Ir ao conteúdo
  • Cadastre-se
Entre para seguir isso  
ifuregato

Virtumonde maldito!!!! Ajuda na remoção

Recommended Posts

beleza gente!

Meu caso é como muitos outros que vi por aqui....mas como percebi que as soluções variam muito decidi criar esse tópico...

Bom, o sbybot achou o tal do virtumonde no meu pc...ai ele tira mas só reiniciar que ele volta deixando o pc "instável", fechando janelas e, no auge, com tela preta, sem aparecer o desktop apesar dos programas abertos rodarem.

Peço, por favor, que alguem me ajuda a resolver esse problema.

Log do HijackThis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:31:44, on 8/7/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Documents and Settings\Administrador\winlogon.exe

C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMIndexStoreSvr.exe

C:\Arquivos de programas\Analog Devices\Core\smax4pnp.exe

C:\Arquivos de programas\RocketDock\RocketDock.exe

C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Arquivos de programas\honestech\honestech TVR 2.5\scheduleTV.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\IoctlSvc.exe

C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMIndexingService.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\rundll32.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.com.br/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

O4 - HKLM\..\Run: [Windows Logon Applicationedc] C:\Documents and Settings\Administrador\winlogon.exe

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Arquivos de programas\Creative\Shared Files\CAMTRAY.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [indxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020

O4 - HKCU\..\Run: [soundMAXPnP] C:\Arquivos de programas\Analog Devices\Core\smax4pnp.exe

O4 - HKCU\..\Run: [RocketDock] "C:\Arquivos de programas\RocketDock\RocketDock.exe"

O4 - HKCU\..\Run: [nwiz] nwiz.exe /install

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: TVR Scheduler.lnk = C:\Arquivos de programas\honestech\honestech TVR 2.5\scheduleTV.exe

O8 - Extra context menu item: Baixar link usando &BitComet - res://C:\Arquivos de programas\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: Baixar todos os links usando BitComet - res://C:\Arquivos de programas\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Baixar todos os vídeos usando BitComet - res://C:\Arquivos de programas\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Arquivos de programas\BitComet\tools\BitCometBHO_1.2.2.28.dll/206 (file missing)

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211312829093

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1211325083343

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Arquivos de programas\Microsoft Office\Office12\GrooveSystemServices.dll

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

--

End of file - 7298 bytes

valeu pela atenção..

Compartilhar este post


Link para o post
Compartilhar em outros sites

problemas com virtumonde tb...

uma semana pesquinsando sobre essa praga

ja deletei 300 arquivos dll. q ele crio ta fods...

log spyware teminator:

Logfile of Spyware Terminator v2.2.3.444 (db:2.007.009.000)

Scan Time: 9/7/2008 20:06:29 length: 1619 s

Platform: WXP (5.1.0.2600)

User: Admin

Boot Mode: Normal

Scan type: %Custom_Scan%

Scanned Objects: 111147 (Critical:0)

Filter: No System items, No Safe items, No Invalid items

Running Processes

pavsrv51.exe [Panda Software International] : C:\Arquivos de programas\Panda Software\Panda Platinum 2006 Internet Security\pavsrv51.exe

AVENGINE.EXE [Panda Software International] : C:\Arquivos de programas\Panda Software\Panda Platinum 2006 Internet Security\AVENGINE.EXE

SnAgOS.exe [Open Communications Security S/A] : C:\WINDOWS\system32\SnAgOS.exe

gbpsv.exe : C:\Arquivos de programas\GbPlugin\gbpsv.exe

mdm.exe [Microsoft Corporation] : C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

PsCtrls.exe [Panda Software International] : C:\Arquivos de programas\Panda Software\Panda Platinum 2006 Internet Security\PsCtrls.exe

PavFnSvr.exe [Panda Software International] : C:\Arquivos de programas\Panda Software\Panda Platinum 2006 Internet Security\PavFnSvr.exe

pavprsrv.exe [Panda Software] : C:\Arquivos de programas\Arquivos comuns\Panda Software\PavShld\pavprsrv.exe

pskmssvc.exe [Panda Software International] : C:\Arquivos de programas\Panda Software\Panda Platinum 2006 Internet Security\AntiSpam\pskmssvc.exe

PSHOST.EXE [Panda Software International] : C:\Arquivos de programas\panda software\panda platinum 2006 internet security\firewall\PSHOST.EXE

psimsvc.exe [Panda Software International] : C:\Arquivos de programas\Panda Software\Panda Platinum 2006 Internet Security\psimsvc.exe

SnMgrSvc.exe [Open Communications Security S/A] : C:\WINDOWS\system32\SnMgrSvc.exe

SnLiveUp.exe : C:\WINDOWS\system32\SnLiveUp.exe

APVXDWIN.EXE [Panda Software International] : C:\Arquivos de programas\Panda Software\Panda Platinum 2006 Internet Security\APVXDWIN.EXE

SRVLOAD.EXE [Panda Software International] : C:\Arquivos de programas\Panda Software\Panda Platinum 2006 Internet Security\SRVLOAD.EXE

WebProxy.exe [Panda Security International] : C:\Arquivos de programas\Panda Software\Panda Platinum 2006 Internet Security\WebProxy.exe

PavBckPT.exe [Panda Software International, S.L.] : C:\Arquivos de programas\Panda Software\Panda Platinum 2006 Internet Security\PavBckPT.exe

SnEngine.EXE [Open Communications Security S/A] : C:\WINDOWS\system32\SnEngine.EXE

psimreal.exe [Panda Software International] : C:\Arquivos de programas\Panda Software\Panda Platinum 2006 Internet Security\psimreal.exe

Internet Settings

R - HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar = http://www.google.com/ie

R - HKLM\Software\Microsoft\Internet Explorer\Main, Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

R - HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant = http://www.google.com/ie

R - HKLM\Software\Microsoft\Internet Explorer\Search, CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm

R - HKLM\System\CurrentControlSet\Services\Tcpip\Parameters, Domain =

R - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Telephony, DomainName =

BHO

02 - BHO: - {3868b584-4dbb-450f-a0dd-623cf90d7b94} - : C:\WINDOWS\system32\cxgsel.dll

02 - BHO: - {3F0E0DCD-278B-4799-88CF-02F200E58A57} - : C:\WINDOWS\system32\efcCvVnN.dll

02 - BHO: - {498414B2-E755-4161-AA98-25A74CC17679} - : C:\WINDOWS\system32\wvUmljkI.dll

02 - BHO: GbIehObj Class - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - [Caixa Economica Federal] : C:\Arquivos de programas\GbPlugin\gbiehcef.dll

StartUps

04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, APVXDWIN : [Panda Software International] : C:\Arquivos de programas\Panda Software\Panda Platinum 2006 Internet Security\APVXDWIN.EXE

04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, SCANINICIO : [Panda Software International] : C:\Arquivos de programas\PANDA SOFTWARE\PANDA PLATINUM 2006 INTERNET SECURITY\INICIO.EXE

04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, 104b576e : : C:\WINDOWS\system32\blojqkom.dll

04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, BM137864f2 : : C:\WINDOWS\system32\nxuidlln.dll

04 - Startup: : C:\Documents and Settings\user\Menu Iniciar\Programas\Inicializar\desktop.ini

04 - Startup: : C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\desktop.ini

Shell Extensions

KodakShellExtension - {acb4a560-3606-11d3-aef4-00104bd0f92d} - [Eastman Kodak Company] : C:\Arquivos de programas\Arquivos comuns\KODAK\IFSCore\kodakshx.dll

WinRAR - {B41DB860-8EE4-11D2-9906-E49FADC173CA} - : C:\Arquivos de programas\WinRAR\rarext.dll

WinZip - {E0D79304-84BE-11CE-9641-444553540000} - [WinZip Computing LP] : C:\Arquivos de programas\WinZip\WZSHLSTB.DLL

WinZip - {E0D79305-84BE-11CE-9641-444553540000} - [WinZip Computing LP] : C:\Arquivos de programas\WinZip\WZSHLSTB.DLL

WinZip - {E0D79306-84BE-11CE-9641-444553540000} - [WinZip Computing LP] : C:\Arquivos de programas\WinZip\WZSHLSTB.DLL

WinZip - {E0D79307-84BE-11CE-9641-444553540000} - [WinZip Computing LP] : C:\Arquivos de programas\WinZip\WZSHLSTB.DLL

Extensão de ícone de arquivo do Outlook - {0006F045-0000-0000-C000-000000000046} - [Microsoft Corporation] : C:\Arquivos de programas\Microsoft Office\Office10\OLKFSTUB.DLL

Panda Antivirus

Compartilhar este post


Link para o post
Compartilhar em outros sites

agora deletei duas chaves no resgistro

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\104b576e

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BM137864f2

onde tinha as duas .dll (blojqkom.dll e nxuidlln.dll) que (acho eu) q o virtumonde criou

pelo menos agora nao aparece mais duas .dll novas no msconfig sendo inicialiazada, nem 2 rundll32 sendo exutado no gerenciador de tarefas

importante lembrar q essas duas .dll ainda existem na pasta system32

pelo menos agora o pc ta rodando direitinho

o problema é q o pc fica tentando abrir uma janela da internet sozinhu

temo eu q seja aquela porcaria d GLADIATUS q ajuda a rodar o virtumonde

por equanto ela ta sendo bloqueada pelo spyware terminator...dae td bm

so q nao consigo parar d fazer ela abrir...

penso eu q se resolver isso... fica 100% o pc

se alguem puder ajudar

OBRIGADO!!!

Compartilhar este post


Link para o post
Compartilhar em outros sites

baixei o SuperAntiSpyware e ele tiro todos as entradas do registro e dll...parece que deu certo...passei depois e não acuso mais nada após reiniciar o pc

para quem quiser testa o link p/ download:

http://baixaki.ig.com.br/download/SuperAntiSpyware-Free.htm

valeu...

Compartilhar este post


Link para o post
Compartilhar em outros sites
Entre para seguir isso  





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×