Mensagem de vírus ao ligar o PC.

http://s17.postimg.org/8dfzmythr/problema_v_rus.jpg

Olá galera, sempre que ligo meu computador aparece essa notificação, não sei o que pode ser e sempre acompanhada dela vem uma mensagem dizendo que o Catalyst da ATI parou de funcionar, alguém me ajuda?

Estava com problema de rootkit com o svchost mas consegui resolver, só falta esse :confused:

Baixar AdwCleaner daqui para o seu desktop

Executar AdwCleaner e selecione Excluir

http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner

https://dl.dropbox.com/u/73555776/AdwCleaner.GIF

Uma vez feito isso, ele irá pedir para reiniciar, permitir que este
Na reinicialização um log será produzido anexe aqui.

Desative temporariamente seu antivirus, antispywares e firewall, para não causar conflitos.
Baixe e salve no desktop. Dê um duplo-clique para executar o Junkware Removal Tool (JRT).

para mais instruções

http://www.bleepingcomputer.com/download/shortcut-cleaner/

http://thisisudax.org/downloads/JRT.exe

http://i48.tinypic.com/1268r49.png

  • No Windows Vista e Windows 7:

Clique com o direito sobre o JRT.exe e selecione
http://i286.photobucket.com/albums/ll83/mcristinna/run_as_adm1.png

A ferramenta comecará o exame do seu sistema. Tenha paciência pois pode demorar um pouco dependendo da quantidades de ítens a examinar.

Ao final, um log se abrirá. É salvo no desktop com o nome de JRT.txt.

Selecione, copie e cole o conteúdo deste log na sua próxima resposta.

http://img233.imageshack.us/img233/7729/mbamicontw5.gif
Malwarebytes 'Anti-Malware
Faça o download do Malwarebytes Anti-Malware aqui

http://pt.malwarebytes.org/products/malwarebytes_free

Duplo Clique mbam-setup.exe para instalar o aplicativo. • Certifique-se de uma marca de verificação é colocada ao lado de Atualizar 'Anti-Malware e Executar Malwarebytes Malwarebytes Anti-Malware, clique em Concluir.

• Se uma atualização for encontrada, ele irá baixar e instalar a versão mais recente.
• Uma vez que o programa for carregado, selecione “Executar escaneamento completo”, clique em Digitalizar.

• A verificação pode levar algum tempo para terminar, por favor, seja paciente.
• Quando a pesquisa estiver concluída, clique em OK, depois no botão Mostrar Resultados para ver os resultados.
• Certifique-se de que tudo está marcado e clique em Remover Selecionados.

Se você continuar a ter problemas, coloque aqui log FRST para revisão.


Baixar Farbar Recuperação Scan Tool e salve-o em seu desktop.

http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

Nota: Você precisa executar a versão compatível com seu sistema. Se você não tem certeza de qual versão se aplica ao seu sistema baixar os dois e tentar executá-los. Apenas um deles será executado no seu sistema, que será a versão correta.

• Dê um duplo clique para executá-lo. Quando a ferramenta abre clique em Sim para aviso de isenção.
• Pressione o botão Digitalizar.
• Ele vai fazer um log (FRST.txt) no mesmo diretório que a ferramenta é executada. Por favor, copie e cole a sua resposta.
• A primeira vez que a ferramenta é executada, faz também um outro log (Addition.txt). Por favor anexá-lo à sua resposta.

Aqui está o LOG do AdwCleaner.

Eu notei também que o svchost voltou a “floodar” sempre que abro uma página na internet. Eu achei que ele tinha sido desinfectado devido aos procedimentos desse tópico aqui:

http://forum.avast.com/index.php?topic=122214.0

Apesar disso, ele voltou a aparecer assim:

http://img6.imageshack.us/img6/8615/vo.jpg

Verificação rootkit adicionais:

Faça o download do Malwarebytes AntiRootkit e salvá-lo em seu desktop.
http://www.malwarebytes.org/products/mbar/

As instruções completas de como usar MBAR
http://www.bleepingcomputer.com/virus-removal/how-to-use-malwarebytes-anti-rootkit
Atenção: Esta é uma versão beta por isso, não deixe de ler o aviso e nota.

• Descompacte / unrar MBAR em uma pasta para seu Desktop
• Abra a pasta onde o conteúdo foi descompactado para executar mbar.exe

• Clique em Next>, em seguida, no botão Update para baixar as definições novas.

• Quando as atualizações do banco de dados clique em Avançar

• Na janela seguinte garantir “Alvos” varredura para Drivers, Setores; Sistema estão marcadas. Em seguida, selecione “botão Scan”

• Se uma infecção / s encontram-se garantir “Criar ponto de restauração” está marcada, em seguida, selecione a opção “Botão de limpeza” para remover as ameaças.
Ou se você tem certeza nenhuma entrada não deve ser mantido, apenas desmarque-los. A lista de arquivos infectados serão listados.

• O procedimento de limpeza será agendada para o processo.
• Ao concluir pop-up irá mostrar-lhe. Selecione o botão Sim eo sistema deve re-boot para completar o processo de limpeza.

Por favor, anexar os dois seguintes registros da pasta mbar:

sistema de log.txt
e
mbar-log-ano-mês-dia (hora, minuto e segundo). txt.

Aqui estão os LOGS do mbar.

Parece que não estou conseguindo fazer download do Malwarebytes Anti-Malware pelo link que mandaste :confused:

link corrigido

http://www.malwarebytes.org/products/malwarebytes_free/

em seguida

Baixe TDSSKiller e salve-o em seu desktop

http://www.superdownloads.com.br/download/89/kaspersky-tdsskiller/

 Executar TDSSKiller.exe clicando duas vezes sobre ele.

• Pressione Start Scan

http://dl.dropbox.com/u/73555776/TDSSFront.JPG

Se o objeto suspeito é detectado, a ação padrão será Skip, clique em Continue.

• Se os objetos maliciosos são encontrados, selecione cura.

Uma vez completo, um log será produzido na unidade de raiz que normalmente é C: , por exemplo, C: \ log.txt <version_date_time> TDSSKiller.

depois repete o mesmo processo mais altere os parâmetros

http://dl.dropbox.com/u/73555776/TDSSConfig.JPG

pressione ok

TDSSKiller log.

Parece bom. Como seu computador está agora?
continua aparecer alertas?

Por enquanto o svchost.exe não está mais subindo, mas falta eu conseguir baixar o Anti- Malware que não está fazendo download, eu coloco para iniciar e não inicia.

Baixe o ComboFix aqui e salve-o em seu Desktop.

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Se você não sabe como funciona o ComboFix, por favor leia este guia com cuidado.
Nota: ComboFix deve ser baixado para o seu Desktop.

> Desativar temporariamente o seu programa antivírus.
Se você não souber como fazer isso leia este ou esta Instrução.

Como desativar o avast:

• Botão direito do mouse sobre o avast! ícone no canto inferior direito da tela e escolha Abrir Avast! Interface do usuário.

• Na janela que se abre, no canto superior direito, clique em Configurações.

• Em uma nova janela que se abre, escolha a opção de resolução de problemas, desmarque a opção Habilitar avast! auto-defesa, e clique em OK.

• Botão direito do mouse sobre o avast! ícone no canto inferior direito da tela e selecione o avast! escudo controla.

• No menu que aparece, escolha Desativar permanentemente. Quando você for solicitado para desativar a segurança, clique em Sim.
Nota: Não se esqueça de ativar essa opção após a limpeza.

Executar ComboFix. Clique em I agree!
ComboFix irá verificar se existe uma versão mais recente do ComboFix disponível.
Clique em Sim se solicitado a baixar.
ComboFix irá exibir ISENÇÃO DE GARANTIA DO SOFTWARE.
Clique em Sim para permitir ComboFix para continuar.
Se o Console de Recuperação não estiver instalado, ComboFix irá oferecer de download e instalação.
Clique em Sim para permitir ComboFix para instalar o Console de Recuperação.

Nota: Não clique do mouse a janela do ComboFix enquanto ele estiver sendo executado.
Se você ver uma mensagem como “Tentativa de operação ilegal em uma chave do registro que foi marcado para exclusão” basta reiniciar computador mais uma vez.

Quando a ferramenta terminar, ele irá produzir um relatório de log para você. (típico local: C: \ ComboFix.txt)
Anexar relatórios de log (ComboFix.txt) de volta para tópico.

Monitoring

FRST Log

Bem, ao passar o Malwarebytes Anti-Malware, o svchost voltou a aparecer o o primeiro problema citado no tópico desapareceu, parece que eles alternam entre si…

vou tentar passar a última solução que me deste.

Remover ComboFix
• Mantenha a tecla Windows + R em seu teclado. Isto irá exibir a caixa de diálogo Executar

• Na caixa Executar, digite ComboFix / Uninstall
(Observe o espaço entre o “x” e “/”)
em seguida, clique em OK

http://my.jetscreenshot.com/18363/20130614-5gak-50kb.jpg

• Siga as instruções na tela
• Deverá aparecer uma mensagem confirmando que o ComboFix foi desinstalado

no painel de controle ou programas e recursos procure por AdwCleaner e pressione desinstalar.

ComboFix.txt

A propósito, parece o Adwcleaner não foi instalado e sim executado diretamente do arquivo de download.

então ok.ultimo passo

Faça o download zoek.exe e salvá-lo em seu desktop.

http://home.kpn.nl/stefsmeenk/zoek.exe/

• Feche todos os navegadores abertos.
• desativar temporariamente o programa antivírus. (Se necessário)
Se você não souber como fazer isso leia este ou esta Instrução.

• Dê um duplo clique em zoek.exe para executar a ferramenta.
Por favor, aguarde enquanto a ferramenta não começa …

• Copie o texto presente no interior da caixa o código abaixo e cole-o na grande janela na ferramenta zoek:

standardsearch;

• Clique no
http://www.mcshield.net/personal/magna86/Images/Run%20Script%20by%20zoek.png
botão
Por favor, aguarde até que um log report vai abrir (pode ser após a reinicialização)

• Salve o bloco de notas para o seu ambiente de trabalho e anexar aqui zoek-results.log

Nota: Ele também irá criar um log no diretório C: \ com o nome “zoek-results.log”

LOG do zoek carregado.

Achas que isso pode ter relação com o vírus que está subindo?

ok nada mais foi encontrado
você utiliza este programa suspeito

C:\Users\Luiz\AppData\Roaming\WebCake\WebCakeDesktop.exe"

“C:\Program Files (x86)\RaidCall\raidcall.exe”

Infelizmente o problema ainda continua quando eu inicializo o windows…

@ luizfreaza

Do you understand English? Please continue with my instructions:

You need to uninstall this adware software:

WebCake 3.00 (Version: 3.00)

Then go to your browser setting ( firefox & chrome ) and remove all uknown extensions for you.


Your USB devices are infected:

Check USB storage devices / removable drives

Download MCShield from one of the following links:

MyCity - Official download link
Softpedija - Mirror download link

[*] Double click MCShield-Setup to install the application.
[*] Wait a few seconds to MCShield finish initial scan.
Recommendation to under General and Scanner tab you click on Defaults button to choose recommended options.
[*] Connect your USB storage devices to the computer one at a time. Scanning will be done automatically.

When all scanning is done, you need to attach a logreport that has made MCShield.

Start → All Programs → MCShield → Logs

Attach here → AllScans.txt

Explanation: USB storage devices are all the USB devices that get their own partition letter at connecting to the PC,
e.g. flash drives (thumb/pen drives, USB sticks), external HDDs, MP3/MP4 players, digital cameras,
memory cards (SD cards, Sony Memory Stick, MultiMedia Cards etc.), some mobile phones, some GPS navigation devices etc.

=========== Next =========

Open notepad.

Click Start
Type notepad.exe in the search programs and files box and click Enter.
A blank Notepad page should open.

Copy - paste the content below;

HKCU\...\Run: [WebCake Desktop] "C:\Users\Luiz\AppData\Roaming\WebCake\WebCakeDesktop.exe" [47896 2013-06-07] (WebCake LLC)
MountPoints2: {15ae44d4-3cb1-11e2-ad6e-9439e5fcae5c} - F:\setup.exe
MountPoints2: {15ae493f-3cb1-11e2-ad6e-9439e5fcae5c} - E:\AutoRun.exe
MountPoints2: {15ae4965-3cb1-11e2-ad6e-9439e5fcae5c} - G:\AutoRun.exe
MountPoints2: {c9f07698-3f02-11e2-80c2-9439e5fcae5c} - E:\AutoRun.exe
BHO-x32: WebCake - {2A5A2A90-3B30-4E6E-A955-2F232C6EF517} - C:\Program Files (x86)\WebCake\WebCakeIEClient.dll (WebCake LLC)
CHR Extension: (WebCake) - C:\Users\Luiz\AppData\Local\Google\Chrome\User Data\Default\Extensions\fjoijdanhaiflhibkljeklcghcmmfffh\1.0.3_0
R2 WebCake Desktop Updater; C:\Program Files (x86)\WebCake\WebCakeDesktop.Updater.exe [23552 2013-06-07] (WebCake LLC)
C:\Users\Luiz\AppData\Local\Google\Chrome\User Data\Default\Extensions\fjoijdanhaiflhibkljeklcghcmmfffh
C:\Users\Luiz\AppData\Roaming\WebCake
C:\Program Files (x86)\WebCake
E:\AutoRun.exe
G:\AutoRun.exe
C:\AutoRun.exe
D:\AutoRun.exe
F:\AutoRun.exe
[u]Save this as [b]fixlist.txt[/b] in the same folder where you saved [b]FRST.exe[/b][/u]

fixlist.txt must be in the same location where FRST.exe tool is!
Double-click to run FRST.exe.

   Press the Fix button once and wait.
   FRST will process fixlist.txt
   When finished, it will produce a log fixlog.txt and will keep that log in the same folder where FRST.exe is.

Attach here fixlog.txt logreport.

=========== Next =========

[*]Re-run TDSSKiller.exe and click on Change parametres.
[*]Under Additional options check the boxes next to Verify Driver Digital Signature and Detect TDLFS file system, then click OK
[*]Click on Start Scan.
[*]If an infected file is detected, the default action will be Cure, click on Continue.
[*]If a suspicious file is detected, the default action will be Skip, click on Continue.
[*]It may ask you to reboot the computer to complete the process. Click on Reboot Now.
[*]Click the Report button and attach the contents of it into your next reply
Note:It will also create a log in the [b]C:[/b] directory.

=========== Next =========

Re-run FRST adn attach here fresh FRST.txt log for analyst.

Yes, I understand!

Thanks for the help, here the 4 LOGS you requested.