[VIRUS-ELP] Fodeo!

[NeckrO]

Ae nerds, preciso dum elp, vida do meu note está em risco auhauhahu

Camarada espetou um pendrive aqui ontem e me deu um virus de presente.
Pelos processos roda um tal de net.exe e cmd.exe, dei uma googlada mas nao consegui resolver.
Acontece o seguinte:
- Windows inicia, e o explorer nao. Aih inicio o explorer pelo Gerenciador de Tarefas.
- Depois de um tempo o explorer dá erro e fecha, as vezes a net cai.
- Windows dah erro e pede pra reiniciar.
- Quase todo programa que abro, dá erro.

To copiando os arquivos mais importantes pelo modo de seguranca pra caso haja um possivel format. Mas o explorer dah merda e as vezes n consigo copiar nada... bom, TA FODA! aeuhaeuhae to tentando copiar o que posso pq eh note de trampo, e tem mt coisa importante ..entao formatar nao seria uma opcao,ateh pq nao tenho todos os drivers do note separados ainda

SE alguem puder ajudar, pls.. tirar o bicho na unha...
Jah passei Spybot, removi o que tinha de podre.Nao resolveu.
Hijackthis tbm, mas sobraram umas coisas..

Log do Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 15:27:38, on 26/06/2009
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16851)

Running processes:
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\HijackThis\hijackthis.exe
C:\RECYCLER\S-1-5-21-6667857099-7026532831-245503252-9864\wnzip32.exe
C:\WINDOWS\System32\csrcs.exe
C:\RECYCLER\S-1-5-21-6667857099-7026532831-245503252-9864\wnzip32.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\DllHost.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLSched.exe
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

Uns processos aparecem e somem do nada, mas os que prevalecem sao esses net.exe e cmd.exe...

Bom,nao sei como prosseguir, sou mirim..
Quem puder, por favor.
Vlwww!
Nao postei no temp pq eh meio urgente o negocio, tenho trabalhos pra entregar/terminar e peciso do note funcionando!

[Elton_Saraiva]

ih, fudeo mesmo, ja tive algo parecido, tentei várias coisas, mas nada, teve um tempo que nem o explorer entrou mais..

[NeckrO]

Ah,os processos que tao rodando:

 

Agora vi que tem um que o Dark Falcon pediu ajuda pra remover um dia desses... porra, parece que bichou TUDO msm

[roadster]

soh de ouvir "log do Hijack" minhas pernas tremem.

[dw]

wnzip32 eh o bixo

[Chronos]

"Csrcs.exe, also known to be created under: autolfb.exe, wscrt.exe, systemchk.exe. By default it is located in the System (95/98/ME) / System32 (NT/2000/XP/Vista) folder under the Windows installation folder, C:\Windows or C:\WinNT. The process is not visible and loads during the Windows boot process and when started, it connects to a remote IRC server waiting for instructions to be executed. Csrcs.exe is known to be associated with a number of other threats."

Cara, sugiro entrar nesse site aqui e ir verificando os processos que estão rodando e fechando eles. Fecha aí de cara esse csrcs.exe pois ele é pra ser parecido com o csrss.exe, mas vc pode ver que na descrição não há nada lá... Enquanto o csrss tem!
Dá uma olhada e talz.
Vc tá usando esse wnzip32.exe aí? Tá zipando muitos arquivos??? Eu fecharia todos eles também.

http://www.processlibrary.com/

[Chronos]

wnzip tem tudo pra ser vírus camuflado de wInzip32.
Achei aqui:

http://www.virusremovalguru.com/?p=2816

É um Trojan...

[Chronos]

Esses arquivos aí vc tem que finalizar o processo e apagar eles. Se tentar apagar e não conseguir, baixa o programa UNLOCKER, é muito bom e te fala quais processos estão utilizando um arquivo caso vc não consiga apagar ele. Aí vc pode finalizar esses processos pelo programa mesmo e apagar os arquivos, aí GG.

C:\RECYCLER\S-1-5-21-6667857099-7026532831-245503252-9864\wnzip32.exe
C:\WINDOWS\System32\csrcs.exe
C:\RECYCLER\S-1-5-21-6667857099-7026532831-245503252-9864\wnzip32.exe
C:\Windows\system32\NOTEPAD.EXE

EDIT:
Outra coisa. Se o cmd e o outro processo abrirem aí e vc não estiver vendo o prompt de comando (tipo um console DOS), finaliza o processo e talz. Sugiro que você desligue o pc também da Rede interna da empresa/Internet enquanto remove esses arquivos também.

[deadcow]

eu qdo vo tenta remover na unha eu acho o binario renomeio, mas antes eu procuro todas as entradas no registro e modifico, isso quando n eh polimorfico ne e esses virus de pendrive costumam ser, se for daqle tipo que infecta varios binarios do windows é format c a unica solução, se bem que ja ouvi dizer que tem gente que conseguiu recuperar com o cd do win.

[NeckrO]

caralho, os processos triplicaram, e n to conseguindo abrir mais nada... pqp.
Vou ter que PAGAR pra alguem fazer bckup dos meus arquivos pq nao vou sair abrindo o note sem saber...ae o format eu faço, vou cobrar do meu amigo, fdp. aeiuhaeiuhae

[marcelob23]

anti-malware ------ malwarebytes

./close

[Dark Falcon]

1 - Procure na pasta system32 pra ver se existem os arquivos PnKBsTrA e PnKBsTrB. O A tem .exe, o B tem .exe e outra extensão louca. Se tiver, use shift + delete. Se não tiver, errei.
2 - Passe o Avira
3 - Passe o malwarebytes com o Avira desabilitade
4 - Combofix
5 - Ccleaner
6 - Reinicie o pc e com um cd do windows entre no console de recuperação e libere um chkdsk /p

Guarde bem o nome dos arquivos infectados, pois provavelmente eles precisarão ser reinstalados ou recopiados.

[NeckrO]

CARALHO.
Passei o ComboFix, e simplesmente limpou tudo. Pelo menos PARECE.
To fazendo os outros procedimentos por precaução.. vamo ver qq vai da...

[SoulBlighter]

Ow cacete eu te indiquei o combofix por msn =p
Nao da ouvidos ao pai mais nao eh? ^^

[NeckrO]

Quote:

Postado por SoulBlighter

Ow cacete eu te indiquei o combofix por msn =p
Nao da ouvidos ao pai mais nao eh? ^^

ahuahua Nao eh isso, eh que eu jah tinha passado 1x, e continuou travando tudo.. ae passei de novo de teimoso e foi oO

to rodando, malwarebytes,avira e ccleaner aqui.

[DiE LuCiaNo]

Já está com um ÓTIMO armamento, vai dar tudo certo

[NeckrO]

Deu certo, limpei tudo.. aproveitei e organizei os arquivos q tavam meio zonados, note só nao tah 100% pq nao formatei aeuhaehu mas tah otimo, valeu a todos!

[DiE LuCiaNo]

ejhIEJHIjhei foi o +zin pelo MSN esse?
=*

[NeckrO]

sim auhahuahuauhauia

[Dark Falcon]

Quote:

Postado por NeckrO

Deu certo, limpei tudo.. aproveitei e organizei os arquivos q tavam meio zonados, note só nao tah 100% pq nao formatei aeuhaehu mas tah otimo, valeu a todos!

Só reinstalar os drives que ele fica 100%. O meu ficou.

(exceto o steam que deixei corrompido mesmo, um prog a menos pra iniciar com o pc)