not com cavalo de troia

Question

meu notebok foi infectado por cavalode troia que dizia estar na memoria ran,no momento uso o avast home 4.8 e coloquei em quarentena e quando fui escanear apareceu outro cavalo de tr&oacute;ia e entrei em modo de seguran&ccedil;a,s&oacute; q na hora n&atilde;o sabia o q fazer e mandei excluir pensando q s&oacute; ia excluir o virus, mas s&oacute; q excli 59 arquivos de programa na pasta c/system 32 inclusive 3 arquivos do windos.como sou iniciante n&atilde;o sei se fiz certo e o que eu exclui  e se vou ter q formatar meu not.e o q fazer com o virus q esta na quarentena?help.

Answer

esse cavalo de tr&oacute;ia foi achado assim q liguei o not,nem havia entrado na internet.

meu sistema &eacute; windos xp

Answer

Bom, Andresa o Sistema est&aacute; iniciando normalmente? Se sim, creio que voc&ecirc; n&atilde;o excluiu arquivos de sistema do windows, agora se seu sistema n&atilde;o est&aacute; iniciando mais, voc&ecirc; vai precisar fazer um backup dos seus dados se tiver e fazer uma formata&ccedil;&atilde;o com o cd do Windows XP!

Ap&oacute;s a formata&ccedil;&atilde;o todos os v&iacute;rus ser&atilde;o removidos e voc&ecirc; ter&aacute; um sistema livre de v&iacute;rus! Recomendo que voc&ecirc; troque o Avast pelo Avira que acho mais confi&aacute;vel!

Answer

[quote=davibo, post: 4722674]Bom, Andresa o Sistema est&aacute; iniciando normalmente? Se sim, creio que voc&ecirc; n&atilde;o excluiu arquivos de sistema do windows, agora se seu sistema n&atilde;o est&aacute; iniciando mais, voc&ecirc; vai precisar fazer um backup dos seus dados se tiver e fazer uma formata&ccedil;&atilde;o com o cd do Windows XP!

Ap&oacute;s a formata&ccedil;&atilde;o todos os v&iacute;rus ser&atilde;o removidos e voc&ecirc; ter&aacute; um sistema livre de v&iacute;rus! Recomendo que voc&ecirc; troque o Avast pelo Avira que acho mais confi&aacute;vel![/quote]

Eu acho que o avira n&atilde;o &eacute; t&atilde;o confiavel assim n&atilde;o, pois eu tinha ele no meu pc e nunca acusava virus, mas o pc estava muito lento ai eu coloquei o AVG e ele achou uns 4 virus. Eu aconselharia a usar o AVG

Answer

Ol&aacute; andresa flor,

Sugiro uma lida https://www.hardware.com.br/comunidade/tutorial-log/694196/ ,agora sobre antiv&iacute;rus,bom somente pago,teste o kaspersky por 30 dias se voc&ecirc; gostar pode comprar a licen&ccedil;a,sen&atilde;o gostar pode desistar e instalar outro.

Answer

:policia: Movido de Hardware Geral para Seguran&ccedil;a: V&iacute;rus, spywares e malwares....

Answer

Fa&ccedil;a o download do Hijackthis:
http://go.trendmicro.com/free-tools/hijackthis/HijackThis.exe

Execute o aplicativo e escolha a op&ccedil;&atilde;o Do a system scan and save log file.
 Copie e Cole o log em sua resposta.

Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:16:51, on 13/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\BisonCam\BisonHK.exe
C:\Arquivos de programas\Synaptics\SynTP\SynTPStart.exe
C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe
C:\Arquivos de programas\Synaptics\SynTP\SynTPEnh.exe
C:\Arquivos de programas\HotKey_Driver\HotKeyDriver.exe
C:\WINDOWS\system32\sistray.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\msfeedssync.exe
C:\Arquivos de programas\Vivo 3G\Vivo 3G.exe
C:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe
C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\DOCUME~1\andresa\CONFIG~1\Temp\Diret&oacute;rio tempor&aacute;rio 1 para HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2247187
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: IObitCom Toolbar - {31c7d459-9cc3-44f2-9dca-fc11795309b4} - C:\Arquivos de programas\IObitCom	bIObi.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IObitCom Toolbar - {31c7d459-9cc3-44f2-9dca-fc11795309b4} - C:\Arquivos de programas\IObitCom	bIObi.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Auxiliar de Conex&atilde;o do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O3 - Toolbar: IObitCom Toolbar - {31c7d459-9cc3-44f2-9dca-fc11795309b4} - C:\Arquivos de programas\IObitCom	bIObi.dll
O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [BisonHK] C:\WINDOWS\BisonCam\BisonHK.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Arquivos de programas\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Arquivos de programas\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe
O4 - HKLM\..\Run: [Adobe ARM] C:\Arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] C:\Documents and Settings\andresa\Configura&ccedil;&otilde;es locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe /c
O4 - HKCU\..\Run: [Advanced SystemCare 3] C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe /startup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Discador Oi Internet.lnk = C:\Arquivos de programas\Oi Internet\discaoi.exe
O4 - Global Startup: HotKeyDriver.lnk = ?
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O14 - IERESET.INF: START_PAGE_URL=www.ferasdoasfalto.com
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{42B7B371-2CB4-4976-9DBB-D7762B644579}: NameServer = 200.220.227.56 200.142.130.202
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Update Service (gupdate1ca7801fe3fcd18) (gupdate1ca7801fe3fcd18) - Google Inc. - C:\Arquivos de programas\Google\Update\GoogleUpdate.exe
O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

--
End of file - 6799 bytes

Answer

Assumindo enquanto o wolf09 est&aacute; off. quando ele voltar, continua.

Por gentileza, siga os procedimentos abaixo:
*Baixe o MalwareBytes Anti-malware e salve-o no desktop:
    *Instale o programa
    *Ao finalizar, se alguma atualiza&ccedil;&atilde;o existir,o download ser&aacute; autom&aacute;tico. Aguarde...
    *Terminada a atualiza&ccedil;&atilde;o, o programa ser&aacute; aberto automaticamente.
*Na aba [Verifica&ccedil;&atilde;o], selecione a op&ccedil;&atilde;o [Verifica&ccedil;&atilde;o completa]
    *Clique em [Verificar] e selecione as unidades a serem examinadas
*Ao t&eacute;rmino do scan poder&aacute; ser interrogado se deseja remover objetos da mem&oacute;ria. Clique [SIM] e finalmente clique em [OK]. Um relat&oacute;rio (mbam-log-ano-m&ecirc;s-data.txt) ser&aacute; apresentado.
*Alguns malwares s&atilde;o rebeldes e necessitam de uma reinicializa&ccedil;&atilde;o para a remo&ccedil;&atilde;o. Caso isto seja solicitado, clique para reiniciar o PC. Caso n&atilde;o seja solicitado, reinicie o PC manualmente.
*Abra novamente o programa Malwarebytes e na aba [Logs] clique no arquivo mbam-log-ano-m&ecirc;s-data.txt
*Clique em [Abrir], copie, cole-o na sua pr&oacute;xima resposta, junto com mais um log do hijackthis, para ver se os problemas foram sanados.

Fico no aguardo

Answer

Malwarebytes' Anti-Malware 1.42
Vers&atilde;o do banco de dados: 3289
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13/12/2009 23:35:55
mbam-log-2009-12-13 (23-35-55).txt

Tipo de Verifica&ccedil;&atilde;o: Completa (C:\|D:\|E:\|)
Objetos verificados: 157279
Tempo decorrido: 24 minute(s), 24 second(s)

Processos da Mem&oacute;ria infectados: 0
M&oacute;dulos de Mem&oacute;ria Infectados: 0
Chaves do Registro infectadas: 0
Valores do Registro infectados: 0
&Iacute;tens do Registro infectados: 3
Pastas infectadas: 0
Arquivos infectados: 0

Processos da Mem&oacute;ria infectados:
(Nenhum &iacute;tem malicioso foi detectado)

M&oacute;dulos de Mem&oacute;ria Infectados:
(Nenhum &iacute;tem malicioso foi detectado)

Chaves do Registro infectadas:
(Nenhum &iacute;tem malicioso foi detectado)

Valores do Registro infectados:
(Nenhum &iacute;tem malicioso foi detectado)

&Iacute;tens do Registro infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Pastas infectadas:
(Nenhum &iacute;tem malicioso foi detectado)

Arquivos infectados:
(Nenhum &iacute;tem malicioso foi detectado)

Answer

Abra o malwarebyte's, clique na aba [quarentena] e depois no bot&atilde;o [remover tudo].

*Desative temporariamente seu antiv&iacute;rus
    *Baixe o ComboFix e salve-o no desktop
    *Feche o Internet Explorer e o Windows Explorer
    *Duplo-clique no arquivo Combofix.exe
    *Aceite o contrato
    [COLOR=Red]*Importante: enquanto o ComboFix estiver em execu&ccedil;&atilde;o, n&atilde;o use o mouse nem o teclado!!..... Para interromper o procedimento tecle N.[/COLOR]
    *O programa ser&aacute; fechado automaticamente
    *Cole o relat&oacute;rio criado em C:\combofix.txt

fico no aguardo

Answer

ol&aacute; como eu desativo o avast e fecho o windos explorer e eu estou usando o mozila firefox.vc acha que meu not esta com virus?fico no aguardo e obrigado.

Answer

- Clique com o bot&atilde;o direito do mouse sobre o &iacute;cone do Avast ao lado do rel&oacute;gio do computador 
- Clique em Pausar a prote&ccedil;&atilde;o residente;
- Aparecer&aacute; uma tela de confirma&ccedil;&atilde;o, clique em SIM.

Seu windows explorer talvez nem esteja aberto, rs. Pule essa parte.

Answer

eu preciso realmente rodar o combofix porque eu sou meio burrinha e tenho medo que algo saia errado.

Answer

Olha... algo desabilitou seu antivirus, firewall e atualiza&ccedil;&otilde;es. &Eacute; o que mostra na analise do malwarebyte's.. veja.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

AntivirusDisableNotify = Desativar notifica&ccedil;&atilde;o de antivirus
Disable Security Center = Desativar centro de seguran&ccedil;a

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

FirewallDisableNotify = Desativar notifica&ccedil;&atilde;o do firewall

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Desativar atualiza&ccedil;&otilde;es automaticas...
(updates disable notify = desativar notifica&ccedil;&atilde;o de atualiza&ccedil;&atilde;o).

Tudo indica que isso tenha sido feito por infec&ccedil;&atilde;o. Com o combofix eu vou ver isso.

N&atilde;o se preocupe, que nada ocorrer&aacute; de ruim ao seu pc. se algo der errado, &eacute; f&aacute;cil reverter. tudo ser&aacute; feito em seguran&ccedil;a

Ferramentas

Mover Tópico