View Full Version : To com virus
eu baixei um negocio aqui e o site tava escondido o link e eu abri ele pq era uma pasta ai fui em propriedades dele e tava la como arquivo proteçao de tela
ai passei o anti virus por um site no arquivo ai tinha virus nele
AVG 7.5.0.467 05.30.2007 PSW.Generic4.LMD
F-Secure 6.70.13030.0 05.30.2007 Trojan-PSW.Win32.Tibia.ag
Ikarus T3.1.1.8 05.30.2007 Trojan-Downloader.Win32.Small.dbv
Kaspersky 4.0.2.24 05.30.2007 Trojan-PSW.Win32.Tibia.ag
Norman 5.80.02 05.30.2007 W32/Tibia.FD
Webwasher-Gateway 6.0.1 05.30.2007 Win32.Malware.gen (suspicious)
e agora qq eu faço?? eu tirei o arquivo q era o nome pelo regedit, sera q ainda to com virus?/
Passa o anti-virus denovo pra ver o novo log...
mais o avast nao ta pegando
ae consegui excluir o arquivo! antes nao conseguia
consegui pq reniciei o pc
sera q to com virus??
Ops, desculpa cara, eu li desatentamente da primeira vez. Agora entendi.
Bem, vamos ver se ele está rodando no pc. Baixe o HiJackThis (http://linhadefensiva.uol.com.br/dl/hijackthis)
salve ele na area de trabalho, execute-o e clique no primeiro botão "Do a scan and save a log file (ou algo assim)
Daí, na pasta que você salvou o arquivo vai aparecer um log no bloco de notas, posta esse log aqui pra mim...
(O download é seguro, do Linha Defensiva da Uol.)
Logfile of HijackThis v1.99.1
Scan saved at 16:02:35, on 30/5/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)
Running processes:
C:\WINDOWS\System32\smss*****
C:\WINDOWS\system32\winlogon*****
C:\WINDOWS\system32\services*****
C:\WINDOWS\system32\lsass*****
C:\WINDOWS\system32\svchost*****
C:\WINDOWS\System32\svchost*****
C:\WINDOWS\Explorer*****
C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv*****
C:\Arquivos de programas\Alwil Software\Avast4\ashServ*****
C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp*****
C:\Arquivos de programas\Hewlett-Packard\HP Software Update\HPWuSchd*****
C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr*****
C:\Arquivos de programas\Hewlett-Packard\Digital Imaging\bin\hpotdd01*****
C:\Arquivos de programas\Java\jre1.5.0_04\bin\jusched*****
C:\WINDOWS\system32\pctspk*****
C:\WINDOWS\services*****
C:\WINDOWS\system32\ctfmon*****
C:\Arquivos de programas\MSN Messenger\msnmsgr*****
C:\WINDOWS\system32\spoolsv*****
C:\WINDOWS\system32\nvsvc32*****
C:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindService*****
C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv*****
C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv*****
C:\Arquivos de programas\Mozilla Firefox\firefox*****
C:\Tibia Global\Tibia*****
C:\Arquivos de programas\Internet Explorer\IEXPLORE*****
C:\WINDOWS\System32\************
C:\Documents and Settings\Administrador\Desktop\kav5.0.156_personal nb*****
C:\Arquivos de programas\Windows NT\Acessórios\WORDPAD*****
C:\Documents and Settings\Administrador\Desktop\HijackThis*****
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Easy Gif Animator Toolbar Helper - {96372AB6-15EB-4316-B497-71C741BC548C} - C:\Arquivos de programas\Easy Gif Animator Extension\v3.2.0.0\EasyGifAnimator_Toolbar.dll
O3 - Toolbar: Easy Gif Animator Toolbar - {35065594-9169-4A34-B167-FC4865038E53} - C:\Arquivos de programas\Easy Gif Animator Extension\v3.2.0.0\EasyGifAnimator_Toolbar.dll
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook*****
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg*****
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck*****
O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp*****
O4 - HKLM\..\Run: [HP Software Update] "C:\Arquivos de programas\Hewlett-Packard\HP Software Update\HPWuSchd*****"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr*****"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 9*****
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Arquivos de programas\Hewlett-Packard\Digital Imaging\bin\hpotdd01*****
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.5.0_04\bin\jusched*****
O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Arquivos de programas\AceGain\LiveUpdate\LiveUpdate*****
O4 - HKLM\..\Run: [PCTVOICE] pctspk*****
O4 - HKLM\..\Run: [PV92TRAY] PV92Tray*****
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32***** C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz***** /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32***** C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [orcToByloLatwe] C:\WINDOWS\services*****
O4 - HKLM\..\Run: [KAVPersonal50] C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav***** /minimize
O4 - HKCU\..\Run: [CTFMON*****] C:\WINDOWS\system32\ctfmon*****
O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr*****" /background
O4 - Startup: Adobe Gamma.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader*****
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl*****
O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA*****
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~1\Office10\EXCEL*****/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag***** (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag***** (file missing)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc*****
O23 - Service: Apache2 - Unknown owner - C:\AppServ\Apache\bin\Apache*****" -k runservice (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv*****
O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ*****
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv*****" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv*****" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\1150\Intel 32\IDriverT*****
O23 - Service: kavsvc - Kaspersky Lab - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc*****
O23 - Service: mysql - Unknown owner - C:\AppServ\mysql\bin\mysqld-nt***** (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32*****
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindService*****
Baixa o BankerFix (http://linhadefensiva.uol.com.br/dl/bankerfix) e roda ele, faz todos os procedimentos que o programa mandar, reinicia e cria mais um log pra mim.
(BankerFix pela LinhaDefensiva também)
Vitor Pinto
30-05-2007, 17:19
ta com viruz vai no medico (oO')
e acho q consegui cara! coloquei o Kaspersky e ele detecto 2 virus xD
vlw ae!!
Andrew thunder
30-05-2007, 18:57
Primeiro acho que log é proibido a menos que seja por MP. Segundo, se o seu avast não está pegando, pode haver um killer no seu sistema, faça um scan online com o Ewido e veja os resultados.
Primeiro acho que log é proibido a menos que seja por MP. Segundo, se o seu avast não está pegando, pode haver um killer no seu sistema, faça um scan online com o Ewido e veja os resultados.
Hum, eu não sabia que era proibido... Se for, desculpa aí moderação.
Mas então, pelo jeito o que ele tem ou tinha ali eram só bankers mesmo, e acho que esse bankerfix é o melhor pra tirar esses malwares...
Abraço!
Olha, o log do HijackThis apresentou uma ameaça, nao sei já foi deletada, mas o arquivo estava rodando e operante. Pelo nome era um malware avançado.
O arquivo falso é:
C:\Windows\services****
O arquivo original está na pasta System32: (C:\Windows\System32\services****)
@~
E nao, nao é proibido logs, mas devido a censura as extensoes nao aparecem.
C:\Tibia Global\Tibia*****
C:\WINDOWS\services*****
O4 - HKLM\..\Run: [orcToByloLatwe] C:\WINDOWS\services*****
Esses daí são virus.
Edit:
Procurando no gugou eu achei esses PLs rindo de algo sobre esse arquivo... não entendo polonês, mas parece bem suspeito.
http://www.tibia.org.pl/forum/showthread.php?t=183576
com o BankerFix esses arquivos aí são removidos, mas o cara não voltou pra dizer se deletou ou não...
Paciencia.
SemNick...
31-05-2007, 00:12
C:\Tibia Global\Tibia*****
C:\WINDOWS\services*****
O4 - HKLM\..\Run: [orcToByloLatwe] C:\WINDOWS\services*****
Esses daí são virus.
Será que o primeiro não é...errr.hmmm...TIBIA?
Tipo faz scan em um site só pra ter certeza... www.virustotal.com ou http://virusscan.jotti.org nos que você achar que podem ser virus...
koe voltei...
tava no colegio
tpw vo formatar o pc...falei com o diretor do colegio hj la ele falo pra eu formatar o pc todo apagar a partiçao e tals... ele falo q era melhor eu da bot pelo disquete e tals mais meu drive ta ruim...
vou formatar o pc agora!
vlw!
koe voltei...
tava no colegio
tpw vo formatar o pc...falei com o diretor do colegio hj la ele falo pra eu formatar o pc todo apagar a partiçao e tals... ele falo q era melhor eu da bot pelo disquete e tals mais meu drive ta ruim...
vou formatar o pc agora!
vlw!
Formatar o computador nem sempre é uma boa idéia, leia esse (http://www.forums.tibiabr.com/showthread.php?t=161058) tópico para ter uma noção melhor sobre os virus que estão no seu pc. Abraço!
Andrew thunder
31-05-2007, 22:52
Formatar o PC é uma atitude de desespero e quando o PC esta seriamente prejudicado, que não é o seu caso, cara, faça um scan no www.ewido.net, Scan online, após o scan veja o que detectou, se for somente cookies, seu pc está limpo ja que os cookies são inofensivos, se encontrar algum trojans ou keylogger, coloque para remover e faça outro scan, se persistir entre no http://www.virushelp.org/ , onde eles irão te ajudar fazendo a leitura do seu log.
Speender
31-05-2007, 22:58
cara, realmente formata
qnd teu pc pega virus e tu sabe q ainda ta com ele, é melhor reformata
meu pc pego 1 virus multiplicador, eu deletava e ele voltava por se multiplicar, ou 1 otro q eu deletava + voltava do memo geito q era 1 heal...
simplismente reformatei, sendo q axo q n da nd no sistema reformata, afinal, vc ta deletando os arquivos atuais para colocar os novos, ai se ja ganha 1 poko de espaço de hd... as vezes colokamos coisas q até eskeçemos q existe xD
cara, realmente formata
qnd teu pc pega virus e tu sabe q ainda ta com ele, é melhor reformata
meu pc pego 1 virus multiplicador, eu deletava e ele voltava por se multiplicar, ou 1 otro q eu deletava + voltava do memo geito q era 1 heal...
simplismente reformatei, sendo q axo q n da nd no sistema reformata, afinal, vc ta deletando os arquivos atuais para colocar os novos, ai se ja ganha 1 poko de espaço de hd... as vezes colokamos coisas q até eskeçemos q existe xD
isso aconteceu porque vc nao apagou o virus, as vezes fica no registro tb, ai fica criando de novo, deletar só o arquivo nem sempre é a solução.
Aconselho nao formatar, procura direito, scanneia, ve com quem sabe (sem querer desmerecer o cara q ta te ajudando ai com os log do hijack).
eu sempre q tenho esses problemas de virus recorro ao forum do clube do hardware. ja me ajudaram bastante la.
cara tava sem pc pqp! fui formatar deu erro
esse erro: http://img464.imageshack.us/my.php?image=errosn8.jpg
ai coloquei pra ignorar ai qd foi instalar deu merda falando q nao acho o arquivo apbfbkvh.sys
ai meu teclado é USB ai o dos nao conseguia ler ele ai comprei hj um ps2 ai consegui entrar no windows
to desesperado...qd eu vo entrar no windows antes disso la tem pra eu instalar o windows xp ou eu entrar no windows..como eu faço pra apagar aquilo la no dos??
vlw fui!
Andrew thunder
01-06-2007, 18:29
cara, realmente formata
qnd teu pc pega virus e tu sabe q ainda ta com ele, é melhor reformata
meu pc pego 1 virus multiplicador, eu deletava e ele voltava por se multiplicar, ou 1 otro q eu deletava + voltava do memo geito q era 1 heal...
simplismente reformatei, sendo q axo q n da nd no sistema reformata, afinal, vc ta deletando os arquivos atuais para colocar os novos, ai se ja ganha 1 poko de espaço de hd... as vezes colokamos coisas q até eskeçemos q existe xD
Cara, estas atitudes de formatar cada vez que se infecta prejudica ainda mais seu computador. Você deveria estar tentando deletar o vírus, mais não foi a origem dele, de onde ele gera suas cópias, o killbox ou algo mais complexo removeria o seu vírus, e não iria haver necessidade de formatar.
@Tash
Cara, ja que você decidiu formatar mesmo, deveria deixar para alguem que ja tenha prática ou trabalha com isso, vou olhar o erro que deu e depois posto o que você pode fazer
ja é
vo falar com o meu tio pra formatar pra mim pq ta foda!!
vBulletin v3.7.2, Copyright ©2000-2008, Jelsoft Enterprises Ltd.