1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

System Alert Popup virus

Discussão em 'Dúvidas e Suporte Técnico PC' iniciada por Hiro_Sakamura, 5 de Janeiro de 2007. (Respostas: 5; Visualizações: 2983)

  1. Boas! Venho em busca de salvaçao!! Primeiro virus da minha vida...começamos mal o ano!

    Nao sei se me conseguem ajudar, mas este suposto trojan (pesquisa em sites internacionais -> http://sg.answers.yahoo.com/question/index?qid=20070102060113AA78q5L) bateu a minha porta! Começou como um icone no lado direito da barra de ferramentas com o simbolo do "Ajuda e Suporte do Windows" e passava para um HDD com ponto de exclamaçao...De vez em quando vinha com esta mensagem:

    Critical System Error!

    Please read this message carefully.
    Your PC is infected by spyware. Spyware and other unwanted software refers to programs that perform certain tasks on your computer, typically without your consent. This can include installing pop-up advertising or collecting your personal information. Anti-spyware tools can only help rid your computer of spyware.
    Click "OK" to get software and special offers on antivirus software.

    Ao carregar ele passava.m para http://www.anti-vermins.com/, um suposto site que contem um anti-virus...erro feito nao era pa piorar por isso, como e um bocado obvio deixei.m tar...

    Fiz reboot ao PC e era logo o primeiro icone a aparecer no arranque, logo fui Run -> msconfig e desliguei tudo menos o que tinha Microsoft...Agora tou sem a mensagem.

    Fui ao "Adicionar e remover programas" e tenho lá 2 programas novos...nomes suspeitos, tais como: Internet Security Add-On e Internet Explorer Security Plugin 2006. Coisas que nunca instalei e tem a data em que o Trojan me apareceu (5-1-07).

    Ao tentar remove-los aparece-me a mensagem: "You shoul reboot your computer prior to uninstalling this software"... Ja carreguei reboot e depois de reiniciar aparece.me a mesma mensagem...bom ciclo vicioso >(

    Agora nao tenho nada de mal, mas gostava de saber se conhecem o virus e se sabem como remove-lo por completo do meu computador!

    Qualquer ajuda seria espetacular!!

    Abraços e bom ano
     
  2. lfernandes

    lfernandes Power Member

    isso é spyware, não instales o programa que eles dizem para instalar senão ficas com o pc transformado em jardim zoologico. quando esse spyware apareceu chamava-se spyfalcon, agora já existem dezenas de variantes, todas com mensagens diferentes no system tray. instala o spybot search and destroy e faz um scan. não te esqueças de actualizar primeiro o spybot. já tive essa infeccção no meu pc e na altura foi dificil de eliminar porque tinha aparecido à pouco, mas agora o spybot faz isso na boa. faz tbém um sccan com o antivirus porque se calhar já tens mais bichinhos no pc. lembro-me que na altura em que o meu foi infectado o antivirus ficou maluco, apanhou 58 virus diferentes. não te esqueças de desligar o restauro do sistema.
     
  3. shello

    shello Moderador
    Staff Member

    Pessoal estou aqui num computador também com esta maldição... :rolleyes:
    Já passei isto com o Sypbot, Active Virus Shield, já limpou um monte de porcaria (que de certeza veio junto com isto), mas a linda popup ainda ali está. >(
    Passei agora com o HJT, aqui vai o log, decerto há quem o saiba interpretar melhor que eu :)

    Código:
    Logfile of HijackThis v1.99.1
    Scan saved at 19:56:55, on 07-01-2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programas\Intel\Wireless\Bin\EvtEng.exe
    C:\Programas\Intel\Wireless\Bin\S24EvMon.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Programas\AOL\Active Virus Shield\avp.exe
    C:\Programas\IVT Corporation\BlueSoleil\BTNtService.exe
    C:\Programas\Apoint2K\Apoint.exe
    C:\Programas\TOSHIBA\ConfigFree\CFSvcs.exe
    C:\Programas\TOSHIBA\Touch and Launch\PadExe.exe
    C:\Programas\TOSHIBA\E-KEY\CeEKey.exe
    C:\Programas\TOSHIBA\TouchPad\TPTray.exe
    C:\WINDOWS\system32\TPSMain.exe
    C:\WINDOWS\system32\ZoomingHook.exe
    C:\Programas\TOSHIBA\Utilitário de Zooming da TOSHIBA\SmoothView.exe
    C:\WINDOWS\system32\TCtrlIOHook.exe
    C:\Programas\TOSHIBA\Controlos TOSHIBA\TFncKy.exe
    C:\Programas\TOSHIBA\Tvs\TvsTray.exe
    C:\Programas\Intel\Wireless\Bin\RegSrvc.exe
    C:\Programas\TOSHIBA\ConfigFree\NDSTray.exe
    C:\Programas\TOSHIBA\TOSHIBA Direct Disc Writer\ddwmon.exe
    C:\Programas\Intel\Wireless\bin\ZCfgSvc.exe
    C:\Programas\Intel\Wireless\Bin\ifrmewrk.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\Programas\AOL\Active Virus Shield\avp.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programas\QuickTime\qttask.exe
    C:\WINDOWS\system32\TODDSrv.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Programas\Unlocker\UnlockerAssistant.exe
    C:\Programas\TOSHIBA\TOSCDSPD\toscdspd.exe
    C:\WINDOWS\system32\TPSBattM.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programas\Apoint2K\Apntex.exe
    C:\Programas\IVT Corporation\BlueSoleil\BlueSoleil.exe
    C:\Programas\Microsoft Office\OFFICE11\ONENOTEM.EXE
    C:\Programas\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
    C:\Programas\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
    C:\Programas\Mozilla Firefox\firefox.exe
    C:\Programas\Hijackthis\HijackThis.exe
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hiperligações
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programas\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programas\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programas\Ficheiros comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [Apoint] C:\Programas\Apoint2K\Apoint.exe
    O4 - HKLM\..\Run: [PadTouch] C:\Programas\TOSHIBA\Touch and Launch\PadExe.exe
    O4 - HKLM\..\Run: [CeEKEY] C:\Programas\TOSHIBA\E-KEY\CeEKey.exe
    O4 - HKLM\..\Run: [HWSetup] C:\Programas\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
    O4 - HKLM\..\Run: [SVPWUTIL] C:\Programas\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
    O4 - HKLM\..\Run: [TPNF] C:\Programas\TOSHIBA\TouchPad\TPTray.exe
    O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
    O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
    O4 - HKLM\..\Run: [SmoothView] C:\Programas\TOSHIBA\Utilitário de Zooming da TOSHIBA\SmoothView.exe
    O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
    O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
    O4 - HKLM\..\Run: [Tvs] C:\Programas\TOSHIBA\Tvs\TvsTray.exe
    O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
    O4 - HKLM\..\Run: [DDWMon] C:\Programas\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe
    O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programas\Intel\Wireless\bin\ZCfgSvc.exe"
    O4 - HKLM\..\Run: [IntelWireless] "C:\Programas\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [aol] "C:\Programas\AOL\Active Virus Shield\avp.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programas\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programas\Unlocker\UnlockerAssistant.exe"
    O4 - HKCU\..\Run: [TOSCDSPD] C:\Programas\TOSHIBA\TOSCDSPD\toscdspd.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - Startup: Adobe Gamma.lnk = C:\Programas\Ficheiros comuns\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Programas\Microsoft Office\OFFICE11\ONENOTEM.EXE
    O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programas\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
    O4 - Global Startup: BlueSoleil.lnk = C:\Programas\IVT Corporation\BlueSoleil\BlueSoleil.exe
    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programas\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programas\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
    O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
    O21 - SSODL: carbinyl - {8d8c2387-7f80-4022-9be6-43630a969558} - C:\WINDOWS\system32\gwquvw.dll
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programas\Ficheiros comuns\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Active Virus Shield (AVP) - Unknown owner - C:\Programas\AOL\Active Virus Shield\avp.exe" -r (file missing)
    O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programas\IVT Corporation\BlueSoleil\BTNtService.exe
    O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programas\TOSHIBA\ConfigFree\CFSvcs.exe
    O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programas\Intel\Wireless\Bin\EvtEng.exe
    O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programas\Intel\Wireless\Bin\RegSrvc.exe
    O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programas\Intel\Wireless\Bin\S24EvMon.exe
    O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\WINDOWS\system32\TODDSrv.exe
    Soluções? :)

    Cumps!

    #EDIT: SOLVED!!!
    Foi fazer fix à entrada
    Código:
    O21 - SSODL: carbinyl - {8d8c2387-7f80-4022-9be6-43630a969558} - C:\WINDOWS\system32\gwquvw.dll
    no HJT e desapareceu :D

    Thanks pelo site do HJT, esquiso ;)


    Cumps!
     
    Última edição: 7 de Janeiro de 2007
  4. MKPlus

    MKPlus Power Member

    Vou tentar ajudar:)

    1-Vai a este site e faz copy/paste do teu log do HJT/Analyze
    No HJT marca o que está a vermelho/Fixchecked
    (Já o fiz com o log que tens aqui,e tens pelo menos um: O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE)

    2-Vai ao registo/star/run/regedit

    No registo:HKLM/Software/Microsoft/Windows/CurrentVersion/Run

    Se lá estiver:Internet Security Add-On e Internet ExplorerSecurity Plugin 2006 ...Faz (DELETE)

    Aproveita e vê aqui outros sftw que tenhas desinstalado, pois podes fazer delete aqui, das marcas que deixaram no registo

    Boa Sorte :)
     
  5. shello

    shello Moderador
    Staff Member

    Editei uns minutos antes de responderes :p
    Já tinha resolvido, foi passar por esse mesmo site. Esse ALCMTR.EXE é da realtek (não tinha a ver com isto), mas também foi.

    O Internet Security Addon e o seu amigo já tinham ido com os porcos numa das tentativas de limpar isto.

    Muito obrigado pela resposta mesmo assim ;)
    Cumprimentos!
     
  6. pipadias

    pipadias Power Member

    Faz o que o shello fez. HijackThis, vai ao site, e vê o que eles têm a vermelho.
    Apaga o que eles desconfiarem.
     

Partilhar esta Página