Problema com virus

underworld · 19 de Agosto de 2005

Boas, aqui há uns dias acedi a um site manhoso (não vão de forma nenhum ao site anycracks.com lixa-vos o computador todo) e a partir daí tive uma série de problemas que culminaram com o seguinte:

uma vez reiniciei e apareceu a mensagem boot.ini damaged, o computador inicia mas 1 terço do desktop do lado esquerdo tem tipo o menu do "meu computador" e do lado direito tem o desktop normal mas cujos links aparece o nome do programa.lnk e os links não funcionam pois qualquer ficheiro que eu tente abrir abre a janela "abrir com"

Consigo correr o Kaspersky anti virus e já se fartou de apagar virus e agora já não tenho nenhum, mas o computador ficou como estava

Queria formatar o disco mas preciso de abrir um programa de contabilidade para fazer umas cópias de segurança e assim não o consigo abrir

Já copiei um boot.ini de outro computador mas tudo na mesma

Se arranco em modo de segurança tudo na mesma

Alguma sugestão???

Arrakis_Dune · 19 de Agosto de 2005

Ois

Olha aqui nao me lembro, de qualquer forma o windows FPS (file protection system) e o encryption não vale de muito, mas pode como à minha namorada sucedeu, de impedires de visualizares os documentos. O que te aconselhava era arranjares outro pc, e ligares o teu disco como secundario. Depois instalas (Inicializas) o teu disco no windows do teu amigo/amiga e recuperas os dados.

Se tiveres problemas em ver os dados, tens sp programas que ultrapassam essas dificuldades

Advanced EFS Data Recovery is a program to recover (decrypt) files encrypted on NTFS (EFS) partitions created in Windows 2000, Windows XP, and Windows Server 2003. Files are being decrypted even in a case when the system is not bootable and so you cannot log on, and/or some encryption keys have been tampered. Besides, decryption is possible even when Windows is protected using SYSKEY."

ou ainda o

http://www.active-undelete.com/ que salvo erro tb consegue..

Espero ter ajudado.. Caso nao consigas por num noutro pc o dsco, podes sp criar uma segunda partição, usa para isso o partition magic e instala por exemplo um clean boot na segunda partição.. Custa mas de certeza que resolves a situação

Abraços

underworld · 19 de Agosto de 2005

Obrigado pela tua opinião

Os dados e os documentos estão todos lá e já copiei tudo para outro computador através de 1 cabo de rede

O único problema é mesmo as tais cópias de segurança que só podem ser feitas correndo o programa que está instalado no windows corrente pelo que fazer uma nova partição penso que não irá resolver

Arrakis_Dune · 19 de Agosto de 2005

Neste caso ja nao te importa um backup integral.. O teu sistema foi comprometido.. Agora qd fizeres uma instalação nova de tudo. Ai ja te aconselho

Cumprimentos [[]]

Dorf · 19 de Agosto de 2005

Exprimenta correr este software em modo de segurança....

20COMER · 20 de Agosto de 2005

O Ad aware e o Kaspersky anti virus são dos unicos programas que consigo correr, tanto um como outro detectaram montes de porcarias mas agora já não detectam nada pois em principio tá tudo resolvido

O problema é que o computador ficou todo fanado

Uma solução seria quiça instalar o windows xp por cima mas quando tento pôr o cd do windows xp na drive abre aquele menu e clico para instalar mas nada

Acho que não há mesmo solução

EDIT: mensagem postada por underworld mas tava aqui no 20COMER e não entrei com o meu login por esquecimento

Jorge Candeias · 20 de Agosto de 2005

Mostra ai o o log do hijackthis e o file boot.ini para ver o que se pode fazer (reparação à pata)

Cumprimentos

underworld · 20 de Agosto de 2005

Boot ini:

[boot loader]
timeout=30
Default= multi(0)disk(0)rdisk(0)partition(1)\windows

[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\windows="Windows XP"

Logfile of HijackThis v1.99.1
Scan saved at 13:17:45, on 20-08-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\Explorer.EXE
C:\Documents and Settings\All Users\Documentos\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {2A646672-9C3A-4C28-9A7A-1FB0F63F28B6} - (no file)
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Arquivos de programas\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [DIAG_APP_NAME1] "C:\Arquivos de programas\COMPANY_NAME\F
OLDER_NAME\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\WINDOWS\Dragdiag.exe" /icon
O4 - HKCU\..\Run: [FAST Defrag] C:\ARQUIV~1\FASTDE~1\FAST2.EXE -tray
O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Eoeq] C:\WINDOWS\System32\??stem32\winword.exe
O4 - Startup: YPOPs.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download ALL with IDA - C:\Arquivos de programas\IDA\idaieall.htm
O8 - Extra context menu item: Download with IDA - C:\Arquivos de programas\IDA\idaie.htm
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Internet Download Accelerator - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - C:\Arquivos de programas\IDA\ida.exe
O9 - Extra 'Tools' menuitem: &Internet Download Accelerator - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - C:\Arquivos de programas\IDA\ida.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\MSMSGS.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O14 - IERESET.INF: START_PAGE_URL=http://www.sapo.pt/
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted IP range: 67.19.178.84
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab
O16 - DPF: {BB47CA33-8B4D-11D0-9511-00C04FD9152D} (ExteriorSurround Object) - http://autos.msn.com/components/ocx/exterior/Outside.cab
O16 - DPF: {DE22A7AB-A739-4C58-AD52-21F9CD6306B7} (CTAdjust Class) - http://www.musica.gulbenkian.pt/template/fonts/clearadj.cab
O16 - DPF: {E6BC0B38-2BDD-11D4-815E-006097385FF5} (TranderX Control) - http://www.inverline.com/trander/WebTrander.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F8A095C-651A-4245-B842-A9A556E3DA3B}: NameServer = 192.168.0.1
O20 - AppInit_DLLs: rainit.dll
O21 - SSODL: Java Web Start - {98763210-127C-F1C6-8F19-A6B58A80F34A} - c:\arquivos de programas\java web start\wngbd32.dll (file missing)
O23 - Service: Iomega App Services - Iomega Corporation - C:\ARQUIV~1\Iomega\System32\AppServices.exe
O23 - Service: kavsvc - Unknown owner - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe (file missing)
O23 - Service: svchost.exe (moto) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\windows\SYSTEM32\slserv.exe
O23 - Service: StyleXPService - Unknown owner - C:\Arquivos de programas\TGTSoft\StyleXP\StyleXPService.exe

Whooper · 20 de Agosto de 2005

underworld disse:
Boas, aqui há uns dias acedi a um site manhoso (não vão de forma nenhum ao site anycracks.com lixa-vos o computador todo)

Deixa.me adivinhar... entraste nesse site com o Internet Explorer.? :-D

Tou farto de andar por sites com esse conteudo e nunca apanhei lixo desses.Mas uso o FF.

Boa sorte ai com isso...

Jorge Candeias · 20 de Agosto de 2005

Para começar tira essas entradas do trust ip range:
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted IP range: 67.19.178.84 :eek:

Elimina os BHO's (todos)

Tira isto: O4 - HKCU\..\Run: [Eoeq] C:\WINDOWS\System32\??stem32\winword.exe
O23 - Service: SmartLinkService (SLService) - - C:\windows\SYSTEM32\slserv.exe
Antes deste tens o file missing do svchost.exe
Esse parece ser uma virose que foi apagada... eu não tenho o Svchost na pasta \windows, por isso apaga essa entrada

Isto aqui na sei se é problematico se não... mas também não faz mal tirar
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe

BTW o meu Boot.ini:
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(2)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(2)partition(1)\WINDOWS="Windows XP" /fastdetect /NoExecute=OptOut /usepmtimer
c:\BOOTSECT.DOS="Microsoft Windows 98 SE"
C:\CMDCONS\BOOTSECT.DAT="Consola de recupera‡Æo do Microsoft Windows XP" /cmdcons

Podes adicionar o /FASTDETECT no boot.ini

Era boa ideia instalares o SP2
Ahh e o Kaspersky não deve funcionar comodeve ser porque falta um file

Cumprimentos

underworld · 20 de Agosto de 2005

Ok, já fiz o que indicaste mas agora não arranca

Ao arrancar aparecem 4 hipóteses:

- Windows XP
- Windows 98
- Consola recuperação Windows XP
- Windows pre definição

Se escolho o Windows XP ou windows pre definição diz que o windows não pôde iniciar devido a 1 problema de configuração do hardware do disco do computador. Impossivel ler do disco de arranque seleccionado. Verifique o caminho de arranque e o hardware do disco.

Se escolho windows 98 ou consola de recuperação aparace o windows não pode iniciar porque o ficheiro está em falta ou danificado: hal.dll. Reinstale 1 cópia do ficheiro acima

Jorge Candeias · 20 de Agosto de 2005

Epa!!! não era para copiares o meu boot.ini ROTFL
Era só pa veres o /fastdetect
Mete o boot.ini assim:

[boot loader]
timeout=30
Default= multi(0)disk(0)rdisk(0)partition(1)\windows

[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\windows="Windows XP" /FASTDETECT

Cumprimentos

Problema com virus

underworld

Power Member

Arrakis_Dune

Power Member

underworld

Power Member

Arrakis_Dune

Power Member

Dorf

What is folding?

20COMER

Power Member

Jorge Candeias

Power Member

underworld

Power Member

Whooper

Power Member

Jorge Candeias

Power Member

underworld

Power Member

Jorge Candeias

Power Member