System Alert Popup virus

H

Hiro_Sakamura

Membro
Boas! Venho em busca de salvaçao!! Primeiro virus da minha vida...começamos mal o ano!

Nao sei se me conseguem ajudar, mas este suposto trojan (pesquisa em sites internacionais -> http://sg.answers.yahoo.com/question/index?qid=20070102060113AA78q5L) bateu a minha porta! Começou como um icone no lado direito da barra de ferramentas com o simbolo do "Ajuda e Suporte do Windows" e passava para um HDD com ponto de exclamaçao...De vez em quando vinha com esta mensagem:

Critical System Error!

Please read this message carefully.
Your PC is infected by spyware. Spyware and other unwanted software refers to programs that perform certain tasks on your computer, typically without your consent. This can include installing pop-up advertising or collecting your personal information. Anti-spyware tools can only help rid your computer of spyware.
Click "OK" to get software and special offers on antivirus software.

Ao carregar ele passava.m para http://www.anti-vermins.com/, um suposto site que contem um anti-virus...erro feito nao era pa piorar por isso, como e um bocado obvio deixei.m tar...

Fiz reboot ao PC e era logo o primeiro icone a aparecer no arranque, logo fui Run -> msconfig e desliguei tudo menos o que tinha Microsoft...Agora tou sem a mensagem.

Fui ao "Adicionar e remover programas" e tenho lá 2 programas novos...nomes suspeitos, tais como: Internet Security Add-On e Internet Explorer Security Plugin 2006. Coisas que nunca instalei e tem a data em que o Trojan me apareceu (5-1-07).

Ao tentar remove-los aparece-me a mensagem: "You shoul reboot your computer prior to uninstalling this software"... Ja carreguei reboot e depois de reiniciar aparece.me a mesma mensagem...bom ciclo vicioso >(

Agora nao tenho nada de mal, mas gostava de saber se conhecem o virus e se sabem como remove-lo por completo do meu computador!

Qualquer ajuda seria espetacular!!

Abraços e bom ano
 
isso é spyware, não instales o programa que eles dizem para instalar senão ficas com o pc transformado em jardim zoologico. quando esse spyware apareceu chamava-se spyfalcon, agora já existem dezenas de variantes, todas com mensagens diferentes no system tray. instala o spybot search and destroy e faz um scan. não te esqueças de actualizar primeiro o spybot. já tive essa infeccção no meu pc e na altura foi dificil de eliminar porque tinha aparecido à pouco, mas agora o spybot faz isso na boa. faz tbém um sccan com o antivirus porque se calhar já tens mais bichinhos no pc. lembro-me que na altura em que o meu foi infectado o antivirus ficou maluco, apanhou 58 virus diferentes. não te esqueças de desligar o restauro do sistema.
 
Pessoal estou aqui num computador também com esta maldição... :rolleyes:
Já passei isto com o Sypbot, Active Virus Shield, já limpou um monte de porcaria (que de certeza veio junto com isto), mas a linda popup ainda ali está. >(
Passei agora com o HJT, aqui vai o log, decerto há quem o saiba interpretar melhor que eu :)

Código: 
Logfile of HijackThis v1.99.1
Scan saved at 19:56:55, on 07-01-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programas\Intel\Wireless\Bin\EvtEng.exe
C:\Programas\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programas\AOL\Active Virus Shield\avp.exe
C:\Programas\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programas\Apoint2K\Apoint.exe
C:\Programas\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programas\TOSHIBA\Touch and Launch\PadExe.exe
C:\Programas\TOSHIBA\E-KEY\CeEKey.exe
C:\Programas\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\system32\TPSMain.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\Programas\TOSHIBA\Utilitário de Zooming da TOSHIBA\SmoothView.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\Programas\TOSHIBA\Controlos TOSHIBA\TFncKy.exe
C:\Programas\TOSHIBA\Tvs\TvsTray.exe
C:\Programas\Intel\Wireless\Bin\RegSrvc.exe
C:\Programas\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programas\TOSHIBA\TOSHIBA Direct Disc Writer\ddwmon.exe
C:\Programas\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programas\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programas\AOL\Active Virus Shield\avp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programas\QuickTime\qttask.exe
C:\WINDOWS\system32\TODDSrv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programas\Unlocker\UnlockerAssistant.exe
C:\Programas\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programas\Apoint2K\Apntex.exe
C:\Programas\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programas\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\Programas\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programas\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programas\Mozilla Firefox\firefox.exe
C:\Programas\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hiperligações
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programas\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programas\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programas\Ficheiros comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Apoint] C:\Programas\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programas\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programas\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [HWSetup] C:\Programas\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Programas\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [TPNF] C:\Programas\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programas\TOSHIBA\Utilitário de Zooming da TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [Tvs] C:\Programas\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [DDWMon] C:\Programas\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programas\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programas\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [aol] "C:\Programas\AOL\Active Virus Shield\avp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programas\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programas\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programas\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programas\Ficheiros comuns\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Programas\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programas\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programas\IVT Corporation\BlueSoleil\BlueSoleil.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programas\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programas\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: carbinyl - {8d8c2387-7f80-4022-9be6-43630a969558} - C:\WINDOWS\system32\gwquvw.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programas\Ficheiros comuns\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Active Virus Shield (AVP) - Unknown owner - C:\Programas\AOL\Active Virus Shield\avp.exe" -r (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programas\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programas\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programas\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programas\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programas\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\WINDOWS\system32\TODDSrv.exe
Soluções? :)

Cumps!

#EDIT: SOLVED!!!
Foi fazer fix à entrada
Código: 
O21 - SSODL: carbinyl - {8d8c2387-7f80-4022-9be6-43630a969558} - C:\WINDOWS\system32\gwquvw.dll
no HJT e desapareceu :D

Thanks pelo site do HJT, esquiso ;)


Cumps!
 
Última edição:
Vou tentar ajudar:)

1-Vai a este site e faz copy/paste do teu log do HJT/Analyze
No HJT marca o que está a vermelho/Fixchecked
(Já o fiz com o log que tens aqui,e tens pelo menos um: O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE)

2-Vai ao registo/star/run/regedit

No registo:HKLM/Software/Microsoft/Windows/CurrentVersion/Run

Se lá estiver:Internet Security Add-On e Internet ExplorerSecurity Plugin 2006 ...Faz (DELETE)

Aproveita e vê aqui outros sftw que tenhas desinstalado, pois podes fazer delete aqui, das marcas que deixaram no registo

Boa Sorte :)
 
Editei uns minutos antes de responderes :p
Já tinha resolvido, foi passar por esse mesmo site. Esse ALCMTR.EXE é da realtek (não tinha a ver com isto), mas também foi.

O Internet Security Addon e o seu amigo já tinham ido com os porcos numa das tentativas de limpar isto.

Muito obrigado pela resposta mesmo assim ;)
Cumprimentos!
 
Hiro_Sakamura disse:
Boas! Venho em busca de salvaçao!! Primeiro virus da minha vida...começamos mal o ano!

Nao sei se me conseguem ajudar, mas este suposto trojan (pesquisa em sites internacionais -> http://sg.answers.yahoo.com/question/index?qid=20070102060113AA78q5L) bateu a minha porta! Começou como um icone no lado direito da barra de ferramentas com o simbolo do "Ajuda e Suporte do Windows" e passava para um HDD com ponto de exclamaçao...De vez em quando vinha com esta mensagem:

Critical System Error!

Please read this message carefully.
Your PC is infected by spyware. Spyware and other unwanted software refers to programs that perform certain tasks on your computer, typically without your consent. This can include installing pop-up advertising or collecting your personal information. Anti-spyware tools can only help rid your computer of spyware.
Click "OK" to get software and special offers on antivirus software.

Ao carregar ele passava.m para http://www.anti-vermins.com/, um suposto site que contem um anti-virus...erro feito nao era pa piorar por isso, como e um bocado obvio deixei.m tar...

Fiz reboot ao PC e era logo o primeiro icone a aparecer no arranque, logo fui Run -> msconfig e desliguei tudo menos o que tinha Microsoft...Agora tou sem a mensagem.

Fui ao "Adicionar e remover programas" e tenho lá 2 programas novos...nomes suspeitos, tais como: Internet Security Add-On e Internet Explorer Security Plugin 2006. Coisas que nunca instalei e tem a data em que o Trojan me apareceu (5-1-07).

Ao tentar remove-los aparece-me a mensagem: "You shoul reboot your computer prior to uninstalling this software"... Ja carreguei reboot e depois de reiniciar aparece.me a mesma mensagem...bom ciclo vicioso >(

Agora nao tenho nada de mal, mas gostava de saber se conhecem o virus e se sabem como remove-lo por completo do meu computador!

Qualquer ajuda seria espetacular!!

Abraços e bom ano
Clicar para expandir...
Faz o que o shello fez. HijackThis, vai ao site, e vê o que eles têm a vermelho.
Apaga o que eles desconfiarem.
 
Inicie sessão ou registe-se para poder participar.
Back
Topo