10 replies to this topic

[Evergrey]

bem eu jah li sobre este msm assunto em varios foruns mas aki em casa naum tenho o msm exito
ateh pq eu notei q os arquivos podem se apresentar d maneira diferente, começando pelo tamanho do arquivo q jah vi variar d 1-27kb, o meu tem 26kb

formatei a minha partiçao primaria mas o virus voltou

ele bloqueou meu gerenciamento d tarefas e de dispositivos, bloqueou tb meu anti virus, naum consigo entrar no modo de segurança, bloqueou tb a opçao d mostrar arquivos e pastas ocultas, meu anti virus(avast home edition) foi bloqueado, o spybot identifica varias entradas, as repara, porem elas voltam
ele compartilhou na rede uma pasta chamada sacangem, com o seguinte endereço C:\Documents and Settings\sistemas\sacanagem

fiz o scan com o highjackthis e retirei as seguintes entradas com o killbox
O4 - HKLM\..\Run: [MsnMsgs] C:\WINDOWS\system\Win24DLL.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

notei q a pasta sacanagem havia sumido, porem naum consigo ainda entrar no modo seguro e os outros sitomas pemaneceram

segue o atual log do highjackthis, apos a remoçao por parte do killbox

Logfile of HijackThis v1.99.1
Scan saved at 19:39:41, on 24/1/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\AlienGUIse\wbload.exe
C:\Arquivos de programas\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Arquivos de programas\Avast4\aswUpdSv.exe
C:\Arquivos de programas\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe
C:\Arquivos de programas\Avast4\ashMaiSv.exe
C:\Arquivos de programas\Avast4\ashWebSv.exe
C:\Arquivos de programas\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Arquivos de programas\Analog Devices\SoundMAX\Smax4.exe
C:\Arquivos de programas\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Arquivos de programas\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Arquivos de programas\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
C:\Arquivos de programas\Free Download Manager\FUM\fumoei.exe
C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe
C:\Arquivos de programas\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Arquivos de programas\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
C:\Arquivos de programas\Avant Browser\avant.exe
C:\Arquivos de programas\Windows Live\Messenger\usnsvc.exe
D:\Eduardo\Alfa Red Sun\wxstart.exe
D:\Eduardo\Alpha Livorri\wxstart.exe
D:\Eduardo\Alpha Inner Violence\wxstart.exe
D:\Eduardo\Alpha Horizon\wxstart.exe
C:\Documents and Settings\Administrador\Desktop\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.compartilhando.org/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.compartilhando.org/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Arquivos de programas\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Arquivos de programas\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Arquivos de programas\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATIPTA] C:\Arquivos de programas\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Arquivos de programas\Arquivos comuns\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Arquivos de programas\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Arquivos de programas\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKCU\..\Run: [Free Uploader Oe Integration] C:\Arquivos de programas\Free Download Manager\FUM\fumoei.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Arquivos de programas\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: Baixar com o FDM - file://C:\Arquivos de programas\Free Download Manager\dllink.htm
O8 - Extra context menu item: Baixar tudo com o FDM - file://C:\Arquivos de programas\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selecionado pelo FDM - file://C:\Arquivos de programas\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download video with Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Arquivos de programas\Free Download Manager\FUM\fumiebtn.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsof...ss/allinone.asp
O14 - IERESET.INF: START_PAGE_URL=http://www.compartilhando.org/
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Arquivos de programas\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WB - C:\Arquivos de programas\AlienGUIse\fastload.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Arquivos de programas\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

Agradeço a ajuda

[.EC]

Olá Evergrey,
De acordo com o site HijackThis.de, não há nada de anormal em seu LOG, a não ser isto...

D:\Eduardo\Alfa Red Sun\wxstart.exe
D:\Eduardo\Alpha Livorri\wxstart.exe
D:\Eduardo\Alpha Inner Violence\wxstart.exe
D:\Eduardo\Alpha Horizon\wxstart.exe

Recomendo não digitar suas senhas neste computador, principalmente de bancos, até que tudo tenha sido resolvido, isso parece ser um daqueles bankers.

Tente utilizar o BankerFix da Linha Defensiva, ele remove alguns desses bankers brasileiros, já que a maioria dos antivirus são de outros paises e demoram até detectar os "vírus" brasileiros.

BankerFix - http://www.linhadefe...om.br/bankerfix

[beto]

bom cara, faça como o .EC falou, passe o Bankerfix tambem, porem acho que esse não é um banker... mas por via das duvidas, passe-o..

baixe o AVG Anti-Spyware, ele é muito bom e detecta malwares, spywares, xxxwares diferentes do Spybot...

dê um Fix nesse caras:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Arquivos de programas\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: WB - C:\Arquivos de programas\AlienGUIse\fastload.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - :\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Avast4\ashWebSv.exe" /service (file missing)

dê um Fix nas linhas que o .EC mostrou tambem...

a sua pagina principal é a compartilhando.org ... vc a conhece? eles estão fora do ar faz um tempinho ja...

limpe os registros tambem com o CCleaner

faça tudo isso e poste aqui novamente um log do HijaThis!!

[Evergrey]

me desculpa, esse log eh d qd eu formatei o pc
o virus naum havia infectado novamente
ele infecta o pc logo q eu instalo qq coisa
eu comecei pelos drives dos dispositivos e foi infectado novamente

o bankerfix naum roda pq o prompt esta bloqueado

esse wstart eh o inicalizador d um progama q eu uso para jogar ragnarok

agradeço a ajuda
e vou rodar o avgspy sim

vou postar o novo log apos a infecçao

Logfile of HijackThis v1.99.1
Scan saved at 18:53:36, on 25/1/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Eduardo\Alfa Red Sun\wxstart.exe
D:\Eduardo\Alpha Horizon\wxstart.exe
D:\Eduardo\Alpha Inner Violence\wxstart.exe
D:\Eduardo\Alpha Livorri\wxstart.exe
C:\Arquivos de programas\Avant Browser\avant.exe
D:\Eduardo\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsof...ss/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://games.levelup...om.br/ragnarok/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.compartilhando.org/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.compartilhando.org/
O4 - HKLM\..\Run: [MsnMsgs] C:\WINDOWS\system\Win24DLL.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsof...ss/allinone.asp
O14 - IERESET.INF: START_PAGE_URL=http://www.compartilhando.org/

pronto agora temos duas entradas fora d padrao, a 04 e a 07
as removi e usei o kill box, porem tenho o problema d q se eu reiniciar ou desligar o pc, na proxima vez q entrar, o windows apresenta um erro e eu tenho q formata lo novamente

[beto]

qual é o erro do windows?

tudo pode estar nesse erro

[.EC]

Isso é muito estranho:
O4 - HKLM\..\Run: [MsnMsgs] C:\WINDOWS\system\Win24DLL.exe

[beto]

dê um Fix nesse cara:

O4 - HKLM\..\Run: [MsnMsgs] C:\WINDOWS\system\Win24DLL.exe

[Mr. Xerife]

Baixe o FixHidden.reg no seu desktop, mas não o execute.

Obs: É importante que seja salvo no seu desktop, caso contrário as alterações não serão efetuadas.

Faça o download do Brute Force Uninstaller

Extraia o arquivo para uma pasta própria, preferencialmente C:\BFU.

Dê um clique duplo no BFU.exe para executar o Brute Force Uninstaller..

Clique no seguinte ícone:

Na caixa que aparecer, coloque o seguinte:

http://www.ciromota.net/ld/renato/festa.bfu

Clique em OK e depois clique em Execute.

No meio do procedimento aparecerá a seguinte imagem:



Clique em Sim.

Agora aparecerá uma mensagem pedindo confirmação de inserção de dados no registro, clique em Sim e depois dê Ok.

Espere até aparecer a mensagem que confirma que a execução do script terminou.

Clique em OK e depois em Exit.

Isso deve liberar para que o Bankerfix seja executado e também irá remover alguns bankers.

- Execute a Ferramenta HijackThis - Clique em Do a System Scan Only. Marque a(s) caixinha(s) referente(s) à(S) entrada(s) relacionada(s) abaixo(s) em azul. Ao final da seleção, clique em Fix Checked...

O4 - HKLM\..\Run: [MsnMsgs] C:\WINDOWS\system\Win24DLL.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1


- Faça o download do Combofix
• Desative, temporariamente, o antivírus;
• Feche todas as janelas abertas;
• Dê um duplo-clique no combofix.exe e tecle "1" para prosseguir o Fix. Pode demorar algum tempo.
• O ComboFix poderá reiniciar o PC automaticamente para completar o processo de remoção.
• Quando acabar, será gerado um log, que estará em C:\ComboFix.txt.
• Não clique na Janela do ComboFix, nem o feche clicando no X, enquanto estiver rodando, não mova o mouse e não use o teclado, pois senão irá parar e seu desktop ficará em branco.
• Para parar ou sair do ComboFix, tecle "N".
• Cole o ComboFix.txt na sua resposta.
- Gere novo log do HijackThis e cole na sua resposta.

Abraço,

[Leone Fernandes]

Para que tudo isso??

Baixe o MSNCleaner

Abre o programa, você pode selecionar o idioma para o português, para facilitar a compreensão das opções e clicar no botão “Analisar”. Rapidamente, o programa verifica seu comunicador instantâneo, apresentando os conteúdos infectados. Você pode selecionar cada um deles e remover com sucesso.

[Mr. Xerife]

Para que tudo isso??

Baixe o MSNCleaner

Abre o programa, você pode selecionar o idioma para o português, para facilitar a compreensão das opções e clicar no botão “Analisar”. Rapidamente, o programa verifica seu comunicador instantâneo, apresentando os conteúdos infectados. Você pode selecionar cada um deles e remover com sucesso.

• Amigo vejo que você, não conhece ainda a infeccção festa.exe, fique sabendo que o usuário com essa infecção não consiguirá baixar o seu programa recomendado, olhe as consequencias do virus:

● Faz spam pelo msn
● Bloqueia todos os anti-virus
● Bloqueia a opçao mostrar arquivos e pastas ocultas
● Bloqueia o gerenciador de tarefas
● Bloqueia ‘executar’ e o ‘cmd’
● Desabilita as ferramentas administrativas
● Impede inicialização do pc em Modo Seguro (quando vc tenta abrir em modo
seguro, aparece esta msg: Isass.exe Erro do Sistema - Formato de ponto de
extremidade inválido)
● Vi em vários fóruns pessoas com o mesmo problema dizendo que depois de um
certo tempo, o vírus corrompe um arquivo DLL da pasta system32 e precisa ser
formatado.
● E o pior, quando vc formata a repartição. O virus regenera de algum lugar
do hd, ou regenara-se pela rede infectada talvez.

viu ?

essa minha resposta foi um fixo criado pelo linha defensiva, para a remoção em questão

Abraços,

[Mr. Xerife]

Tópico Fechado

Como o autor não respondeu ao tópico por mais de 10 dias, o mesmo foi fechado.
Caso necessite que o tópico seja reaberto, entre em contato com um dos moderadores do fórum.