Ir ao conteúdo
  • Cadastre-se
fabianoribeirotk

Problemas com autorun.inf

Recommended Posts

bom galera

meu nod 32 pegou esse virus ai e mostra

C:\autorun.inf e o tbem d:autorun.inf

threat:

inf/autorun.gen trojan

information:

cleaned by deleting quarantined

meu log é esse

Logfile of HijackThis v1.99.1

Scan saved at 14:23:07, on 27/10/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\VTTimer.exe

C:\Arquivos de programas\VIA\VIAudioi\HDADeck\HDeck.exe

C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\egui.exe

C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\DAEMON Tools Lite\daemon.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe

D:\Arquivos de programas\eMule\emule.exe

C:\Arquivos de programas\MessengerDiscovery\MessengerDiscovery Live.exe

C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\System32\alg.exe

C:\ARQUIV~1\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Documents and Settings\Ribeiro\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com.br/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: G-Buster Browser Defense ABN AMRO - {C41A1C0E-EA6C-11D4-B1B8-444553540007} - C:\WINDOWS\Downloaded Program Files\gbiehabn.dll

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [HDAudDeck] C:\Arquivos de programas\VIA\VIAudioi\HDADeck\HDeck.exe 1

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [egui] "C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\RunOnce: [spybotDeletingA7897] command /c del "C:\WINDOWS\SchedLgU.Txt"

O4 - HKLM\..\RunOnce: [spybotDeletingC8540] cmd /c del "C:\WINDOWS\SchedLgU.Txt"

O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Arquivos de programas\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [AdVantage] "C:\Arquivos de programas\AdVantage\AdVantage.exe"

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [eMuleAutoStart] D:\Arquivos de programas\eMule\emule.exe -AutoStart

O4 - HKCU\..\RunOnce: [spybotDeletingB7463] command /c del "C:\WINDOWS\SchedLgU.Txt"

O4 - HKCU\..\RunOnce: [spybotDeletingD1879] cmd /c del "C:\WINDOWS\SchedLgU.Txt"

O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} (GbPluginObj Class) - https://wwws.realsecureweb.com.br/mpr/plugin/Cab/GbPluginABN.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: GbPluginAbn - C:\WINDOWS\Downloaded Program Files\gbiehabn.dll

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\ekrn.exe

por favor ajudem

muito grato desde já

fabiano

Compartilhar este post


Link para o post
Compartilhar em outros sites

Fábio, eu peguei uma droga dessas no meu Pendrive essa semana. Foi detextado tanto no Antivir como no NOD32 um virus, infectando o "autorun.inf". Tentei de tudo: formatei o pendrive (nada), deletei o autorun (nada), reeditei o autorun (nada), usei vários programas que prometiam resolver, NADA! Todas as vezes que eu colocava algum pendrive ele acusava, resumindo, infectou 2 pendrivers. Reolvi usando apenas 2 programas. Vou te passar os detalher de como eliminar essa praga, espero que ajude ok? Abraço.

1º baixe o ComboFix;

2º execute (alguns falam para dar um STOP no autorun do Windows (unidades removíveis, mas não fiz, e mesmo assim resolvido);

3º após o fim do processo do ComboFix, ele vai salvar um LOG, o meu ficou assim...

***************************************************************

ComboFix 08-11-02.05 - Synthetik Form 2008-11-03 13:35:21.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.520 [GMT -3:00]

Executando de: d:\programas\UTILITARIOS\ComboFix.exe

* Criado um novo ponto de restauro

ATENÇAO - ESTA MAQUINA NAO TEM O CONSOLE DE RECUPERAÇÃO INSTALADA !!

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\msvrc20.dll

c:\windows\system32\msvcsv60.dll

G:\autorun.inf

.

(((((((((((((((( Arquivos/Ficheiros criados de 2008-10-03 to 2008-11-03 ))))))))))))))))))))))))))))

.

2008-11-03 12:50 . 2008-11-03 12:50 <DIR> d-------- c:\documents and settings\Synthetik Form\Dados de aplicativos\ESET

2008-11-03 12:47 . 2008-11-03 12:47 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\ESET

2008-11-03 12:47 . 2008-11-03 12:47 <DIR> d-------- c:\arquivos de programas\ESET

2008-11-03 03:38 . 2008-11-03 03:47 <DIR> d-------- c:\arquivos de programas\AutorunRemover

2008-11-03 00:54 . 2008-11-03 03:26 <DIR> d-------- C:\LinhaDefensiva

2008-11-02 16:57 . 2008-11-02 16:57 5,632 --ahs---- c:\windows\Thumbs.db

2008-11-01 02:31 . 2008-11-01 02:31 1,720,086 --a------ c:\windows\system32\TmpA241890

2008-10-30 20:32 . 2008-10-30 20:32 <DIR> d-------- c:\arquivos de programas\Tone2

2008-10-30 20:26 . 2008-10-30 20:26 <DIR> d-------- c:\arquivos de programas\Kjaerhus Audio

2008-10-30 16:13 . 2008-10-30 16:13 <DIR> d-------- c:\arquivos de programas\Future Music

2008-10-29 00:32 . 2008-10-29 00:32 <DIR> d-------- c:\documents and settings\Synthetik Form\Dados de aplicativos\IObit

2008-10-29 00:26 . 2008-10-29 00:26 <DIR> d-------- c:\arquivos de programas\IObit

2008-10-20 01:15 . 2008-10-20 01:15 <DIR> d--h----- c:\windows\PIF

2008-10-18 18:20 . 2008-10-18 18:20 <DIR> d-------- c:\documents and settings\Synthetik Form\Dados de aplicativos\Juce VST Host

2008-10-17 00:24 . 2008-10-17 00:30 <DIR> d-------- c:\arquivos de programas\IndustrialTones

2008-10-16 03:40 . 2008-10-30 20:29 <DIR> d-------- c:\documents and settings\Synthetik Form\Dados de aplicativos\Koblo

2008-10-08 16:33 . 2008-10-30 20:28 <DIR> d-------- c:\arquivos de programas\Koblo

2008-10-07 03:10 . 2008-10-07 03:11 <DIR> d-------- c:\windows\system32\Adobe

2008-10-07 02:42 . 2008-10-07 02:42 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\NOS

2008-10-07 02:42 . 2008-10-07 02:42 <DIR> d-------- c:\arquivos de programas\NOS

2008-10-07 02:17 . 2008-10-07 02:32 <DIR> d-------- c:\arquivos de programas\Bonjour

2008-10-07 02:09 . 2008-10-07 02:09 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\Macrovision Shared

2008-10-03 00:14 . 2008-10-31 19:50 <DIR> d-------- c:\arquivos de programas\Delta Force - Black Hawk Down

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-03 06:26 --------- d--h--w c:\arquivos de programas\InstallShield Installation Information

2008-11-03 05:12 --------- d-----w c:\arquivos de programas\eMule

2008-11-01 13:54 --------- d-----w c:\arquivos de programas\VstPlugins

2008-11-01 05:35 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Spybot - Search & Destroy

2008-11-01 05:35 --------- d-----w c:\arquivos de programas\Image-Line

2008-11-01 05:14 --------- d-----w c:\arquivos de programas\Sonic Foundry

2008-11-01 03:35 --------- d-----w c:\arquivos de programas\Puxa Rápido

2008-10-23 14:53 --------- d-----w c:\arquivos de programas\Soulseek

2008-10-18 09:14 --------- d-----w c:\documents and settings\Synthetik Form\Dados de aplicativos\AVI ReComp

2008-10-18 02:53 --------- d-----w c:\arquivos de programas\IK Multimedia

2008-10-17 03:02 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\IK Multimedia

2008-10-07 06:10 --------- d-----w c:\arquivos de programas\Arquivos comuns\Adobe

2008-10-04 16:14 --------- d-----w c:\arquivos de programas\Spybot - Search & Destroy

2008-10-01 04:17 46,548 ----a-w c:\windows\BricoPackUninst.cmd

2008-10-01 04:17 2,164 ----a-w c:\windows\BricoPackFoldersDelete.cmd

2008-09-30 22:56 --------- d-----w c:\arquivos de programas\LUXONIX

2008-09-18 16:32 219,648 ----a-w c:\windows\system32\uxtheme.dll

2008-09-17 05:33 --------- d-----w c:\arquivos de programas\microsoft frontpage

2008-09-16 23:37 --------- d-----w c:\documents and settings\Synthetik Form\Dados de aplicativos\Orbit

2008-09-16 19:34 324,608 ----a-w c:\windows\system32\libsndfile.dll

2008-09-12 19:21 --------- d-----w c:\arquivos de programas\Steinberg

2008-09-10 17:26 --------- d-----w c:\arquivos de programas\Corel

2008-09-10 17:26 --------- d-----w c:\arquivos de programas\Arquivos comuns\Corel

2008-09-02 12:36 88 --sh--r c:\documents and settings\All Users\Dados de aplicativos\87709AB702.sys

2008-09-02 12:36 2,828 --sha-w c:\documents and settings\All Users\Dados de aplicativos\KGyGaAvL.sys

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"HDAudDeck"="c:\arquivos de programas\VIA\VIAudioi\HDADeck\HDeck.exe" [2007-05-11 790528]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"ISUSPM Startup"="c:\arquivos de programas\Arquivos comuns\InstallShield\UpdateService\ISUSPM.exe" [2005-08-11 249856]

"ISUSScheduler"="c:\arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]

"UnlockerAssistant"="c:\arquivos de programas\Unlocker\UnlockerAssistant.exe" [2006-09-07 15872]

"CloneCDTray"="c:\arquivos de programas\SlySoft\CloneCD\CloneCDTray.exe" [2005-05-19 57344]

"AnyDVD"="c:\arquivos de programas\SlySoft\AnyDVD\AnyDVD.exe" [2008-07-05 459264]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"egui"="c:\arquivos de programas\ESET\ESET Smart Security\egui.exe" [2008-06-10 1447168]

"VTTimer"="VTTimer.exe" [2006-09-21 c:\windows\system32\VTTimer.exe]

"S3Trayp"="S3trayp.exe" [2007-02-05 c:\windows\system32\S3Trayp.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveSearch"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.ffds"= ffdshow.ax

"msacm.ac3filter"= ac3filter.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\Arquivos de programas\\Puxa Rápido\\PuxaRapido.exe"=

"c:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe"=

"d:\\Arquivos Radio Net\\SC_SERV.EXE"=

"c:\\Arquivos de programas\\eMule\\emule.exe"=

"c:\\Arquivos de programas\\Soulseek\\slsk.exe"=

R0 ViBus;ViBus;c:\windows\system32\DRIVERS\ViBus.sys [2007-03-26 16896]

R0 videX32;videX32;c:\windows\system32\DRIVERS\videX32.sys [2007-03-29 9216]

R0 ViPrt;VIA SATA IDE Device Driver;c:\windows\system32\DRIVERS\ViPrt.sys [2007-03-26 52224]

R3 FET5X86V;VIA Rhine-Family Fast-Ethernet Adapter Driver Service;c:\windows\system32\DRIVERS\fetnd5bv.sys [2007-04-17 42496]

R3 S3GIGP;S3GIGP;c:\windows\system32\DRIVERS\S3gIGPm.sys [2007-03-04 709632]

S3 getPlus® Helper;getPlus® Helper;c:\arquivos de programas\NOS\bin\getPlus_HelperSvc.exe [2008-08-29 33752]

*Newly Created Service* - PROCEXP90

.

Conteúdo da pasta 'Tarefas Agendadas'

2008-11-02 c:\windows\Tasks\AwcProUpdate.job

- c:\arquivos de programas\IObit\Advanced WindowsCare V2 Pro\AutoUpdate.exe [2008-09-22 11:44]

2008-11-02 c:\windows\Tasks\AwcProUpdate.job

- c:\arquivos de programas\IObit\Advanced WindowsCare V2 Pro\ [2008-11-02 20:00]

.

.

------- Scan Suplementar -------

.

R0 -: HKCU-Main,Start Page = hxxp://www.myspace.com/

O8 -: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O17 -: HKLM\CCS\Interface\{868FB365-1C75-4865-BF45-97236508184E}: NameServer = 200.165.132.155 200.149.55.142

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-03 13:36:08

Windows 5.1.2600 Service Pack 2 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HDAudDeck = c:\arquivos de programas\VIA\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????????????????

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

**************************************************************************

.

Tempo para conclusão: 2008-11-03 13:36:38

ComboFix-quarantined-files.txt 2008-11-03 16:36:36

Pré-execução: 10 pasta(s) 17.831.796.736 bytes disponíveis

Pós execução: 10 pasta(s) 18,418,987,008 bytes disponíveis

136

*****************************************************************

... preste atenção acima, logo no início, em: Outras Exclusões

c:\windows\msvrc20.dll

c:\windows\system32\msvcsv60.dll

G:\autorun.inf

... acredito que ele eliminou esses arquivos.

continuando...

4º baixe o programa Microsoft Autoplay Repair Wizard, pois percebi que o AUTORUN das unidades externas não funcionavam mais (fiz tudo que falaram na NET, mas sem sucesso para habilitar novamente o Autorun do XP);

5º coloque a unidade desejada. Ex: Pendrive (G:). Execute o programa;

6º Após executar, na primeira tela, ele avisa que ta tudo OK. Avançar e escolha a UNIDADE do pendrive e mande analisar. Mande reparar o problema;

7º Reiniciar o PC, teste colocando o pendrive para ver se o autorun executa.

... bom, aqui no meu PC rodou tudo certinho da maneira que falei. Qualquer coisa pode perguntar ok? Forte abraço e boa sorte.;)

Compartilhar este post


Link para o post
Compartilhar em outros sites

valeu galera

resolvi o problema em uma cagada

quando ja pensava em formatar o hd

entrei em m site desses como o baixaqui e coloquei remover malware...

logo apareceu uma lista de 150 programinhas... peguei o peclear e usei no computador

nao deu log de nenhum virus, porém imediatamente parou de aparecer a janela no nod 32 certemnete os logs de eventos do nod nao mostram mais ele

de duas uma: ou o virus ta ai paradinho esperando eu executar qualquer coisa pra pegar d novo

oue ele ja passou dessa pra uma melhor

espero q ajude vocês tbem

abraços

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caso o autor do tópico necessite, o mesmo será reaberto, para isso deverá entrar em contato com a moderação solicitando o desbloqueio.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×