Vírus do Atalho

Olá pessoal. Tudo bom?

Estou com um problema muito chato!

Os arquivos do meu pendrive estão virando atalhos. Dei uma olhada nos outros tópicos, mas não consegui resolver meu problema. Vocês poderiam me ajudar?

Já baixei e utilizei o software MCShield Real-Time Monitor.

O log dele está logo aqui embaixo, mas não consigo fazer o download UsbFix, não sei porque.

>>> MCShield AllScans.txt <<<

-----------------------------

MCShield ::Anti-Malware Tool:: [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

>>> v 3.0.5.28 / DB: 2016.2.21.1 / Windows 7 <<<


31/08/2016 13:03:42 > Unidade C: - escaneamento iniciado (sem rotulo ~466 GB, NTFS HDD )...



=> A unidade está limpa.


31/08/2016 13:03:42 > Unidade F: - escaneamento iniciado (sem rotulo ~3896 MB, FAT32 unidade flash )...


>>> F:\Alimentação G3A.jpg.lnk - Malware > Excluído. (16.08.31. 13.03 Alimentação G3A.jpg.lnk.348187; MD5: d73f90ca483673c36df3b11b6b6130fd)

>>> F:\Alimentação.jpg.lnk - Malware > Excluído. (16.08.31. 13.03 Alimentação.jpg.lnk.655540; MD5: d4cf2483db41203de7f92c6c2573780f)

>>> F:\Cantos.jpg.lnk - Malware > Excluído. (16.08.31. 13.03 Cantos.jpg.lnk.61376; MD5: a0fb0232cc53424851f0184659baa2a2)

>>> F:\DSCN1431.JPG.lnk - Malware > Excluído. (16.08.31. 13.03 DSCN1431.JPG.lnk.128689; MD5: 499cd22e87b83ed95e581856048cad01)

>>> F:\DSCN1723.JPG.lnk - Malware > Excluído. (16.08.31. 13.03 DSCN1723.JPG.lnk.333274; MD5: a83a7f2b99c9e2fd174ef8bc6a12125b)

>>> F:\Mathema G3A.jpg.lnk - Malware > Excluído. (16.08.31. 13.03 Mathema G3A.jpg.lnk.674230; MD5: 6c3225e039786d0ac26ca4476308a268)

>>> F:\System Volume Information.lnk - Suspeito > Renomeado. (MD5: 7a0e25afa5f8706a35a7d5a7722c3e2e)

>>> F:\1.bat - Suspeito > Renomeado. (MD5: 6717d7ba64bce3db6e2ef24e04d268e6)


=> Arquivos maliciosos   : 6/6 apagado.
=> Arquivos Suspeitos    : 2/2 renomeado.

____________________________________________

::::: Duração do escaneamento: 2seg ::::::::
____________________________________________


Obrigada.

/_ Boa Tarde! liieneangel _\

> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > ( ... by Farbar )

> O banner àcima,acessa a ferramenta para sistemas 32bits!

< [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >

> No link àcima,é para uso em sistemas 64bits!
> Salve-o no desktop! (Área de trabalho ...)
> Execute a ferramenta! Clique "Sim" >> "Examinar".

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

> Antes de clicar "Examinar",verifique se as caixinhas em "Whitelist" estão assinaladas.
> Em "Exame Opcional",deixe marcada as checkbox "Addition.txt" e "Arquivos 90 Dias".
> Ps: Será gerado,também,o relatório "Addition.txt" que estará disponibilizado na 1ª execução da ferramenta.
> Poste os relatórios! (FRST.txt + Addition.txt)

> Como os logs serão extensos,envie-os à [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Clique no botão Parcourir...
> Busque o relatório e clique no botão Abrir.
> Clique no botão "Créer le lien Cjoint".
> Copie o link que está ao lado de "Le lien a été créé" e poste-o em sua resposta.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> O link ao relatório,que é este assinalado,deverá ser colado em sua resposta.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Ou clique "Copier le lien (*)" e cole o link ao seu Post.
> Fique atenta,pois teremos 2 links a serem postados!

A+

Olá, eu baixei, mas ele fica travando

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

/_ liineangel _\

> O seu Windows 7 é de 32 ou 64 bits.?

> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >

> Salve-o no desktop!
> Desabilite seu antivírus e execute o arquivo esetsmartinstaller_enu.exe <<
> Aceite o contrato e marque: "YES, I accept the Terms of Use"
> Clique: "Start"

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Em "Computer scan settings",marque:

<*> Enable detection of potentially unwanted applications

> Em "Hide advanced settings",marque:

<1> Scan archives
<2> Scan for potentially unsafe applications
<3> Enable Anti-Stealth technology
<4> Remove found threats

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Marque a caixa "Remove found threats".

> Clique em "Advanced settings".
> Clique "Change" e marque a caixa "Computador".
> Clique: "Start" >> Aguarde! ( Pode durar algumas horas,esse scan... )

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

> Desejando interromper o rastreamento,basta clicar em Parar.
> Ao concluir,clique em "List of found threats".
> Clique em "Export to text file" e salve o relatório no desktop.
> Ou busque o relatório em C:\Program Files\ESET\EsetOnlineScanner\log.txt <<
> Clique "Back" >> "Finish".
> Poste o relatório!

A+

Então, ele é 64bits.

Fiz o que falou, segue o relatório.

C:\$Recycle.Bin\S-1-5-21-3307738894-1071345389-401866818-1000\$RZ0KPFY.exe a variant of Win32/Adware.Coupons.AA application cleaned by deleting
C:\Users\Liu\AppData\Local\Temp\7zS7613\setup\coupons\CouponPrinter.exe a variant of Win32/Adware.Coupons.AA application cleaned by deleting
C:\Users\Liu\AppData\Local\Temp\HYD7B29.tmp.1457188155\HTA\install.1457188155.zip a variant of Win32/OpenCandy.G potentially unsafe application deleted
C:\Users\Liu\AppData\Local\Temp\HYD7B29.tmp.1457188155\HTA\3rdparty\OCComSDK.dll a variant of Win32/OpenCandy.G potentially unsafe application cleaned by deleting

Obrigada

/_ Boa Noite! liineangel _\

> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > ( ... par Xplode )

> Ou daqui: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >
> Ao acessar,clique em "Download Now".

> Salve-o no desktop!

< [Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem] >

> Desabilite seu antivírus!
> Clique direito em adwcleaner.exe,e escolha sua execução como administrador.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Ps: Dê início ao scan,clicando em "Verificar" ou "Examinar".

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Ao concluir,clique "Limpar" ou "Cleaning" >> Ok >> Ok >> Ok.
> Copie o log ou clique "Relatorio".
> Poste: < C:\AdwCleaner\AdwCleaner[C1].txt >

Abs!

Boa noite, segue o log.

# AdwCleaner v6.010 - Relatório criado 31/08/2016 às 18:20:36
# *Updated on 12/08/2016 by ToolsLib
# Banco de dados : 2016-08-31.1 [Servidor]
# Sistema operacional : Windows 7 Ultimate Service Pack 1 (X64)
# Usuário : Liu - LIU-PC
# Executando de : C:\Users\Liu\Downloads\adwcleaner_6.010.exe
# Limpar
# Apoio : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]



***** [ Serviços ] *****



***** [ Pastas ] *****

[-] RestauradoC:\Users\Liu\AppData\LocalLow\HPAppData
[-] RestauradoC:\Users\Liu\AppData\Roaming\HPAppData


***** [ Arquivos ] *****



***** [ DLL ] *****



***** [ WMI ] *****



***** [ Atalhos ] *****



***** [ Tarefas agendadas ] *****



***** [ Registro ] *****

[-] Restaurado[x64] HKLM\SOFTWARE\Classes\Interface\{FA7B2795-C0C8-4A58-8672-3F8D80CC0270}
[-] Restaurado[x64] HKLM\SOFTWARE\Classes\Interface\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A}


***** [ Navegadores ] *****

[-] [br.ask.com] [Search Provider] Excluídobr.ask.com
[-] [steam.softonic.com.br] [Search Provider] Excluídosteam.softonic.com.br
[-] [mysearch.avg.com] [Search Provider] Excluídomysearch.avg.com
[-] [search.conduit.com] [Search Provider] Excluídosearch.conduit.com


*************************

:: Chaves "Tracing" excluídas
:: Configurações Winsock restauradas

*************************

C:\AdwCleaner\AdwCleaner[C0].txt - [1335 *Bytes] - [31/08/2016 18:20:36]
C:\AdwCleaner\AdwCleaner[S0].txt - [1786 *Bytes] - [31/08/2016 18:18:21]

########## EOF - C:\AdwCleaner\AdwCleaner[C0].txt - [1483 *Bytes] ##########

Obrigada

/_ Boa Noite! liineangel _\

> Baixe: [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
> Ou daqui: [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] <<
> Salve-a no desktop!
> Abra a ferramenta UsbFix >> Clique: Opções

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

> Marque a caixa "Desativar Autorun/AutoPlay".
> Clique "Aplicar".
> Insira,agora,seu pendrive,e na tela principal da ferramenta,clique "Limpar".
> Poste o relatório!

Abs

Olá, boa noite.

Segue o log:

############################## | UsbFix V 8.265 | [Limpar]

Usuário: Liu (Administrador) # LIU-PC
Atualizado em 31/08/2016 por SOSVirus
Começou em 20:42:35 | 31/08/2016

Site : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Manual : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Asistencia : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Detecção en vivo : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Contato : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

################## | System information |

MB: Gigabyte Technology Co., Ltd. (H81M-S1)
CPU: Intel(R) Core(TM) i3-4170 CPU @ 3.70GHz
GC: ATI Radeon HD 4650
RAM -> [Total : 8080 Mo | Free : 6302 Mo]
Bios: American Megatrends Inc.
Boot: Normal boot

OS: Microsoft™ Windows 7 Ultimate (6.1.7601 64-Bit) Service Pack 1
WB: Internet Explorer : 11.00.9600.16428
WB: Google Chrome : 52.0.2743.116

################## | Security Information |

AV: Microsoft Security Essentials [(!) Não ativo |Atualizado]
AS: Microsoft Security Essentials [(!) Não ativo |Atualizado]
AS: Windows Defender [(!) Não ativo |(!) Não atualizado]
FW: Windows Firewall [Ativo]
SC: Security Center [Ativo]
WU: Windows Update [Ativo]

################## | Disk Information |

C:\ (%SystemDrive%) -> Disco fixo # 466 Gb (402 Gb livre - 86%) [] # NTFS
F:\ -> Disco removível # 4 Gb (4 Gb livre - 100%) [] # FAT32

################## | Procura genérica |

Supprimido! F:\Content.lnk
Supprimido! F:\G3A- (tarde).lnk
Supprimido! F:\G3B- Jogos e Brincadeiras.lnk
Supprimido! F:\Obras de Arte - G3B.lnk
Supprimido! F:\G4 - Páscoa.lnk
Supprimido! F:\Jogos e Brincadeiras - Etiquetas.docx.lnk
Supprimido! F:\Nova pasta.lnk
Supprimido! F:\photothumb.db.lnk
Supprimido! F:\planta base e terreno.dwl.lnk
Supprimido! F:\planta base e terreno.dwl2.lnk
Supprimido! F:\Originals.lnk
Supprimido! F:\Relatórios G3B - Julia.lnk
Supprimido! F:\Relatórios Lidos - CORRIGIR.lnk
Supprimido! F:\Reunião G3.lnk
Supprimido! F:\Content (2).lnk
Restorado! F:\.Trashes\name.txt -> F:\name.txt
Restorado! F:\.Trashes\Content\E0001E348D5EFE18\584111F7\00000001\_MinecraftSaveInfo -> F:\Content\E0001E348D5EFE18\584111F7\00000001\_MinecraftSaveInfo
Restorado! F:\.Trashes\Content\0000000000000000\FFFE07DF\00040000\ContentCache.pkg -> F:\Content\0000000000000000\FFFE07DF\00040000\ContentCache.pkg

(!) Ficheiros temporários suprimido. (472.96479511261 MB)

################## | Startup |

F2 - HKLM\..\Winlogon : [Shell] explorer.exe
F2 - [x64] HKLM\..\Winlogon : [Shell] explorer.exe
F2 - HKLM\..\Winlogon : [Userinit] userinit.exe
F2 - [x64] HKLM\..\Winlogon : [Userinit] C:\Windows\system32\userinit.exe,
04 - HKCU\..\Run : [GoogleDriveSync] "C:\Program Files (x86)\Google\Drive\googledrivesync.exe" /autostart
04 - HKCU\..\Run : [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe
04 - HKLM\..\Run : [USB3MON] "C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe"
04 - HKLM\..\Run : [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
04 - HKLM\..\Run : [Wondershare Helper Compact.exe] C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
04 - HKLM\..\Run : [HP Software Update] C:\Program Files (x86)\HP\HP Software Update\HPWuSchd2.exe
04 - [x64] HKLM\..\Run : [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe -s
04 - [x64] HKLM\..\Run : [IAStorIcon] "C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIconLaunch.exe" "C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" 60
04 - [x64] HKLM\..\Run : [MSC] "c:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey
04 - [x64] HKLM\..\Run : [Diebold - Warsaw] C:\Program Files\Diebold\Warsaw\core.exe
04 - [x64] HKLM\..\Run : [Wondershare Helper Compact.exe] C:\Program Files\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
04 - HKU\S-1-5-19\..\Run : [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-20\..\Run : [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-21-3307738894-1071345389-401866818-1000\..\Run : [GoogleDriveSync] "C:\Program Files (x86)\Google\Drive\googledrivesync.exe" /autostart
04 - HKU\S-1-5-21-3307738894-1071345389-401866818-1000\..\Run : [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe
04 - HKU\S-1-5-19\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe
04 - HKU\S-1-5-20\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe
04GS - Enviar para o OneNote.lnk : C:\Program Files (x86)\Microsoft Office\root\Office16\ONENOTEM.EXE
04GS - HP Digital Imaging Monitor.lnk : C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe

Análise realizada em 77.63 segundos

################## | E.O.F | [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] | [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] |

Obrigada

Agora resolveu o problema, porém não recuperei meus arquivos

Mas obrigada. Vocês são ótimos.

/_ Boa Noite! liineangel _\

> Infelizmente para este tipo de worm,a recuperação é quase impossível.

> Vamos remover as ferramentas utilizadas na desinfecção!

> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > ( ... de Xplode )

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Estando na página,clique em Download Now.
> Salve-o em um local conveniente! ( desktop! )
> Feche aplicativos que estejam abertos.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Remover ferramentas de desinfecção
> Criar backup do registro
> Limpar pontos da restauração do sistema

> Com estas caixinhas marcadas,clique Executar!
> Reinicie o computador!
> Tudo Ok? 


A+

Muito obrigada, deu tudo certo.

Um grande abraço e novamente obrigada.

Caso Resolvido!

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Para sua Segurança!

Leia as dicas ou orientações contidas na Cartilha de Segurança para Internet.

Caso Resolvido!