[Resolvido] &nbsppendriver protegido c/ gravação e cheio de virus

[Melque Argolo 0]

pessoal passei um tempão pesquisando em varios sites uma forma de tirar esses virus do pendrive eles não permitem formatar fica dando erro de protegido contra gravação e não permite tambem os antivirus apaga-los o kaspersky 2012 acha eles porem não consegui apagar ja rodei varios outros antivirus combofix bankerfix etc etc porem nada de deletar eses virus o pc está limpo e so no pendriver mesmo...

os nomes que indentifiquei foram MABEZAT e ZPHARAOH.

me ajudem por favor nem pelo kurumim e ubuntu consegui apagar...

 

 

LOG:

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 11:14:51, on 03/07/2012

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe

C:\Administrador Timer Café\Administrador.exe.locked

C:\Administrador Timer Café\Ping.exe

C:\Arquivos de programas\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe

C:\WINDOWS\system32\HPSIsvc.exe

d:\Arquivos de programas\PaperCut Print Logger\pcpl.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Mozilla Firefox\plugin-container.exe

C:\WINDOWS\system32\cmd.exe

D:\programas\anti virus\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local

O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\Arquivos de programas\Scpad\scpsssh2.dll

O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Internet Security 2012\ievkbd.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll

O2 - BHO: Auxiliar de Conexão do Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\ARQUIV~1\MICROS~1\Office14\URLREDIR.DLL

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Internet Security 2012\klwtbbho.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [AVP] "C:\Arquivos de programas\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe"

O8 - Extra context menu item: Adicionar ao Antibanner - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Internet Security 2012\ie_banner_deny.htm

O8 - Extra context menu item: Baixar com Mipony - file://D:\Arquivos de programas\MiPony\Browser\IEContext.htm

O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Arquivos de programas\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Arquivos de programas\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra button: &Teclado Virtual - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Internet Security 2012\ievkbd.dll

O9 - Extra button: &Anotações Vinculadas do OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Arquivos de programas\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O9 - Extra 'Tools' menuitem: &Anotações Vinculadas do OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Arquivos de programas\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O9 - Extra button: Veri&ficação de URLs - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Internet Security 2012\klwtbbho.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {9EC30204-384D-11D3-9CA3-00A024F0AF03} (ValidaUsuario Class) - https://cpne.bradesco.com.br/certifexp.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab

O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} - https://imagem.caixa.gov.br/cab/GBPDIST2K.CAB

O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} -

O17 - HKLM\System\CCS\Services\Tcpip\..\{4A4E32C7-2A73-46B3-90FD-9C34266E34B7}: NameServer = 189.38.95.96,189.38.95.95

O17 - HKLM\System\CCS\Services\Tcpip\..\{77856523-D702-4005-AF6E-41BF768EACBA}: NameServer = 189.38.95.96,189.38.95.95

O17 - HKLM\System\CCS\Services\Tcpip\..\{87A2F127-1F30-4F4A-8092-661F30753E20}: NameServer = 189.38.95.96,189.38.95.95

O17 - HKLM\System\CCS\Services\Tcpip\..\{91D37845-1076-4051-850D-0EB75C0DF9E6}: NameServer = 189.38.95.96,189.38.95.95

O17 - HKLM\System\CCS\Services\Tcpip\..\{C69AAD20-807E-433C-BD3C-EBD3B79CF3ED}: NameServer = 189.38.95.96,189.38.95.95

O17 - HKLM\System\CS1\Services\Tcpip\..\{4A4E32C7-2A73-46B3-90FD-9C34266E34B7}: NameServer = 189.38.95.96,189.38.95.95

O17 - HKLM\System\CS2\Services\Tcpip\..\{4A4E32C7-2A73-46B3-90FD-9C34266E34B7}: NameServer = 189.38.95.96,189.38.95.95

O17 - HKLM\System\CS3\Services\Tcpip\..\{4A4E32C7-2A73-46B3-90FD-9C34266E34B7}: NameServer = 189.38.95.96,189.38.95.95

O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\OFFICE14\MSOXMLMF.DLL

O21 - SSODL: CompIBBrd - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll

O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: scpLIB - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll

O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe

O23 - Service: Serviço do Kaspersky Anti-Virus (AVP) - Kaspersky Lab ZAO - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe

O23 - Service: HP SI Service (HPSIService) - HP - C:\WINDOWS\system32\HPSIsvc.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: PaperCut Print Logger (PCPrintLogger) - PaperCut Software International Pty Ltd - d:\Arquivos de programas\PaperCut Print Logger\pcpl.exe

O23 - Service: Steam Client Service - Valve Corporation - C:\Arquivos de programas\Arquivos comuns\Steam\SteamService.exe

 

--

End of file - 7335 bytes

[wings 22]

Olá Melque Argolo

 

 

 

1.

*Clique [iniciar] > [Executar] > digite: Gpedit.msc

 

*Clique [OK]

 

*Em Configuração do Computador, expanda Modelos Administrativos e clique Sistema

 

*Na coluna a direita, clique com o botão direito do mouse em Desativar AutoExecutar e selecione Propriedades

 

*Selecione Ativado

 

*Na caixa abaixo de onde está escrito Desativar Executar automaticamente em: selecione Todas as unidades

 

*Clique em [Aplicar] > [OK]

 

*Reinicie o computador

 

 

2.

*Dê uma lida aqui

 

 

3.

*Mantenha conectado o seu pen drive

 

*Baixe o Kaspersky Virus Removal Tool Versão 11 e salve-o no desktop

 

*Execute-o. Usuários do Windows Vista ou do Windows 7 devem clicar com o botão direito do mouse no arquivo e selecionar Executar como administrador

 

*Aguarde a instalação, aceite o contrato e clique [start]

 

 

 

*Clique

 

 

*Selecione o seu pen drive

 

 

 

*Clique Actions e selecione a opção Select action

 

 

 

 

*Clique

 

 

*Clique [start scanning]

 

 

*Ao término, clique

 

 

*Clique Detected threats > Save e salve no desktop como log.txt

 

*Cole o relatório log.txt salvo no desktop

[Melque Argolo 0]

obrigado por olhar meu caso, bem o Gpedit.msc eu sempre uso do jeito que voce falou ai mesmo assim confirir e tava igual. aquele outro programinha ja tinha tentado tambem por sinal varios daquela pagina e nenhum funcionou por fim baixei o kasper... e posto agora o log:

 

Status: Detected (events: 1)

03/07/2012 16:52:28 Detected virus Worm.Win32.Mabezat.b J:\mulheris\Nova pasta\Images\CLERISTON\Images\Animais\Album\MyDocuments.rar//Documents and Settings/MyDocuments/Readme.doc .exe High

[wings 22]

1.

*Delete o Kapersky e seu relatório

 

 

2.

*Baixe o Dr.Web e salve-o no desktop

 

*Reinicie o PC em Modo de Segurança

 

*Conecte o pen drive no PC

 

*Instale o Dr.Web, siga as instruções e faça um scan

 

*Selecione todos os arquivos contaminados e escolha Cure

 

*Remova o pen drive e reinicie o PC em Modo Normal

[Melque Argolo 0]

nao deu certo não ap tempo que ia achando os virus ia aparecendo uma massage tipo que tava bloquado pra gravar no final ficou tudo no mesmo lugar nao apagou nada...

[wings 22]

nao deu certo não ap tempo que ia achando os virus ia aparecendo uma massage tipo que tava bloquado pra gravar no final ficou tudo no mesmo lugar nao apagou nada...

É...está complicado.

 

*Abra o bloco de notas e cole as linhas em azul

@ECHO OFF

regedit /e look1.txt "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies"

Type look*.txt >log.txt

start log.txt

del look1.txt

del %0

*Salve no desktop assim:

 

Nome: look.bat

 

Tipo: Todos os arquivos

 

*Execute-o. Usuários do Windows Vista ou do Windows 7 devem clicar com o botão direito do mouse no arquivo e selecionar Executar como administrador

 

*Cole o relatório apresentado

[Melque Argolo 0]

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]

"WriteProtect"=dword:00000000

[wings 22]

Estou achando que não iremos conseguir nada.

 

 

*Conecte o pen drive

 

*Clique com o botão direito em Meu Computador, selecione Gerenciar

 

*Clique em Gerenciador de Dispositivos e localize o pen drive

 

*Clique com o botão direito do mouse nele e selecione Propriedades > Driver > Desinstalar

 

*Clique [OK]

 

*Remova o pen drive e conecte-o novamente

 

*Aguarde o Windows instalar o driver novamente.

 

 

Veja se consegue pelo menos formatar.

[Melque Argolo 0]

nada, tambem não funcionou se tiver alguma solução drastica para formatar não tem nada de importante dentro...

[wings 22]

Estou achando que o problema está no próprio pen drive. Ou seja, ele deve estar danificado.

 

Digo isso pq você tentou até com Linux e não conseguiu.

 

O que você pode tentar é usar o Ubuntu em outra máquina e conectar o pen drive para ver se consegue acessar e deletar os arquivos no pen drive.

 

Caso não consiga, o problema é o pen drive.

 

Você pode tentar fazer uso deste programa para fazer uma formatação do pen drive. Segue o link para download: http://hddguru.com/software/HDD-LLF-Low-Level-Format-Tool/HDDLLFsetup.4.25.exe

[Melque Argolo 0]

Estou achando que o problema está no próprio pen drive. Ou seja, ele deve estar danificado.

 

Digo isso pq você tentou até com Linux e não conseguiu.

 

O que você pode tentar é usar o Ubuntu em outra máquina e conectar o pen drive para ver se consegue acessar e deletar os arquivos no pen drive.

 

Caso não consiga, o problema é o pen drive.

 

Você pode tentar fazer uso deste programa para fazer uma formatação do pen drive. Segue o link para download: http://hddguru.com/software/HDD-LLF-Low-Level-Format-Tool/HDDLLFsetup.4.25.exe

 

 

nada ja tinha tentado esse programa e muitos outros do tipo, diz que ta protegido etc etc, realmente acho que o virus foi so uma infeliz coincidencia esse pendrive deu pau mesmo...

[wings 22]

...realmente acho que o virus foi so uma infeliz coincidencia esse pendrive deu pau mesmo...

Esta é a minha suspeita também....

 

Posso encerrar o caso?

[Melque Argolo 0]

Esta é a minha suspeita também....

 

Posso encerrar o caso?

 

 

pode, obrigado pela ajuda.

[wings 22]

PROBLEMA RESOLVIDO

 

Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico.