[Arquivado] Virus SMART HDD Destruindo Meu PC

[sarcofagobra 0]

Tava navegando em um site q nao me lembro qual e do nada comecou a aparecer um monte de janela com essa mensagem: "A Write command during the test has failed to complete. This may be due to a media or read/write error?"

 

Igual nessa imagem que achei na net:

https://community.mcafee.com/servlet/JiveServlet/download/238042-45944/attck1.GIF

 

O virus sumiu com minha pasta de usuario e todos os icones da area de trabalho.

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 9:07:06 PM, on 7/6/2012

Platform: Windows 7 (WinNT 6.00.3504)

MSIE: Internet Explorer v9.00 (9.00.8112.16446)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\taskhost.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Connectify\Connectify.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\ProgramData\hrwgWwJuYWw.exe

C:\ProgramData\ANXGeDWfQGAk1N.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\Program Files\U'Manager\UIMain.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Avira\AntiVir Desktop\avscan.exe

C:\Program Files\Free Download Manager\fdm.exe

C:\Windows\explorer.exe

C:\Windows\explorer.exe

C:\HijackThis\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://br.ask.com/?l=dis&o=14672

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.minituner.org/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.minituner.org/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.minituner.org/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.minituner.org/q/%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: Complitly - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Users\Daniel\AppData\Roaming\Complitly\Complitly.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office14\GROOVEEX.DLL

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Oracle\JavaFX 2.1 Runtime\bin\ssv.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: DealPly - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files\DealPly\DealPlyIE.dll

O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~4\Office14\URLREDIR.DLL

O2 - BHO: Free Download Manager - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Oracle\JavaFX 2.1 Runtime\bin\jp2ssv.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [Connectify] C:\Program Files\Connectify\Connectify.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: &Enviar para o OneNote - res://C:\PROGRA~1\MICROS~4\Office14\ONBttnIE.dll/105

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office14\EXCEL.EXE/3000

O8 - Extra context menu item: FDM: Transferir - file://C:\Program Files\Free Download Manager\dllink.htm

O8 - Extra context menu item: FDM: Transferir selecionado - file://C:\Program Files\Free Download Manager\dlselected.htm

O8 - Extra context menu item: FDM: Transferir todos - file://C:\Program Files\Free Download Manager\dlall.htm

O8 - Extra context menu item: FDM: Transferir vídeo FLV - file://C:\Program Files\Free Download Manager\dlfvideo.htm

O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra button: &Anotações Vinculadas do OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O9 - Extra 'Tools' menuitem: &Anotações Vinculadas do OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics

O17 - HKLM\System\CCS\Services\Tcpip\..\{6492AF5C-4F13-40C3-93A8-E9BBA608A5E8}: NameServer = 200.202.193.75 200.222.0.34

O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL

O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe

O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe

O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe

O23 - Service: Avira AntiVir Agendamento (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Connectify - Unknown owner - C:\Program Files\Connectify\ConnectifyService.exe

O23 - Service: HP Service (hpsrv) - Hewlett-Packard Company - C:\Windows\system32\Hpservice.exe

O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe

O23 - Service: VirtualRouterService (Virtual Router) - Chris Pietschmann (http://pietschsoft.com) - C:\Program Files\Virtual Router\VirtualRouterService.exe

 

--

End of file - 6319 bytes

[DigRam 144]

Boa Noite! sarcofagobra

 

|- Baixe: < exeHelper > ( ... by Raktor )

|- Salve-o no desktop!

|- Inicie a ferramenta,com duplo clique em exeHelper.com.

|- Para Windows Vista;XP ou 7,execute ExeHelper.com,como administrador!

 

 

|- Ps: Seu "modus operandi" irá resetar políticas administrativas incorretas,e/ou associação de arquivos. ( .exe;.com )

|- Surgirá uma tela preta e,à seguir,o relatório. ( exehelperlog.txt )

|- Ps: Caso ocorra alguma mensagem de erro: "Error deleting file"

|- Reinicie o computador e execute,novamente,o scan e poste,também,o novo relatório que será gerado.

 

-/-

 

|- Baixe: < AdwCleaner > ( ... par Xplode )

 

|- Ao acessar,clique na imagem: < >

 

|- Salve-o no desktop!

|- Clique direito em adwcleaner.exe,e escolha sua execução como "administrador".

|- Ps: Dê início ao scan,clicando em "Delete" ou "Suppression".

 

 

|- Ao concluir,poste o relatório: C:\AdwCleaner[S].txt

 

-/-

 

|- Baixe: | ZHPDiag | *ºº* < > ( ... de Nicolas Coolman )

 

|- Salve-o no desktop!

 

 

|- Desabilite seu antivírus e execute "ZHPDiag2.exe",para instalar a ferramenta.

 

 

|- Confirme todos os passos,ao instalar ZHPDiag.

|- Conclua a instalação,clicando em "Termine".

 

 

|- Ps: Após a instalação,além de ZHPScript,estarão disponíveis no desktop:

 

|- <1> MBRCheck

|- <2> ZHPDiag2

|- <3> ZHPFix

 

 

|- Clique no ícone do pergaminho. ( ZHPScript )

 

 

|- Clique na seta verde para atualizá-la e/ou baixar sua definição mais recente. ( Your version is update. )

|- Habilite todas as opções de diagnóstico,clicando em "Options".

 

 

|- Clique em All.

 

|-

 

|- Clique em "Calendar" e escolha 30 dias!

 

 

|- Dê início ao scan,clicando no ícone da lupa. ( Start Diagnosis )

|- Ao concluir,clique em "Save Report".

|- Ps: Salve-o em um local conveniente!

|- Anexe na sua resposta,ZHPDiag.txt.

|- Ps: Não poste,diretamente,esse arquivo texto.

 

|- Envie-o à Pjjoint.malekal,clicando na seta azul! < >

 

|- Ou acesse: < > ( Tire-o do zip ao enviar! )

 

|- Para enviar,siga o caminho: Selecionar arquivo... -> Abrir -> Upload file

|- Poste o endereço que estará em "Download link" ou "Forum link".

 

|- Ou acesse: < > ( Tire-o do zip ao enviar! )

 

|- Maiores informações: < |Link| >

 

Abraços!

[sarcofagobra 0]

Ola,

 

segue os logs abaixo:

 

EXE HELP:

exeHelper by Raktor

Build 20100414

Run at 11:14:00 on 07/07/12

Now searching...

Checking for numerical processes...

Checking for sysguard processes...

Checking for bad processes...

Checking for bad files...

Checking for bad registry entries...

Resetting filetype association for .exe

Resetting filetype association for .com

Resetting userinit and shell values...

Resetting policies...

--Finished--

 

 

LOGS do ADW

Geraram 3 logs diferentes ai resolvi colocar os 3:

 

http://www.mediafire.com/?6ub3y4xyx73fboe

 

LINK DO LOG DO ZHP

 

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120707_o10o15p5r10w6

 

Meu antivirus fica mostrando um tal de virus BDO TSS (acho q e esse o nome) falando que ele foi encontrado na inicializacao do setor 0. Ai eu mando remover, mas ele n remove de jeito nenhum.

 

Olha a imagem do virus:

 

http://imageshack.us/photo/my-images/805/avirainfvirus.jpg/

 

Tambem nao consigo mudar o plano de fundo e varios arquivos meus ficam como se estivessem ocultos.

[sarcofagobra 0]

O avast encontrou um tal de MBR PHYSICAL

http://imageshack.us/photo/my-images/171/virusmbr.jpg/

[wings 22]

Olá sarcofagobra

 

Não fique usando programas aleatoriamente.

 

Aguarde o DigRam.

[DigRam 144]

Boa Noite! sarcofagobra

 

|- Baixe: |TDSSKiller.zip|

|- Salve-o no disco local e descompacte-o,direcionando-o ao desktop. ( Área de trabalho! )

|- Feche aplicações que estejam abertas! <- Importante!

|- Desabilite seu antivírus e/ou antispyware. <- Importante!

|- Execute-o com um duplo clique em TDSSKiller.exe

 

"%userprofile%\Desktop\TDSSKiller.exe" -l C:\TDSSKiller.txt

 

|- Caso prefira executá-lo por linha de comando,digite ou cole a linha,em destaque,no executar.

|- Vá em Iniciar -> Executar -> Digite a LC -> Clique OK.

|- Ps: Essa modalidade na execução,somente funcionará se TDSSKiller.exe estiver no desktop.

|- Ps: Para Windows Vista ou 7,clique direito no arquivo e execute-o como administrador.

 

 

|- Na tela principal,siga a ordem numérica até a obtenção do relatório.

 

 

|- Em "Change parameters",marque todas as caixinhas.

|- Á seguir,clique em "Start scan"

|- Poste o relatório,clicando em Report.

|- Ps: Selecione-o e copie-o para o Bloco de Notas. ( TDSSKiller_Report )

 

|- Temos procedimento padrão,na detecção do rootkit.

 

|- <1> Para o TDL2 temos,por default,a opção Delete já marcada!

 

 

|- <2> Para o TDL3,escolha a opção "Cure" -> Clique em "Continue".

 

 

|- <3> Para o TDL4,concomitante com outros,escolha a opção "Cure" -> Clique em "Continue".

 

 

|- <4> Para detecções suspeitas,escolha a opção "Skip" -> Clique em "Continue".

 

 

|- Finalizando o scan,confirme o reboot clicando em "Reboot now".

 

|- Feche programas/pastas que estejam abertos.

|- Feche,também,o navegador!

|- Para Windows Vista,desabilite a UAC.

 

 

|- Dê um duplo clique em ZHPFix.

|- Selecione e copie estas informações,que estão em vermelho,para o "Bloco de Notas".

 

O4 - Global Startup: C:\Users\Daniel\Desktop\Computer - Shortcut.lnk - Orphean Key

O39 - APT:Automatic Planified Task - C:\Windows\Tasks\AutoKMS.job

O44 - LFC:[MD5.485055033BCDDFDE56325C0D2FEEA4F2] - 7/6/2012 - 8:01:15 PM ---A- . (...) -- C:\Windows\KMSEmulator.exe [151552]

 

D:\Users\Daniel\Desktop\d\Programas\AutoPlay\Docs\Utilitários\BLURAY CONVERTER ULTIMATE 1.2.0.14\KEYGEN FULL.exe

 

emptytemp

emptyflash

firewallraz

sysrestore

|- Estando com o Bloco de Notas aberto,acione os atalhos: "Ctrl+A" -> "Ctrl+C"

|- Minimize o Bloco de Notas.

 

 

|- Clique no menu,"Paste ClipBoard".

|- Clique em "GO" -> Oui.

 

 

|- Ps: Temos,àcima,sequência de imagens para maior exclarecimento.

|- Poste o relatório: C:\ZHP\ZHPFix[R1].txt

 

Abraços!

[sarcofagobra 0]

O TDSKILLER esta aparecendo como na imagem abaixo:

http://imageshack.us/photo/my-images/24/threats.jpg/

 

Cliquei em continuar e gerou esse log:

http://www.mediafire.com/?6d00ha58nmh6mmw

 

O ZHP gerou esse log:

 

 

Rapport de ZHPFix 1.2.06 par Nicolas Coolman, Update du 17/05/2012

Fichier d'export Registre :

Run by Daniel at 7/8/2012 1:11:50 AM

Windows 7 Ultimate Edition, 32-bit (Build 7600)

Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

Web site : http://nicolascoolman.skyrock.com/

 

========== Memory Process ==========

DELETED Memory Process: D:\Users\Daniel\Desktop\d\Programas\AutoPlay\Docs\Utilitários\BLURAY CONVERTER ULTIMATE 1.2.0.14\KEYGEN FULL.exe

 

========== Registry Value ==========

No Value in Standard Profile Register Key FirewallRaz :

No Value in Domain Profile Register Key FirewallRaz :

No Value in Firewall Exception Register Key (FirewallRaz)

 

========== Repertory ==========

DELETED Window Temporary:

DELETED Flash Cookies:

 

========== File ==========

DELETED File: c:\users\daniel\desktop\computer - shortcut.lnk

DELETE on Reboot c:\windows\tasks\autokms.job

DELETE on Reboot c:\windows\kmsemulator.exe

DELETED File: d:\users\daniel\desktop\d\programas\autoplay\docs\utilitários\bluray converter ultimate 1.2.0.14\keygen full.exe

DELETED Window Temporary:

DELETED Flash Cookies:

 

========== Restoration ==========

Restore System Point not created

 

 

========== Summary ==========

1 : Memory Process

3 : Registry Value

2 : Repertory

6 : File

1 : Restoration

 

 

End of clean in 03mn AMs

 

========== Report File ==========

C:\ZHP\ZHPFix[R1].txt - 7/8/2012 1:11:50 AM [1399]

[DigRam 144]

Bom Dia! sarcofagobra

 

|- Seu antivírus indicou infecção na MBR,já tentou configurá-lo no boot para que remova o bootkit?

 

|- Baixe: < > ( ... par tigzy )

 

|- Salve-o no desktop!

|- Feche aplicativos que estejam abertos!

 

 

|- Ps: Para Windows Vista ou 7,execute RogueKiller.exe como administrador.

|- Aguarde a finalização de seu Pre-scan.

 

 

|- Dê início ao diagnóstico,clicando no botão "Verificar".

|- Exemplo: Mode: Verificar -- Date: mm/dd/2012 00:52:24

|- Poste o relatório: RKreport[1].txt

 

-/-

 

|- Baixe: < aswMBR.exe >

|- Salve-o no desktop!

 

 

|- Abra a ferramenta,com um duplo clique em aswMBR.exe.

|- Para Windows Vista ou 7,execute-o como administrador.

|- Clique em "Scan" e,ao concluir,clique em "Save log".

|- Salve-o em local adequado! <- Poste esse relatório!

 

Abraços! ( Devido à compromissos inadiáveis,somente poderei atendê-lo na segunda-feira. )

[sarcofagobra 0]

Ola, ja tentei remover o virus dando boot com 2 antivirus.

 

O kaspersky e o avast, eles detectam mas n excluem.

 

Segue o log do RogueKiller

 

RogueKiller V7.6.3 [07/08/2012]  by Tigzy
mail: tigzyRK<at>gmail<dot>com
Feedback: http://www.geekstogo.com/forum/files/file/413-roguekiller/
Blog: http://tigzyrk.blogspot.com

Operating System: Windows 7 (6.1.7600 ) 32 bits version
Started in : Normal mode
User: Daniel [Admin rights]
Mode: Scan -- Date: 07/08/2012 09:41:58

¤¤¤ Bad processes: 0 ¤¤¤

¤¤¤ Registry Entries: 4 ¤¤¤
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{6492AF5C-4F13-40C3-93A8-E9BBA608A5E8} : NameServer (200.202.193.75 200.222.0.34) -> FOUND
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{686A8AC5-0A93-4E10-8CB6-E6470EE13112} : NameServer (200.202.193.75 200.222.0.34) -> FOUND
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{6492AF5C-4F13-40C3-93A8-E9BBA608A5E8} : NameServer (200.202.193.75 200.222.0.34) -> FOUND
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{686A8AC5-0A93-4E10-8CB6-E6470EE13112} : NameServer (200.202.193.75 200.222.0.34) -> FOUND

¤¤¤ Particular Files / Folders: ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Infection :  ¤¤¤

¤¤¤ HOSTS File: ¤¤¤


¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: SAMSUNG HM641JI ATA Device +++++
--- User ---
[MBR] 91126bbe5e9e273f2e8185f7ddf90c7b
[bSP] 2a90d4019d809c56b75418bf393fe61e : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 2046 | Size: 31470 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 64452608 | Size: 100 Mo
2 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 64657408 | Size: 418548 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 921843712 | Size: 160351 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Finished : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

 

Abaixo o LOG do asw:

 

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-07-08 09:52:04
-----------------------------
09:52:04.779    OS Version: Windows 6.1.7600 
09:52:04.779    Number of processors: 8 586 0x1E05
09:52:04.780    ComputerName: DANIEL-PC  UserName: Daniel
09:52:06.983    Initialize success
09:52:17.756    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
09:52:17.758    Disk 0 Vendor: SAMSUNG_HM641JI 2AJ10002 Size: 610480MB BusType: 11
09:52:17.797    Disk 0 MBR read successfully
09:52:17.801    Disk 0 MBR scan
09:52:17.805    Disk 0 Windows 7 default MBR code
09:52:17.809    Disk 0 Partition - 00     05     Extended             31470 MB offset 2046
09:52:17.845    Disk 0 Partition 1 00     07    HPFS/NTFS NTFS          100 MB offset 64452608
09:52:17.856    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS       418548 MB offset 64657408
09:52:17.885    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS       160351 MB offset 921843712
09:52:17.925    Disk 0 Partition 4 00     83        Linux             20548 MB offset 5861376
09:52:17.931    Disk 0 Partition - 00     05     Extended              4029 MB offset 47943680
09:52:17.948    Disk 0 scanning sectors +1250243248
09:52:18.009    Disk 0 scanning C:\Windows\system32\drivers
09:52:24.687    Service scanning
09:52:31.238    Service KL1 C:\Windows\system32\DRIVERS\kl1.sys **LOCKED** 5
09:52:31.286    Service kl2 C:\Windows\system32\DRIVERS\kl2.sys **LOCKED** 5
09:52:31.355    Service KLIM6 C:\Windows\system32\DRIVERS\klim6.sys **LOCKED** 5
09:52:31.390    Service klmouflt C:\Windows\system32\DRIVERS\klmouflt.sys **LOCKED** 5
09:52:40.061    Modules scanning
09:52:48.747    Module: C:\Windows\System32\user32.dll  **SUSPICIOUS**
09:52:49.177    Disk 0 trace - called modules:
09:52:49.215    ntkrnlpa.exe CLASSPNP.SYS disk.sys hpdskflt.sys halmacpi.dll >>UNKNOWN [0x86a091e8]<<
09:52:49.224    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86c99510]
09:52:49.232    3 CLASSPNP.SYS[8be0459e] -> nt!IofCallDriver -> [0x86c99b30]
09:52:49.239    5 hpdskflt.sys[8c3f7f92] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0x86aec908]
09:52:49.251    \Driver\atapi[0x86ae1690] -> IRP_MJ_CREATE -> 0x86a091e8
09:52:49.259    Scan finished successfully
09:55:30.634    Disk 0 MBR has been saved successfully to "C:\Users\Daniel\Desktop\MBR.dat"
09:55:30.641    The log file has been saved successfully to "C:\Users\Daniel\Desktop\aswMBR.txt"

[sarcofagobra 0]

Consegui resolver utilizando o ComboFix que um amigo meu me indicou, os icones q estavam ocultos voltaram ao normal e agora consigo trocar o plano de fundo tbm. Programa Sensacional.

 

Muito Obrigado pela ajuda DIGRAM.

 

Se puder dar uma analisada no log do combofix, eu agradeco.

 

Mais uma vez, obrigado.

 

http://www.mediafire.com/?rksv5i5l1aib5g0

[DigRam 144]

Bom Dia! sarcofagobra

 

|- A utilização da ferramenta ComboFix,existindo problemas na MBR,pode causar problemas que necessitem reinstalar ou reparar o SO. Como executou por conta e risco,a sorte lhe favoreceu.

|- Busque o arquivo,em destaque: C:\Qoobox\ComboFix1.txt <-

|- Encontrando-o,poste seu conteúdo.

 

Abraços!

[sarcofagobra 0]

Ola, nao encontrei esse arquivo

 

 

Seria esse Add - Remove Programs?

 

http://imageshack.us/photo/my-images/857/combow.jpg/

[DigRam 144]

Boa Noite! sarcofagobra

 

Ola, nao encontrei esse arquivo

 

Seria esse Add - Remove Programs?

|- Não!

 

#####

09:52:48.747 Module: C:\Windows\System32\user32.dll **SUSPICIOUS**

#####

 

|- A ferramenta ComboFix foi executada,precisamente,quantas vezes?

|- A ferramenta aswMBR detectou problemas no user32.dll,que o log de ComboFix indica ter alterações em sua assinatura.

 

------- Sigcheck -------

Note: Unsigned files aren't necessarily malware.

 

[-] 2012-06-09 19:27:12 . 7BD7F45FF37FA0669CD32CA0EF46E22C . 811520 . . [6.1.7600.16385 (win7_rtm.090713-1255)] . . C:\Windows\System32\user32.dll

[7] 2009-07-14 01:16:17 . 34B7E222E81FAFA885F0C5F2CFA56861 . 811520 . . [6.1.7600.16385 (win7_rtm.090713-1255)] . . C:\Windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.1.7600.16385_none_cd0ec264ceb014a3\user32.dll

|- Como diz a nota,a indicação "[-]" não é conclusiva quanto à assinatura/código de "user32.dll",ser malware.Mas... a outra ferramenta aponta problemas na assinatura do ficheiro. Daí o motivo de buscar o primeiro relatório de ComboFix,para determinar se houve desinfecção ou cópia que sanou o 'problema' com user32.dll.

|- Ps: Vamos utilizar DrWeb e,à seguir,execute novamente a ferramenta aswMBR.

|- Poste seu relatório!

 

-/-

 

|- Baixe: | drweb-cureit.exe | ( ... by Doctor Web, Ltd )

|- Salve-o no desktop!

|- Dê um duplo-clique no drweb-cureit.exe

|- O Dr.Web será iniciado no "Enhanced Protection Mode" (EPM).

|- Ps: Dê o Cancel para que seja executado no modo normal.

|- No aviso que aparecerá "Abrir a página de compra agora?" dê o Não.

|- Clique em Iniciar e dê o sim para que ele faça uma verificação expressa no seu pc.

|- Ele vai escanear os arquivos que estão na memória e quando ele encontrar algo,clique no botão Sim para permitir que ele recupere o arquivo infectado.(Esse é um exame rápido)

|- Quando aparecer uma janela,clique no "X" para fechá-la.

|- De volta à janela principal,marque a opção Custom scan.

|- Escolha sua unidade "C",para o scan.

|- Clique na seta para iniciar o exame.

|- Se ele perguntar se você deseja curar/mover o arquivo,clique em Sim para todos.

|- Caso o programa não possa curá-los,ele irá movê-los para a pasta Quarentena,no diretório do DoctorWeb.

|- Feito isto, vá no menu superior e clique na opção Ficheiros -> Guardar listas de arquivos.

|- Salve a lista na sua área de trabalho. A lista será salva como DrWeb.csv.

|- Feche o programa.

|- Reinicie seu computador para que o programa termine de deletar/mover os arquivos que estavam sendo usados.

|- Selecione,copie e cole na sua próxima resposta o conteúdo do DrWeb.csv.

|- Ou vá ao caminho: C:\Documents and Settings\User\DoctorWeb\Quarantine\CureIt.txt

|- Esse log costuma ser muito grande! Poste,apenas,sua Estatística que fica ao final do relatório.

 

Abraços!

[DigRam 144]

Tópico Arquivado

 

Como o autor não respondeu por mais de 10 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.