:\Users\Iuri\7z4u1v4b42.exe

 

O4 - HKCU\..\Run: [bgz0ueitgy] C:\Users\Iuri\bgz0ueitgy.exe

 

O4 - HKCU\..\Run: [musqbvtkq8] C:\Users\Iuri\musqbvtkq8.exe

 

O4 - HKCU\..\Run: [Regedit32] C:\Windows\system32\regedit.exe

 

O4 - HKCU\..\Run: [] RunDll32 "C:\Users\Iuri\AppData\Local\LogMeIn Hamachi\hostsvc.dll",Init

___________________

 

:seta: Depois disto reinicie o PC, e depois de ter reiniciado o computador siga, por gentileza, as dicas deste tutorial:

 

Tutorial do Dr. Web CureIt

 

Obs:Na hora em que você for fazer o download do Dr. Web CureIt clique com o botão direito do mouse sobre o link dele e escolha a opção escolha a opção salvar link como... > salve-o com qualquer nome respeitando a extensão .rar (como por exemplo: Rei.rar), (esta medida é importante para evitar que virus e/ou malwares bloqueiem o download e/ou execução do programa) e salve-o no Desktop (área de trabalho do seu PC). Depois disto é só executá-lo seguindo as dicas do tutorial acima e depois na sua próxima resposta poste este log do Dr. Web CureIt juntamente com um novo log do Hijackthis e nos diga como está o seu Pc depois disto.

 

Ficamos no aguardo.

Compartilhar este post


Link para o post
Compartilhar em outros sites

:seta: Primeiramente, para evitar que os vírus voltem, desative a restauração do sistema e mantenha ela desativada até que o problema tenha sido resolvido. Para isto, siga as dicas do site abaixo:

http://www.baboo.com.br/conteudo/modelos/Desativando-a-Restauracao-do-Sistema-no-Windows-Vista_a31528_z0.aspx

___________________

 

:seta: Abra o HijackThis, clique em Do a system scan only, marque as entradas abaixo e clique em Fix checked:

 

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

 

O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "D:\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start

 

O4 - HKCU\..\Run: [i6g8xs] C:\Users\Iuri\AppData\Roaming\i6g8xs.exe

 

O4 - HKCU\..\Run: [Chrome update] C:\Users\Iuri\AppData\Local\Temp\js83kgso.exe

 

O4 - HKCU\..\Run: [Network Device] C:\Users\Iuri\AppData\Local\Temp\dji63rgw.exe

 

O4 - HKCU\..\Run: [Firefox update] C:\Users\Iuri\AppData\Local\Temp\fidr4e7fox.exe

 

O4 - HKCU\..\Run: [7z4u1v4b42] C:\Users\Iuri\7z4u1v4b42.exe

 

O4 - HKCU\..\Run: [bgz0ueitgy] C:\Users\Iuri\bgz0ueitgy.exe

 

O4 - HKCU\..\Run: [musqbvtkq8] C:\Users\Iuri\musqbvtkq8.exe

 

O4 - HKCU\..\Run: [Regedit32] C:\Windows\system32\regedit.exe

 

O4 - HKCU\..\Run: [] RunDll32 "C:\Users\Iuri\AppData\Local\LogMeIn Hamachi\hostsvc.dll",Init

___________________

 

:seta: Depois disto reinicie o PC, e depois de ter reiniciado o computador siga, por gentileza, as dicas deste tutorial:

 

Tutorial do Dr. Web CureIt

 

Obs:Na hora em que você for fazer o download do Dr. Web CureIt clique com o botão direito do mouse sobre o link dele e escolha a opção escolha a opção salvar link como... > salve-o com qualquer nome respeitando a extensão .rar (como por exemplo: Rei.rar), (esta medida é importante para evitar que virus e/ou malwares bloqueiem o download e/ou execução do programa) e salve-o no Desktop (área de trabalho do seu PC). Depois disto é só executá-lo seguindo as dicas do tutorial acima e depois na sua próxima resposta poste este log do Dr. Web CureIt juntamente com um novo log do Hijackthis e nos diga como está o seu Pc depois disto.

 

Ficamos no aguardo.

 

 

Realmente os "processos" estranhos sumiram. Agora quando tento acessar esse link que você me envou do Dr. Web CureIt aparece isto

 

Nossos sistemas detectaram tráfego incomum na sua rede de computadores. Tente sua solicitação mais tarde. Por que isso aconteceu?

 

Esta página aparece quando o Google detecta automaticamente solicitações vindas de sua rede de computadores que parecem violar os Termos de Serviço. O bloqueio terminará logo após essas solicitações serem interrompidas.

 

Esse tráfego pode ter sido enviado por um software malicioso, um plug-in de navegador ou por um script que envia solicitações automáticas. Se compartilhar sua conexão de rede, peça ajuda ao seu administrador — um computador diferente usando o mesmo endereço IP pode ser o responsável. Saiba mais

 

Às vezes, você poderá ver esta página se estiver usando termos avançados normalmente usados por robôs ou se estiver enviando solicitações muito rápido.

 

Endereço IP: 192.168.0.1

Hora: 2011-10-26T02:32:03Z

URL: http://www.caixadedicas.com/2009/05/tutorial-do-dr-web-cureit.html

 

e quando eu tentei deletar o

 

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

 

aparece isto

 

bhoerrorhijack.jpg

Compartilhar este post


Link para o post
Compartilhar em outros sites

:seta: Faça o download do Dr. Web CureIt no endereço abaixo para que os malwares não o bloqueiem e depois de baixá-lo é só executá-lo seguindo as dicas daquele tutorial dele que tinha lhe passado:

http://www.megaupload.com/?d=T96P2FTY

 

Antônio não conseguir fazer funcionar. Você poderia me indicar outro removedor de malware?

Ele trava toda minha área de trabalho e os botões dele também travam. Enfim, acho que tem novos virus vou mandar um scan do hijackthis.

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 14:16:59, on 02/11/2011

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\taskeng.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

C:\Windows\System32\igfxtray.exe

C:\Windows\System32\hkcmd.exe

C:\Windows\System32\igfxpers.exe

C:\Windows\RtHDVCpl.exe

C:\Program Files\Yuna Software\Messenger Plus!\PlusService.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Users\Iuri\AppData\Roaming\i6g8xs.exe

C:\Windows\system32\igfxsrvc.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\Windows Live\Contacts\wlcomm.exe

C:\Program Files\Windows Media Player\wmplayer.exe

C:\Users\Iuri\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Iuri\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Iuri\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Windows\system32\rundll32.exe

C:\Users\Iuri\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Iuri\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Iuri\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Iuri\AppData\Roaming\i6g8xs.exe

C:\DOWNLOADS\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [isCfgWiz] "C:\Program Files\Common Files\Symantec Shared\OPC\{C86EA115-FACD-4aa8-BFA2-398C677D0936}\SYMCUW.exe" -G:{77CCBE0B-A541-49a9-883E-14F8337EC861} -T:Config -REBOOT

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [igfxTray] C:\Windows\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [skytel] Skytel.exe

O4 - HKLM\..\Run: [PlusService] C:\Program Files\Yuna Software\Messenger Plus!\PlusService.exe

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Google Update] "C:\Users\Iuri\AppData\Local\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [7z4u1v4b42] C:\Users\Iuri\7z4u1v4b42.exe

O4 - HKCU\..\Run: [i6g8xs] C:\Users\Iuri\AppData\Roaming\i6g8xs.exe

O4 - HKCU\..\Run: [Regedit32] C:\Windows\system32\regedit.exe

O4 - HKCU\..\Run: [Chrome update] C:\Users\Iuri\AppData\Local\Temp\js83kgso.exe

O4 - HKCU\..\Run: [Network Device] C:\Users\Iuri\AppData\Local\Temp\dji63rgw.exe

O4 - HKCU\..\Run: [Firefox update] C:\Users\Iuri\AppData\Local\Temp\fidr4e7fox.exe

O4 - HKCU\..\Run: [bgz0ueitgy] C:\Users\Iuri\bgz0ueitgy.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIÇO DE REDE')

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Incluir no Blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Incluir no Blog no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE

O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: lxbc_device - - C:\Windows\system32\lxbccoms.exe

O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe

 

--

End of file - 7206 bytes

Compartilhar este post


Link para o post
Compartilhar em outros sites

:seta: Abra o HijackThis, clique em Do a system scan only, marque as entradas abaixo e clique em Fix checked:

 

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O4 - HKCU\..\Run: [7z4u1v4b42] C:\Users\Iuri\7z4u1v4b42.exe

O4 - HKCU\..\Run: [i6g8xs] C:\Users\Iuri\AppData\Roaming\i6g8xs.exe

O4 - HKCU\..\Run: [Regedit32] C:\Windows\system32\regedit.exe

O4 - HKCU\..\Run: [Chrome update] C:\Users\Iuri\AppData\Local\Temp\js83kgso.exe

O4 - HKCU\..\Run: [Network Device] C:\Users\Iuri\AppData\Local\Temp\dji63rgw.exe

O4 - HKCU\..\Run: [Firefox update] C:\Users\Iuri\AppData\Local\Temp\fidr4e7fox.exe

O4 - HKCU\..\Run: [bgz0ueitgy] C:\Users\Iuri\bgz0ueitgy.exe

___________________

 

:seta: Depois de fazer o procedimento acima, reinicie o seu PC.

___________________

 

:seta: Após ter reiniciado o PC, baixe o programa Avenger no link abaixo e extraia o conteúdo para o desktop (área de trabalho):

http://swandog46.geekstogo.com/avenger2/download.php

 

*Selecione e copie (Ctrl+C) todo o texto destacado em vermelho abaixo:

 

Files to delete:

C:\Users\Iuri\AppData\Roaming\i6g8xs.exe

C:\Users\Iuri\AppData\Roaming\i6g8xs.exe

C:\Users\Iuri\7z4u1v4b42.exe

C:\Users\Iuri\AppData\Local\Temp\js83kgso.exe

C:\Users\Iuri\AppData\Local\Temp\dji63rgw.exe

C:\Users\Iuri\AppData\Local\Temp\fidr4e7fox.exe

C:\Users\Iuri\bgz0ueitgy.exe

 

*Execute o programa Avenger

*Clique em [Load Script] > [Paste from Clipboard]

*Clique em [Execute] > [OK]

*O PC será reiniciado

*O relatório será criado em C:\avenger.txt

___________________

 

:seta: Depois disto poste um novo log do Hijackthis e o log do Avenger que estará em C:\avenger.txt e nos diga como está o PC depois disto.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Estou indo pro curso, estou sem tempo para fazer um scan de algum executável no www.virustotal.com

então, vou colocar os log e você por favor, me diga se tem algo de errado ainda.

 

HiJackThis LOG:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 14:02:43, on 07/11/2011

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

C:\Windows\System32\igfxtray.exe

C:\Windows\System32\hkcmd.exe

C:\Windows\System32\igfxpers.exe

C:\Windows\RtHDVCpl.exe

C:\Program Files\Yuna Software\Messenger Plus!\PlusService.exe

C:\Windows\system32\igfxsrvc.exe

C:\Program Files\Ask.com\Updater\Updater.exe

C:\ProgramData\7z4u1v4b42.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\IuriMattos\ManyCam\Bin\ManyCam.exe

C:\Windows\System32\rundll32.exe

C:\IuriMattos\Hamachi\hamachi.exe

C:\Users\Iuri\AppData\Roaming\i6g8xs.exe

C:\Users\Iuri\AppData\Local\Temp\VRT21.tmp

C:\Users\Iuri\AppData\Roaming\i6g8xs.exe

C:\Users\Iuri\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Iuri\AppData\Local\Google\Chrome\Application\chrome.exe

C:\IuriMattos\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O1 - Hosts: 65.54.239.80 messenger.hotmail.com

O1 - Hosts: 65.54.239.80 dp.msnmessenger.akadns.net

O1 - Hosts: 65.54.239.80 messenger.hotmail.com

O1 - Hosts: 65.54.239.80 dp.msnmessenger.akadns.net

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [isCfgWiz] "C:\Program Files\Common Files\Symantec Shared\OPC\{C86EA115-FACD-4aa8-BFA2-398C677D0936}\SYMCUW.exe" -G:{77CCBE0B-A541-49a9-883E-14F8337EC861} -T:Config -REBOOT

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [igfxTray] C:\Windows\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [skytel] Skytel.exe

O4 - HKLM\..\Run: [PlusService] C:\Program Files\Yuna Software\Messenger Plus!\PlusService.exe

O4 - HKLM\..\Run: [ApnUpdater] "C:\Program Files\Ask.com\Updater\Updater.exe"

O4 - HKLM\..\Run: [7z4u1v4b42] C:\ProgramData\7z4u1v4b42.exe

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Google Update] "C:\Users\Iuri\AppData\Local\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [ManyCam] "C:\IuriMattos\ManyCam\Bin\ManyCam.exe" /silent

O4 - HKCU\..\Run: [] RunDll32 "C:\Users\Iuri\AppData\Roaming\perfupet.dll",Init

O4 - HKCU\..\Run: [i6g8xs] C:\Users\Iuri\AppData\Roaming\i6g8xs.exe

O4 - HKCU\..\Run: [7z4u1v4b42] C:\Users\Iuri\7z4u1v4b42.exe

O4 - HKCU\..\Run: [Regedit32] C:\Windows\system32\regedit.exe

O4 - HKUS\S-1-5-18\..\Run: [i6g8xs] C:\Windows\System32\config\systemprofile\AppData\Roaming\i6g8xs.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [i6g8xs] C:\Windows\System32\config\systemprofile\AppData\Roaming\i6g8xs.exe (User 'Default user')

O4 - Startup: hamachi.lnk = C:\IuriMattos\Hamachi\hamachi.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Incluir no Blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Incluir no Blog no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE

O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: lxbc_device - - C:\Windows\system32\lxbccoms.exe

O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe

O23 - Service: TeamViewer 6 (TeamViewer6) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe

 

--

End of file - 7758 bytes

 

Avenger LOG:

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

 

Platform: Windows Vista

 

*******************

 

Script file opened successfully.

Script file read successfully.

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

Rootkit scan active.

No rootkits found!

 

File "C:\Users\Iuri\AppData\Roaming\i6g8xs.exe" deleted successfully.

 

Error: file "C:\Users\Iuri\AppData\Roaming\i6g8xs.exe" not found!

Deletion of file "C:\Users\Iuri\AppData\Roaming\i6g8xs.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

File "C:\Users\Iuri\7z4u1v4b42.exe" deleted successfully.

File "C:\Users\Iuri\AppData\Local\Temp\js83kgso.exe" deleted successfully.

File "C:\Users\Iuri\AppData\Local\Temp\dji63rgw.exe" deleted successfully.

File "C:\Users\Iuri\AppData\Local\Temp\fidr4e7fox.exe" deleted successfully.

File "C:\Users\Iuri\bgz0ueitgy.exe" deleted successfully.

 

Completed script processing.

 

*******************

 

Finished! Terminate.

 

Grato. :)

 

edit.

Meu google chorme, bugou eu acredito... que seja porque eu deletei essa entrada...

sabe como ajeitar?

O4 - HKCU\..\Run: [Google Update] "C:\Users\Iuri\AppData\Local\Google\Update\GoogleUpdate.exe" /c

Compartilhar este post


Link para o post
Compartilhar em outros sites

Não conseguir editar o post. Então fiz outra postagem.

 

erroek.jpg

sempre que meu windows inicia uma janela dessa aparece, o nome fica diferente cada vez que eu reinicio.

 

Detalhes do Problema

 

Assinatura do problema:

Nome do Evento de Problema: BEX

Nome do Aplicativo: acprgwiz.exe

Versão do Aplicativo: 0.0.0.0

Carimbo de Data/Hora do Aplicativo: 43a54cc9

Nome do Módulo de Falhas: acprgwiz.exe

Versão do Módulo de Falhas: 0.0.0.0

Carimbo de Data/Hora do Módulo de Falhas: 43a54cc9

Deslocamento de Exceção: 0004bcb8

Código de Exceção: c0000417

Dados de Exceção: 00000000

Versão do sistema operacional: 6.0.6001.2.1.0.768.2

Identificação da Localidade: 1046

Informações Adicionais 1: c016

Informações Adicionais 2: 5fee3dee85fd3e16bda28701adb28eec

Informações Adicionais 3: 58d4

Informações Adicionais 4: 369af3a136e02430f0ca7bcd20182420

Compartilhar este post


Link para o post
Compartilhar em outros sites
Meu google chorme, bugou eu acredito... que seja porque eu deletei essa entrada...

sabe como ajeitar?

O4 - HKCU\..\Run: [Google Update] "C:\Users\Iuri\AppData\Local\Google\Update\GoogleUpdate.exe" /c

:seta: Abra o Hijackthis > clique no botão "View the list of backups" > marque a caixinha relativa a esta entrada que você apagou e clique no botão Restore > clique em Sim > clique em OK.

________________

 

Estou indo pro curso, estou sem tempo para fazer um scan de algum executável no www.virustotal.com

então, vou colocar os log e você por favor, me diga se tem algo de errado ainda.

Seu PC ainda está contaminado. Seria importante fazer uma limpeza com os antivírus bootáveis dos quais havia lhe falado no início deste tópico (os quais você pode gravar em um cd ou dvd, de preferência em outro PC que esteja sem vírus, e utilizar para desinfectar o PC contaminado):

 

Free Avira AntiVir Rescue System CD

 

Kaspersky Rescue Disk

 

Dr.Web LiveCD

 

F-Secure Rescue CD

 

BitDefender Rescue CD:

http://www.baixaki.com.br/download/bitdefender-rescue-cd.htm

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá, antonio queria muito agradecer sua ajuda. Mas, acho que baixar esses anti-virus não vai funcionar.

Estou tentando fazer um scan no www.virustotal.com.br

mas, não consigo acessar o site, não sei se é porque está com problemas ou se é algum virus que impede o uso.

 

Antigamente eu usava um aplicativo chamado "combofix" ele sempre limpava tudo. E retirava qualquer virus.

Então, resolvi usa-lo novamente. Mas, o seguinte erro ocorreu.

 

combofixerro.jpg

 

esse tal "virut" é que esta causando os problemas. Se eu usar um anti-virus qualquer ele vai sair deletando todos os executaveis do meu computador.

você sabe alguma forma de retirar esse virus?

 

@EDIT1.

estou tentando seguir este tutorial

http://www.caixadedicas.com/2009/11/remocao-win32virut.html

mas, o download do http://www.spywareinfo.dk/download/mwav.exe não está funcionando. Porfavor, ajude-me. :D

 

@EDIT2.

 

achei um programa chamdo "Malicious Software Removal Tool" mas, tenho plena certeza que o virus impede que eu acesse alguns sites.

não consigo nem acessar o www.microsoft.com/

Compartilhar este post


Link para o post
Compartilhar em outros sites

×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.