Como remover esse virus Gen.TDSS!K

orushimaru · 13-08-2009, 9:52

Bem pessoal uma maquina de um cliente pegou esse virus ai o problema e que ele foi parar no meu servidor e estou tento o problema de todas as maquinas que emtram na minha rede serem infectadas por ele inclusive esta maquina que estou falando e o problema e que tentei varios anti virus e nem um resolveu se alguem souber como remover ele ficarei muito agradecido em saber como obrg

brando lee · 13-08-2009, 11:00

1: baixe essa ferramenta hijackthis
http://baixaki.ig.com.br/download/hijackthis.htm

2: salve no desktop extraia o conteudo que vem compactado em ZIP em uma pasta.

3: depois executa-o clicando no primeiro botão ((do a system scan and a save logfile)) abrirá um log automatico copia e cola aqui.

orushimaru · 13-08-2009, 11:34

Ai esta o log
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:34:13, on 13/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\ARQUIV~1\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Arquivos de programas\Java\jre6\bin\jusched.exe
C:\Arquivos de programas\LogMeIn\x86\LogMeInSystray.exe
C:\Arquivos de programas\Tron\TronServer\TronServer.exe
C:\WINDOWS\VM303_STI.EXE
C:\Arquivos de programas\pdfforge Toolbar\SearchSettings.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Uniblue\RegistryBooster\RegistryBooster. exe
C:\Arquivos de programas\LogMeIn\x86\LMIGuardian.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\a-squared Free\a2service.exe
C:\Arquivos de programas\Firebird\bin\fbguard.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HP1006M C.EXE
C:\Arquivos de programas\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Arquivos de programas\Firebird\bin\fbserver.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Arquivos de programas\Ycopy\ycopy.exe
C:\WINDOWS\system32\msiexec.exe
C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE
C:\Arquivos de programas\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\DOCUME~1\User\CONFIG~1\Temp\Rar$EX00.297\Hijack This.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.globo.com.br/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Arquivos de programas\pdfforge Toolbar\WidgiToolbarIE.dll
O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\Arquivos de programas\GbPlugin\gbiehcef.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.d ll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Arquivos de programas\pdfforge Toolbar\WidgiToolbarIE.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Arquivos de programas\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [FirebirdGuardian] C:\Arquivos de programas\Firebird\bin\fbguard.exe
O4 - HKLM\..\Run: [TronServer] C:\Arquivos de programas\Tron\TronServer\TronServer.exe
O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKLM\..\Run: [SearchSettings] C:\Arquivos de programas\pdfforge Toolbar\SearchSettings.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] C:\Arquivos de programas\Uniblue\RegistryBooster\RegistryBooster. exe /S
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: PrivateWire - http://cmt.caixa.gov.br/jpw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...nt/swflash.cab
O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://imagem.caixa.gov.br/cab/gbpdist.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{83AAEDF0-B0C9-48F2-AC07-65B734A13CD1}: NameServer = 200.175.182.139,200.175.89.139
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: GbPluginCef - C:\Arquivos de programas\GbPlugin\gbiehCef.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Arquivos de programas\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Arquivos de programas\Firebird\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Arquivos de programas\Firebird\bin\fbserver.exe
O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PEVSystemStart - Unknown owner - cmd /k start /i "/dC:" "C:\ComboFix\HIDEC.exe" "C:\WINDOWS\system32\CF29332.exe" /c RD /S/Q \$RECYCLE.bin \RECYCLER \RECYCLED (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Arquivos de programas\CyberLink\Shared files\RichVideo.exe
--
End of file - 8164 bytes

brando lee · 13-08-2009, 11:43

Desinstale Essa Tollbar

Citação:

C:\Arquivos de programas\pdfforge Toolbar\SearchSettings.exe

E Abra o Hijackthis Clique no Botão (Do a system scan only) e selecione essas entradas, marcando um seta

Citação:

R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O16 - DPF: PrivateWire - http://cmt.caixa.gov.br/jpw.cab

E Depois Clique em (Fix Checked).

E poste um novo log do Hiajck Aqui.

************************************************** ***

Edit

1) Copia os comando abaixo na citação

Citação:

SC Stop PEVSystemStart
SC Delete PEVSystemStart

RD /s/q C:\ComboFix

2) vá em ((Iniciar))>((Executar))> e digite (cmd) e clique em (ok) Abrirá uma janela cole os comandos com o botão direito do mause e clique em (colar) e depois tecle (Enter).

orushimaru · 13-08-2009, 11:51

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:51:00, on 13/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\ARQUIV~1\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Arquivos de programas\Java\jre6\bin\jusched.exe
C:\Arquivos de programas\LogMeIn\x86\LogMeInSystray.exe
C:\Arquivos de programas\Tron\TronServer\TronServer.exe
C:\WINDOWS\VM303_STI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Uniblue\RegistryBooster\RegistryBooster. exe
C:\Arquivos de programas\LogMeIn\x86\LMIGuardian.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\a-squared Free\a2service.exe
C:\Arquivos de programas\Firebird\bin\fbguard.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HP1006M C.EXE
C:\Arquivos de programas\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Arquivos de programas\Firebird\bin\fbserver.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\Arquivos de programas\Ycopy\ycopy.exe
C:\Arquivos de programas\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Arquivos de programas\a-squared Free\a2free.exe
C:\Arquivos de programas\CCleaner\CCleaner.exe
C:\WINDOWS\system32\msiexec.exe
C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE
C:\DOCUME~1\User\CONFIG~1\Temp\Rar$EX00.968\Hijack This.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.globo.com.br/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\Arquivos de programas\GbPlugin\gbiehcef.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.d ll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Arquivos de programas\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [FirebirdGuardian] C:\Arquivos de programas\Firebird\bin\fbguard.exe
O4 - HKLM\..\Run: [TronServer] C:\Arquivos de programas\Tron\TronServer\TronServer.exe
O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] C:\Arquivos de programas\Uniblue\RegistryBooster\RegistryBooster. exe /S
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...nt/swflash.cab
O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://imagem.caixa.gov.br/cab/gbpdist.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{83AAEDF0-B0C9-48F2-AC07-65B734A13CD1}: NameServer = 200.175.182.139,200.175.89.139
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: GbPluginCef - C:\Arquivos de programas\GbPlugin\gbiehCef.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Arquivos de programas\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Arquivos de programas\Firebird\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Arquivos de programas\Firebird\bin\fbserver.exe
O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PEVSystemStart - Unknown owner - cmd /k start /i "/dC:" "C:\ComboFix\HIDEC.exe" "C:\WINDOWS\system32\CF29332.exe" /c RD /S/Q \$RECYCLE.bin \RECYCLER \RECYCLED (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Arquivos de programas\CyberLink\Shared files\RichVideo.exe
--
End of file - 7508 bytes

Com o a-squared ele mostra esse virus aqui em baixo so que nao remove

a-squared Free - Versão 4.5
Última atualização 13/08/2009 09:40:49
Configurações da análise:
Scan type: deep
Objetos: Memória, Rastros, Cookies, C:\, D:\, J:\
Análise de arquivos: Ligado
Heurística: Desligado
Análise de ADS: Ligado
Início da análise: 13/08/2009 11:40:53
[780] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[824] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[836] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[1012] C:\WINDOWS\system32\MSVCRT.dll detectado: Gen.TDSS!IK
[1040] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[1124] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[1260] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[1488] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[1584] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[1776] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[1852] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[2032] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[412] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[420] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[428] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[444] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[452] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[460] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[476] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[484] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[568] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[1252] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[1736] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[1788] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[1944] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[2004] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[2124] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[2204] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[2356] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[2504] C:\WINDOWS\system32\MSVCRT.dll detectado: Gen.TDSS!IK
[2600] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[2864] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[2904] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[3016] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[3084] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[3300] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[3848] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[2080] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[2828] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[4080] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[668] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[2000] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
[3224] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK
Analisado
Arquivos: 38846
Objetos: 665946
Cookies: 5
Processos: 45
Encontrado
Arquivos: 0
Objetos: 0
Cookies: 0
Processos: 43
Chaves do registro: 0
Fim da análise: 13/08/2009 11:51:55
Duração da análise: 0:11:02
[780] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK
[824] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK
[836] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK
[1012] C:\WINDOWS\system32\MSVCRT.dll Excluído Gen.TDSS!IK
[1040] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK
[1124] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK
[1260] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK
[1488] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK
[1584] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK
[1776] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK
[1852] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK
[2032] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK
[412] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK
[420] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK
[428] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK
[444] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK
[452] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK
[460] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK
[476] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK
[484] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK
[568] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK
[1252] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK
[1736] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK
[1788] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK
[1944] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK
[2004] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK
[2124] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK
[2204] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK
[2356] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK
[2504] C:\WINDOWS\system32\MSVCRT.dll Excluído Gen.TDSS!IK
[2600] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK
[2864] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK
[2904] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK

brando lee · 13-08-2009, 11:54

Ok, Muito bom. Voce Utiliso o Combofix né? e Desinstalo ele?

Agora Faz esses procediemntos abaixo

1) Copia os comando abaixo na citação

Citação:

SC Stop PEVSystemStart
SC Delete PEVSystemStart

RD /s/q C:\ComboFix

2) vá em ((Iniciar))>((Executar))> e digite (cmd) e clique em (ok) Abrirá uma janela cole os comandos com o botão direito do mause e clique em (colar) e depois tecle (Enter).

O Resto no log Do Hiajckthis Esta limpo.

**************************************************

Ok, eu vi o log Do Asquded.

1) Baixe essa ferramenta ((Malwarebytes)), no link abaixo
http://www.baixaki.com.br/download/m...ti-malware.htm

2) Instale-o , quando termina executa-o seleciona ((scan completo))
e clique em ((verificar agora))

3) Quando termina o scam clique em ((Exibir resultado)) , e se detectou algum vírus clique em ((remover selecionados)) Abrirá um Relatório log automatico, Copia e cole aqui.

4) Esses vírus serão mandado para quarentena, ele pedira pra renicia o pc abrirá uma janela pequena clique em ((sim)) pra reniciar o pc e completar a remoção dos vírus.

orushimaru · 13-08-2009, 11:59

Bem ficou assim
Microsoft Windows XP [versão 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\Documents and Settings\User>SC Stop PEVSystemStart
[SC] ControlService FAILED 1062:
O serviço não foi iniciado.

C:\Documents and Settings\User>SC Delete PEVSystemStart
[SC] DeleteService SUCCESS
C:\Documents and Settings\User>
C:\Documents and Settings\User>RD /s/q C:\ComboFix
O sistema não pode encontrar o arquivo especificado.

brando lee · 13-08-2009, 12:03

Ta bom, Faça O Download Do Malwarebytes e Faça Scan do Malwarebytes Completo. siga os procedimentos acima.

orushimaru · 13-08-2009, 12:32

ok vou fazer ai post o log
__________________________________________________ _________________________
Aqui esta e so para acresentar acabei de receber mais 2 chamados de cliente infectados por esse msm virus

Malwarebytes' Anti-Malware 1.40
Versão do banco de dados: 2615
Windows 5.1.2600 Service Pack 3
13/08/2009 13:07:55
mbam-log-2009-08-13 (13-07-55).txt
Tipo de Verificação: Completa (C:\|D:\|)
Objetos verificados: 176741
Tempo decorrido: 43 minute(s), 46 second(s)
Processos da Memória infectados: 0
Módulos de Memória Infectados: 0
Chaves do Registro infectadas: 0
Valores do Registro infectados: 0
Ítens do Registro infectados: 1
Pastas infectadas: 0
Arquivos infectados: 0
Processos da Memória infectados:
(Nenhum ítem malicioso foi detectado)
Módulos de Memória Infectados:
(Nenhum ítem malicioso foi detectado)
Chaves do Registro infectadas:
(Nenhum ítem malicioso foi detectado)
Valores do Registro infectados:
(Nenhum ítem malicioso foi detectado)
Ítens do Registro infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Pastas infectadas:
(Nenhum ítem malicioso foi detectado)
Arquivos infectados:
(Nenhum ítem malicioso foi detectado)

brando lee · 13-08-2009, 16:45

Eu acho que esse Arquivo que o A-Squared Detecta é um Falso Positivo.

Vamos vericar esse arquivo, Faça os procediemntos abaixo

1) Faça o seguinte, copia esse caminho que esta em Citação:

Citação:

C:\WINDOWS\system32\msvcrt.dll

2) E agora entra nesse site http://virusscan.jotti.org abrindo você clique no botão ((Procurar)) e abrirá uma janela, depois cola o caminho na janela e clique em ((abrir)) e depois clique no botão ((Submit File))

Aguarde o arquivo será verificado por varios antivírus, finalizando o resultado poste o link do site aqui.

**********************************************

1) *Baixe o ((SystemLook)) e salve-o no desktop
http://jpshortstuff.247fixes.com/SystemLook.exe

*Selecione e copie (Ctrl+c) o código abaixo:

Citação:

C:\WINDOWS\system32\msvcrt.dll

2) *Duplo clique em (SystemLook.exe)

3) *Cole (Ctrl+v) o código no espaço em branco
*Clique em [Look]

4) *Abrirá um log Automatico, Copia ele todo, e Cole o relatório Aqui no Fórum.

orushimaru · 13-08-2009, 16:53

Ta ai o link http://virusscan.jotti.org/en/scanre...141773409556b9

e ai o relatorio
SystemLook v1.0 by jpshortstuff (22.05.09)
Log created at 16:53 on 13/08/2009 by Administrador (Administrator - Elevation successful)
No Context: C:\WINDOWS\system32\msvcrt.dll
-=End Of File=-

brando lee · 13-08-2009, 17:09

Ok, Faça os procediemntos do Systemlook, que eu esqueci de acresentar um comando.

Esse Arquivo pode ser Da Microsoft do Windows

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

*Selecione e copie (Ctrl+c) o código abaixo:

Citação:

:File
C:\WINDOWS\system32\msvcrt.dll

2) *Duplo clique em (SystemLook.exe)

3) *Cole (Ctrl+v) o código no espaço em branco
*Clique em [Look]

4) *Abrirá um log Automatico, Copia ele todo, e Cole o relatório Aqui no Fórum.

orushimaru · 13-08-2009, 17:22

hehe so para acresentar so hj eu recebi 11 reclamacoes de usuarios infectador por este virus
SystemLook v1.0 by jpshortstuff (22.05.09)
Log created at 17:25 on 13/08/2009 by ADM (Administrator - Elevation successful)
========== File ==========
C:\WINDOWS\system32\msvcrt.dll - File found and opened.
MD5: 63C2A8E1E33C8C714F11C91400F291E0
Created at 03:45 on 04/08/2004
Modified at 14:50 on 13/04/2008
Size: 343040 bytes
Attributes: --a---
FileDescription: Windows NT CRT DLL
FileVersion: 7.0.2600.5512 (xpsp.080413-2111)
ProductVersion: 7.0.2600.5512
OriginalFilename: msvcrt.dll
InternalName: msvcrt.dll
ProductName: Microsoft® Windows® Operating System
CompanyName: Microsoft Corporation
LegalCopyright: © Microsoft Corporation. All rights reserved.
-=End Of File=-

brando lee · 13-08-2009, 17:25

Citação:

Postado Originalmente por orushimaru

hehe so para acresentar so hj eu recebi 11 reclamacoes de usuarios infectador por este virus
SystemLook v1.0 by jpshortstuff (22.05.09)
Log created at 17:25 on 13/08/2009 by ADM (Administrator - Elevation successful)
========== File ==========
C:\WINDOWS\system32\msvcrt.dll - File found and opened.
MD5: 63C2A8E1E33C8C714F11C91400F291E0
Created at 03:45 on 04/08/2004
Modified at 14:50 on 13/04/2008
Size: 343040 bytes
Attributes: --a---
FileDescription: Windows NT CRT DLL
FileVersion: 7.0.2600.5512 (xpsp.080413-2111)
ProductVersion: 7.0.2600.5512
OriginalFilename: msvcrt.dll
InternalName: msvcrt.dll
ProductName: Microsoft® Windows® Operating System
CompanyName: Microsoft Corporation
LegalCopyright: © Microsoft Corporation. All rights reserved.
-=End Of File=-

Não é Vírus, ele Peretense ao Windows da Empresa Microsoft, é um Falso Positivo Do A-Squared.

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Aqui tem outra Prova que o Arquivo pertense ao Windows XP

Eu tenho o Mesmo Arquivo aqui.

Veja na Imagem do link
http://img228.imageshack.us/img228/6799/imagemvxv.jpg

Desinstale o Malwarebytes e Delete o Programa Systemlook

É isso aí um abraço

orushimaru · 13-08-2009, 17:30

blz entao nao e algo que eu possa me preucupar ?????

Bem eu ate consegui remover ele pelo console do cd do windows o unico problema e que eu tenho que repara o windows depois para funciona outra coisa que eu achei estranho e que uma maquina aqui que eu fiz so que isolando ela da rede nao apresentou esse problema como as demais apresentaram bem mais de qualquer jeito vlw msm pela ajuda brg amigo

__________________________________________________ ____________________

Nao ok eu acredito tanto pq se vc colocar esse nome do google vc vera que ele faz parte dos arquivos de funcionamento do windows o se vc manda pesquisar no cd de instalacao ele tb estara la a unica acoisa estranha que eu achei e que uma outra maquina que eu fiz aqui so evitando que ela ficasse ligada na mesma rede que as maquinas que apresentava esse problema nao apresentou esse arquivos como infectado bem mais de qualquer jeito vlw de novo =)

brando lee · 13-08-2009, 17:35

Ok, Esse A-Squred não é muito Recomendado A vc a Usa-lo.

Instale o Avira Antivir, e pode Ficar com o Malwarebytes.

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Há e mas uma coisa Sempre para qualque Antivirus, Sempre que detectar um arquivo malicioso, mande para Quarentena nunca Exclua o arquivo, como pode Ver o Que ocorreu com o A-Squerede.

Sempre mande os Arquivo para Qaurentena, então se Danificar o sistema Rstaura o Arquivo removido que foi Detectado como Falso Positivo.

é isso aí um abraço.

orushimaru · 13-08-2009, 17:40

a bom vc ter citado a quarentena pq qd mando ele para a quarentena ele da uma tela azul e reinicia

13-08-2009, 9:52	#1 (permalink)
orushimaru Novo Membro Registrado em: Jul 2007 Idade: 21 Mensagens: 138 Reputação: 10	Como remover esse virus Gen.TDSS!K Bem pessoal uma maquina de um cliente pegou esse virus ai o problema e que ele foi parar no meu servidor e estou tento o problema de todas as maquinas que emtram na minha rede serem infectadas por ele inclusive esta maquina que estou falando e o problema e que tentei varios anti virus e nem um resolveu se alguem souber como remover ele ficarei muito agradecido em saber como obrg __________________ ___________________________________________ "A pressa faz errar o caminho, a calma pode desfazer grandes erros."

13-08-2009, 11:34	#3 (permalink)
orushimaru Novo Membro Registrado em: Jul 2007 Idade: 21 Mensagens: 138 Reputação: 10	Ai esta o log Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:34:13, on 13/08/2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16850) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\ARQUIV~1\GbPlugin\GbpSv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\Explorer.EXE C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe C:\Arquivos de programas\Java\jre6\bin\jusched.exe C:\Arquivos de programas\LogMeIn\x86\LogMeInSystray.exe C:\Arquivos de programas\Tron\TronServer\TronServer.exe C:\WINDOWS\VM303_STI.EXE C:\Arquivos de programas\pdfforge Toolbar\SearchSettings.exe C:\WINDOWS\system32\ctfmon.exe C:\Arquivos de programas\Uniblue\RegistryBooster\RegistryBooster. exe C:\Arquivos de programas\LogMeIn\x86\LMIGuardian.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\Arquivos de programas\a-squared Free\a2service.exe C:\Arquivos de programas\Firebird\bin\fbguard.exe C:\Arquivos de programas\Java\jre6\bin\jqs.exe C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HP1006M C.EXE C:\Arquivos de programas\CyberLink\Shared files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Arquivos de programas\Firebird\bin\fbserver.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Arquivos de programas\Ycopy\ycopy.exe C:\WINDOWS\system32\msiexec.exe C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE C:\Arquivos de programas\Adobe\Reader 8.0\Reader\AcroRd32.exe C:\DOCUME~1\User\CONFIG~1\Temp\Rar$EX00.297\Hijack This.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.globo.com.br/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file) O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Arquivos de programas\pdfforge Toolbar\WidgiToolbarIE.dll O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\Arquivos de programas\GbPlugin\gbiehcef.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.d ll O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Arquivos de programas\pdfforge Toolbar\WidgiToolbarIE.dll O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Arquivos de programas\LogMeIn\x86\LogMeInSystray.exe" O4 - HKLM\..\Run: [FirebirdGuardian] C:\Arquivos de programas\Firebird\bin\fbguard.exe O4 - HKLM\..\Run: [TronServer] C:\Arquivos de programas\Tron\TronServer\TronServer.exe O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH) O4 - HKLM\..\Run: [SearchSettings] C:\Arquivos de programas\pdfforge Toolbar\SearchSettings.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] C:\Arquivos de programas\Uniblue\RegistryBooster\RegistryBooster. exe /S O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp O16 - DPF: PrivateWire - http://cmt.caixa.gov.br/jpw.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...nt/swflash.cab O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://imagem.caixa.gov.br/cab/gbpdist.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{83AAEDF0-B0C9-48F2-AC07-65B734A13CD1}: NameServer = 200.175.182.139,200.175.89.139 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: GbPluginCef - C:\Arquivos de programas\GbPlugin\gbiehCef.dll O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Arquivos de programas\a-squared Free\a2service.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Arquivos de programas\Firebird\bin\fbguard.exe O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Arquivos de programas\Firebird\bin\fbserver.exe O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PEVSystemStart - Unknown owner - cmd /k start /i "/dC:" "C:\ComboFix\HIDEC.exe" "C:\WINDOWS\system32\CF29332.exe" /c RD /S/Q \$RECYCLE.bin \RECYCLER \RECYCLED (file missing) O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Arquivos de programas\CyberLink\Shared files\RichVideo.exe -- End of file - 8164 bytes __________________ ___________________________________________ "A pressa faz errar o caminho, a calma pode desfazer grandes erros."

13-08-2009, 11:51	#5 (permalink)
orushimaru Novo Membro Registrado em: Jul 2007 Idade: 21 Mensagens: 138 Reputação: 10	Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:51:00, on 13/08/2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16850) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\ARQUIV~1\GbPlugin\GbpSv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\Explorer.EXE C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe C:\Arquivos de programas\Java\jre6\bin\jusched.exe C:\Arquivos de programas\LogMeIn\x86\LogMeInSystray.exe C:\Arquivos de programas\Tron\TronServer\TronServer.exe C:\WINDOWS\VM303_STI.EXE C:\WINDOWS\system32\ctfmon.exe C:\Arquivos de programas\Uniblue\RegistryBooster\RegistryBooster. exe C:\Arquivos de programas\LogMeIn\x86\LMIGuardian.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\Arquivos de programas\a-squared Free\a2service.exe C:\Arquivos de programas\Firebird\bin\fbguard.exe C:\Arquivos de programas\Java\jre6\bin\jqs.exe C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HP1006M C.EXE C:\Arquivos de programas\CyberLink\Shared files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Arquivos de programas\Firebird\bin\fbserver.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\System32\alg.exe C:\Arquivos de programas\Ycopy\ycopy.exe C:\Arquivos de programas\Adobe\Reader 8.0\Reader\AcroRd32.exe C:\Arquivos de programas\a-squared Free\a2free.exe C:\Arquivos de programas\CCleaner\CCleaner.exe C:\WINDOWS\system32\msiexec.exe C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE C:\DOCUME~1\User\CONFIG~1\Temp\Rar$EX00.968\Hijack This.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.globo.com.br/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\Arquivos de programas\GbPlugin\gbiehcef.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.d ll O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Arquivos de programas\LogMeIn\x86\LogMeInSystray.exe" O4 - HKLM\..\Run: [FirebirdGuardian] C:\Arquivos de programas\Firebird\bin\fbguard.exe O4 - HKLM\..\Run: [TronServer] C:\Arquivos de programas\Tron\TronServer\TronServer.exe O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] C:\Arquivos de programas\Uniblue\RegistryBooster\RegistryBooster. exe /S O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...nt/swflash.cab O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://imagem.caixa.gov.br/cab/gbpdist.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{83AAEDF0-B0C9-48F2-AC07-65B734A13CD1}: NameServer = 200.175.182.139,200.175.89.139 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: GbPluginCef - C:\Arquivos de programas\GbPlugin\gbiehCef.dll O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Arquivos de programas\a-squared Free\a2service.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Arquivos de programas\Firebird\bin\fbguard.exe O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Arquivos de programas\Firebird\bin\fbserver.exe O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PEVSystemStart - Unknown owner - cmd /k start /i "/dC:" "C:\ComboFix\HIDEC.exe" "C:\WINDOWS\system32\CF29332.exe" /c RD /S/Q \$RECYCLE.bin \RECYCLER \RECYCLED (file missing) O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Arquivos de programas\CyberLink\Shared files\RichVideo.exe -- End of file - 7508 bytes Com o a-squared ele mostra esse virus aqui em baixo so que nao remove a-squared Free - Versão 4.5 Última atualização 13/08/2009 09:40:49 Configurações da análise: Scan type: deep Objetos: Memória, Rastros, Cookies, C:\, D:\, J:\ Análise de arquivos: Ligado Heurística: Desligado Análise de ADS: Ligado Início da análise: 13/08/2009 11:40:53 [780] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [824] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [836] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [1012] C:\WINDOWS\system32\MSVCRT.dll detectado: Gen.TDSS!IK [1040] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [1124] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [1260] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [1488] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [1584] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [1776] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [1852] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [2032] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [412] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [420] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [428] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [444] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [452] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [460] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [476] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [484] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [568] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [1252] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [1736] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [1788] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [1944] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [2004] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [2124] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [2204] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [2356] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [2504] C:\WINDOWS\system32\MSVCRT.dll detectado: Gen.TDSS!IK [2600] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [2864] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [2904] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [3016] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [3084] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [3300] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [3848] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [2080] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [2828] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [4080] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [668] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [2000] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK [3224] C:\WINDOWS\system32\msvcrt.dll detectado: Gen.TDSS!IK Analisado Arquivos: 38846 Objetos: 665946 Cookies: 5 Processos: 45 Encontrado Arquivos: 0 Objetos: 0 Cookies: 0 Processos: 43 Chaves do registro: 0 Fim da análise: 13/08/2009 11:51:55 Duração da análise: 0:11:02 [780] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK [824] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK [836] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK [1012] C:\WINDOWS\system32\MSVCRT.dll Excluído Gen.TDSS!IK [1040] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK [1124] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK [1260] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK [1488] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK [1584] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK [1776] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK [1852] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK [2032] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK [412] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK [420] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK [428] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK [444] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK [452] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK [460] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK [476] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK [484] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK [568] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK [1252] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK [1736] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK [1788] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK [1944] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK [2004] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK [2124] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK [2204] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK [2356] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK [2504] C:\WINDOWS\system32\MSVCRT.dll Excluído Gen.TDSS!IK [2600] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK [2864] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK [2904] C:\WINDOWS\system32\msvcrt.dll Excluído Gen.TDSS!IK __________________ ___________________________________________ "A pressa faz errar o caminho, a calma pode desfazer grandes erros."

13-08-2009, 11:59	#7 (permalink)
orushimaru Novo Membro Registrado em: Jul 2007 Idade: 21 Mensagens: 138 Reputação: 10	Bem ficou assim Microsoft Windows XP [versão 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp. C:\Documents and Settings\User>SC Stop PEVSystemStart [SC] ControlService FAILED 1062: O serviço não foi iniciado. C:\Documents and Settings\User>SC Delete PEVSystemStart [SC] DeleteService SUCCESS C:\Documents and Settings\User> C:\Documents and Settings\User>RD /s/q C:\ComboFix O sistema não pode encontrar o arquivo especificado. __________________ ___________________________________________ "A pressa faz errar o caminho, a calma pode desfazer grandes erros."

13-08-2009, 12:32	#9 (permalink)
orushimaru Novo Membro Registrado em: Jul 2007 Idade: 21 Mensagens: 138 Reputação: 10	ok vou fazer ai post o log __________________________________________________ _________________________ Aqui esta e so para acresentar acabei de receber mais 2 chamados de cliente infectados por esse msm virus Malwarebytes' Anti-Malware 1.40 Versão do banco de dados: 2615 Windows 5.1.2600 Service Pack 3 13/08/2009 13:07:55 mbam-log-2009-08-13 (13-07-55).txt Tipo de Verificação: Completa (C:\\|D:\\|) Objetos verificados: 176741 Tempo decorrido: 43 minute(s), 46 second(s) Processos da Memória infectados: 0 Módulos de Memória Infectados: 0 Chaves do Registro infectadas: 0 Valores do Registro infectados: 0 Ítens do Registro infectados: 1 Pastas infectadas: 0 Arquivos infectados: 0 Processos da Memória infectados: (Nenhum ítem malicioso foi detectado) Módulos de Memória Infectados: (Nenhum ítem malicioso foi detectado) Chaves do Registro infectadas: (Nenhum ítem malicioso foi detectado) Valores do Registro infectados: (Nenhum ítem malicioso foi detectado) Ítens do Registro infectados: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Pastas infectadas: (Nenhum ítem malicioso foi detectado) Arquivos infectados: (Nenhum ítem malicioso foi detectado) __________________ ___________________________________________ "A pressa faz errar o caminho, a calma pode desfazer grandes erros." Última edição por orushimaru : 13-08-2009 às 13:09.

		FórumGdH > Software, Segurança e Mac (Apple) > Segurança: discussões, dúvidas e informações
Como remover esse virus Gen.TDSS!K

1. Como remover vestígio de um "arquivo ou componente" 2. Como remover virus W97M .MDMA.K 3. Problemas para remover um vírus!!!	4. Ajuda com vírus - Análise de Log do HiJackThis [resolvido] 5. Ajuda a remover virus aqui.
Mais resultados? Use nossa pesquisa.

13-08-2009, 11:00	#2 (permalink)
brando lee Banned Registrado em: Oct 2008 Mensagens: 2.528 Reputação: 0	1: baixe essa ferramenta hijackthis http://baixaki.ig.com.br/download/hijackthis.htm 2: salve no desktop extraia o conteudo que vem compactado em ZIP em uma pasta. 3: depois executa-o clicando no primeiro botão ((do a system scan and a save logfile)) abrirá um log automatico copia e cola aqui.

13-08-2009, 12:03	#8 (permalink)
brando lee Banned Registrado em: Oct 2008 Mensagens: 2.528 Reputação: 0	Ta bom, Faça O Download Do Malwarebytes e Faça Scan do Malwarebytes Completo. siga os procedimentos acima.

13-08-2009, 16:53	#11 (permalink)
orushimaru Novo Membro Registrado em: Jul 2007 Idade: 21 Mensagens: 138 Reputação: 10	Ta ai o link http://virusscan.jotti.org/en/scanre...141773409556b9 e ai o relatorio SystemLook v1.0 by jpshortstuff (22.05.09) Log created at 16:53 on 13/08/2009 by Administrador (Administrator - Elevation successful) No Context: C:\WINDOWS\system32\msvcrt.dll -=End Of File=- __________________ ___________________________________________ "A pressa faz errar o caminho, a calma pode desfazer grandes erros."

13-08-2009, 17:22	#13 (permalink)
orushimaru Novo Membro Registrado em: Jul 2007 Idade: 21 Mensagens: 138 Reputação: 10	hehe so para acresentar so hj eu recebi 11 reclamacoes de usuarios infectador por este virus SystemLook v1.0 by jpshortstuff (22.05.09) Log created at 17:25 on 13/08/2009 by ADM (Administrator - Elevation successful) ========== File ========== C:\WINDOWS\system32\msvcrt.dll - File found and opened. MD5: 63C2A8E1E33C8C714F11C91400F291E0 Created at 03:45 on 04/08/2004 Modified at 14:50 on 13/04/2008 Size: 343040 bytes Attributes: --a--- FileDescription: Windows NT CRT DLL FileVersion: 7.0.2600.5512 (xpsp.080413-2111) ProductVersion: 7.0.2600.5512 OriginalFilename: msvcrt.dll InternalName: msvcrt.dll ProductName: Microsoft® Windows® Operating System CompanyName: Microsoft Corporation LegalCopyright: © Microsoft Corporation. All rights reserved. -=End Of File=- __________________ ___________________________________________ "A pressa faz errar o caminho, a calma pode desfazer grandes erros."

13-08-2009, 17:30	#15 (permalink)
orushimaru Novo Membro Registrado em: Jul 2007 Idade: 21 Mensagens: 138 Reputação: 10	blz entao nao e algo que eu possa me preucupar ????? Bem eu ate consegui remover ele pelo console do cd do windows o unico problema e que eu tenho que repara o windows depois para funciona outra coisa que eu achei estranho e que uma maquina aqui que eu fiz so que isolando ela da rede nao apresentou esse problema como as demais apresentaram bem mais de qualquer jeito vlw msm pela ajuda brg amigo __________________________________________________ ____________________ Nao ok eu acredito tanto pq se vc colocar esse nome do google vc vera que ele faz parte dos arquivos de funcionamento do windows o se vc manda pesquisar no cd de instalacao ele tb estara la a unica acoisa estranha que eu achei e que uma outra maquina que eu fiz aqui so evitando que ela ficasse ligada na mesma rede que as maquinas que apresentava esse problema nao apresentou esse arquivos como infectado bem mais de qualquer jeito vlw de novo =) __________________ ___________________________________________ "A pressa faz errar o caminho, a calma pode desfazer grandes erros."

13-08-2009, 17:35	#16 (permalink)
brando lee Banned Registrado em: Oct 2008 Mensagens: 2.528 Reputação: 0	Ok, Esse A-Squred não é muito Recomendado A vc a Usa-lo. Instale o Avira Antivir, e pode Ficar com o Malwarebytes. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> Há e mas uma coisa Sempre para qualque Antivirus, Sempre que detectar um arquivo malicioso, mande para Quarentena nunca Exclua o arquivo, como pode Ver o Que ocorreu com o A-Squerede. Sempre mande os Arquivo para Qaurentena, então se Danificar o sistema Rstaura o Arquivo removido que foi Detectado como Falso Positivo. é isso aí um abraço.

13-08-2009, 17:40	#17 (permalink)
orushimaru Novo Membro Registrado em: Jul 2007 Idade: 21 Mensagens: 138 Reputação: 10	a bom vc ter citado a quarentena pq qd mando ele para a quarentena ele da uma tela azul e reinicia __________________ ___________________________________________ "A pressa faz errar o caminho, a calma pode desfazer grandes erros."

Opções do Tópico
Exibir Versão para Impressão Envie essa página por e-mail