[virus] alerta - o que fazer?

dinistic

Power Member
boas... tudo corria bem, tive de instalar o bsplayer para corrigir umas legendas de uma serie de tv, e o programa pediu para fazer um update qq.. por incrível q pareça carreguei OK sem olhar bem para aquilo e automaticamente se instalou um bug no meu pc..

o bug desactivou-me o kaspersky, e agora não sou capaz de o remover..
alguém me pode dar uma dica?

o pc inicia com uma serie de .exe's que iniciam sempre que o windows arranca. (já forcei os mesmos a n carregarem através do comando msconfig mas nada)


any tip?
obrigado
 
Se conseguires descobrir quais são os ficheiros que te estão a dar problemas mas forem daqueles que não permitem apagar, usa este programa: Unlocker Já fez maravilhas aqui no meu craptop laptop quando aparecem daqueles ficheiros/pastas chatos deixados pra trás por programas, spyware ou outros que õ windows teimosamente não deixa apagar. :D
 
Em vez de os apagares pelo msconfig, corre o regedit e vai a HKLM>Software>Microsoft>Windows>CurrentVersion>Run e vê se as entradas se encontram aí e apaga.

Para além do HKLM vê também no HKCU na mesma path.
 
Tenta o seguinte: faz um scan com o Malwarebytes' (http://malwarebytes.org/) e com o SUPERAntiSpyware Free Edition (http://www.superantispyware.com/download.html), que apesar de ambos serem grátis são óptimos programas. Se nenhum destes te resolver o problema, descarrega e instala o HijackThis (http://www.trendsecure.com/portal/en...ols/hijackthis), depois inicia o programa e clica em "Do a system scan and save a logfile", quando terminado copia toda a informação que está no log (janela do bloco de notas que te vai aparecer) e coloca-a aqui e também neste tópico: http://forum.zwame.pt/showthread.php?t=163348 para análise.
 
Corre o antivirus em modo de segurança.

mesmo em modo de segurança o kaspersky não faz o scan ao pc.




Em vez de os apagares pelo msconfig, corre o regedit e vai a HKLM>Software>Microsoft>Windows>CurrentVersion>Run e vê se as entradas se encontram aí e apaga.

Para além do HKLM vê também no HKCU na mesma path.

removi as entradas mas o problema continua


Tenta o seguinte: faz um scan com o Malwarebytes' (http://malwarebytes.org/) e com o SUPERAntiSpyware Free Edition (http://www.superantispyware.com/download.html), que apesar de ambos serem grátis são óptimos programas. Se nenhum destes te resolver o problema, descarrega e instala o HijackThis (http://www.trendsecure.com/portal/en...ols/hijackthis), depois inicia o programa e clica em "Do a system scan and save a logfile", quando terminado copia toda a informação que está no log (janela do bloco de notas que te vai aparecer) e coloca-a aqui e também neste tópico: http://forum.zwame.pt/showthread.php?t=163348 para análise.


instalei o malwarebytes e o superantispy e removi a maior parte dos worms, contudo sempre que inicio o pc alguns são novamente encontrados. já o fiz também em modo de segurança mas alguns teimam em continuar..

- o Worm também me manda a ligação da Meo abaixo, e a TV fica congelada durante 10 segundos, tempo em que a ligação volta à normalidade..

- ao iniciar o pc também me dá um erro do Explorer.exe e no taskman continuam alguns serviços estranhos carregados, mesmo se eu os desactivar no msconfig.

- o kaspersky continua inactivo (cinzento) e continuo sem o conseguir ressuscitar. :\
 
Iniciar > Executar > escreva devmgmt.msc e clique OK

Clique no botão Ver e seleccione Mostrar dispositivos ocultos.

Clique em Controladores que não sejam Plug and Play para expandir e mostrar os dispositivos.

Veja se existem os seguintes controladores:

TDSSspax.sys
TDSSServ.sys
gaopdxserv.sys
UACmxegjtve.sys


Se existirem faça clique direito sobre cada um deles e seleccione Desactivar.

Encerre o Gestor de Dispositivos e reinicie o PC.

Consegue aceder ao Windows Update e actualizar os programas de segurança?

Zee
 
Boas.

E um restauro do sistema para uma data anterior ao problema? Já tentaste?


sim, mas o resultado é o mesmo..

quando inicio o pc aparece os seguintes erros, fiz tb printscreen ao taskman para verem a quantidade de reader_s.exe / services.exe que aparecem...




passado uns minutos o firefox é aberto com a seguinte mensagem de erro..




 
Última edição:
sim, mas o resultado é o mesmo..

quando inicio o pc aparece os seguintes erros, fiz tb printscreen ao taskman para verem a quantidade de reader_s.exe / services.exe que aparecem...
Veja o meu post anterior:
http://forum.zwame.pt/showpost.php?p=4719935&postcount=8

Se não tiver nada daquilo...

Descarregue e instale o HijackThis.

Use o instalador (Installer), que cria as pastas apropriadas e coloca um ícone no ambiente de trabalho.

Arranque o programa usando esse ícone e clique no botão Do a system scan and save a logfile.

No final abrir-se-á um texto em Notepad. Copie esse texto e coloque-o aqui.

Depois disso veremos o que terá de estranho que possa estar a causar problemas.

Zee
 
Se após a análise do log do HijackThis! não se encontrar nada ou se o próprio programa nada resolver, então usa o ComboFix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix), mal entras na página deverás ver um título a dizer "Table of Contents" e logo abaixo "2. Using ComboFix" clica nele e abaixo disso terás 3 links, escolhe um deles e faz o download do programa. Após o download, inicia a aplicação (não requer instalação) e segue rigorosamente todas as indicações do programa sem excepção, mesmo que ele te diga para desligares o teu Anti-Virus, não estejas entretido a usar o PC para outras coisas enquanto ele estiver a funcionar e quando ele te perguntar se queres descarregar a Consola de Recuperação do Windows sugiro que o faças, pois pode ser preciso para alguma altura, depois disso podes desligar-te da net pois a partir daí o processo não usa a net.

Este programa costuma-me resolver todos os problemas que o Malwarebytes' e o SUPERAntiSpyware não conseguem.
Caso não consigas usar o direct link que está no nome do programa usa o outro.
 
Última edição:
Iniciar > Executar > escreva devmgmt.msc e clique OK

Clique no botão Ver e seleccione Mostrar dispositivos ocultos.

Clique em Controladores que não sejam Plug and Play para expandir e mostrar os dispositivos.

Veja se existem os seguintes controladores:

TDSSspax.sys
TDSSServ.sys
gaopdxserv.sys
UACmxegjtve.sys


Se existirem faça clique direito sobre cada um deles e seleccione Desactivar.

Encerre o Gestor de Dispositivos e reinicie o PC.

Consegue aceder ao Windows Update e actualizar os programas de segurança?

Zee

nenhum desses controladores estão no gestor de dispositivos,
 
Veja o meu post anterior:
http://forum.zwame.pt/showpost.php?p=4719935&postcount=8

Se não tiver nada daquilo...

Descarregue e instale o HijackThis.

Use o instalador (Installer), que cria as pastas apropriadas e coloca um ícone no ambiente de trabalho.

Arranque o programa usando esse ícone e clique no botão Do a system scan and save a logfile.

No final abrir-se-á um texto em Notepad. Copie esse texto e coloque-o aqui.

Depois disso veremos o que terá de estranho que possa estar a causar problemas.

Zee

Zee, já tinha instalado o Hijack como tinha sugerido, esqueci-me foi de colar aqui os resultados, cá vão

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:15:03, on 19-05-2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programas\Ficheiros comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
E:\Programas\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Programas\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\dwwin.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\TEMP\sph2.tmp
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\reader_s.exe
C:\WINDOWS\system32\svchost.exe
C:\Programas\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\services.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\services.exe
E:\Programas\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\System32\reader_s.exe
C:\WINDOWS\services.exe
C:\Documents and Settings\Dinis\reader_s.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\services.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
E:\Programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.guarddog2009.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hiperligações
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programas\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programas\Ficheiros comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [AVP] "E:\Programas\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [12CFG914-K641-26SF-N32P] C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe
O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\Dinis\reader_s.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Programas\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Documents and Settings\Dinis\reader_s.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programas\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programas\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Web traffic protection statistics - {1f460357-8a94-4d71-9ca3-aa4acf32ed8e} - E:\Programas\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: c:\progra~1\ThunMail\testabd.dll,E:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,E:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O20 - Winlogon Notify: !saswinlogon - E:\Programas\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: wwwsmxjs - C:\WINDOWS\SYSTEM32\wwwsmxjs32.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programas\Ficheiros comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Anti-Virus (avp) - Kaspersky Lab - E:\Programas\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Serviço de transferência inteligente em fundo (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Serviço iPod (iPod Service) - Apple Inc. - C:\Programas\iPod\bin\iPodService.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Actualizações automáticas (wuauserv) - Unknown owner - C:\WINDOWS\

--
End of file - 6532 bytes
 
Se após a análise do log do HijackThis! não se encontrar nada ou se o próprio programa nada resolver, então usa o ComboFix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix), mal entras na página deverás ver um título a dizer "Table of Contents" e logo abaixo "2. Using ComboFix" clica nele e abaixo disso terás 3 links, escolhe um deles e faz o download do programa. Após o download, inicia a aplicação (não requer instalação) e segue rigorosamente todas as indicações do programa sem excepção, mesmo que ele te diga para desligares o teu Anti-Virus, não estejas entretido a usar o PC para outras coisas enquanto ele estiver a funcionar e quando ele te perguntar se queres descarregar a Consola de Recuperação do Windows sugiro que o faças, pois pode ser preciso para alguma altura, depois disso podes desligar-te da net pois a partir daí o processo não usa a net.

Este programa costuma-me resolver todos os problemas que o Malwarebytes' e o SUPERAntiSpyware não conseguem.
Caso não consigas usar o direct link que está no nome do programa usa o outro.

não consigo instalar, aparece a seguinte mensagem de erro:

posteriormente o instaler é automaticamente removido pelo sistema..

:\
 
Crie um ponto de restauro fresco.

Descarregue e instale a versão Slim do CCleaner.

Depois de instalado o programa acima, faça um scan com o HJT e seleccione as seguintes entradas para limpar (clique no quadradinho à esquerda de cada uma):
Código:
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k
O4 - HKCU\..\Run: [12CFG914-K641-26SF-N32P] C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe
O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\Dinis\reader_s.exe
O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Documents and Settings\Dinis\reader_s.exe (User 'SYSTEM')
O20 - Winlogon Notify: wwwsmxjs - C:\WINDOWS\SYSTEM32\wwwsmxjs32.dll

Faça a limpeza clicando em Fix checked, confirme se necessário e encerre o HJT.

Reinicie o sistema em Modo de Segurança.

Assegure-se que pode ver todas as pastas e ficheiros ocultos e localize e apague os seguintes ficheiros, se ainda existirem:

C:\WINDOWS\System32\reader_s.exe
C:\WINDOWS\services.exe
C:\Documents and Settings\Dinis\reader_s.exe
C:\WINDOWS\SYSTEM32\wwwsmxjs32.dll

Arranque com o CCleaner usando o ícone no ambiente de trabalho e clique no botão Run cleaner.

Terminada a limpeza reinicie o sistema em Modo Normal.

Arranque o SUPERAntiSpyware utilizando o ícone criado no ambiente de trabalho.

Actualize as definições clicando no botão Check for Updates...

Terminada a actualização clique em Preferences, depois no separador Scanning Control, em Scanner Options, assegure-se que selecciona

- Close browsers before scanning.
- Scan for tracking cookies.
- Terminate memory threats before quarantining.

E desmarque todos os outros. Agora clique em Close para sair deste menu.

Clique em Scan your Computer..., seleccione Perform Complete Scan, clique em Next e aguarde pacientemente até lhe ser apresentado um relatório dos itens encontrados. Clique em OK e Next para confirmar a limpeza.

Encerre o programa, reinicie o PC e teste.

Coloque um novo log do HJT.

Zee
 
obrigado zee, vou efectuar tudo o que me sugeriu.
assim que tiver tudo, comunico.

após 1.40h cá vai

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1:09:39, on 20-05-2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
E:\Programas\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programas\Ficheiros comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\System32\svchost.exe
E:\Programas\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programas\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\TEMP\vjd2.tmp
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\svchost.exe
E:\Programas\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
E:\Programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.guarddog2009.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hiperligações
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programas\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programas\Ficheiros comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [AVP] "E:\Programas\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [12CFG914-K641-26SF-N32P] C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programas\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Programas\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Documents and Settings\Dinis\reader_s.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programas\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programas\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Web traffic protection statistics - {1f460357-8a94-4d71-9ca3-aa4acf32ed8e} - E:\Programas\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: c:\progra~1\ThunMail\testabd.dll,E:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,E:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O20 - Winlogon Notify: !saswinlogon - E:\Programas\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: wwwsmxjs - C:\WINDOWS\SYSTEM32\wwwsmxjs.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programas\Ficheiros comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Anti-Virus (avp) - Kaspersky Lab - E:\Programas\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Serviço de transferência inteligente em fundo (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Serviço iPod (iPod Service) - Apple Inc. - C:\Programas\iPod\bin\iPodService.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Actualizações automáticas (wuauserv) - Unknown owner - C:\WINDOWS\

--
End of file - 5799 bytes
 
Última edição pelo moderador:
Não resolveu totalmente.

Aliás esse vírus pode causar estragos irreversíveis, exige intervenção do utilizador e deveria ter sido detectado pelo anti-vírus.

Tente ainda isto e este scanner online (aceda com o Internet Explorer).

Boa sorte.

Zee


de facto não removeu totalmente, mas já tenho o pc estável como dantes..
contudo:
- a tv(meo) congela 15 em 15 minutos,
- tenho vários programas que não funcionam (media players, anti-virus, photoshop, etc)
- ha alguns worms q resistem aos anti-spywares

vou começar a fazer backups de tudo e fazer um fresh install do windows..

obrigado pelas dicas e pela sugestão dos 2 anti-spywares que não conhecia e que já reparei aqui no forum são muito bons.

um bem-haja a todos
 
de facto não removeu totalmente, mas já tenho o pc estável como dantes..
contudo:
- a tv(meo) congela 15 em 15 minutos,
- tenho vários programas que não funcionam (media players, anti-virus, photoshop, etc)
- ha alguns worms q resistem aos anti-spywares

vou começar a fazer backups de tudo e fazer um fresh install do windows..

obrigado pelas dicas e pela sugestão dos 2 anti-spywares que não conhecia e que já reparei aqui no forum são muito bons.

um bem-haja a todos
O vírus infecta os executáveis e a reparação é, geralmente, muitíssimo difícil de conseguir. Haverá sempre alguns executáveis que não se conseguirão reparar.

Concordo plenamente com a formatação e reinstalação.

Quanto aos backups, tenha o máximo cuidado para não fazer backups de ficheiros infectados e mesmo assim, no final, faça um scan ao backup com um bom anti-vírus actualizado.

Boa sorte!

Zee
 
O vírus infecta os executáveis e a reparação é, geralmente, muitíssimo difícil de conseguir. Haverá sempre alguns executáveis que não se conseguirão reparar.

Concordo plenamente com a formatação e reinstalação.

Quanto aos backups, tenha o máximo cuidado para não fazer backups de ficheiros infectados e mesmo assim, no final, faça um scan ao backup com um bom anti-vírus actualizado.

Boa sorte!

Zee

sim, efectuei agora um scan anti-virus aos backups. alias o kaspersky foi a primeira coisa que instalei..
para além de ter o sistema operativo mais rápido, está agora livre de virus e worms... aliás, formatação nestes casos é sempre a melhor solução..

de qualquer das maneiras e para encerrar o tópico, obrigado a todos os que me ajudaram principalmente ao Zee que foi fundamental no processo.

abraços
 
Back
Topo