Ir ao conteúdo
  • Cadastre-se
caioaoque

Socorro por favor... Virus potente pegou-me pelo pendrive =/...

Recommended Posts

Olá, bom sou novo por aqui, mas ja chego implorando ajuda... porque dessa vez apareceu um virus q ferro bem o pc...

É um tal de msnbootdb.exe tem um tópico sobre ele aqui, mas a solução não funcionou pra mim... e eu nao sei se eu tinha q escrever nakele topico ou criar outro...

Bom... eu nao consigo usar o tal do combofix... da aquelas tela azul do xp q reinicia a makina automaticamente...

Eu consegui deletar já o msnbootdb.exe...

+ queria uma ajuda pra desfazer as alterações q ele fez no meu pc, como desabilitar gerenciador de tarefas, regedit e impedir acesso a um monte de sites...

Boma maioria das coisas eu consegui resolver... só ta + difícil essa parte de nao entrar em um monte d sites (o link q passaram do combofix é um deles) e também nao entra no modo de segurança...

Alguém sabe o que + esse virus faz e como resolver esses problemas???

só o format mesmo pra resolver será?

vou posta um log do hijack caso precisem ou tenha alguma outra coisa ae:

Logfile of HijackThis v1.99.1

Scan saved at 23:51:32, on 28/08/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\csrss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

E:\ARQUIV~1\GbPlugin\GbpSv.exe

E:\WINDOWS\system32\spoolsv.exe

E:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

E:\WINDOWS\system32\nvsvc32.exe

E:\WINDOWS\system32\HPZipm12.exe

E:\Arquivos de programas\SigmaTel\C-Major Audio\WDM\STacSV.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\Explorer.EXE

E:\WINDOWS\system32\ctfmon.exe

E:\WINDOWS\sttray.exe

E:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe

E:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe

E:\Arquivos de programas\Messenger\msmsgs.exe

E:\Arquivos de programas\SpeedFan\speedfan.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\system32\wbem\wmiprvse.exe

E:\Arquivos de programas\Windows Live\Messenger\usnsvc.exe

E:\WINDOWS\system32\wuauclt.exe

E:\Arquivos de programas\Internet Explorer\iexplore.exe

E:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WLLoginProxy.exe

E:\Arquivos de programas\Adobe\Reader 8.0\Reader\AcroRd32.exe

E:\Meus documentos\Meus arquivos recebidos\HiJack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - E:\Arquivos de programas\Scpad\scpsssh2.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - E:\ARQUIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - E:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll

O2 - BHO: G-Buster Browser Defense ABN AMRO - {C41A1C0E-EA6C-11D4-B1B8-444553540007} - E:\ARQUIV~1\GbPlugin\gbiehabn.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - E:\ARQUIV~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [sigmatelSysTrayApp] sttray.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [sunJavaUpdateSched] "E:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "E:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "E:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - Startup: SpeedFan.lnk = E:\Arquivos de programas\SpeedFan\speedfan.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://E:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Arquivos de programas\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} (GbPluginObj Class) - https://wwws.realsecureweb.com.br/mpr/plugin/Cab/GbPluginABN.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - E:\ARQUIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - E:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - E:\ARQUIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: GbPluginAbn - E:\ARQUIV~1\GbPlugin\gbiehabn.dll

O20 - Winlogon Notify: GbPluginBb - E:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - E:\WINDOWS\system32\WPDShServiceObj.dll

O21 - SSODL: CompIBBrd - {A3717295-941D-416F-9384-ED1736729F1C} - E:\Arquivos de programas\Scpad\scpLIB.dll

O23 - Service: InCD Helper (InCDsrv) - Nero AG - E:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\system32\HPZipm12.exe

O23 - Service: ServiceLayer - Nokia. - E:\Arquivos de programas\Arquivos comuns\PCSuite\Services\ServiceLayer.exe

O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - E:\Arquivos de programas\SigmaTel\C-Major Audio\WDM\STacSV.exe

valeu ae.

Compartilhar este post


Link para o post
Compartilhar em outros sites
só o format mesmo pra resolver será?

O Pc de um primo meu recebeu esse virus também,

e elogios a parte ele é "O Virus"...

Não adianta formatar :(

Ele se aloja na Trilha zero do HD

e essa trilha proporciona estabilidade ao HD e não é formatada junta as outras

ou seja...quando você formatar e re-instalar o sistema operacional ele vai ler a trilha zero e carregar o virus novamente para a memoria.

Não seria o virus Festas.exe ? (win24dll.exe ?)

A unica forma de remove-lo é retirando ele da pasta,

o problema é que ele se encontra oculto e tambem retirou a opção de mostrar pastas ocultas.

você já tentou usar o KILLBOX ?

eu tentei e não consegui ( não era aplicativo valido)

Se você instalar o windows Defender você conseguiu bloquear algumas funções desse virus ( e descobrir o nome dele tambem) !!!

Sua maquina trava direto com o Led vermelho do HD sempre ligado ?

Compartilhar este post


Link para o post
Compartilhar em outros sites

... Não... não pode ser verdade isso... Poutz se ta falando sério???

então se eu quiser me livrar desse virus eu tenho q trocar o hd???

Não tem um jeito de tirar, sei la fazendo uma formatação em baixo nível ou zerofill... nao sei ao certo o que é isso + já ouvi falar...

outra coisa...

não entendi essa parte aqui...

Não seria o virus Festas.exe ? (win24dll.exe ?)

E eu não sei a resposta do led pois não reparei nisso e agora nao estou no meu pc... vou ver quando der...

+ por favor... esteja enganado...

valeu...

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ix... eu postei no lugar errado???

eu devia ter postado no fórum de Remoção de Malwares ???

Tem como mover o tópico pra lá?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá Caio! Não precisa formatar o computador por causa de vírus, esta é a última opção a ser tomada, só quando não sobrar mais nenhuma outra alternativa.

Siga as dicas deste tutorial:

Dicas para remover os vírus e outros tipos de malwares

Depois disso, faça o download do HostsXpert:

http://www.majorgeeks.com/downloadget.php?id=4626&file=9&evp=b85be049cd06b2668e475d32de456022

Descompacte, abra o Programa, execute o arquivo HostsXpert.exe, clique em “Restore Microsoft's Hosts File” e aperte em OK.

Finalize o Programa.

Depois de seguir os passos acima nos diga, por gentileza, se o problema foi resolvido e como está o seu computador depois de seguir estes procedimentos. Ficamos no aguardo de sua resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Olá Caio! Não precisa formatar o computador por causa de vírus, esta é a última opção a ser tomada, só quando não sobrar mais nenhuma outra alternativa.

Siga as dicas deste tutorial:

Dicas para remover os vírus e outros tipos de malwares

Depois disso, faça o download do HostsXpert:

http://www.majorgeeks.com/downloadget.php?id=4626&file=9&evp=b85be049cd06b2668e475d32de456022

Descompacte, abra o Programa, execute o arquivo HostsXpert.exe, clique em “Restore Microsoft's Hosts File” e aperte em OK.

Finalize o Programa.

Depois de seguir os passos acima nos diga, por gentileza, se o problema foi resolvido e como está o seu computador depois de seguir estes procedimentos. Ficamos no aguardo de sua resposta.

valeu... vou testar o domingo porque vai ser o unico dia q vou ter um tempo... brigadão...

Compartilhar este post


Link para o post
Compartilhar em outros sites
valeu... vou testar o domingo porque vai ser o unico dia q vou ter um tempo... brigadão...

cara to fazendo esse tutorial ainda porque ele é bem grande...

+ parece q ta funcionando sim... acho q meu pc já ta normal...

vou fazer o resto das coisas q você falou só pra concluir o procedimento...

valeu ae brigadão

Compartilhar este post


Link para o post
Compartilhar em outros sites

Bem a principio é simples, não dá pra evitar de se pegar virus num pendrive, pois os mesmo não possuem qqer trava de proteção como é o caso dos disquetes.

Mas, há uma pequena solução que eu desenvolvi e que de repente pode ser uma ajuda.

vocês sabem que o próprio sistema operacional MS-DOS, Windows 98se, XP, VISTA, 7, 2000, NT, etc, possuem uma filosofia simples que é :

Não é possível ter dois arquivos com o mesmo NOME e extensão na mesma pasta ou unidade.

Bom, os virus de um modo geral quando se copiam para alguma unidade não conseguem se autoinstalar sozinhos, isso é uma regra.

O MS-DOS tinha um arquivo do sistema chamado AUTOEXEC.BAT, que quando o sistema era reinicializado, este autoexec era carregado na memoria e executado primeiro, executando todas as instruçoes para facilitar a vida dos seus usuários.

O Windows tambem tem um auto-executor chamado AUTORUN.INF que é colocado dentro dos cds e dvds de programas instaladores de periféricos como impressoras, scanners, webcam, etc. e assim quando o cd (por exemplo) é colocado numa unidade, o próprio WINDOW se encarrega de carregar o programa chamado SETUP.EXE ou CONFIG.EXE ou INSTALL.EXE, etc...

-BOM sabendo disso os criadores de vírus, provavelmente, copiam seus códigos para a unidade a ser infectada e criam um arquivo chamado AUTORUN.INF que é um arquivo texto simples, com um comando chamando o vírus e a partir daí a máquina passa a ser infectada pelo vírus em questão!

A SOLUÇÃO É SIMPLES crie uma pasta com o nome chamado AUTORUN.INF na unidade que voce quer proteger isso fara com que o vírus, não consiga se autoexecutar e o seu antivirus (seja ele o AVAST, AVIRA, MCFEE, VIRUSCAN, WINDEFENDER, WIN. SECURITY, AVG, etc) posso ter tempo de detectar o arquivo infectado e elimina-lo a tempo.

Um abraço e boa sorte!

Editado por gandalfnho
Remoção do e-mail

Compartilhar este post


Link para o post
Compartilhar em outros sites

pode se tanbem recriar a particao do pendrive , e na sequencia adotar esse procedimento do professor ai que e interessante e tem topico em destaque comentando na area de pendrives.

att

Compartilhar este post


Link para o post
Compartilhar em outros sites

Postagem de logs não são permitidas nesta seção.

Como o tópico é muito antigo, vou apenas fecha-lo. Quando verem um tópico contendo logs denunciem-o para a equipe de moderação através do botão denunciar.gif ao invés de responder.

Certo de sua compreensão.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×