Problemas com vírus.

Question

Ol&aacute; galera , o t&eacute;cnico veio aqui faz uma semana +ou - tudo normal anti - virus sempre ligado Avg quando eu fui reiniciar apareceu aquela telinha ai apertei enter e apareceu aquela tela azul ai tive que fazer Logof ai pego normal tudo blz 
mais isso ai j&aacute; &eacute; virus ??
ou &eacute; algum poblema nos arquivos do windowns

Answer

Ol&aacute;!

Fa&ccedil;a o seguinte para que possamos analizar o seu PC:

1) Crie uma pasta pr&oacute;pria (como por exemplo C:\Arquivos de Programas\HijackThis).
   
  Fa&ccedil;a o download do HijackThis e no momento de salv&aacute;-lo escolha a op&ccedil;&atilde;o de salv&aacute;-lo nesta pasta que voc&ecirc; acabou de criar e descompacte o hijackthis.zip dentro dela.
  
D&ecirc; um duplo clique no instalador do Hijackthis &gt; clique na op&ccedil;&atilde;o I Accept.
   
  Clique no bot&atilde;o: Do a system scan and save a logfile. Depois ser&aacute; aberta uma tela com o log, ent&atilde;o &eacute; s&oacute; selecionar este Log (Clique no menu: Editar &raquo; Selecionar Tudo), depois disso volte novamente no menu: Editar &raquo; e clique na op&ccedil;&atilde;o: Copiar).
   
  Depois disso &eacute; s&oacute; voltar aqui no f&oacute;rum e postar este log do Hijackthis para que ele possa ser analizado. 
   
    Ficamos no aguardo de sua resposta.

Answer

Olha Baixei Clickei Accept System Scan 
Apareceu isso : 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:22:05, on 24/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Windows SteadyState\SCTSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\afisicx.exe
C:\ARQUIV~1\AVG\AVG8\avgwdsvc.exe
C:\ARQUIV~1\MICROS~3\MSSQL\binn\sqlservr.exe
C:\WINDOWS\system32\sopidkc.exe
C:\WINDOWS\system32	dctxte.exe
C:\ARQUIV~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\system32\deviceemulator.exe
C:\WINDOWS\Explorer.EXE
C:\ARQUIV~1\AVG\AVG8\avgtray.exe
C:\Arquivos de programas\Windows SteadyState\Bubble.exe
C:\WINDOWS\System32eader_s.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Trabalhoeader_s.exe
C:\Arquivos de programas\Orbitdownloader\orbitdm.exe
C:\Arquivos de programas\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Arquivos de programas\Orbitdownloader\orbitnet.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\MSN Messenger\usnsvc.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\WinRAR\WinRAR.exe
C:\DOCUME~1\Trabalho\CONFIG~1\Temp\Rar$EX06.953\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\deviceemulator.exe,C:\WINDOWS\system32\hhupd.exe,C:\WINDOWS\system32\hhupd.exe,C:\WINDOWS\system32egwiz.exe,C:\WINDOWS\system32\pdbcopy.exe,
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Arquivos de programas\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Arquivos de programas\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARQUIV~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Bubble] C:\Arquivos de programas\Windows SteadyState\Bubble.exe
O4 - HKLM\..\Run: [Logoff] C:\Arquivos de programas\Windows SteadyState\SCTUINotify.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32eader_s.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] C:\Arquivos de programas\MSN Messenger\msnmsgr.exe /background
O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\Trabalhoeader_s.exe
O4 - HKCU\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKLM\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\WINDOWS\system32\config\systemprofileeader_s.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] C:\Arquivos de programas\MSN Messenger\msnmsgr.exe /background (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe (User 'Default user')
O4 - Global Startup: Orbit.lnk = C:\Arquivos de programas\Orbitdownloader\orbitdm.exe
O4 - Global Startup: Service Manager.lnk = C:\Arquivos de programas\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: &amp;Download by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &amp;Grab video by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&amp;wnload selected by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&amp;load all by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: SEARCH_PAGE_URL=&amp;http://home.microsoft.com/intl/br/access/allinone.asp
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Arquivos de programas\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: afisicx  Service (afisicx) - Unknown owner - C:\WINDOWS\system32\afisicx.exe
O23 - Service: Apache - Unknown owner - C:\AppServ\Apache\Apache.exe (file missing)
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\ARQUIV~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARQUIV~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: MySQL - Unknown owner - C:\AppServ\mysql\bin\mysqld-nt.exe (file missing)
O23 - Service: sopidkc  Service (sopidkc) - Unknown owner - C:\WINDOWS\system32\sopidkc.exe
O23 - Service: tdctxte  Service (tdctxte) - Unknown owner - C:\WINDOWS\system32	dctxte.exe

--
End of file - 6781 bytes

Answer

A coisa t&aacute; feia a&iacute;...darei um aux&iacute;lio.

*Desative temporariamente seu antiv&iacute;rus
    *Baixe o programa ComboFix e salve-o no desktop
   *Feche o Internet Explorer e o Windows Explorer
    *Duplo-clique no arquivo Combofix.exe e aguarde o in&iacute;cio
    *Leia o contrato, tecle [1] &gt; [ENTER]
    *Importante: enquanto o ComboFix estiver em execu&ccedil;&atilde;o, n&atilde;o use o mouse nem o teclado, pois seu desktop ficar&aacute; em branco!!...Para interromper o procedimento tecle [N]
    *Ao final do procedimento, o programa ser&aacute; fechado automaticamente e ser&aacute; mostrado um relat&oacute;rio
    *Cole o relat&oacute;rio criado em C:\combofix.txt

Answer

Nem pausa o avg eu sei como pausa ?

Answer

Aguarde o Antonio...ele dar&aacute; continuidade ao seu caso.

Answer

Ol&aacute; 279dr36!

Sugiro que voc&ecirc; salve ou imprima essas instru&ccedil;&otilde;es abaixo, pois em alguns momentos voc&ecirc; poder&aacute; precisar usar o computador sem o acesso &agrave; internet:
   
  - Fa&ccedil;a o download do Malwarebytes Anti-Malware.
  * Fa&ccedil;a a instala&ccedil;&atilde;o dando um duplo clique em mbam-setup.exe;
*Selecione a linguagem Portugu&ecirc;s (Brasil)
*Selecione apenas a caixa: Atualizar MalwareBytes'Anti-Malware
*Se alguma atualiza&ccedil;&atilde;o existir, o download ser&aacute; autom&aacute;tico
*N&atilde;o fa&ccedil;a ainda scan!!!
*Reinicie o PC em Modo de Seguran&ccedil;a (apertando a tecla F8 (ou a tecla F5 em alguns computadores) repetidas vezes quando o computador estiver reiniciando e escolhendo a op&ccedil;&atilde;o Modo Seguro ou Modo de Seguran&ccedil;a). 
  * Se n&atilde;o poss&iacute;vel executar o computador em Modo Seguro, fa&ccedil;a o escaneamento no modo normal
*Execute o programa MalwareBytes'Anti-Malware e clique na aba: Verifica&ccedil;&atilde;o, selecione a op&ccedil;&atilde;o Verifica&ccedil;&atilde;o completa
*Clique no bot&atilde;o: Verificar 
  * Marque todas as partes do computador que voc&ecirc; deseja escanear e clique no bot&atilde;o: &ldquo;Iniciar verifica&ccedil;&atilde;o&rdquo;
*Ao t&eacute;rmino do scan, clique em OK &gt; Mostrar Resultados
*Selecione todas as entradas e clique em Remover Selecionados
*Ap&oacute;s a remo&ccedil;&atilde;o poder&aacute; ser interrogado se deseja remover objetos da mem&oacute;ria. Clique SIM
  *Um log ser&aacute; apresentado com o resultado das a&ccedil;&otilde;es
*Alguns malwares s&atilde;o rebeldes e necessitam de uma reinicializa&ccedil;&atilde;o para a remo&ccedil;&atilde;o. Caso isto seja solicitado, clique para reiniciar o PC. 
  *Ao t&eacute;rmino do processo, reinicie o PC em Modo Normal.
  * Depois de alguns dias, se o seu computador estiver funcionando normalmente sem estes arquivos que foram excluidos pelo Malwarebytes Anti-malware, abra (execute) o Malwarebytes Anti-malware, clique na aba: Quarentena e clique no bot&atilde;o: Remover tudo. 
  *Execute novamente o programa Malwarebytes Anti-malware e clique na aba &ldquo;Logs&rdquo;, d&ecirc; um duplo clique com o mouse sobre o log mais recente, selecione o log completo e copie-o. 
   
  Poste este log gerado pelo Malwarebytes Anti-Malware juntamente com um novo log do Hijackthis na sua pr&oacute;xima resposta e nos diga como est&aacute; o seu computador depois de seguir este procedimento acima.
   
  Ficamos no aguardo de sua resposta.

Answer

Log do combo

ComboFix 09-03-23.01 - Trabalho 2009-03-24 14:11:43.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1046.18.447.157 [GMT -3:00]
Executando de: c:\documents and settings\Trabalho\Desktop\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning disabled* (Outdated)
.

(((((((((((((((((((((((((((((((((((((   Outras Exclus&otilde;es   )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Trabalho\Configura&ccedil;&otilde;es locais\Temporary Internet Files\fbk.sts
c:\documents and settings\Trabalhoeader_s.exe
c:\windows\system32\200934052.dll
c:\windows\system32\200934840.dll
c:\windows\system32\200934845.dll
c:\windows\system32\2165906403824l.dll
c:\windows\system32\5.tmp
c:\windows\system32\6.tmp
c:\windows\system32\8.tmp
c:\windows\system32\afisicx.exe
c:\windows\system32\B.tmp
c:\windows\system32\comsa32.sys
c:\windows\system32\config\systemprofileeader_s.exe
c:\windows\system32\drivers
tndis.sys
c:\windows\system32\drivers\protect.sys
c:\windows\system32\dxonool32.sys
c:\windows\system32eader_s.exe
c:\windows\system32\sopidkc.exe
c:\windows\system32	pszxyd.sys
c:\windows\system32\u122431248.dll
c:\windows\system32\u122492145.dll
c:\windows\system32\w.exe
c:\windows\system32\zip32.dll

c:\windows\system32\userinit.exe . . . est&aacute; infetado!!

c:\windows\explorer.exe . . . est&aacute; infetado!!

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Servi&ccedil;os   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_AFISICX
-------\Legacy_DEFAULTLIB
-------\Legacy_EQ2SOFT
-------\Legacy_NETMANTOW
-------\Legacy_PROTECT
-------\Legacy_SOFTYINFORWOW1
-------\Legacy_SOPIDKC
-------\Service_afisicx
-------\Service_defaultlib
-------\Service_eq2soft
-------\Service_netmantow
-------\Service_protect
-------\Service_restore
-------\Service_softyinforwow1
-------\Service_sopidkc

((((((((((((((((   Arquivos/Ficheiros criados de 2009-02-24 to 2009-03-24  ))))))))))))))))))))))))))))
.

2009-03-24 14:25 . 2009-03-24 14:25    244    --ah-----    C:\sqmnoopt12.sqm
2009-03-24 14:25 . 2009-03-24 14:25    232    --ah-----    C:\sqmdata12.sqm
2009-03-24 14:24 . 2009-03-24 14:24    244    --ah-----    C:\sqmnoopt11.sqm
2009-03-24 14:24 . 2009-03-24 14:24    232    --ah-----    C:\sqmdata11.sqm
2009-03-24 14:22 . 2009-03-24 14:22    71,680    --a------    c:\windows\system32\A.tmp
2009-03-24 14:22 . 2009-03-24 14:22    66,048    --a------    c:\windows\system32\codeblocks.exe
2009-03-24 14:22 . 2009-03-24 14:22    52,190    --a------    c:\windows\services.ex_
2009-03-24 14:22 . 2009-03-24 14:26    0    --a------    c:\windows\services.exe
2009-03-24 14:11 . 2009-03-24 14:11    244    --ah-----    C:\sqmnoopt10.sqm
2009-03-24 14:11 . 2009-03-24 14:11    232    --ah-----    C:\sqmdata10.sqm
2009-03-24 13:09 . 2009-03-24 13:09    0    --a------    c:\windows
sreg.dat
2009-03-24 12:49 . 2009-03-24 12:49    65,536    --a------    c:\windows\system32\pdbcopy.exe
2009-03-24 12:49 . 2009-03-24 12:49    124    --a------    c:\windows\system32\7.tmp
2009-03-24 12:45 . 2009-03-24 14:02

http://www.gmer.net
Rootkit scan 2009-03-24 14:27:02
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwOpenFile

Procurando processos ocultos ...

Procurando entradas auto inicializ&aacute;veis ocultas ...

Procurando ficheiros/arquivos ocultos ...

c:\windows\system32	pszxyd.sys 214016 bytes executable

Varredura completada com sucesso
arquivos/ficheiros ocultos: 1

**************************************************************************
.
------------------------ Outros Processos em Execu&ccedil;&atilde;o ------------------------
.
c:\arquiv~1\MICROS~3\MSSQL\Binn\sqlservr.exe
c:\qoobox\Quarantine\C\WINDOWS\system32eader_s.exe.vir
c:\arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WLLoginProxy.exe
c:\windows\system32\codeblocks.exe
c:\arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WLLoginProxy.exe
c:\arquivos de programas\Internet Explorer\iexplore.exe
c:\windows\system32\codeblocks.exe
c:\qoobox\Quarantine\C\WINDOWS\system32eader_s.exe.vir
c:\windows\system32\wbem\unsecapp.exe
c:\arquivos de programas\Internet Explorer\iexplore.exe
.
**************************************************************************
.
Tempo para conclus&atilde;o: 2009-03-24 14:30:08 - M&aacute;quina reiniciou
ComboFix-quarantined-files.txt  2009-03-24 17:30:02

Pr&eacute;-execu&ccedil;&atilde;o: 16 pasta(s) 25.622.028.288 bytes dispon&iacute;veis
P&oacute;s execu&ccedil;&atilde;o: 16 pasta(s) 25,722,044,416 bytes dispon&iacute;veis

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT=Microsoft Windows Recovery Console /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=Microsoft Windows XP Professional /noexecute=optin /fastdetect

351

Answer

V&aacute;rios problemas foram removidos pelo Combofix.

Fa&ccedil;a o escaneamento com o Malwarebytes, conforme descrito na instru&ccedil;&atilde;o anterior, e poste por gentileza o log do Malwarebytes e um novo log do Hijackthis.

Answer

Nuss ta muito ruim a situa&ccedil;&atilde;o msm?  formato tem 1 semana  s&oacute; tinha o jogo mais o  anti -virus sempre ligado e eu sempre atualizava

Answer

279dr36 disse: Nuss ta muito ruim a situa&ccedil;&atilde;o msm?  formato tem 1 semana  s&oacute; tinha o jogo mais o  anti -virus sempre ligado e eu sempre atualizava
 Calma, os virus j&aacute; est&atilde;o sendo removidos. &Eacute; s&oacute; voc&ecirc; seguir as nossas dicas que o problema ser&aacute; resolvido.

Ficamos no aguardo do log do Malwarebytes e do Hijackthis.

Answer

Eu tentei em modo de seguran&ccedil;a &ntilde; pego
e em normal &ntilde; ta aparecendo o explore ta dando aquela mensagem .
o que eu fa&ccedil;o to abrindo pelo ctrl+alt+d a pagina na net

Answer

Se o seu desktop sumir, tecle Ctrl + Alt + Delete para rodar o gerenciador de tarefas. Clique em Arquivo &gt; Executar nova tarefa, digite: explorer.exe e d&ecirc; um OK.

Depois disto execute o Malwarebytes e depois poste os logs por gentileza.

Answer

tem chance dps deu passar esse malware meu pc n&atilde;o liga msm ?

To passando em modo normal modo seguro n&atilde;o pego

Answer

279dr36 disse: tem chance dps deu passar esse malware meu pc n&atilde;o liga msm ?
Desculpe-me, mas n&atilde;o entendi o que voc&ecirc; est&aacute; querendo dizer.

Ferramentas

Mover Tópico