Virus - Todas as pastas viram "atalhos"

Question

Por favor ppoderia mver para a sala correta
 
Olha, acabei de chegar do trabalho, onde detectei que est&aacute; com um virus, virus esse que foi passado por pendriver e esta afetando ate agora os pendrivers.
 
Todas as pastas que contem em um pendriver viram links atalhos s&atilde;o podendo acessa-las.
 
No momento estou adiantando o assunto, postarei um log do HijackThis.
 
Outro ponto curioso, &eacute; o msn que est&aacute; abrindo sozinho, mesmo com a op&ccedil;&atilde;o de n&atilde;o iniciar autom&aacute;tico, nem junco com o navegador.
 
Estou scaneado o pendriver, o meu, que tamb&eacute;m foi infectado. o virus encontrado foi esse http://www.avira.com/pt-br/threats/section/fulldetails/id_vir/5528/tr_vb.inject.192512.dv.html
 
O que devo fazer em primeiro?
 
Se esse virus passar para o computador de onde eu trabalho, vou perder o final de semana para ajeitar o bendito.
 
Por favor, indiquem a melhor coisa que devo fazer.
 
Passar o anti virus, sim scanei, mas n&atilde;o por completo, e achou 3 arquivos infectados no hd do pc, no pendriver achou 30 do dito cujo do link acima .

Olha isso que interessante.

O pendriver &eacute; o Disco k, o disco H &eacute; em em meu computador, ou seja esse virus fia da m&atilde;e transfere o local da pasta para uma unidade qualquer em meu computador... ja imagino o que acontece se eu tentar abrir.

Answer

arkGreen&gt;Movido da sala Windows!

Answer

Passe o antivirus no pc espere acabar e depois delete os virus pelo programa que voce usa de antivirus se nao der mova pra quarentena

Answer

Baixe o norton, atualize-o e fa&ccedil;a um scan completo.

Answer

Poste o seu relat&oacute;rio do HiJackThis, para n&oacute;s estarmos analisando. No Aguardo...

Abra&ccedil;os;

Answer

cara isso ja fiz, como falei em meu pendriver, scan completo, achou 30 arquivos infectados.

Coloquei o pendriver em um sistema linux e conseguir ter acesso normal.

No windows continua da mesma forma.

&eacute; algum malware que trabalha em windows

Answer

joaovictorcongio disse: Poste o seu relat&oacute;rio do HiJackThis, para n&oacute;s estarmos analisando. No Aguardo...

Abra&ccedil;os;
Voc&ecirc; poderia postar o relat&oacute;rio do HiJackThis, para n&oacute;s estarmos analisando? Anteciosamente.

Abra&ccedil;os;

Answer

O virus renomeo as pastas com extensao *.ink  retira essa extensao e tente abrir a pasta.

Exemplo: K:\Gadgetss.ink -&gt;  GadgetssSe no caso nao souber configurar o windows para mostrar as extensoes deixo um procedimento abaixo para teste.

Execute esse comando no Prompt de comando, e deixa conectado o Pendriver no PC.

1) Copia o comando abaixo.Rename K:\Gadgetss.ink GadgetssAbra o Prompt de comando e cole com o botao direito do mouse, e depois tecla Enter.

E depois tenta abrir essa pasta veja se funciona!, e creio que ainda deve ter virus ai para remover.

Aguarde um analista qualificado, para solicitar uma ferramenta especifica, para remover os virus de Pendriver.

Eu nao tenho tempo.
Ate, boa sorte!

Answer

Log ta ai.

Quanto a renomear o nome do arquivo ja tentei, aparece um aviso que n&atilde;o tenho permi&ccedil;&atilde;o de administrador bla bla bla... hehe...

Eu coloquei um live cd do linux e passei a faca, fiz o backup dos meus arquivos e formatei o pendriver.

Bom, agora tenho que ver se o pc de onde trabalho esta infectado com esse virus, se estiver ai sim vai vai ser dureza.

Ja em saber que com o linux poderei recuperar os arquivos, ja &eacute; um alivio.  Pc de onde trbalhom tem muitas informa&ccedil;&otilde;es de muitos clientes e que ainda n&atilde;o foi realizado o backup.

Sim... Lembra l&aacute; na foto que postei, o local do arquivo &eacute; uma  &eacute; uma numera&ccedil;&atilde;o 8585485 , pois &eacute;, com o linux pudi visualizar isso como uma pasta com esse nome, fiz o backup e deixei essa pasta l&aacute;, intacta e formatei.

Agora ja estou utilizando o Sistema Windows, passando o anti virus na pasta de backup, e est&aacute; tudo certo, arquivos normais,n n&atilde;o perdi nada.

Esse virus &eacute; especifico para pendrivers,  pelo pouco que sei, o que ele faz &eacute; criar uma pasta com um comando malicioso, para deixar todas as outras pastas inacess&iacute;veis e creio que ele ja vem com algum outros incluindo, os que foram encontrados.

Mas ainda falta descobrir o hospedeiro. estou suspeitando que foi em uma loja que descarreguei algumas fotos, assim espero.

Amanha postarei algo a respeito.

Obrigado a todos.

Ate mais

----------------------------------------------------------------------------------------------------------------------
&Eacute; O V&Iacute;RUS TA NO PC DO TRABALHO MESMSO.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:01:38, on 31/5/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\System32\svchost.exe
c:\Arquivos de programas\Arquivos comuns\Protexis\License Service\PsiService_2.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Ninja
inja.exe
C:\Documents and Settings\Copiadora Kariri\Dados de aplicativos\HEX-5823-6893-6818\jusched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Discador TopSapp\Discador.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe
C:\Arquivos de programas\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\explorer.exe
C:\Arquivos de programas\Adobe\Reader 9.0\Reader\AcroRd32Info.exe
C:\Documents and Settings\Copiadora Kariri\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://supply.net.br/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R3 - URLSearchHook: (no name) - {00000000-6E41-4FD3-8538-502F5495E5FC} - (no file)
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Arquivos de programas\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARQUIV~1\MICROS~2\Office14\GROOVEEX.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Auxiliar de Conex&atilde;o do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\ARQUIV~1\MICROS~2\Office14\URLREDIR.DLL
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Arquivos de programas\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: &amp;Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O4 - HKLM\..\Run: [avgnt] C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe /min
O4 - HKLM\..\Run: [BCSSync] C:\Arquivos de programas\Microsoft Office\Office14\BCSSync.exe /DelayServices
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Java Update Manager] C:\Documents and Settings\Copiadora Kariri\Dados de aplicativos\HEX-5823-6893-6818\jusched.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: ninja.lnk = C:\Arquivos de programas\Ninja
inja.exe
O8 - Extra context menu item: &amp;Enviar para o OneNote - res://C:\ARQUIV~1\MICROS~2\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: E&amp;xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office14\EXCEL.EXE/3000
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Arquivos de programas\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &amp;Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Arquivos de programas\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: &amp;Anota&ccedil;&otilde;es Vinculadas do OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Arquivos de programas\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: &amp;Anota&ccedil;&otilde;es Vinculadas do OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Arquivos de programas\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: Sele&ccedil;&atilde;o HP Smart - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Arquivos de programas\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&amp;http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A6364E7-175B-4455-9AE6-FE70E09A748B}: NameServer = 200.199.94.2 208.67.222.222
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O22 - SharedTaskScheduler: Pr&eacute;-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: FencesShellExt - {1984DD45-52CF-49cd-AB77-18F378FEA264} - C:\Arquivos de programas\Stardock\Fences\FencesMenu.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Arquivos de programas\Arquivos comuns\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Arquivos de programas\Arquivos comuns\Protexis\License Service\PsiService_2.exe
O23 - Service: ServiceLayer - Nokia. - C:\Arquivos de programas\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 8317 bytes

Answer

Abra o HiJackThis, clica em Do a system scan only, selecione os itens.

R3 - URLSearchHook: (no name) - {00000000-6E41-4FD3-8538-502F5495E5FC} - (no file)
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

Depois clica em Fix Cheked. Novo log do HiJackThis.

Answer

Msn continua a abrir sozinho.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:16:50, on 31/5/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Ninja
inja.exe
C:\Documents and Settings\Copiadora Kariri\Dados de aplicativos\HEX-5823-6893-6818\jusched.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Arquivos de programas\Arquivos comuns\Protexis\License Service\PsiService_2.exe
C:\Arquivos de programas\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Discador TopSapp\Discador.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\dllhost.exe
C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe
C:\Documents and Settings\Copiadora Kariri\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://supply.net.br/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Arquivos de programas\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARQUIV~1\MICROS~2\Office14\GROOVEEX.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Auxiliar de Conex&atilde;o do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\ARQUIV~1\MICROS~2\Office14\URLREDIR.DLL
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Arquivos de programas\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [avgnt] C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe /min
O4 - HKLM\..\Run: [BCSSync] C:\Arquivos de programas\Microsoft Office\Office14\BCSSync.exe /DelayServices
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Java Update Manager] C:\Documents and Settings\Copiadora Kariri\Dados de aplicativos\HEX-5823-6893-6818\jusched.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: ninja.lnk = C:\Arquivos de programas\Ninja
inja.exe
O8 - Extra context menu item: &amp;Enviar para o OneNote - res://C:\ARQUIV~1\MICROS~2\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: E&amp;xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office14\EXCEL.EXE/3000
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Arquivos de programas\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &amp;Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Arquivos de programas\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: &amp;Anota&ccedil;&otilde;es Vinculadas do OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Arquivos de programas\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: &amp;Anota&ccedil;&otilde;es Vinculadas do OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Arquivos de programas\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: Sele&ccedil;&atilde;o HP Smart - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Arquivos de programas\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&amp;http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A6364E7-175B-4455-9AE6-FE70E09A748B}: NameServer = 200.199.94.2 208.67.222.222
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O22 - SharedTaskScheduler: Pr&eacute;-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: FencesShellExt - {1984DD45-52CF-49cd-AB77-18F378FEA264} - C:\Arquivos de programas\Stardock\Fences\FencesMenu.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Arquivos de programas\Arquivos comuns\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Arquivos de programas\Arquivos comuns\Protexis\License Service\PsiService_2.exe
O23 - Service: ServiceLayer - Nokia. - C:\Arquivos de programas\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7853 bytes

Answer

Faz o mesmo procedimento acima, Do a system scan only, selecione o item.

Observa&ccedil;&atilde;o: S&oacute; ficou esse erro, mais ai vai uma pergunta. Voc&ecirc; sabe IP ou Dom&iacute;nio? Se souber corrigi a entrada, se voc&ecirc; n&atilde;o souber n&atilde;o corrigi, porque se n&atilde;o voc&ecirc; pode ficar sem acesso a internet.

O17 - HKLM\System\CCS\Services\Tcpip\..\{7A6364E7-175B-4455-9AE6-FE70E09A748B}: NameServer = 200.199.94.2 208.67.222.222

Se souber marque ela &eacute; clica em Fix Cheked. Depois v&ecirc; se o erro continua.

Answer

joaovictorcongio disse: Faz o mesmo procedimento acima, Do a system scan only, selecione o item.

Observa&ccedil;&atilde;o: S&oacute; ficou esse erro, mais ai vai uma pergunta. Voc&ecirc; sabe IP ou Dom&iacute;nio? Se souber corrigi a entrada, se voc&ecirc; n&atilde;o souber n&atilde;o corrigi, porque se n&atilde;o voc&ecirc; pode ficar sem acesso a internet.

O17 - HKLM\System\CCS\Services\Tcpip\..\{7A6364E7-175B-4455-9AE6-FE70E09A748B}: NameServer = 200.199.94.2 208.67.222.222

Se souber marque ela &eacute; clica em Fix Cheked. Depois v&ecirc; se o erro continua.

Essa entrada &eacute; leg&iacute;tima, n&atilde;o pode fixa.O17 - HKLM\System\CCS\Services\Tcpip\..\{7A6364E7-175B-4455-9AE6-FE70E09A748B}: NameServer = 200.199.94.2 208.67.222.222Aconselho n&atilde;o se arisca em remover essa entrada.

Ficar&aacute; sem acesso a Internet!

Answer

trouxe o pc do trabalho, estou com ele aqui.

Tenho at&eacute; segunda feira.

Fica sem internet n&atilde;o &eacute; uma boa op&ccedil;&atilde;o. Preciso dela quase que o dia todo, fa&ccedil;o varias consultas a e-mail's, emito v&aacute;rios tipos de certid&otilde;es, etc.

Mas, pelo que estou usando aqui o HiJackThis, ele cria uma pasta de backup certo. ent&atilde;o posso fazer o teste, e qualquer coisa eu uso o backup.

Pessoal, achei isso aqui  http://pt.kioskea.net/faq/5838-virus-que-transforma-documentos-em-atalhos-como-reparar

Fiz o ultimo procedimento e deu certo em meu pendriver, pois como falei ontem que havia conseguido tirar o virus usando linux, fiz o teste novamente  no pc do meu trabalho e pegou tudo de novo.

Fiz o ultimo procedimento do link, cujo isso ai eu ja sabia que existia por que foi recomendado por um amigo meu.

Mas agora eu preciso eliminar esse virus do Pc.  Ser&aacute; que se eu fizer esse comando EX: F:\&gt;attrib /S /D -s -h  via DOS em todas as unidades, fazendo isso ser&aacute; que n&atilde;o vou apagar nada do windows?

Alguem aqui poderia explicar melhor o que esse comando faz.

Answer

Attrib: &Eacute; um comando para modificar os atributos dos arquivos e pasta!

Se tiver pasta ocultas em seu pendriver, execute o comando abaixo, para deixar os arquivos e pastas (visiveis).

Copia o comando, e cole com o bot&atilde;o direito do mouse, na janela do Prompt, e tecla (Enter)Attrib -h -s /d /s K:\*.*Aguarde, at&eacute; aparecer novamente o letreiro abaixo, na janela do prompt, ent&atilde;o depois acesse o seu pendriver e verificar se as pastas est&atilde;o visiveis.
 
E especifique corretamente, a unidade do seu pendriver, [D:] [E:] [F:] etc..

&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;

Vamos da uma olhada, fa&ccedil;a esse procedimento abaixo tambem.

1) *Baixe USBFIX no link abaixo e salve-o no desktop.
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

2) *Desative temporariamente seu antiv&iacute;rus no lado do rel&oacute;gio.
*Conecte seu Pendriver na entrada USB, do seu PC.
*Dlupo clique no (Usbfix.exe) .
*Clique no bot&atilde;o Listing
*  aguarde o t&eacute;rmino
*Copia e Cole o relat&oacute;rio aqui. criado em C:\UsbFix.txt

Ferramentas

Mover Tópico