Ir ao conteúdo
  • Cadastre-se
gustav.richard

[VIRUS] tmp5A5F.tmp.vbe

Recommended Posts

Pessoal, boa noite!

 

Estou com problema para arrumar o netbook da minha prima que pegou um virus no laboratório da faculdade dela.

 

É um virus relativamente inofensivo, porém gera incômodo para ela e também pode infectar outros computadores.

 

O virus funciona assim; ele cria um atalho para qualquer arquivo colocado no pendrive, e oculta o arquivo original.

 

Gostaria de ajuda pois como é o netbook que ela utiliza para faculdade queria dar essa ajuda para ela.

 

Seguem os logs.

 

DDS.txt

 

DDS (Ver_2012-11-20.01) - NTFS_x86 
Internet Explorer: 11.0.9600.16428
Run by Maria Julia at 18:54:03 on 2015-01-08
Microsoft Windows 7 Professional   6.1.7601.1.1252.55.1046.18.2036.889 [GMT -2:00]
.
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
============== Running Processes ================
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\PROGRA~1\GbPlugin\GbpSv.exe
C:\Program Files\Trusteer\Rapport\bin\RapportMgmtService.exe
C:\Windows\system32\WLANExt.exe
C:\Windows\system32\conhost.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
C:\Windows\system32\dmwu.exe
C:\Windows\system32\srvany.exe
C:\Windows\KMService.exe
C:\Windows\system32\conhost.exe
C:\Program Files\Web Assistant\ExtensionUpdaterService.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\mjcm\dnkt.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Users\Maria Julia\AppData\Local\keepvid.com.exe
C:\Windows\System32\wscript.exe
C:\Users\Maria Julia\AppData\Local\aHaskZ3\CashPartners.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Users\Maria Julia\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Windows\system32\wuauclt.exe
C:\Users\Maria Julia\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Maria Julia\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Maria Julia\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Maria Julia\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Maria Julia\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Maria Julia\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files\Trusteer\Rapport\bin\RapportService.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\taskeng.exe
C:\Users\Maria Julia\AppData\Local\Google\Update\GoogleUpdate.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\vssvc.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\system32\svchost.exe -k imgsvc
C:\Windows\system32\svchost.exe -k bthsvcs
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Windows\System32\svchost.exe -k secsvcs
C:\Windows\System32\svchost.exe -k swprv
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.baixaki.com.br/portal/?utm_source=core&utm_medium=ppi&utm_campaign=portal
mStart Page = hxxp://www.baixaki.com.br/portal/?utm_source=core&utm_medium=ppi&utm_campaign=portal
BHO: Web Assistant: {336D0C35-8A85-403a-B9D2-65C292C39087} - c:\program files\web assistant\Extension32.dll
BHO: Search-Results Toolbar: {377e5d4d-77e5-476a-8716-7e70a9272da0} - 
BHO: keepvid.com: {49ed9900-38cd-453c-bba7-3f2613317f5a} - c:\windows\system32\keepvid.dll
BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - <orphaned>
BHO: Groove GFS Browser Helper: {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - c:\program files\microsoft office\office12\GrooveShellExtensions.dll
BHO: EndNote Helper: {82D2E569-25A7-4E4D-9FA3-C5025B4B7912} - c:\program files\endnote plug-ins\ENWIEPlug.dll
BHO: Google Toolbar Helper: {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\google toolbar\GoogleToolbar_32.dll
BHO: GbIehObj Class: {C41A1C0E-EA6C-11D4-B1B8-444553540000} - c:\program files\gbplugin\gbieh.dll
BHO: SoundFrost: {d997c836-ff82-4519-b459-1482ba942a4f} - c:\program files\soundfrost\SoundFrost.dll
TB: Search-Results Toolbar: {377e5d4d-77e5-476a-8716-7e70a9272da0} - 
TB: Google Toolbar: {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\google toolbar\GoogleToolbar_32.dll
TB: EndNote Capture: {945C8270-A848-11D5-A805-00B0D092F45B} - c:\program files\endnote plug-ins\ENWIEPlug.dll
uRun: [Google Update] "c:\users\maria julia\appdata\local\google\update\GoogleUpdate.exe" /c
uRun: [Facebook Update] "c:\users\maria julia\appdata\local\facebook\update\FacebookUpdate.exe" /c /nocrashserver
uRun: [CashPartners] c:\users\maria julia\appdata\local\ahaskz3\CashPartners.exe
uRun: [GoogleChromeAutoLaunch_0FE62B2F3972CD4185ECAFC300A6C285] "c:\users\maria julia\appdata\local\google\chrome\application\chrome.exe" --no-startup-window
uRun: [tmp5A5F] wscript.exe //B "c:\users\mariaj~1\appdata\local\temp\tmp5A5F.tmp.vbe"
mRun: [igfxTray] c:\windows\system32\igfxtray.exe
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [Persistence] c:\windows\system32\igfxpers.exe
mRun: [synTPEnh] c:\program files\synaptics\syntp\SynTPEnh.exe
mRun: [GrooveMonitor] "c:\program files\microsoft office\office12\GrooveMonitor.exe"
mRun: [keepvid] c:\users\maria julia\appdata\local\keepvid.com.exe
mRun: [tmp5A5F] wscript.exe //B "c:\users\mariaj~1\appdata\local\temp\tmp5A5F.tmp.vbe"
StartupFolder: c:\users\mariaj~1\appdata\roaming\micros~1\windows\startm~1\programs\startup\dropbox.lnk - c:\users\maria julia\appdata\roaming\dropbox\bin\Dropbox.exe
StartupFolder: c:\users\mariaj~1\appdata\roaming\micros~1\windows\startm~1\programs\startup\recort~1.lnk - c:\program files\microsoft office\office12\ONENOTEM.EXE
StartupFolder: c:\users\maria julia\appdata\roaming\microsoft\windows\start menu\programs\startup\tmp5A5F.tmp.vbe
uPolicies-Explorer: NoDriveTypeAutoRun = dword:145
mPolicies-System: ConsentPromptBehaviorAdmin = dword:5
mPolicies-System: ConsentPromptBehaviorUser = dword:3
mPolicies-System: EnableUIADesktopToggle = dword:0
IE: &Enviar para o OneNote - c:\progra~1\micros~3\office14\ONBttnIE.dll/105
IE: E&xportar para o Microsoft Excel - c:\progra~1\micros~3\office12\EXCEL.EXE/3000
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\program files\microsoft office\office12\ONBttnIE.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503}
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_25-windows-i586.cab
DPF: {CAFEEFAC-0017-0000-0025-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_25-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_25-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
TCP: NameServer = 189.4.64.83 189.4.64.88
TCP: Interfaces\{17438261-768E-44D7-AC46-3513550496C4} : DHCPNameServer = 189.4.64.83 189.4.64.88
TCP: Interfaces\{17438261-768E-44D7-AC46-3513550496C4}\25564656025437167602D202E40544 : DHCPNameServer = 10.12.12.3
TCP: Interfaces\{17438261-768E-44D7-AC46-3513550496C4}\3454649444D2249626C696F6 : DHCPNameServer = 10.14.16.1
TCP: Interfaces\{17438261-768E-44D7-AC46-3513550496C4}\4656661657C647 : DHCPNameServer = 192.168.1.1
TCP: Interfaces\{17438261-768E-44D7-AC46-3513550496C4}\54351474022303132302D2021455C4140213 : DHCPNameServer = 10.12.12.3
TCP: Interfaces\{17438261-768E-44D7-AC46-3513550496C4}\E65647F5679627475716F5230343 : DHCPNameServer = 189.4.64.88 189.4.64.83
Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - c:\program files\microsoft office\office12\GrooveSystemServices.dll
Notify:  GbPluginBb - c:\program files\gbplugin\gbieh.dll
Notify: igfxcui - igfxdev.dll
AppInit_DLLs=  
SSODL: WebCheck - <orphaned>
SEH: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - c:\program files\microsoft office\office12\GrooveShellExtensions.dll
SEH: GbPluginObj Class - {E37CB5F0-51F5-4395-A808-5FA49E399F83} - c:\program files\gbplugin\gbieh.dll
.
============= SERVICES / DRIVERS ===============
.
R0 Bhbase;Baidu Hook Base;c:\windows\system32\drivers\Bhbase.sys [2013-10-1 47456]
R0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\gbpkm.sys [2013-7-18 47192]
R1 Ndisrd;GAS Tecnologia Filter Driver;c:\windows\system32\drivers\gbpndisrdn.sys [2014-3-18 29400]
R1 RapportCerberus_80083;RapportCerberus_80083;c:\programdata\trusteer\rapport\store\exts\rapportcerberus\baseline\RapportCerberus32_80083.sys [2015-1-5 430296]
R1 RapportEI;RapportEI;c:\program files\trusteer\rapport\bin\RapportEI.sys [2014-12-15 251288]
R2 GbpSv;Gbp Service;c:\progra~1\gbplugin\GbpSv.exe [2014-12-1 546104]
R2 IBUpdaterService;IBUpdaterService;c:\windows\system32\dmwu.exe [2014-6-25 2470704]
R2 KMService;KMService;c:\windows\system32\srvany.exe [2012-4-10 8192]
R2 RapportMgmtService;Rapport Management Service;c:\program files\trusteer\rapport\bin\RapportMgmtService.exe [2014-12-15 1919256]
R3 RSPCIESTOR;Realtek PCIE CardReader Driver;c:\windows\system32\drivers\RtsPStor.sys [2012-4-10 230944]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\drivers\Rt86win7.sys [2012-4-10 267880]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2013-9-11 105144]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-13 229888]
S3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys [2010-11-21 62464]
S3 IEEtwCollectorService;Internet Explorer ETW Collector Service;c:\windows\system32\ieetwcollector.exe [2013-11-11 108032]
S3 RapportKELL;RapportKELL;c:\windows\system32\drivers\RapportKELL.sys [2014-12-15 208888]
S3 RapportPG;RapportPG;c:\program files\trusteer\rapport\bin\RapportPG.sys [2014-12-15 332728]
S3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\TsUsbFlt.sys [2010-11-20 52224]
S3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2010-11-20 27264]
.
=============== Created Last 30 ================
.
2015-01-06 18:51:06 9054624 ----a-w- c:\programdata\microsoft\windows defender\definition updates\{4267f8c4-4152-4623-825a-4b94d8adda67}\mpengine.dll
2015-01-05 18:10:12 -------- d-----w- c:\users\maria julia\appdata\local\Trusteer
2015-01-05 18:10:00 -------- d-----w- c:\program files\Trusteer
2015-01-05 18:05:59 -------- d-----w- c:\programdata\Trusteer
2015-01-05 15:39:08 815314 ----a-w- c:\users\maria julia\appdata\roaming\unins000.exe
2015-01-05 15:39:08 -------- d-----w- c:\users\maria julia\appdata\local\GAS Tecnologia
2014-12-26 16:42:52 89088 ----a-w- c:\windows\system32\keepvid.dll
2014-12-16 01:03:28 208888 ----a-w- c:\windows\system32\drivers\RapportKELL.sys
2014-12-11 19:48:43 -------- d-----w- c:\windows\system32\appraiser
2014-12-11 13:14:24 3209728 ----a-w- c:\windows\system32\mf.dll
.
==================== Find3M  ====================
.
2015-01-05 16:48:04 2470704 ----a-w- c:\windows\system32\dmwu.exe
2015-01-05 16:42:06 27136 ----a-w- c:\windows\system32\ImHttpComm.dll
2014-12-11 19:26:18 71344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2014-12-11 19:26:18 701104 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2014-12-04 04:38:59 337920 ----a-w- c:\windows\system32\generaltel.dll
2014-12-04 04:38:45 610304 ----a-w- c:\windows\system32\invagent.dll
2014-12-04 04:38:40 315392 ----a-w- c:\windows\system32\devinv.dll
2014-12-04 04:38:37 728576 ----a-w- c:\windows\system32\appraiser.dll
2014-12-04 04:38:36 202752 ----a-w- c:\windows\system32\aepdu.dll
2014-12-04 04:38:36 159744 ----a-w- c:\windows\system32\aepic.dll
2014-12-04 04:34:13 873984 ----a-w- c:\windows\system32\aeinv.dll
2014-12-01 23:28:26 1160872 ----a-w- c:\windows\system32\aitstatic.exe
2014-11-24 16:04:58 229000 ------w- c:\windows\system32\MpSigStub.exe
2014-11-19 17:39:06 47192 ----a-w- c:\windows\system32\drivers\gbpkm.sys
2014-11-11 02:44:45 1230336 ----a-w- c:\windows\system32\WindowsCodecs.dll
2014-11-11 02:44:32 186880 ----a-w- c:\windows\system32\pku2u.dll
2014-11-11 02:44:25 550912 ----a-w- c:\windows\system32\kerberos.dll
2014-11-11 01:32:14 74752 ----a-w- c:\windows\system32\drivers\tdx.sys
2014-11-08 02:45:09 2048 ----a-w- c:\windows\system32\tzres.dll
2014-10-30 01:45:43 155136 ----a-w- c:\windows\system32\charmap.exe
2014-10-25 01:32:37 67584 ----a-w- c:\windows\system32\packager.dll
2014-10-18 01:33:18 571904 ----a-w- c:\windows\system32\oleaut32.dll
2014-10-14 01:56:19 136632 ----a-w- c:\windows\system32\drivers\ksecpkg.sys
2014-10-14 01:50:50 523776 ----a-w- c:\windows\system32\termsrv.dll
2014-10-14 01:50:41 2363904 ----a-w- c:\windows\system32\msi.dll
2014-10-14 01:50:39 1059840 ----a-w- c:\windows\system32\lsasrv.dll
2014-10-14 01:47:30 146432 ----a-w- c:\windows\system32\msaudite.dll
2014-10-14 01:46:02 681984 ----a-w- c:\windows\system32\adtschema.dll
.
============= FINISH: 18:57:21,82 ===============
 
Attach.txt
 
.
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2012-11-20.01)
.
Microsoft Windows 7 Professional 
Boot Device: \Device\HarddiskVolume1
Install Date: 10/04/2012 10:48:20
System Uptime: 08/01/2015 18:30:31 (0 hours ago)
.
Motherboard: Hewlett-Packard |  | 148A
Processor: Intel® Atom CPU N455   @ 1.66GHz | CPU | 1332/667mhz
.
==== Disk Partitions =========================
.
C: is FIXED (NTFS) - 298 GiB total, 262,527 GiB free.
.
==== Disabled Device Manager Items =============
.
Class GUID: 
Description: Dispositivo Periférico Bluetooth
Device ID: BTHENUM\{00005601-0000-1000-8000-0002EE000001}_LOCALMFG&000F\7&153903AE&0&0021FE3D13E7_C00000000
Manufacturer: 
Name: Dispositivo Periférico Bluetooth
PNP Device ID: BTHENUM\{00005601-0000-1000-8000-0002EE000001}_LOCALMFG&000F\7&153903AE&0&0021FE3D13E7_C00000000
Service: 
.
Class GUID: 
Description: Dispositivo Periférico Bluetooth
Device ID: BTHENUM\{00000004-0000-1000-8000-0002EE000002}_LOCALMFG&000F\7&153903AE&0&0021FE3D13E7_C00000000
Manufacturer: 
Name: Dispositivo Periférico Bluetooth
PNP Device ID: BTHENUM\{00000004-0000-1000-8000-0002EE000002}_LOCALMFG&000F\7&153903AE&0&0021FE3D13E7_C00000000
Service: 
.
Class GUID: 
Description: Dispositivo Periférico Bluetooth
Device ID: BTHENUM\{0000110E-0000-1000-8000-00805F9B34FB}_LOCALMFG&000F\7&153903AE&0&0021FE3D13E7_C00000000
Manufacturer: 
Name: Dispositivo Periférico Bluetooth
PNP Device ID: BTHENUM\{0000110E-0000-1000-8000-00805F9B34FB}_LOCALMFG&000F\7&153903AE&0&0021FE3D13E7_C00000000
Service: 
.
Class GUID: 
Description: Dispositivo Periférico Bluetooth
Device ID: BTHENUM\{0000111B-0000-1000-8000-00805F9B34FB}_LOCALMFG&000F\7&153903AE&0&0021FE3D13E7_C00000000
Manufacturer: 
Name: Dispositivo Periférico Bluetooth
PNP Device ID: BTHENUM\{0000111B-0000-1000-8000-00805F9B34FB}_LOCALMFG&000F\7&153903AE&0&0021FE3D13E7_C00000000
Service: 
.
Class GUID: 
Description: Dispositivo Periférico Bluetooth
Device ID: BTHENUM\{00005005-0000-1000-8000-0002EE000001}_LOCALMFG&000F\7&153903AE&0&0021FE3D13E7_C00000000
Manufacturer: 
Name: Dispositivo Periférico Bluetooth
PNP Device ID: BTHENUM\{00005005-0000-1000-8000-0002EE000001}_LOCALMFG&000F\7&153903AE&0&0021FE3D13E7_C00000000
Service: 
.
Class GUID: 
Description: Dispositivo Periférico Bluetooth
Device ID: BTHENUM\{00000002-0000-1000-8000-0002EE000002}_LOCALMFG&000F\7&153903AE&0&0021FE3D13E7_C00000000
Manufacturer: 
Name: Dispositivo Periférico Bluetooth
PNP Device ID: BTHENUM\{00000002-0000-1000-8000-0002EE000002}_LOCALMFG&000F\7&153903AE&0&0021FE3D13E7_C00000000
Service: 
.
==== System Restore Points ===================
.
RP305: 19/11/2014 13:45:23 - Windows Update
RP306: 24/11/2014 07:58:08 - Windows Update
RP307: 25/11/2014 15:11:24 - Installed EndNote Plug-Ins
RP308: 25/11/2014 15:43:50 - Windows Update
RP309: 27/11/2014 10:38:59 - Windows Update
RP310: 01/12/2014 22:10:12 - Windows Update
RP311: 01/12/2014 22:56:06 - Windows Update
RP312: 05/12/2014 10:04:23 - Windows Update
RP313: 05/12/2014 12:01:52 - Windows Update
RP314: 08/12/2014 14:51:26 - Removido Ferramenta de Carregamento do Windows Live
RP315: 08/12/2014 14:57:18 - Removido Windows Live Sync
RP316: 08/12/2014 15:16:21 - Windows Update
RP317: 11/12/2014 11:02:53 - Windows Update
RP318: 12/12/2014 09:33:11 - Windows Update
RP319: 18/12/2014 17:37:42 - Windows Update
RP320: 19/12/2014 17:33:14 - Windows Update
RP321: 26/12/2014 13:48:10 - Windows Update
RP322: 30/12/2014 23:39:33 - Windows Update
RP323: 05/01/2015 13:25:14 - Windows Update
RP324: 05/01/2015 13:43:56 - Windows Update
RP325: 05/01/2015 16:09:10 - Installed Rapport
RP326: 06/01/2015 15:35:58 - Removed Skype™ 6.11
RP327: 06/01/2015 15:41:45 - Removed Skype Click to Call
RP328: 07/01/2015 16:52:16 - Windows Update
RP329: 08/01/2015 18:35:28 - Windows Update
.
==== Installed Programs ======================
.
 Update for Microsoft Office 2007 (KB2508958)
Adobe Flash Player 15 ActiveX
Adobe Flash Player 15 Plugin
Adobe Reader XI (11.0.10) - Português
Adobe Refresh Manager
Atualização do produto Microsoft Office Excel 2007 Help (KB963678)
Atualização do produto Microsoft Office Outlook 2007 Help (KB963677)
Atualização do produto Microsoft Office Powerpoint 2007 Help (KB963669)
Atualização do produto Microsoft Office Word 2007 Help (KB963665)
Bizagi Process Modeler
Broadcom 802.11 Wireless LAN Adapter
CCleaner
Dropbox
EndNote Plug-Ins
ESU for Microsoft Windows 7
Facebook Video Calling 3.1.0.521
Fotosizer 1.35
Google Chrome
Google Toolbar for Internet Explorer
Google Update Helper
Hewlett-Packard ACLM.NET v1.1.0.0
HP Power Manager
HP Product Detection
IB Updater Service
iLivid
Intel® Graphics Media Accelerator Driver
Java 7 Update 25
Java Auto Updater
Módulo de Segurança - Banco do Brasil
Microsoft .NET Framework 4.5.1
Microsoft .NET Framework 4.5.1 (Português do Brasil)
Microsoft .NET Framework 4.5.1 (PTB)
Microsoft Application Error Reporting
Microsoft Choice Guard
Microsoft Office 2007 Service Pack 3 (SP3)
Microsoft Office Access MUI (Portuguese (Brazil)) 2007
Microsoft Office Enterprise 2007
Microsoft Office Excel MUI (Portuguese (Brazil)) 2007
Microsoft Office Groove MUI (Portuguese (Brazil)) 2007
Microsoft Office InfoPath MUI (Portuguese (Brazil)) 2007
Microsoft Office OneNote MUI (Portuguese (Brazil)) 2007
Microsoft Office Outlook MUI (Portuguese (Brazil)) 2007
Microsoft Office PowerPoint MUI (Portuguese (Brazil)) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (Portuguese (Brazil)) 2007
Microsoft Office Proof (Spanish) 2007
Microsoft Office Proofing (Portuguese (Brazil)) 2007
Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
Microsoft Office Publisher MUI (Portuguese (Brazil)) 2007
Microsoft Office Shared MUI (Portuguese (Brazil)) 2007
Microsoft Office Word MUI (Portuguese (Brazil)) 2007
Microsoft SQL Server 2005 Compact Edition [ENU]
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
MSVCRT
Proteção de Terminal Trusteer
Rapport
Realtek Ethernet Controller Driver For Windows 7
Realtek PCIE Card Reader
ResearchSoft Direct Export Helper
Security Update for Microsoft .NET Framework 4.5.1 (KB2894854v2)
Security Update for Microsoft .NET Framework 4.5.1 (KB2898869)
Security Update for Microsoft .NET Framework 4.5.1 (KB2901126)
Security Update for Microsoft .NET Framework 4.5.1 (KB2931368)
Security Update for Microsoft .NET Framework 4.5.1 (KB2972107)
Security Update for Microsoft .NET Framework 4.5.1 (KB2972216)
Security Update for Microsoft .NET Framework 4.5.1 (KB2978128)
Security Update for Microsoft .NET Framework 4.5.1 (KB2979578v2)
Security Update for Microsoft Office 2007 suites (KB2596744) 32-Bit Edition 
Security Update for Microsoft Office 2007 suites (KB2596754) 32-Bit Edition 
Security Update for Microsoft Office 2007 suites (KB2596792) 32-Bit Edition
Security Update for Microsoft Office 2007 suites (KB2596825) 32-Bit Edition 
Security Update for Microsoft Office 2007 suites (KB2596871) 32-Bit Edition
Security Update for Microsoft Office 2007 suites (KB2596927) 32-Bit Edition 
Security Update for Microsoft Office 2007 suites (KB2597969) 32-Bit Edition
Security Update for Microsoft Office 2007 suites (KB2597973) 32-Bit Edition 
Security Update for Microsoft Office 2007 suites (KB2687439) 32-Bit Edition 
Security Update for Microsoft Office 2007 suites (KB2760411) 32-Bit Edition 
Security Update for Microsoft Office 2007 suites (KB2760415) 32-Bit Edition 
Security Update for Microsoft Office 2007 suites (KB2760585) 32-Bit Edition 
Security Update for Microsoft Office 2007 suites (KB2760591) 32-Bit Edition 
Security Update for Microsoft Office 2007 suites (KB2817330) 32-Bit Edition 
Security Update for Microsoft Office 2007 suites (KB2850022) 32-Bit Edition 
Security Update for Microsoft Office 2007 suites (KB2878233) 32-Bit Edition 
Security Update for Microsoft Office 2007 suites (KB2880507) 32-Bit Edition 
Security Update for Microsoft Office 2007 suites (KB2880508) 32-Bit Edition 
Security Update for Microsoft Office 2007 suites (KB2881069) 32-Bit Edition 
Security Update for Microsoft Office 2007 suites (KB2920790) 32-Bit Edition 
Security Update for Microsoft Office 2007 suites (KB2920792) 32-Bit Edition 
Security Update for Microsoft Office Excel 2007 (KB2984942) 32-Bit Edition 
Security Update for Microsoft Office InfoPath 2007 (KB2687440) 32-Bit Edition 
Security Update for Microsoft Office OneNote 2007 (KB2596857) 32-Bit Edition 
Security Update for Microsoft Office PowerPoint 2007 (KB2596912) 32-Bit Edition
Security Update for Microsoft Office Publisher 2007 (KB2817565) 32-Bit Edition 
Security Update for Microsoft Office Word 2007 (KB2920793) 32-Bit Edition 
Some PDF to Word Converter 2.0
Synaptics Pointing Device Driver
Update for 2007 Microsoft Office System (KB967642)
Update for Microsoft Office 2007 suites (KB2596620) 32-Bit Edition
Update for Microsoft Office 2007 suites (KB2767849) 32-Bit Edition
Update for Microsoft Office 2007 suites (KB2767916) 32-Bit Edition
Update for Microsoft Office Outlook 2007 (KB2687404) 32-Bit Edition
Update for Microsoft Office Outlook 2007 (KB2863811) 32-Bit Edition
Update for Microsoft Office Outlook 2007 Junk Email Filter (KB2920789) 32-Bit Edition
Update for Microsoft Office PowerPoint 2007 (KB2597972) 32-Bit Edition
VLC media player 2.0.1
Web Assistant 2.0.0.573
Windows Live Call
Windows Live Communications Platform
Windows Live Essentials
Windows Live Galeria de Fotos
Windows Live Messenger
Windows Live Movie Maker
WinRAR 4.11 (32-bit)
.
==== End Of File ===========================
 
Gmer.txt

 

 

GMER 2.1.19357 - http://www.gmer.net
Rootkit scan 2015-01-08 20:23:10
Windows 6.1.7601 Service Pack 1 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 ST9320325AS rev.0001SDM1 298,09GB
Running: gmer.exe; Driver: C:\Users\MARIAJ~1\AppData\Local\Temp\ugliikow.sys
 
 
---- System - GMER 2.1 ----
 
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwAlpcSendWaitReceivePort [0x87CCCCA0]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwAssignProcessToJobObject [0x87CCDDB0]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwCreateFile [0x87CCC310]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwCreateKey [0x87CCBDC0]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwCreateProcess [0x87CCD770]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwCreateProcessEx [0x87CCD670]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwCreateSection [0x87CCCFF0]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwCreateSymbolicLinkObject [0x87CCD420]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwCreateThread [0x87CCC900]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwCreateThreadEx [0x87CCDB00]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwCreateUserProcess [0x87CCDE70]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwDeleteFile [0x87CCCE60]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwDeleteKey [0x87CCC4F0]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwDeleteValueKey [0x87CCC5B0]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwDeviceIoControlFile [0x87CCCBA0]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwDuplicateObject [0x87CCC9F0]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwEnumerateValueKey [0x87CCC820]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwGetNextProcess [0x87CCDC10]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwGetNextThread [0x87CCD930]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwLoadDriver [0x87CCCAE0]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwOpenProcess [0x87CCC420]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwOpenSection [0x87CCCF20]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwOpenThread [0x87CCD860]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwProtectVirtualMemory [0x87CCD340]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwQueryValueKey [0x87CCC740]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwQueueApcThread [0x87CCDF80]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwRenameKey [0x87CCD5B0]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwRequestWaitReplyPort [0x87CCC670]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwRestoreKey [0x87CCE060]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwSetContextThread [0x87CCD4F0]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwSetInformationFile [0x87CCBF70]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwSetSecurityObject [0x87CCE130]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwSetSystemInformation [0x87CCCD90]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwSetValueKey [0x87CCC150]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwSuspendThread [0x87CCD0E0]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwSystemDebugControl [0x87CCD260]
SSDT            \??\C:\ProgramData\Trusteer\Rapport\store\exts\RapportCerberus\baseline\RapportCerberus32_80083.sys  ZwTerminateProcess [0x8BA55260]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwTerminateThread [0x87CCD1A0]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwUnmapViewOfSection [0x87CCDCF0]
SSDT            \SystemRoot\System32\drivers\Bhbase.sys                                                              ZwWriteFile [0x87CCC050]
SSDT            \??\C:\ProgramData\Trusteer\Rapport\store\exts\RapportCerberus\baseline\RapportCerberus32_80083.sys  ZwWriteVirtualMemory [0x8BA53CD0]
 
---- Kernel code sections - GMER 2.1 ----
 
.text           ntkrnlpa.exe!ZwRollbackEnlistment + 140D                                                             81A85A35 1 Byte  [06]
.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                               81ABF392 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text           ntkrnlpa.exe!KeRemoveQueueEx + 1143                                                                  81AC6628 4 Bytes  [A0, CC, CC, 87]
.text           ntkrnlpa.exe!KeRemoveQueueEx + 1153                                                                  81AC6638 4 Bytes  [b0, DD, CC, 87]
.text           ntkrnlpa.exe!KeRemoveQueueEx + 11AF                                                                  81AC6694 4 Bytes  [10, C3, CC, 87]
.text           ntkrnlpa.exe!KeRemoveQueueEx + 11BF                                                                  81AC66A4 4 Bytes  [C0, BD, CC, 87]
.text           ntkrnlpa.exe!KeRemoveQueueEx + 11E3                                                                  81AC66C8 8 Bytes  [70, D7, CC, 87, 70, D6, CC, ...]
.text           ...                                                                                                  
?               C:\Users\MARIAJ~1\AppData\Local\Temp\mbr.sys                                                         O sistema não pode encontrar o caminho especificado. !
 
---- User code sections - GMER 2.1 ----
 
.text           C:\Windows\system32\services.exe[480] ntdll.dll!LdrUnloadDll                                         7732C8DE 6 Bytes  JMP 71A8000A 
.text           C:\Windows\system32\services.exe[480] kernel32.dll!FreeLibraryAndExitThread                          76860478 5 Bytes  JMP 744D8FC8 C:\Program Files\GbPlugin\gbieh.dll
.text           C:\Windows\system32\services.exe[480] kernel32.dll!FreeLibrary                                       7686F017 6 Bytes  JMP 71AF000A 
.text           C:\Program Files\Trusteer\Rapport\bin\RapportService.exe[816] ntdll.dll!KiUserApcDispatcher          77316F98 5 Bytes  JMP 014820D0 C:\Program Files\Trusteer\Rapport\bin\RapportService.exe
.text           C:\Program Files\Trusteer\Rapport\bin\RapportService.exe[816] WS2_32.dll!getaddrinfo                 76674296 5 Bytes  JMP 71A20022 
.text           C:\Program Files\Trusteer\Rapport\bin\RapportService.exe[816] WS2_32.dll!GetAddrInfoW                76674889 5 Bytes  JMP 719E0022 
.text           C:\Program Files\Trusteer\Rapport\bin\RapportService.exe[816] WS2_32.dll!GetAddrInfoExW              7667D1EA 5 Bytes  JMP 719A0022 
.text           C:\Program Files\Trusteer\Rapport\bin\RapportService.exe[816] WS2_32.dll!gethostbyname               76687673 5 Bytes  JMP 71A60022 
.text           C:\Program Files\Trusteer\Rapport\bin\RapportService.exe[816] USER32.dll!PostThreadMessageW + 80     756AEF7C 6 Bytes  JMP 013C5D10 C:\Program Files\Trusteer\Rapport\bin\RapportService.exe
.text           C:\Program Files\Trusteer\Rapport\bin\RapportMgmtService.exe[892] ntdll.dll!KiUserApcDispatcher      77316F98 5 Bytes  JMP 00B27170 C:\Program Files\Trusteer\Rapport\bin\RapportMgmtService.exe
.text           C:\Program Files\Trusteer\Rapport\bin\RapportMgmtService.exe[892] WS2_32.dll!getaddrinfo             76674296 5 Bytes  JMP 71A50022 
.text           C:\Program Files\Trusteer\Rapport\bin\RapportMgmtService.exe[892] WS2_32.dll!GetAddrInfoW            76674889 5 Bytes  JMP 71A10022 
.text           C:\Program Files\Trusteer\Rapport\bin\RapportMgmtService.exe[892] WS2_32.dll!GetAddrInfoExW          7667D1EA 5 Bytes  JMP 719D0022 
.text           C:\Program Files\Trusteer\Rapport\bin\RapportMgmtService.exe[892] WS2_32.dll!gethostbyname           76687673 5 Bytes  JMP 71AE0022 
.text           C:\Windows\Explorer.EXE[2412] ntdll.dll!LdrUnloadDll                                                 7732C8DE 6 Bytes  JMP 71A8000A 
.text           C:\Windows\Explorer.EXE[2412] kernel32.dll!FreeLibraryAndExitThread                                  76860478 5 Bytes  JMP 744D8FC8 C:\Program Files\GbPlugin\gbieh.dll
.text           C:\Windows\Explorer.EXE[2412] kernel32.dll!FreeLibrary                                               7686F017 6 Bytes  JMP 71AF000A 
.text           C:\Windows\Explorer.EXE[2412] RPCRT4.dll!IUnknown_QueryInterface_Proxy                               76A74EAA 6 Bytes  JMP 719B000A 
.text           C:\Windows\Explorer.EXE[2412] ole32.dll!CoUnmarshalInterface                                         766EF150 6 Bytes  JMP 71A5000A 
 
---- Devices - GMER 2.1 ----
 
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                              Wdf01000.sys
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1                                                              Wdf01000.sys
 
---- Registry - GMER 2.1 ----
 
Reg             HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\70f395a94cd4                          
Reg             HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\70f395a94cd4@0021fe3d13e7             0xB4 0x22 0xDE 0xE5 ...
Reg             HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\70f395a94cd4 (not active ControlSet)      
Reg             HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\70f395a94cd4@0021fe3d13e7                 0xB4 0x22 0xDE 0xE5 ...
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\CIT\System\Active                   
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\CIT\System\Active@C56F181D          810
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Superfetch@VirtualStoreSize                        972
 
---- Files - GMER 2.1 ----
 
File            C:\ProgramData\Trusteer\Rapport\store\user\fsm_service_var_0.js.data                                 0 bytes
File            C:\Users\Maria Julia\AppData\Local\Trusteer\Rapport\user\store\user\fsm_service_var_1.js.data        0 bytes
 
---- EOF - GMER 2.1 ----
 
 
Agradeço desde já a ajuda e a atenção!

 

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá @gustav.richard

 

Seja bem-vindo ao fórum CdH. :)

 

Recomendo que salve este tópico em seus Favoritos para facilitar na hora de encontrá-lo.

 
Por favor, atente para o seguinte:
  • Caso fique sem resposta durante 3 dias, me envie uma Mensagem Privada (MP);
  • O que será passado aqui, somente será com relação ao problema do seu computador portanto, não faça mais em nenhum outro;
  • Siga, por favor, atentamente as instruções passadas e em caso de dúvidas não hesite em perguntá-las;
  • Procure sempre me manter informado, durante a remoção, sobre o que acontece com seu computador.
  • Respeite a ordem das instruções passadas.
  • Observação: Não tome outra medida além das passadas aqui; atente para que, caso peça ajuda em outro fórum, não deixe de nos informar, sob risco de desconfigurar seu computador!

 

 

Desative temporariamente seu antivírus, antispywares e firewall, para não causar conflitos.

Baixe o Farbar Recovery Scan Tool e salve na sua área de trabalho.
32 bit (x86) ou 64 bit (x64)

Dê um duplo-clique para executar a ferramenta. Aceite o contrato e depois clique no botão Scan.

Aguarde e ao final, os logs FRST.txt e Addition.txt serão salvos no seu desktop.

Anexe os logs na sua próxima resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Carlos, boa tarde!

 

Obrigado pelas boas vindas!

 

Bem vamos as instruções;

 

Num primeiro momento tentei executar o Farbar Recovery Scan Tool, porém o mesmo não executava. Aguardei aproximadamente 5 minutos na possibilidade de estar travado, porém não ele não iniciava e nem estava listado nos processos. 

 

Reiniciei o netbook e tentei executa-lo novamente, desta vez tive sucesso, porém ele só gerou o arquivo FRST.txt.

 

Carlos, outra coisa, tentei reiniciar novamente o netbook para executar a ferramenta, porém ela está sendo encerrada automaticamente.

 

Uma dúvida que tenho é referente aos pendrive infectados pelo virus, qual a forma de tratar estes equipamentos

FRST.txt

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ok,

 

worm.png Seu computador está infectado com um tipo de worm que se espalha através de qualquer tipo de dispositivo de armazenamento removível (pendrives, mp3, mp4, celulares, cartões de memória, câmeras fotográficas) e também através de outras máquinas ligadas em rede.
Para evitar que seu computador seja reinfectado, e para não infectar outros computadores, é necessário que você formate o dispositivo em questão.
Se houver mais de um, todos devem ser formatados e não devem ser utilizados em nenhum pc até que terminemos a limpeza, de modo a conseguirmos desinfectar este computador.

É recomendável que você troque todas as senhas armazenadas neste pc. Se você usou ou usa o internet banking, comunique suas instituições financeiras sobre o ocorrido e troque as senhas urgentemente.

Faça o download do Panda USB Vaccine e salve na sua área de trabalho.

  • Conecte todos os dispositivos de armazenamento removível nas portas USBs. Salve o que achar necessário, EXCETO arquivos executáveis, depois formate as mídias, indo em Meu Computador e clicando com o direito sobre a unidade da mídia, escolhendo a opção "Formatar"
  • Execute o Panda USB Vaccine
  • Vá seguindo os prompts que poderão aparecer.
  • Espere até que o programa conclua a busca e depois saia do programa.

 

1)


Baixe o McShield Anti-Malware Tool
http://www.mcshield....hield-Setup.exe

Dê um duplo-clique no MCShield-Setup.exe para instalar a ferramenta.

  • Clique no botão Next >
  • Em seguida em I Agree e novamente em Next >
  • Depois no botão Install
  • Em Language altere para Português Brasil
  • Clique no botão Run! e aguarde a varredura
  • Abra a ferramenta e na aba Escaneamentos marque também os itens "Sempre exibir itens ocultos em unidades flash" e "Modo interativo"
  • Clique em OK, em seguida conecte todos os dispositivos de armazenamento removível nas portas USBs. (pendrive, HD Externo, etc)
  • Aguarde o scan.
  • Na aba Logs clique em Save
  • Será gerado um log na sua área de trabalho. Anexe-o na sua próxima resposta.

2)

 

Baixe o Anti-VBS/VBE e salve na sua área de trabalho.
http://www.mcshield.net/download/tools/Anti-VBSVBE/Anti-VBSVBEx86.exe

Dê um duplo-clique para executar a ferramenta.

Aguarde e ao final, abrirá um bloco de notas com o resultado. Selecione, copie e cole o seu conteúdo na próxima resposta.

 

 

3)

 

Reinicie o computador e tente executar o FRST.exe, dessa vez marque a caixa Addition.txt. Anexe os logs gerados.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Carlos, boa noite!

 

Vamos aos passos informados.

 

Para evitar que seu computador seja reinfectado, e para não infectar outros computadores, é necessário que você formate o dispositivo em questão.
Se houver mais de um, todos devem ser formatados e não devem ser utilizados em nenhum pc até que terminemos a limpeza, de modo a conseguirmos desinfectar este computador.

 

Neste trecho você se refere aos pendrives ou ao micro em si? Tenho aproximadamente 5 computadores em rede. 

Nenhum pendrive que coloquei no netbook infectado estou colocando no meu micro mesmo.

Realizei um teste com um outro pendrive que tenho limpo na minha própria máquina e não foi criado nenhum atalho nada.  :bigs:

 

É recomendável que você troque todas as senhas armazenadas neste pc. Se você usou ou usa o internet banking, comunique suas instituições financeiras sobre o ocorrido e troque as senhas urgentemente.

Faça o download do 
Panda USB Vaccine e salve na sua área de trabalho.

  • Conecte todos os dispositivos de armazenamento removível nas portas USBs. Salve o que achar necessário, EXCETO arquivos executáveis, depois formate as mídias, indo em Meu Computador e clicando com o direito sobre a unidade da mídia, escolhendo a opção "Formatar"
  • Execute o Panda USB Vaccine
  • Vá seguindo os prompts que poderão aparecer.
  • Espere até que o programa conclua a busca e depois saia do programa.

Pode deixar que vou dizer pra ela ficar de olho nas faturas dela e a entrar em contato com a instituição dela.

 

No Panda USB Vaccine, fiz o seguinte:

1- Conectei os pendrives no netbook.

2- formatei ambos (sistema de arquivos FAT32, formatação rápida).

3- Abri o Panda USB Vaccine, selecionei as unidades USB e cliquei na opção "Vaccinate USB"

 

1)
 

  • Clique no botão Run! e aguarde a varredura
  • Abra a ferramenta e na aba Escaneamentos marque também os itens "Sempre exibir itens ocultos em unidades flash" e "Modo interativo"
  • Clique em OK, em seguida conecte todos os dispositivos de armazenamento removível nas portas USBs. (pendrive, HD Externo, etc)
  • Aguarde o scan.
  • Na aba Logs clique em Save
  • Será gerado um log na sua área de trabalho. Anexe-o na sua próxima resposta.

Quando abri o MCShield os pendrive já estavam conectados no netbook. Realizou o scan neles e gerou o arquivo LOG. (Irei anexar do netbook).

Após isto, removi ambos os pendrive, abri o MCSheild, conectei ambos os pendrive e ele realizou o scan, desta vez perguntou se eu queria remover o virus "tmp5a5f.tmp.vbe", cliquei em sim, e em seguida me gerou o log (irei anexar do netbook)

 

2)

 

Dê um duplo-clique para executar a ferramenta.

Aguarde e ao final, abrirá um bloco de notas com o resultado. Selecione, copie e cole o seu conteúdo na próxima resposta.

 

Gerado resultado, será anexo do netbook.

 

3)

Reinicie o computador e tente executar o FRST.exe, dessa vez marque a caixa Addition.txt. Anexe os logs gerados.

 

Reiniciei o computador e executei o FRST.exe, a caixa Addition.txt já estava maracada. Executei scan, ele não me gerou arquivo de log.

MCShield-AllScans.txt

Anti-VBSVBE.txt

Compartilhar este post


Link para o post
Compartilhar em outros sites

 

Neste trecho você se refere aos pendrives ou ao micro em si?

 

Apenas as mídias removíveis.

 

Lembrando que os procedimentos são apenas para o pc infectado (netbook)

 

Conecte os pendrive na portas USB.

 

Leia as instruções contidas neste link:
 
 
Nas instruções contidas no link acima, poderá verificar quais os fóruns onde os Analistas estão devidamente habilitados a utilizar corretamente a ferramenta:"Fóruns para receber ajuda com logs do ComboFix"

 

  • Faça o download do ComboFix de um dos links oficiais listados abaixo e salve no seu desktop:
  • Temporariamente e durante a execução destas instruções, é muito importante que mantenha desabilitados os seus programas de proteção (Antivirus, Antispyware e Firewall). Reative as proteções após a execução do(s) procedimento(s) abaixo mencionado(s).
  • Duplo clique no icone desktopicon.png que está no desktop.
  • Leia e aceite as condições, digitando 1 e enter.
  • Computadores com Windows XP deverão instalar o Console de Recuperação:

 

  • Se o seu computador tem instalado o Windows XP e ainda não tem instalado o Console de Recuperação, por favor certifique-se que está conectado à Internet, e clique em "Sim".
  • Clique em "OK" ao EULA.
  • Quando o Console de Recuperação estiver já instalado, clique em "SIM" para continuar.
  • O ComboFix será executado, por favor seja paciente e aguarde.
  • Atenção: Não utilize o mouse nem o teclado enquanto a ferramenta estiver sendo executada, isso pode fazer com que o computador pare.
  • Poderá surgir o aviso que é necessário reiniciar o computador.
NÃO REINICIE!!! O ComboFix reiniciará o computador automaticamente.
  • Quando a ferramenta terminar de rodar, gerará um log (o arquivo C:\ComboFix.txt). Copie e cole o conteúdo desse arquivo na sua próxima resposta.

 

 

 

NÃO utilize a ferramenta por conta própria. É uma ferramenta poderosa criada pra lidar com infecções sofisticadas e caso não a utilize corretamente poderá danificar o seu computador.

 

  • Existem vários malwares que impedem a execução correta da ferramenta e com isso danificar gravemente o computador. Analistas habilitados a utilizar o ComboFix conhecem esses casos e sabem lidar com estas situações.
  • Muitos dos Analistas não respondem a tópicos em que vejam que o ComboFix foi utilizado sem supervisão.
  • Existem varias ferramentas anti-malware generalistas em que os autores ao elaborarem a programação das mesmas, estão pensando nos usuários finais e para serem usadas sem supervisão. O Combofix não é uma ferramenta desse tipo, e assim sendo e até por respeito ao autor da ferramenta, não utilize sem supervisão.

 

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Carlos boa tarde!

 

Pode deixar que os procedimentos estão sendo realizados somente aqui pelo netbook.

 

Utilização do Combofix foi exatamente como mostrada no link que você passou.

 

Segue log.

ComboFix.txt

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ok,
 
Temporariamente e durante a execução destas instruções, é muito importante que mantenha desabilitados os seus programas de proteção (Antivírus, Antispyware e Firewall). Reative as proteções após a execução do(s) procedimento(s) abaixo mencionado(s).
 
Abra o seu Bloco de Notas, copie (control + c) e cole (control + v) todo o texto que está dentro do "Código":
 

ClearJavaCache::Driver::BprotectExPCFApiUtilBhbaseFolder::c:\program files\Baidu SecurityFile::c:\windows\System32\drivers\BprotectEx.sysc:\windows\System32\drivers\Bhbase.sysADS::
  • Salve este arquivo como: CFScript.txt
  • Tal com exemplificado na animação abaixo, arraste o arquivo CFScript.txt para dentro do ComboFix.exe. Quando a ferramenta terminar de rodar, gerará um log. Anexe esse arquivo C:\ComboFix.txt.

2872959479_997d4500c4_o.gif

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ok,

 

1)
 
Baixe o AdwCleaner e salve no desktop.
https://toolslib.net/downloads/finish/1/

Execute o arquivo adwcleaner.exe

*** Usuários do Windows Vista ou Windows 7 clique com o direito sobre o arquivo adwcleaner.exe, depois clique em execadmin.png.

Clique no botão Examinar e aguarde o exame finalizar.

Clique no botão Limpar.

Abrirá um bloco de notas com o resultado. Anexe o log na sua próxima resposta.

NOTA: Se o AdwCleaner encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC. Faça isso imediatamente, ao ser perguntado se quer reiniciar o PC.
 
2)

 

Baixe o Malwarebytes' Anti-Malware (MBAM)
http://malwarebytes....am-download.php

Dê um duplo-clique no mbam-setup.exe, para a instalação.

  • Desmarque a caixa Ativar trial gratuito do MalwareBytes Anti-Malware PRO.
  • Verifique se as caixas Atualizar Malwarebytes Anti-Malware (se houver) e Executar Malwarebytes Anti-Malware estão marcadas e clique então, em Concluir.
  • Se houver atualizações a serem feitas, serão baixadas e instaladas.
  • Ao final da atualização, caso o programa tenha sido instalado em Inglês, com o programa aberto, clique em Settings e no campo Language mude para Portuguese (Brasil).
  • Ainda na tela de Configurações, clique em Detecção e proteção, marque Verificar por Rootkits. Em Detecções PUP (programas potencialmente indesejados):, selecione Tratar detecções como malware.
  • Clique em Verificar em seguida Verificar ameaça por fim clique em Verificar agora.
  • Começará então o exame. Aguarde, pois pode demorar.
  • Ao acabar o exame, se houver ítens encontrados, clique no botão Mover todos para a Quarentena..
  • Clique em Aplicar ações.
  • Ao final da desinfecção, poderá aparecer um aviso se quer reiniciar o PC. (Ver Nota abaixo)
  • O log é automaticamente salvo pelo MBAM e para vê-lo, clique na aba Histórico -> Logs de aplicativos na janela principal do programa. Utilize o formato .txt para exportar o log.
  • Anexe o log na sua próxima resposta..

NOTA: Se o MBAM encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC (talvez mais de uma vez). Faça isso imediatamente, ao ser perguntado se quer reiniciar o PC.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Carlos, 

 

Baixei o Adwcleaner e ele não rodava, tentei fechar todas as janelas e mesmo assim ele não funcionava, reiniciei o netbook e ele rodou.

Depois de rodando por um tempo rodando o Adwcleaner foi encerrado automaticamente e não me gerou nenhum arquivo de log. (tentando executar como administrador) Tentei olhar nos processos pra ver se ele ainda estava aberto mas nenhum sinal dele... Tentei abrir ele novamente e ele não abria e reiniciei novamente e executei novamente. Mais uma vez ele encerrou sozinho no inicio da verificação.

 

Continuo com o segundo passo ?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ok,

 

Desative temporiariamente seu AntiVirus

  • Segure o botão Ctrl e clique neste link para abrir o ESET Online Scanner em uma nova janela.
  • Clique neste botão: j9Byf.png?1
  • Para navegadores alternativos: (Caso use o Internet Explorer, pule esta etapa)esetsmartinstaller_enu.png
    • Clique em esetsmartinstaller_enu.exe para baixar o ESET Smart Intaller. Salve-o em seu desktop.
    • Duplo clique no ícone em seu desktop.
  • Marque "YES, I accept the Terms of Use."
  • Clique em Start.
  • Aceite qualquer aviso de segurança de seu browser.
  • Em scan settings, marque "Scan Archives" e "Remove found threats"
  • Clique em Advanced settings e marque o seguinte:
    • Scan potentially unwanted applications
    • Scan for potentially unsafe applications
    • Enable Anti-Stealth technology
  • Clique Change e marque também a caixa Computador.
  • Clique em Start.
  • Ele vai atualizar por conta própria, e escanear o computador. Tenha paciência, o processo pode demorar horas.
  • Quando o scan terminar, clique em List of found threats
  • Clique em Export to text file e salve o log na sua área de trabalho.
  • Clique em Back.
  • Clique em Finish.
  • Anexe o conteúdo do log.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ok,

 

Para finalizar:
 
# Etapa nº 1 #

 

Vamos desinstalar o ComboFix:
 
Renomeie o combofix.exe para uninstall.exe, clique duas vezes nele e aguarde o programa ser removido.
 

# Etapa nº 2 #
 
Baixe o Delfix by Xplode e salve na sua área de trabalho.

Dê dois cliques no delfix.exe para executá-lo. Marque as caixas conforme imagem.

** Usuários do Windows Vista ou Windows 7 clique com o direito sobre o arquivo delfix.exe, depois clique em execadmin.png.

2mez6ld.png

Clique no botão Executar.

Ao final será gerado um log, mas não é necessário postar.

 

# Etapa nº 3 #

 

Atualize o Java.
 
Atenção: Desinstale TODAS as versões antigas do Java.

  • Feche todos os programas especialmente o seu Navegador (IE, Firefox etc).
  • Acesse o site Java para Windows
  • Clique em 4531602912_e9606174d3_o.gif
  • Na janela que surgir clique em Executar;
  • Siga os procedimentos de instalação.

 
# Etapa nº 4 #
 
<<@>> Instale o CCleaner
 
O CCleaner é um excelente utilitário de limpeza para o computador, que lhe ajudará no desempenho do computador. Faça o download dele aqui CCleaner

 

IMPORTANTE: Após a instalação vá até o local onde o programa foi instalado, C:\Arquivos de programas\CCleaner, clique duas vezes na pasta, numa área vazia desta janela, clique com o botão direito do mouse e escolha Novo > pasta e crie uma nova pasta; coloque o nome de backups!

  • Abra o programa e clique em Executar Limpeza;

Obs: Não se esqueça de aceitar o backup das correções, e salvá-los nas pasta criada acima! Não recomendo a limpeza do registro, isso poder deixa o sistema inoperante.

 

 

<<@>> Mantenha sempre seu Windows atualizado; mantenha uma vigilância constante com o firewall e antivírus e por fim, lembre-se que, a melhor forma de prevenir começa pelas nossas atitudes!
 
Abraços. thumbsup.gif

Compartilhar este post


Link para o post
Compartilhar em outros sites

Problema resolvido!

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança do Fórum solicitando o desbloqueio.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×