[Ajuda] PC quase formatado VIRUS?

M

menezes

Power Member
Ora boas.

Estou aqui para recorrer a vossa ajuda. Desde ja agradeço a todos os que me possam ajudar ...
entao cá vai..

Sistema Windows XP Profissional
Ontem desliguei o pc normalmente.. e hoje de manha .. tudo o que tinha no ambiente de trabalho tinha desaparecido apenas ficaram os icones da sapo e do nokiapcsuite...

Todos os ficheiros do ambiente de trabalho e dos meus documentos foram perdidos..
Isso penso que poderei recuperar mas adiante...

Tudo desapareceu .. mas os programas todos que tinha instalados ficaram Nero, MSN, mIRC, Photoshop, TUDO.. ficou mas as suas definicoes foram quase todas reseteadas ou seja... Tudo parece ter sido instalado novamente....

Ha tentei por uns icones no ambiente de trabalho e reiniciei...
La esta tudo reseteado outra vez...
E aparece uma mensagem estranha no arranque
A mensagem de boas-vindas torna-se lenta.. e aparece a mensagem

"Não é possível ao Windows localizar o perfil local, pelo que está a iniciar a sessão do utilizador com um perfil temporário. As alterações efectuadas a este perfil serão perdidas quando terminar sessão."

Ja procurei tambem na microsoft sobre esta mensagem ... e pelo que percebi isto acontece quando um perfil d utilizador e apagado por erro.. Coisa que eu penso que nao e a causa pois tenho os 2 Perfis que PENSO customava ter o meu que tem as propriedades ADMINISTRATIVAS e o Convidado... Penso que esta mensagem nao devera estar relacionada com este mesmo erro.

Vou então darvos algumas coisas uteis para que me possam ajudar a solucionar o problema...
O meu kaspersky ultimamente tem localizado uns ficheiros na pasta restore do windows...
Mas penso que por ser uma pasta importante ele pouco ou nd deve la fazer
Mesmo assim sempre que estes fixeiros me apareciam eu removia-os...
La esta penso que foram mesmo estes fixeiros pois reparem que isto parece mesmo um restore.. um restauro do windows...

Tem aqui os dados do kaspersky

INFECTED
Backup
------
Status Object Size
------ ------ ----
Infected: Trojan program Trojan-Downloader.Win32.Banload.pzc C:\Documents and Settings\Menezes\Definições locais\Temporary Internet Files\Content.IE5\DVH641VG\youtube_0,2931787356423[1].scr 97 KB
Infected: Trojan program Trojan.Win32.Agent.rzw C:\System Volume Information\_restore{508A89AC-78F1-44BB-8578-6AF71FF0D15D}\RP258\A0182768.exe 4,4 MB
Infected: Trojan program Trojan.Win32.Agent.rzw C:\System Volume Information\_restore{508A89AC-78F1-44BB-8578-6AF71FF0D15D}\RP252\A0178695.exe 4,4 MB
Infected: Trojan program Trojan-Spy.Win32.Ardamax.n H:\Fotografia7009.exe 312,0 KB
Infected: Trojan program Trojan.Win32.Agent.rzw C:\System Volume Information\_restore{508A89AC-78F1-44BB-8578-6AF71FF0D15D}\RP254\A0179043.exe 4,4 MB
Infected: Trojan program Trojan.Win32.Agent.rzw C:\System Volume Information\_restore{508A89AC-78F1-44BB-8578-6AF71FF0D15D}\RP253\A0178902.exe 4,4 MB
Infected: Trojan program Trojan.Win32.Agent.rzw c:\system volume information\_restore{508a89ac-78f1-44bb-8578-6af71ff0d15d}\rp266\a0191596.exe 4,4 MB
Infected: Trojan program Trojan-Spy.Win32.Perfloger.f C:\System Volume Information\_restore{508A89AC-78F1-44BB-8578-6AF71FF0D15D}\RP245\A0177887.exe 16 KB
Infected: Trojan program Trojan.Win32.Agent.rzw C:\System Volume Information\_restore{508A89AC-78F1-44BB-8578-6AF71FF0D15D}\RP248\A0178558.exe 4,4 MB
Infected: Trojan program Trojan.Win32.Agent.rzw C:\System Volume Information\_restore{508A89AC-78F1-44BB-8578-6AF71FF0D15D}\RP253\A0178921.exe 4,4 MB
Infected: Trojan program Trojan.Win32.Agent.rzw C:\System Volume Information\_restore{508A89AC-78F1-44BB-8578-6AF71FF0D15D}\RP264\A0188346.exe 4,4 MB
Infected: Trojan program Trojan.Win32.Agent.rzw C:\System Volume Information\_restore{508A89AC-78F1-44BB-8578-6AF71FF0D15D}\RP251\A0178673.exe 4,4 MB
Infected: Trojan program Trojan.Win32.Agent.rzw C:\System Volume Information\_restore{508A89AC-78F1-44BB-8578-6AF71FF0D15D}\RP265\A0188526.exe 4,4 MB
Infected: Trojan program Trojan-Spy.Win32.Perfloger.f c:\program files\bpk\inst_game.exe 391 KB
Infected: Trojan program Trojan.Win32.Agent.rzw C:\System Volume Information\_restore{508A89AC-78F1-44BB-8578-6AF71FF0D15D}\RP254\A0179006.exe 4,4 MB
Infected: Trojan program Trojan-Spy.Win32.Ardamax.n c:\programas\htv\htv.004 14,5 KB
Infected: Trojan program Trojan.Win32.Agent.rzw C:\System Volume Information\_restore{508A89AC-78F1-44BB-8578-6AF71FF0D15D}\RP253\A0178911.exe 4,4 MB


Detected
--------
Status Object

detected: riskware Invader Running process: C:\Documents and Settings\Menezes\Definições locais\Temp\{20679930-0007-4DC6-8815-BB867694A90D}\SCCSetup.exe
deleted: Trojan program Trojan.Win32.Agent.rzw File: C:\System Volume Information\_restore{508A89AC-78F1-44BB-8578-6AF71FF0D15D}\RP251\A0178673.exe
detected: Trojan program Trojan.JS.Redirector.e URL: h**p://teamvelosport.com/old/07/forum/templates/subSilver/fisa/check.js
deleted: Trojan program Trojan.Win32.Agent.rzw File: C:\System Volume Information\_restore{508A89AC-78F1-44BB-8578-6AF71FF0D15D}\RP252\A0178695.exe
detected: Trojan program Trojan-Downloader.Win32.Banload.pzc URL: h**p://ratpox.com/stats/youtube_0,2931787356423.scr//UPX
deleted: Trojan program Trojan-Downloader.Win32.Banload.pzc File: C:\Documents and Settings\Menezes\Definições locais\Temporary Internet Files\Content.IE5\DVH641VG\youtube_0,2931787356423[1].scr//UPX
deleted: Trojan program Trojan.Win32.Agent.rzw File: C:\System Volume Information\_restore{508A89AC-78F1-44BB-8578-6AF71FF0D15D}\RP253\A0178902.exe
deleted: Trojan program Trojan.Win32.Agent.rzw File: C:\System Volume Information\_restore{508A89AC-78F1-44BB-8578-6AF71FF0D15D}\RP253\A0178911.exe
deleted: Trojan program Trojan.Win32.Agent.rzw File: C:\System Volume Information\_restore{508A89AC-78F1-44BB-8578-6AF71FF0D15D}\RP253\A0178921.exe
deleted: Trojan program Trojan.Win32.Agent.rzw File: C:\System Volume Information\_restore{508A89AC-78F1-44BB-8578-6AF71FF0D15D}\RP254\A0179006.exe
deleted: Trojan program Trojan.Win32.Agent.rzw File: C:\System Volume Information\_restore{508A89AC-78F1-44BB-8578-6AF71FF0D15D}\RP254\A0179043.exe
detected: riskware Invader Running process: C:\Programas\TrackMania Nations ESWC\TmNationsESWCLauncher.exe
deleted: Trojan program Trojan.Win32.Agent.rzw File: C:\System Volume Information\_restore{508A89AC-78F1-44BB-8578-6AF71FF0D15D}\RP258\A0182768.exe
deleted: Trojan program Trojan.Win32.Agent.rzw File: C:\System Volume Information\_restore{508A89AC-78F1-44BB-8578-6AF71FF0D15D}\RP264\A0188346.exe
deleted: Trojan program Trojan.Win32.Agent.rzw File: C:\System Volume Information\_restore{508A89AC-78F1-44BB-8578-6AF71FF0D15D}\RP265\A0188526.exe
deleted: Trojan program Trojan.Win32.Agent.rzw File: C:\System Volume Information\_restore{508A89AC-78F1-44BB-8578-6AF71FF0D15D}\RP266\A0191596.exe

Tem aqui tambem o LOG do Hijackthis


Logfile of HijackThis v1.99.1
Scan saved at 12:40:31, on 23-07-2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programas\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programas\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\CTFMON.EXE
C:\WINDOWS\system32\notepad.exe
C:\Programas\Mozilla Firefox\firefox.exe
C:\Documents and Settings\TEMP.0\Ambiente de trabalho\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hiperligações
O2 - BHO: Windows Live OneCare Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Programas\Windows Live\Segurança Familiar\fssbho.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [AVP] "C:\Programas\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O10 - Unknown file in Winsock LSP: c:\programas\bonjour\mdnsnsp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{284416F5-B9DE-4BC8-BF3D-70FC6E455F0B}: NameServer = 212.55.154.174 212.55.154.190
O17 - HKLM\System\CS2\Services\Tcpip\..\{284416F5-B9DE-4BC8-BF3D-70FC6E455F0B}: NameServer = 212.55.154.174 212.55.154.190
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programas\Ficheiros comuns\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHEI~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Programas\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programas\Ficheiros comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe


Penso que aquele BHO esta a mais.. estranho .. parece completar-s

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
C:\System Volume Information\_restore{508A89AC-78F1-44BB-8578-6AF71FF0D15D}\RP264\A0188346.exe

Penso que o problema esta mesmo ai... mas nao se baseim nas minha ideias.. Ajudem-me e deem a vossa opiniao ... com urgencia pois se o pc for abaixo :/ PUFF

Os melhores cumprimentos Menezes...
Espero ter sido explicito..
 
O log do HijackThis está em ordem, nada de particularmente especial.

A entrada que refere:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

é legítima (Windows Live Messenger).

É evidente que teve muitos problemas e o seu perfil foi corrompido.

Sugiro faça o logon como Administrador em Modo de Segurança, crie um novo perfil e tente copiar o que ainda existir do perfil antigo para o novo.

Estando tudo copiado, apague o perfil corrompido e todos os dados desse perfil.

Boa sorte.

Zee
 
Ao criar um novo perfil nao irei copiar nada pois perdi todos os ficheiros excpeto os que estavam na particao D:
Mas sim vou tentar criar um novo.. mas poderei eliminar a minha conta que e de administrador?!
Nao perderei os programas!?
E ja agora o que me diz do que o Kaspersky detectou na pasta restore!?
 
A conta de Administrador não pode eliminar.
Se está a falar da sua conta pessoal com poderes de administração, poderá eliminar.

O que foi encontrado na pasta _restore só seria perigoso se fizesse um restauro do sistema para uma data em que estivesse infectado, fora isso, não estava activo.

Mas os problemas que tinha não estavam só nessa pasta.

Suspeito, no entanto que a melhor solução é formatar e reinstalar tudo de fresco.

No entanto antes dessa solução radical, tente isto:

Como copiar dados de um perfil de utilizador danificado para um novo perfil

Boa sorte,

Zee
 
Sim ja tive a procurar mais um bocado e tb penso que de virus nao tem nada ...
Vou entao tentar... E breve darei respostas--
Muito obrigado Blue
 
Inicie sessão ou registe-se para poder participar.
Back
Topo