Mensagem HootKit constante / erro AvastUI.exe

Toda vez que inicio o Windows surge erro AvastUI.exe;
Sempre que faco o Scan completo surge o HootKit e outros;
Quando faco o Scan ao reiniciar nao surge Virus;
Quando estou trabalhando surge aleatoriamente o HootKIT;
Ja desinstalei e instalei novamente o “ais” e os problemas persistem;
Ja passei diversas ferramentas para remocao do HootKIT e outros, porem apesar de acusarem manifestacao maliciosa tambem nao adiantou.

Por favor, nao sei mais o que fazer e tambem nao tenho mais certeza se continuo com VIRUS.
Preciso de ajuda. Porfavor.

Lilio, há pelo menos dois problemas aqui.
O avastUI.exe é a interface do avast! Você tinha outro antivírus antes do avast? Qual? Como o desinstalou?

Poderia dar-nos o nome do rootkit e o caminho completo do arquivo infectado?
Devem estar nos logs do avast!

Sugiro também um roteiro de limpeza (em inglês):

  1. Clean your temporary files.
  2. Schedule a boot time scanning with avast with archive scanning turned on. If avast does not detect it, you can try DrWeb CureIT! instead.
  3. Use Comodo Cleaning Essentials (CCE), or MBAM, or SUPERantispyware to scan for spywares and trojans. If any infection is detected, it is better and safer to send the infected file(s) to quarantine (Chest), rather than simply deleting them.
  4. Test your machine with anti-rootkit applications. I suggest avast! antirootkit or Trend Micro RootkitBuster.
  5. Read these instructions and provide more info with the logs generated. But, please, do NOT post there, open a NEW thread for your specific problem and help us to help you.
  6. Clean your Hosts file (replacing it) with HostsMan tool.
  7. Disable System Restore and then reenable it again.
  8. Immunize your system with SpywareBlaster.
  9. Check if you have insecure applications with Secunia Software Inspector.

If the infection avoids booting the computer, take a look here http://forum.avast.com/index.php?topic=79107.0
Further instructions to get clean from Essexboy here.

Tech, obrigado por responder.
Eu nao tinha outro AntiVirus. O erro surgiu quando tive problemas no Win. Eu só instalei novamente como tentativa de correcao, pois achei q estava corrompido.
Segue caminho RootKit - SVC: NPF > ( Rootkit - c:\win\system32\drivers\npf.sys
Onde fica o log?

Favor postar em portugues para que eu possa entender todas as instrucoes. Ok!
Obrigado.

Você está usando qual Windows? 2000?
Você já agendou um escaneamento ao reiniciar do avast!?

Utilizo WinXP.
Sempre que o Avast faz o Scan ao reiniciar, o resultado é nenhum virus encontrado.

E você instalou o Windows em C:\win ?
Não deveria ser C:\Windows ?

Talvez valha a pena instalar o http://malwarebytes.org/mbam.php e ver se ele detecta algo.

Perdao. O caminho correto é este: SVC: npf > C:\WINDOWS\system32\drivers\npf.sys (Ameaca Rootkit hidden service)

Ja instalei o “Malwarebytes Anti-Malware” e nao encontrou nada.

Agora surgiram mais 2 manifestacoes que o Avast nao pode eliminar, sao eles:
SVC: gupdate > C:\Arquivos (Ameaca Rootkit hidden service)
SVC: gupdatem > C:\Arquivos (Ameaca Rootkit hidden service)

Por favor, envie o arquivo C:\WINDOWS\system32\drivers\npf.sys para www.virustotal.com e poste o link dos resultados.
Enquanto isso, vou pedir que vejam se é ou não um falso positivo.

Este tambem é o problema. Quando procuro os arquivos, eles nao existem, mesmo mostrando todos os arquivos ocultos.

Continuo precisando de ajuda.
A quem devo recorrer???

Agende um escaneamento ao reiniciar e se forem detectados arquivos infectados envie-os para a Quarentena.

Sempre que o Avast faz o Scan ao reiniciar, o resultado é nenhum virus encontrado.
Quando faço manual é encontrado apenas os Hootkits. E agora? Será virus?

SVC: npf > C:\WINDOWS\system32\drivers\npf.sys (Ameaca Rootkit hidden service)
SVC: gupdate > C:\Arquivos (Ameaca Rootkit hidden service)
SVC: gupdatem > C:\Arquivos (Ameaca Rootkit hidden service)

O que voce achou dos anexos?
Tem solucao?
Será virus?
O que eu fasso agora?

Envie este arquivo para www.virustotal.com e teste-o.

Você realmente tem uma pasta chamada “Arquivos” apenas no C: ?

Nao tenho uma pasta no “C:” chamada “Arquivos”.
Acho que o endereço correto é este: ( C:\Arquivos de programas\Google\Update\GoogleUpdate.exe ), pois é o que aparece nos arquivos anexos.

E o arquivo ( C:\WINDOWS\system32\drivers\npf.sys ) NAO EXISTE.

Nenhuma das duas notícias é boa.
Verifique se o arquivo .sys está oculto e se você está vendo os arquivos do sistema operacional (opções do Windows Explorer).

Com relação à pasta “Arquivos” você quer dizer que o relatório inicial está errado? Isto é, você deveria ter escrito a nova pasta e escreveu só “arquivos”?

Posso ver todos os arquivos do sistema e tambem os ocultos, porem este arquivo nao existe.
( C:\WINDOWS\system32\drivers\npf.sys )

O relatorio só mostra ( C:\Arquivos ), porem descobri o caminho completo no log do progr GMER:
Service C:\Arquivos de programas\Google\Update\GoogleUpdate.exe (*** hidden *** ) [DISABLED] gupdate ← ROOTKIT !!!
Service C:\Arquivos de programas\Google\Update\GoogleUpdate.exe (*** hidden *** ) [DISABLED] gupdatem ← ROOTKIT !!!
Service system32\drivers\npf.sys (*** hidden *** ) [DISABLED] npf ← ROOTKIT !!!

Lilio, não sou experiente na limpeza de infecções. Talvez você possa postar no forum em inglês (virus & malware).

desculpe a intromissão.
baixe o combofix:http://www.bleepingcomputer.com/download/combofix/
OBS: Para que a ferramenta seja executada é necessário que esteja no desktop (área de trabalho)
• Desative, temporariamente, o antivírus;
• Feche todas as janelas abertas;
• Dê um duplo clique no arquivo ComboFix;
• Na próxima janela clique em Executar, aceite o contrato e aguarde até que o relatório seja gerado;
OBS: Caso não queira que seja instalado o console de recuperação do Windows, clique em “Não” e depois concorde que a verificação prossiga.
Ao ser instalado o console, na inicialização do sistema será apresentada a tela para seleção dos sistemas operacionais.
• Caso ocorra algum erro, reinicie o computador em Modo Seguro (pressione a tecla F8 intermitentemente, ou F5 em alguns casos, durante a inicialização) e repita o procedimento;
• O ComboFix “poderá” reiniciar o PC automaticamente para completar o processo de remoção.
• Quando terminar, será gerado um log, que estará em C:\ComboFix.txt.
• Não clique na Janela do ComboFix, nem o feche clicando no X, enquanto estiver rodando, não mova o mouse e não use o teclado, pois senão irá parar e seu desktop ficará em branco.
e post aqui o arquivo gerado.

Liosant. Obrigado pela ajuda.
Nao consigo postar o log, devido o tamanho (331KB) do arquivo nao ser suportavel.
O que eu faço, pois nao aceita compactado?
Vou tentar em dois arquivos. OK!