Vírus difícil de remover (.tmp)

Question

Boa tarde equipe GdH.
Bom, n&atilde;o sei exatamente quando esse v&iacute;rus infectou minha m&aacute;quina, mas tentei de v&aacute;rias maneiras eliminar o mesmo e n&atilde;o obtive sucesso.
pe&ccedil;o ajuda a voc&ecirc;s, pois formatei o PC e o v&iacute;rus persistiu, ele xegou at&eacute; a fazer o DEP bloquear o userini.exe e o taskmgr.exe, que foi um tanto dif&iacute;cil de eu conseguir inicializar meu PC.

Aqui vai o log do HiJackThis.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:53:55, on 29/7/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20627)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\servises.exe
C:\WINDOWS\system32\servises.exe
C:\WINDOWS\system32\servises.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\RALINK\Common\RaUI.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Administrador\Desktop\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6EF05952-B48D-4944-AA91-57A6A1A48EF8} - C:\Arquivos de programas\Puxa R&aacute;pido\IEBHO.DLL
O2 - BHO: MJCore - {D88E1558-7C2D-407A-953A-C044F5607CEA} - C:\Arquivos de programas\Jcore\Jcore2.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Arquivos de programas\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [19502] C:\WINDOWS\system32\15.tmp.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32egedit.exe
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32eader_s.exe
O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\Administradoreader_s.exe
O4 - HKCU\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] C:\Arquivos de programas\Windows Sidebar\sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] C:\Arquivos de programas\Windows Sidebar\sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Documents and Settings\Administradoreader_s.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [reader_s] C:\Documents and Settings\Administradoreader_s.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Arquivos de programas\RALINK\Common\RaUI.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O17 - HKLM\System\CCS\Services\Tcpip\..\{B31C77C7-AB29-413D-BC66-A42074A75C77}: NameServer = 189.44.209.252
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\mssrv32.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

--
End of file - 6179 bytes

D&ecirc;sde j&aacute;, agrade&ccedil;o.

Answer

Seja bem vindo ao forum!!!

Desative temporariamente a prote&ccedil;&atilde;o resitente do seu antiv&iacute;rus, no lado do Rel&oacute;gio

2) Baixe o programa ComboFixe salve-o no desktop

3) Feche o Internet Explorer e os Programas que tiverem abertos por exemplo ((Windows Live Mensseger MSN))

4) Duplo-clique no arquivo ((Combofix.exe)) e aguarde o in&iacute;cio

5) Abrir&aacute; algumas janelas pequenas clique sempre em ((sim))

[COLOR=red]6) Importante: enquanto o ComboFix estiver em execu&ccedil;&atilde;o, n&atilde;o use o mouse nem o teclado, pois seu desktop ficar&aacute; em branco!!...[/COLOR]

7) Ao final do procedimento, o programa ser&aacute; fechado automaticamente e ser&aacute; mostrado um relat&oacute;rio

8) Cole o relat&oacute;rio Aqui no F&oacute;rum.

Answer

Muito obrigado !

Meu AntVirus (Avast Home Edition 4.7) n&atilde;o se localiza no canto inferior direito, e ao tentar executar o combofix me deparo com a seguinte mensagen:
!! ATEN&Ccedil;&Atilde;O !! N&Atilde;O &Eacute; SEGURO continuar!

O cote&uacute;do do ComboFix foi comprometido.
Por favor baixe uma nova c&oacute;pia de:

Nota: voc&ecirc; pode estar infectado com um v&iacute;rus infector de arquivos 'Virut'

E logo em seguida o ComboFix.exe &eacute; exclu&iacute;do.

Oque devo fazer ?

Answer

Tente renomear o arquivo do combofix.exe para combufix.exe e tente executa-lo!!!!

Se n&atilde;o der

Fa&ccedil;a download do aplicativo abaixo:
 http://www.avg.com/filedir/util/avg_...ut/rmvirut.exe

* execute-o., aguarde a verifica&ccedil;&atilde;o.

Depois fa&ccedil;a o seguinte.

- Fa&ccedil;a download do Kaspersky Virus Removal Tool
 
[COLOR=black][FONT=Verdana]* Salve na pasta de Arquivos de programas.[/FONT][/COLOR]
[FONT=Verdana][COLOR=black]* Instale o programa normalmente seguindo todos os seus passos.[/COLOR][/FONT]
[FONT=Verdana][COLOR=black]*N&atilde;o fa&ccedil;a ainda scan![/COLOR][/FONT]
[FONT=Verdana][COLOR=black]*Reinicie o PC em Modo de Seguran&ccedil;a (apertando a tecla F8 (ou a tecla F5 em alguns computadores) repetidas vezes quando o computador estiver reiniciando e escolhendo a op&ccedil;&atilde;o Modo Seguro ou Modo de Seguran&ccedil;a). [/COLOR][/FONT]
[FONT=Verdana][COLOR=black]* Se n&atilde;o poss&iacute;vel executar o computador em Modo Seguro, fa&ccedil;a o escaneamento no modo normal[/COLOR][/FONT]
[FONT=Verdana][COLOR=black]* Na tela principal do programa marque todas as caixas dispon&iacute;veis[/COLOR][/FONT]
 
[COLOR=black][FONT=Verdana]http://img123.imageshack.us/img123/214/kasperskyvirusremovaltoak2.png[/FONT][/COLOR]
 
[COLOR=black][FONT=Verdana]* Clique no bot&atilde;o Scan.[/FONT][/COLOR]
[FONT=Verdana][COLOR=black]* Seja paciente, o scan pode demorar[/COLOR][/FONT]
[FONT=Verdana][COLOR=black]* Se ele encontrar alguma infec&ccedil;&atilde;o confirme a solicita&ccedil;&atilde;o de remo&ccedil;&atilde;o aos arquivos detectados.[/COLOR][/FONT]
[FONT=Verdana][COLOR=black]* Ap&oacute;s completar tudo clique na aba Events, desmarque a caixa de sele&ccedil;&atilde;o Show all events e depois clique em Reports... e clique em Save to file.[/COLOR][/FONT]
[FONT=Verdana][COLOR=black]* D&ecirc; um nome para o arquivo e salve numa pasta de sua prefer&ecirc;ncia (de prefer&ecirc;ncia salve este relat&oacute;rio no Desktop (&aacute;rea de trabalho) para facilitar a sua localiza&ccedil;&atilde;o.[/COLOR][/FONT]
[FONT=Verdana][COLOR=black]* Poste o conte&uacute;do desse relat&oacute;rio em sua pr&oacute;xima resposta juntamente com um novo log do Hijackthis e nos diga como est&aacute; o seu PC depois destes procedimentos.[/COLOR][/FONT]
 
[COLOR=black][FONT=Verdana]Ficamos no aguardo.[/FONT][/COLOR]

Answer

Mesmo renomeando ele continua com a seguinte mensagen:
!! ATEN&Ccedil;&Atilde;O !! N&Atilde;O &Eacute; SEGURO continuar!

O cote&uacute;do do ComboFix foi comprometido.
Por favor baixe uma nova c&oacute;pia de:

Nota: voc&ecirc; pode estar infectado com um v&iacute;rus infector de arquivos 'Virut'

E logo em seguida o ComboFix.exe &eacute; exclu&iacute;do.

Estou desesperado, n&atilde;o consigo de forma alguma remover esse V&iacute;rus :(

Answer

fa&ccedil;a os outros procedimentos que citei!!!

Answer

amigo baixe o combofix e salve em outro lugar que nao seje no desktop e tente executa-lo.

Answer

Maur&iacute;cio, os dois links que voc&ecirc; me passou deu como invalidos:

Endere&ccedil;o n&atilde;o encontrado
O Firefox n&atilde;o conseguiu localizar www.avg.com.
N&atilde;o foi poss&iacute;vel localizar o servidor do endere&ccedil;o fornecido.

Ser&aacute; que algo esta bloqueando meu acesso a essas p&aacute;ginas ?

Answer

Pode ser aqui esta normal!!!

Tente baixar o combofix desse link e execute-o

http://www.mediafire.com/file/xixhimlljyn/ComboFix.exe

Answer

Garley

Coloquei em outro local, e mesmo assim o problema continua !

Answer

Ja tentou passa o combofix em modo de seguran&ccedil;a?

Answer

Mauricio Molina
O problema continua !
Tentei executalo como CombuFix.exe KomboFix.exe e mesmo assim surge a mensagen.

Garley
N&atilde;o tentei n&atilde;o, mas vou tentar agora.

Answer

Tente isto:

1.
    *Baixe o programa Sality_off e salve-o no desktop:
   *Extraia o conte&uacute;do de sality_off.zip para C:\
*Desative seu antiv&iacute;rus temporariamente
    *Clique em Iniciar > Executar > digite: C:\Sality_off.exe -m

http://f.imagehost.org/0007/sality.jpg

Clique OK
    *Mantenha o programa rodando. [COLOR=Red]N&atilde;o feche esta janela!![/COLOR]...se desejar, minimize-a.
2.
*Agora, d&ecirc; duplo clique no arquivo C:\Sality_off.exe e aguarde. Ao receber a mensagem Pressione qualquer tecla para continuar..., tecle [ENTER]
*O programa ser&aacute; fechado automaticamente.
*Agora feche a janela do monitoramento da mem&oacute;ria.
 
3.
*Baixe o Kaspersky Virus Removal Tool e salve-o em Arquivos de programas
    *Desative seu antiv&iacute;rus temporariamente
    *Execute o programa, uma janela ser&aacute; aberta:
http://d.imagehost.org/0334/Kaspersky-Virus-Removal-Tool_1.png

*Na aba [Automatic Scan], selecione todas as op&ccedil;&otilde;es
    *Clique em [Scan]...tenha paci&ecirc;ncia, pois pode demorar
    *Caso encontre algo clique em [Disinfect]
    *Ao t&eacute;rmino, clique em [Events] e desmarque a op&ccedil;&atilde;o [Show all events]
    *Clique em [Reports] > [Save to file] e salve o relat&oacute;rio no desktop
    *Cole o relat&oacute;rio do scan na sua pr&oacute;xima resposta

Answer

Mauricio Molina
O link do Sality_off d&aacute; como incorreto, e o do Kaspersky tamb&eacute;m !
Seja l&aacute; oque for que esta bloqueando, s&oacute; bloqueia links de support de AntV&iacute;rus, pois o link do combofix pelo mediafire funcionou corretamente.
:(

EDITED -> Procurei na minha 2&deg; HD e acabei achando o Kaspersky, e o Sality_off eu acabei achando em outro link. 
Acho que agora da para proseguir com os passos dados, logo mais posto o log.

EDITED&sup2; -> O novo link do Kaspersky esta funcionando corretamente, vou seguir os passos, e logo mais posto o log.

Answer

tenta este para o kaspersky

http://www.baixaki.com.br/download/kaspersky-virus-removal-tool.htm

Ferramentas

Mover Tópico