Olá galera.
Venho pedir a ajuda de vocês para resolver o problema de um vírus *fdp que está causando uma série de anomalias no meu PC.
Dividi o tópico em três partes, assim fica mais fácil analisar o problema.
1 - O Vírus Começou quando eu buscava um software tradutor de textos, e encontrei o Lingoes. Acessei vários sites para baixá-lo, e não lembro agora em qual dos três sites eu baixei, mas foi em um desses:
Baixaki
Superdownloads
Brothersoft - desconfio mais que foi nesse!
Então, eu baixei duas versões, o normal e o portátil. Executei o primeiro, e não apareceu nada, e quando executei o segundo, uma série de infiltrações em processos foi foram acusadas pelo Kaspersky. Então, agora não sei se o programa "bichado" era o programa normal ou o portátil (pra quem manja, baixar esses programas e debulhá-los à procura de um antídoto dentro deles mesmos deve ser fácil - sabendo o que ele causa, fica fácil achar a solução, mas eu não sei fazer isso :\).
2 - Os problemas Bem, achei que se tratava de mais um vírus do tipo do "
AdobeR.com", que já tinha pego uma vez, e com muito sacrifício havia conseguido recuperar-me desse problema. Mas esse de agora afetou tantos lugares e causou tantas coisas diferentes que não sei mesmo o que fazer :S
Primeiro problema: Felizmente, e por prudência, sempre crio um ponto de restauração antes de instalar algo no PC. Então, quis logo reiniciar o PC para entrar em modo de segurança e fazer isso. Mas...quando escolho a opção "entrar em modo de segurança" ele carrega todos os drivers e reinicia...não posso entrar mais em modo de segurança! - Obs.: com isso, desconfio que há algum driver injetado ou alguma modificação de driver que esteja fazend isso. Fico temeroso de que ele tenha modificado algum arquivo de sistema que não me deixe nunca mais entrar em modo de segurança. :S
Segundo problema: Como o
AdobeR.com, esse vírus tenta a todo custo deixar as pastas ocultas invisíveis para mim. Como sei mexer um pouco no registro, e tenho um bom antivírus, consigo ainda visualizar as pastas. Mas, como havia dito, esse vírus infiltrou-se em TODOS os executáveis que estavam correndo no meu PC no momento em que tentei instalá-lo. E agora, quando esses mesmos executáveis estão rodando, eles ficam tentando ocultar as pastas inserindo o valor 2 na chave Hidden em "
HKEY_USERS\S-1-5-21-1644491937-2049760794-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced ". Também notei que ficam inserindo valores nas chaves de ControlSet. Vejam se isso é normal:
"
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Arquivos de programas\\Arquivos comuns\\Microsoft Shared\\Source Engine\\OSE.EXE"="C:\\Arquivos de programas\\Arquivos comuns\\Microsoft Shared\\Source Engine\\OSE.EXE:*:Enabled:ipsec"
" O que é esse "
Enabled:ipsec"?
Antes, os nomes dos meus executáveis estavam todos lá com essa extensão estranha.
Também ficam desativando o Firewall do Windows, modificando definições de segurança do PC e desativando o Anti-Spam do Kaspersky. Também modificando algo em:
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system, valor EnableLUA"
Não sei como fazer esses meus programas voltarem a serem "amigáveis" denovo...não sei mesmo! Não sei nem sequer se há algum programa infiltrando-se neles toda hora para agirem assim, ou se eles próprios foram modificados de uma forma irreversível.
Terceiro problema: Esse sim é muito estranho. Toda vez que tento executar o CCleaner, aparece uma janela com a mensagem:
"Microsoft Visual C++ Runtime Library
Runtime Error!
Program C:\Arquivos de Programas\Ccleaner\Ccleaner.exe
R6002
- floating point support not loaded." Tentei reinstalar o Microsoft Visual C++, mas o problema persiste.
Descobri também que a mesma mensagem aparece quando tento executar o Recuva. E provavelmente, outros programas que necessitam desse "ponto de flutuação" estejam problemáticos também. Como um vírus pode fazer isso?
Quarto problema: Depois que reiniciei minha máquina, notei que meu Kaspersky não executava mais. Tentei executá-lo como Administrador e nada. Simplesmente ele nem roda mais. Estou conseguindo rodar o Kaspersky fazendo uma cópia do arquivo .exe dele renomeando de "avp.exe" para "avpa.exe". Como agora ele executa, acredito que algo no registro está bloqueando ele como patch "
avp.exe".
Quinto problema: Com muito custo, consegui descobrir alguns nomes que, quase com certeza, estão causando esses problemas. Mas não consigo eliminá-los. O primeiro é um driver com o nome de amsint32 que tem esse caminho no registro:
\??\C:\WINDOWS\system32\drivers\pprpv.sys Como notam, há um "
\??\". Eu nunca havia visto isso! Não consigo ver esse arquivo pprpv.sys na pasta de drivers. Já tentei procurá-lo mostrando arquivos ocultos e de sistema, pelo DOS, por programas de listagem de arquivos...e nada acha ele. Consigo apagar as chaves no registro, mas elas sempre retornam quando reinicio a máquina.
Aqui vai a parte do log do System Explorer que denuncia ele:
amsint32 | Iniciado | Manual | amsint32 | C:\WINDOWS\system32\drivers\pprpv.sys | KERNEL_DRIVER | |
-------------------------------------
3 - Resumo Bom, resumindo, tenho que resolver os seguintes problemas:
1 - Não consigo entrar em modo de segurança
2 - Meus executáveis estão "malucos"
3 - Falha no Microsoft Visual C++ Runtime Library
4 - Meu Kaspersky não roda mais normalmente, como avp.exe
5 - O driver suspeito pprpv.sys, com o nome de amsint32
6 - Desconfio também, e já tinha visto isso antes em outras máquinas, que ele infiltrou algo com o caminho do diretório A:\ do meu PC, que é o diretório de disquete. Não tem mesmo como acessar algo com o caminho A:\. Mas isso é só uma desconfiança, não tenho certeza.
Peço muito a ajuda de vocês! Meu Kaspersky "clone" (avpA.exe) está "apitando" feito louco bloqueando os processos que tentam modificar definições de segurança, incorporar noutros processos e ocultar as pastas, e isso consome muito de minha CPU, além de lotar meu HD. Preciso saber se esses programas meus estão irremediavelmente bichados ou se é apenas um outro programa infiltrando-se neles para conseguir privilégios de segurança. Preciso reativar meu modo de segurança e dar um fim nesse pprpv.sys, corrigir a falha do C++ e reativar meu bom e velho avp.exe (Kaspersky).
Upei um arquivo zipado com vários tipos de Log (HijachThis, log de eventos do Kaspersky, log do Everest, lista de eventos do Windows, Lista de Drivers, lista de arquivos afetados). Aqui vão os links para baixar o arquivo:
http://www.4shared.com/file/85ZmVtWY/Logs.htmlAlternativo:
https://rapidshare.com/files/1458468978/Logs.rar E os links desses programas que me causaram esses problemas:
Programa suspeito 1:
http://www.4shared.com/file/jcTs3TXu/lingoes_271_2.htmlPrograma suspeito 2:
http://www.4shared.com/file/w_vO5lx1/lingoes_portable_271.html Agradeço demais mesmo a atenção a esse problema. Tenho certeza que vocês conseguem me ajudar a solucionar, e que esse post vai ajudar muita gente que passa pelo mesmo.
Obrigado!
Carlos Speedhertz
MSN:
speedhertz@hotmail.com 
Tópico: Vírus amsint32; pprpv.sys - múltiplos problemas - ajuda urgente! (Lida 4142 vezes)