Remoção de vírus

[deivid.pato]

Boa noite, Mr.Wolf

Parabéns pela projeto dentro do forum além de enriquecer o forum, aumenta demais o conhecimento, dos expert...

Sou Administrador de Rede do Senac de Ribeirão Preto, estou tendo um problema em um dos computadores ele fica recarregando o explorer.exe, e sendo assim não consegue fazer back-up. Seria muito facil upar o sistema em dos ou linux e mandar bala na copia dos arquivos necessário para formatação. Mais sou um tipo de pessoa que não gosto de formatar um sistema operacional, acredito que da mesma forma que entrou pode sair o malware... So que venho tenho algumas difuculdade com essa praga e conto com a sua ajuda parceiro... segue em anexo a lista do log do HijackThis...

Nota-se que tem bastante tranqueira no msconfig e no regedit... se trata do notebook do coodernador (chefão):fist:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:08:31, on 7/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ARQUIV~1\Grisoft\AVG7\avgamsvr.exe
C:\ARQUIV~1\Grisoft\AVG7\avgupsvc.exe
C:\ARQUIV~1\Grisoft\AVG7\avgemc.exe
C:\Documents and Settings\All Users\Dados de aplicativos\EPSON\EPW!3 SSRP\E_S40RP7.EXE
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\Arquivos de programas\Arquivos comuns\Protexis\License Service\PSIService.exe
C:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Arquivos de programas\D-Tools\daemon.exe
C:\Arquivos de programas\MagicDisc\MagicDisc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.live.com/sphome.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.40:8080
O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Arquivos de programas\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [EPSON Stylus C110 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICCL.EXE /FU "C:\WINDOWS\TEMP\E_S3A.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Arquivos de programas\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\ARQUIV~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: MagicDisc.lnk = C:\Arquivos de programas\MagicDisc\MagicDisc.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.6.108.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by141fd.bay141.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5F5F9FB8-878E-4455-95E0-F64B2314288A} (ijjiPlugin2 Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin11USA.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game06.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D0FD5E32-CABD-4A6E-BD0F-94ACE89CCE03} (HGPluginJP23 Class) - http://down.hangame.co.jp/jp/dist/hgstart/HGPluginJP23.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgemc.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Documents and Settings\All Users\Dados de aplicativos\EPSON\EPW!3 SSRP\E_S40RP7.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Protexis\License Service\PSIService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Arquivos de programas\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Arquivos de programas\Spyware Doctor\pctsSvc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: StyleXPService - Unknown owner - C:\Arquivos de programas\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: WinConnection V4.0c (WinConnection4) - Unknown owner - C:\Arquivos de programas\Winco\Winconnection4\wconnect.exe (file missing)

--
End of file - 6351 bytes

 

[Scantraxx]

Reglooks:

Spoiler

REGLOOKS logfile

version 0.977
sex 07/11/2008 22:51:20,04
running from: "C:\Documents and Settings\Administrador\Desktop"

--- SSODL regkeys ---

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
only standard or legit regkeys found


--- STS regkeys ---

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
only standard or legit regkeys found


--- USERINIT regkey ---

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"


--- SHELL regkey ---

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell"="Explorer.exe"


--- SYSTEM regkey ---

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"System"=""


--- APPINIT_DLLS regkey ---

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
"AppInit_DLLs"=""


--- NOTIFY regkeys ---

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
"dimsntfy" "DllName"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\


--- BOOTEXECUTE regkey ---

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
BootExecute= autocheck autochk *\0\0


--- SHELLEXECUTEHOOKS regkey ---

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""


--- HKLM\Run regkeys ---

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"RTHDCPL"="RTHDCPL.EXE"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"BigDogPath"="C:\\WINDOWS\\VM_STI.EXE VIMICRO USB PC Camera"
"avgnt"="\"C:\\Arquivos de programas\\Avira\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"SunJavaUpdateSched"="\"C:\\Arquivos de programas\\Java\\jre1.6.0_07\\bin\\jusched.exe\""
"ISUSPM Startup"="C:\\ARQUIV~1\\ARQUIV~1\\INSTAL~1\\UPDATE~1\\isuspm.exe -startup"
"ISUSScheduler"="\"C:\\Arquivos de programas\\Arquivos comuns\\InstallShield\\UpdateService\\issch.exe\" -start"
"ISUSPM"="\"C:\\Arquivos de programas\\Arquivos comuns\\InstallShield\\UpdateService\\isuspm.exe\" -scheduler"
"QuickTime Task"="\"C:\\Arquivos de programas\\QuickTime\\qttask.exe\" -atboottime"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"iTunesHelper"="\"C:\\Arquivos de programas\\iTunes\\iTunesHelper.exe\""
[Run\OptionalComponents]
[Run\OptionalComponents\IMAIL]
"Installed"="1"
[Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
[Run\OptionalComponents\MSFS]
"Installed"="1"


--- HKLM\RunOnce regkeys ---

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
no HKLM RunOnce keys found


--- HKLM\RunOnceEx regkeys ---

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
no HKLM RunOnceEx keys found


--- HKLM\RunServices regkeys ---

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
no HKLM RunServices keys found


--- HKLM\RunServicesOnce regkeys ---

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
no HKLM RunServicesOnce keys found


--- HKCU\Run regkeys ---

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Arquivos de programas\\Messenger\\msmsgs.exe\" /background"
"DAEMON Tools Lite"="\"C:\\Arquivos de programas\\DAEMON Tools Lite\\daemon.exe\" -autorun"
"Google Update"="\"C:\\Documents and Settings\\Administrador\\Configurações locais\\Dados de aplicativos\\Google\\Update\\GoogleUpdate.exe\" /c"
"Fraps"="C:\\FRAPS\\FRAPS.EXE"


--- HKCU\RunOnce regkeys ---

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
no HKCU RunOnce keys found


--- HKCU\RunOnceEx regkeys ---

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
regkey does not exist


--- HKCU\RunServices regkeys ---

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
no HKCU RunServices keys found


--- HKCU\RunServicesOnce regkeys ---

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
no HKCU RunServicesOnce keys found


--- HKU\.DEFAULT\Run regkeys - Default user ---

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"


--- HKU\S-1-5-18\Run regkeys - user SYSTEM ---

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"


--- HKU\S-1-5-19\Run regkeys - User Lokale service ---

HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"


--- HKU\S-1-5-20\Run regkeys - User Netwerkservice ---

HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"


--- HKLM\Explorer\Run regkeys ---

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
no HKLM Explorer\Run keys found


--- HKCU\Explorer\Run regkeys ---

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
no HKCU Explorer\Run keys found


--- Image File Execution regkeys ---

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
no debuggers found


--- BROWSER HELPER OBJECTS regkeys ---

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
"{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}" FILE ="C:\\Arquivos de programas\\Adobe\\Acrobat 6.0\\Reader\\ActiveX\\AcroIEHelper.dll"
"{2F364306-AA45-47B5-9F9D-39A8B94E7EF7}" FILE ="C:\\Arquivos de programas\\FlashGet\\jccatch.dll"
"{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}" FILE ="C:\\Arquivos de programas\\Java\\jre1.6.0_07\\bin\\ssv.dll"
"{7E853D72-626A-48EC-A868-BA8D5E23E045}" regkey not found (ERROR)
"{F156768E-81EF-470C-9057-481BA8380DBA}" FILE ="C:\\Arquivos de programas\\FlashGet\\getflash.dll"


--- TOOLBAR regkeys ---

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
no toolbars found


--- URLSEARCHHOOKS regkeys ---

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
only standard regkeys found


--- CONTEXTMENUHANDLERS regkeys ---

HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers
"Offline Files" CLSID ={750fdf0e-2a26-11d1-a3ea-080036587f03} FILE =%SystemRoot%\System32\cscui.dll
"Open With" CLSID ={09799AFB-AD67-11d1-ABCD-00C04FC30936} FILE =%SystemRoot%\system32\SHELL32.dll
"Open With EncryptionMenu" CLSID ={A470F8CF-A1E8-4f65-8335-227475AA5C46} FILE =%SystemRoot%\system32\SHELL32.dll
"Shell Extension for Malware scanning" CLSID ={45AC2688-0253-4ED8-97DE-B5370FA7D48A} FILE ="C:\\Arquivos de programas\\Avira\\AntiVir PersonalEdition Classic\\shlext.dll"
"WinRAR" CLSID ={B41DB860-8EE4-11D2-9906-E49FADC173CA} FILE ="C:\\Arquivos de programas\\WinRAR\\rarext.dll"
"{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}" PIN do menu 'Iniciar' FILE =%SystemRoot%\system32\SHELL32.dll

HKEY_CLASSES_ROOT\Directory\shellex\ContextMenuHandlers
"DAP_ShredMenu" CLSID ={BED4C38B-F765-45AC-8C56-613F76BBF43E} FILE NOT FOUND
"EncryptionMenu" CLSID ={A470F8CF-A1E8-4f65-8335-227475AA5C46} FILE =%SystemRoot%\system32\SHELL32.dll
"Offline Files" CLSID ={750fdf0e-2a26-11d1-a3ea-080036587f03} FILE =%SystemRoot%\System32\cscui.dll
"Sharing" CLSID ={f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} FILE ="ntshrui.dll"
"WinRAR" CLSID ={B41DB860-8EE4-11D2-9906-E49FADC173CA} FILE ="C:\\Arquivos de programas\\WinRAR\\rarext.dll"

HKEY_CLASSES_ROOT\Folder\shellex\ContextMenuHandlers
"MBAMShlExt" CLSID ={57CE581A-0CB6-4266-9CA0-19364C90A0B3} FILE ="C:\\Arquivos de programas\\Malwarebytes' Anti-Malware\\mbamext.dll"
"Shell Extension for Malware scanning" CLSID ={45AC2688-0253-4ED8-97DE-B5370FA7D48A} FILE ="C:\\Arquivos de programas\\Avira\\AntiVir PersonalEdition Classic\\shlext.dll"
"WinRAR" CLSID ={B41DB860-8EE4-11D2-9906-E49FADC173CA} FILE ="C:\\Arquivos de programas\\WinRAR\\rarext.dll"


--- ALTERNATESHELL regkey ---

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
"AlternateShell"="cmd.exe"


--- SAFEBOOT MINIMAL SERVICES ---

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
no unknown services found


--- SAFEBOOT NETWORK SERVICES ---

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
no unknown services found


--- SERVICES ---

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nHancer
"DisplayName"="nHancer Support"
"C:\Arquivos de programas\nHancer\nHancerService.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RivaTuner32
"DisplayName"="RivaTuner32"
\??\C:\Arquivos de programas\RivaTuner v2.09\RivaTuner32.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\swwd
no imagepath value found

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usprserv
"DisplayName"="User Privilege Service"
%SystemRoot%\System32\svchost.exe -k netsvcs

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XDva120
"DisplayName"="XDva120"
\??\C:\WINDOWS\system32\XDva120.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XDva165
"DisplayName"="XDva165"
\??\C:\WINDOWS\system32\XDva165.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XDva168
"DisplayName"="XDva168"
\??\C:\WINDOWS\system32\XDva168.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XDva172
"DisplayName"="XDva172"
\??\C:\WINDOWS\system32\XDva172.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XDva177
"DisplayName"="XDva177"
\??\C:\WINDOWS\system32\XDva177.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XDva186
"DisplayName"="XDva186"
\??\C:\WINDOWS\system32\XDva186.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XDva190
"DisplayName"="XDva190"
\??\C:\WINDOWS\system32\XDva190.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XDva195
"DisplayName"="XDva195"
\??\C:\WINDOWS\system32\XDva195.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XDva200
"DisplayName"="XDva200"
\??\C:\WINDOWS\system32\XDva200.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XDva205
"DisplayName"="XDva205"
\??\C:\WINDOWS\system32\XDva205.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XDva212
"DisplayName"="XDva212"
\??\C:\WINDOWS\system32\XDva212.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZSMC302
"DisplayName"="VIMICRO USB PC Camera"
System32\Drivers\usbVM31b.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{6B309D86-7971-4F19-9130-0A643A43F4AE}
no imagepath value found

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{9BA0708E-3913-4FE9-B1EA-3A2C62C9EB40}
no imagepath value found

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{C616913C-7531-48C2-812C-C63EA5DE505E}
no imagepath value found


--- SECURITYPROVIDERS regkey ---

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


--- SVCHOST regkey ---

HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost
HTTPFilter: HTTPFilter\0\0
LocalService: Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService: DnsCache\0\0
netsvcs: 6to4\0AppMgmt\0AudioSrv\0Browser\0CryptSvc\0DMServer\0DHCP\0ERSvc\0EventSystem\0FastUserSwitchingCompatibility\0HidServ\0Ias\0Iprip\0Irmon\0LanmanServer\0LanmanWorkstation\0Messenger\0Netman\0Nla\0Ntmssvc\0NWCWorkstation\0Nwsapagent\0Rasauto\0Rasman\0Remoteaccess\0Schedule\0Seclogon\0SENS\0Sharedaccess\0SRService\0Tapisrv\0Themes\0TrkWks\0W32Time\0WZCSVC\0Wmi\0WmdmPmSp\0winmgmt\0wscsvc\0xmlprov\0BITS\0wuauserv\0ShellHWDetection\0helpsvc\0WmdmPmSN\0napagent\0hkmsvc\0\0
DcomLaunch: DcomLaunch\0TermService\0\0
rpcss: RpcSs\0\0
imgsvc: StiSvc\0\0
termsvcs: TermService\0\0
eapsvcs: eaphost\0\0
dot3svc: dot3svc\0\0


--- WOW-CMDLINE regkeys ---

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW
"cmdline" = %SystemRoot%\system32\ntvdm.exe
"wowcmdline" = %SystemRoot%\system32\ntvdm.exe -a %SystemRoot%\system32\krnl386


--- DNS SERVER regkeys ---

no "NameServer" values found


--- STARTUP FOLDERS ---

C:\Documents and Settings\Administrador\Menu Iniciar\Programas\Inicializar\desktop.ini
C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\desktop.ini


--- TASK SCHEDULER JOBS ---

C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\GoogleUpdateTaskUser.job
C:\WINDOWS\tasks\Norton Security Scan.job


--- File associations ---

.BAT files: ("%1" %*)
.COM files: ("%1" %*)
.EXE files: ("%1" %*)
.HLP files: (%SystemRoot%\System32\winhlp32.exe %1)
.INF files: (%SystemRoot%\System32\NOTEPAD.EXE %1)
.INI files: (%SystemRoot%\System32\NOTEPAD.EXE %1)
.JS files: (%SystemRoot%\System32\WScript.exe "%1" %*)
.PIF files: ("%1" %*)
.REG files: (regedit.exe "%1")
.SCR files: ("%1" /S)
.TXT files: (%SystemRoot%\system32\NOTEPAD.EXE %1)
.VBS files: (%SystemRoot%\System32\WScript.exe "%1" %*)


FINISHED

[]`s

 

[Mr.Wolf]

Fala Mr.Wolf, dia já não está mais tão bom, anoiteceu com algumas nuvens e acho que a praia do fim de semana vai miar.

Poxa, que sacanagem amigo bruno.alb! Mas final de ano está aí, daí é só alegria.

Computador parece estar 100%, muito obrigado por toda ajuda e o tempo dedicado.

:thumbs_up

Se caso acontecer alguma anomalia, a primeira coisa a se fazer é passar o HiJack?! Não devo seguir a mesma sequência que fizemos nestes casos que resolvemos né?! Cada caso acredito ser um caso então terá uma solução diferente. Estou certo?!

Não faça o mesmo procedimento não amigo bruno.alb. Como você mesmo disse, cada caso é um caso realmente. As infecções podem ser diferentes e os procedimentos com as ferramentas também. Principalmente que as ferramentas que utilizamos em seu caso são complexas e cada vez que você as roda elas mostram um log diferente.

Portanto caso aconteça algo novamente bruno.alb, basta postar um log do HijackThis aqui que veremos qual é a melhor ferramenta para a situação e o melhor jeito de resolvermos ok.

Um abraço :thumbs_up

__________________________________________


Scantraxx, delete o arquivo RunInTheIncode.vbs e o programa RegLooks.

Seu log está limpo agora Scantraxx. Há algum problema na máquina ainda?


____________________________________

führer, siga o procedimento que passei dentro do spoiler abaixo.

Spoiler

- Faça o download do ComboFix e salve-o no desktop;
OBS: Para que a ferramenta seja executada é necessário que esteja no desktop (área de trabalho)

● Desative, temporariamente, seu antivírus;
● Feche todas as janelas abertas;
● Dê um duplo clique no arquivo ComboFix;
● Tecle 1 e dê um Enter. Aguarde até que o relatório seja gerado. É um pouco demorado o scan;
● O ComboFix "poderá" reiniciar o PC automaticamente para completar o processo de remoção.
● Quando terminar, será gerado um log, que estará em C:\ComboFix.txt.
● Não clique na Janela do ComboFix, nem o feche clicando no X, enquanto estiver rodando, não mova o mouse e não use o teclado, pois senão irá parar e seu desktop ficará em branco.
● Para parar ou sair do ComboFix, tecle "N".

Em sua próxima resposta führer, cole este log do ComboFix.

 

[Mr.Wolf]

Olá amigo deivid.pato, seja bem vindo ao fórum.

Seu log não mostra nada referente à vírus. Porém, algumas entradas estão ocultas. Então siga o procedimento abaixo deivid.pato.

- Faça o download do RSIT e salve no seu desktop.

● Duplo clique em RSIT.exe para a ferramenta ser executada.
● Na janela que abrir (disclamer), clique em Continue.
● Quando a ferramenta terminar de rodar, abrirá um documento do Bloco de Notas contendo o resultado do scan. Por favor cole o resultado desse log (log.txt) na sua próxima resposta deivid.pato.
● Cole também o conteúdo do arquivo info.txt que estará em C:\rsit\info.txt.

 

[Scantraxx]

Scantraxx, delete o arquivo RunInTheIncode.vbs e o programa RegLooks.

Seu log está limpo agora Scantraxx. Há algum problema na máquina ainda?

Muito Obrigado mesmo Mr.Wolf, a máquina está voando.Agora me surgiu uma curiosidade, qual era o vírus que infectou minha máquina?

 

[ChrisNowa]

Ola Mr. Wolf, peguei um Spyware e não to conseguindo tirar, se vc poder me ajudar ficarei muito grato.
Instalei o programa e junto instalo um buscador e toda hora q vo abrir algo pede pra instala e se cancelo fecha tudo.

Log do HijackThis:

Spoiler

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:07:50, on 8/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\ARQUIV~1\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\oodag.exe
C:\Arquivos de programas\Raxco\PerfectDisk\PDAgent.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Arquivos de programas\Raxco\PerfectDisk\PDEngine.exe
C:\WINDOWS\system32\msiexec.exe
C:\Arquivos de programas\Lavasoft\Ad-Aware\aawservice.exe
C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe
C:\Arquivos de programas\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\MsiExec.exe
C:\Arquivos de programas\Internet Explorer\iexplore.exe
C:\Arquivos de programas\Internet Explorer\iexplore.exe
C:\Arquivos de programas\Internet Explorer\iexplore.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://g.live.com/9uxp9en-us/hpg_lnk2
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\Arquivos de programas\GbPlugin\gbieh.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Arquivos de programas\Free Download Manager\iefdm2.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Arquivos de programas\Search Settings\kb127\SearchSettings.dll (file missing)
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O8 - Extra context menu item: Baixar com o FDM - file://C:\Arquivos de programas\Free Download Manager\dllink.htm
O8 - Extra context menu item: Baixar tudo com o FDM - file://C:\Arquivos de programas\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selecionado pelo FDM - file://C:\Arquivos de programas\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download video with Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C737D41F-8DFB-4C0F-936D-609CD847F7AC}: NameServer = 192.168.1.1
O20 - Winlogon Notify: GbPluginBb - C:\Arquivos de programas\GbPlugin\gbieh.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Arquivos de programas\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Arquivos de programas\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Arquivos de programas\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 5516 bytes

SS:



Muito obrigado e aguardando

 

[Mr.Wolf]

Olá 0xid0, boa tarde.

Você está com um spyware/adware chamado Search Settings. Não é difícil removê-lo amigo. Siga as instruções que lhe passei abaixo amigo 0xid0, por gentileza.

Primeiramente, vá em Painel de Controle > Adicionar ou Remover Programas. Encontre na lista e desinstale o item Search Settings.

Em seguida:

- Faça o download do Malwarebytes Anti-Malware

- Dê dois cliques sobre o programa para iniciar a instalação;
- Marque "Atualizar Malwarebytes Anti-Malware" e "Executar Malwarebytes Anti-Malware", e clique em concluir;
- Marque "Verificação Completa" e depois clique em Verificar. Selecione sua unidade C: e clique no botão Iniciar Verificação;
- Quando o scan terminar, clique em Ok e em "Mostrar Resultados" para ver o log;
- Se algo for detectado, veja se tudo está marcado e clique em "Remover";
- O log é automaticamente gravado e pode ser consultado clicando em "Logs" do menu principal;
- Copie e cole o conteúdo desse log na sua próxima resposta.

E também gere novo log do HijackThis e cole na sua resposta junto com o do Malwarebytes 0xid0.

 

[Mr.Wolf]

Muito Obrigado mesmo Mr.Wolf, a máquina está voando.Agora me surgiu uma curiosidade, qual era o vírus que infectou minha máquina?

Opa Scantraxx.

Você estava com um trojan denominado Fake - Trojan.Fake de nível baixo. Este trojan, por incrível que pareça, não faz muitas alterações e nem deixa o sistema lento. É um tipo de malware silencioso. Podemos chamá-lo de um spyware também. Pois ele monitora todos os seus hábitos na Internet, recolhendo informações suas.

Qualquer dúvida pergunte amigo Scantraxx.

Um abraço :thumbs_up

 

[ChrisNowa]

Mr. Wolf muito obrigado pela ajuda, acho q esta tudo certo agora.

Log Malwarebytes Anti-Malware:

Spoiler

Malwarebytes' Anti-Malware 1.30
Versão do banco de dados: 1373
Windows 5.1.2600 Service Pack 3

8/11/2008 13:42:01
mbam-log-2008-11-08 (13-42-01).txt

Tipo de Verificação: Completa (C:\|)
Objetos verificados: 70603
Tempo decorrido: 5 minute(s), 3 second(s)

Processos da Memória infectados: 0
Módulos de Memória Infectados: 0
Chaves do Registro infectadas: 0
Valores do Registro infectados: 0
Ítens do Registro infectados: 0
Pastas infectadas: 0
Arquivos infectados: 0

Processos da Memória infectados:
(Nenhum ítem malicioso foi detectado)

Módulos de Memória Infectados:
(Nenhum ítem malicioso foi detectado)

Chaves do Registro infectadas:
(Nenhum ítem malicioso foi detectado)

Valores do Registro infectados:
(Nenhum ítem malicioso foi detectado)

Ítens do Registro infectados:
(Nenhum ítem malicioso foi detectado)

Pastas infectadas:
(Nenhum ítem malicioso foi detectado)

Arquivos infectados:
(Nenhum ítem malicioso foi detectado)

Log HijackThis:

Spoiler

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:46:13, on 8/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\ARQUIV~1\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\oodag.exe
C:\Arquivos de programas\Raxco\PerfectDisk\PDAgent.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Arquivos de programas\Raxco\PerfectDisk\PDEngine.exe
C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe
C:\Arquivos de programas\Windows Media Player\wmplayer.exe
C:\Arquivos de programas\Internet Explorer\iexplore.exe
C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://g.live.com/9uxp9en-us/hpg_lnk2
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\Arquivos de programas\GbPlugin\gbieh.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Arquivos de programas\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O8 - Extra context menu item: Baixar com o FDM - file://C:\Arquivos de programas\Free Download Manager\dllink.htm
O8 - Extra context menu item: Baixar tudo com o FDM - file://C:\Arquivos de programas\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selecionado pelo FDM - file://C:\Arquivos de programas\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download video with Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C737D41F-8DFB-4C0F-936D-609CD847F7AC}: NameServer = 192.168.1.1
O20 - Winlogon Notify: GbPluginBb - C:\Arquivos de programas\GbPlugin\gbieh.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Arquivos de programas\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Arquivos de programas\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 5226 bytes

Queria colocar em mostrar/esconder mais não sei como q faz :lol:.

 

[Mr.Wolf]

Ok o log está limpo amigo 0xid0.

Pedi a análise com o Malwarebytes somente para uma confirmação. Pois às vezes o Search Settings traz com ele alguns trojans camuflados e não mostrados no log do HijackThis. Mas, o Malwarebytes não detectou nada. Não há mais problemas.

Peço apenas que reinicie seu computador agora 0xid0, e veja se o problema não ocorrerá mais. Depois me diga aqui, por favor.

Obs: Para esconder a resposta basta colocar em spoiler. Antes de sua resposta coloque a TAG [!spoiler] (sem o ponto de exclamação "!", pois coloquei apenas para não esconder aqui). E no final de sua resposta colocar a TAG [/spoiler].

:thumbs_up

 

[ChrisNowa]

Esta tudo certo Mr. Wolf, problema resolvido.
Olha nem sei como te agradecer, seu trabalho é excelente, sempre resolvendo os problemas do pessoal e com muita cordialidade e agilidade, muito obrigado mesmo.

Eu lhe desejo muito sucesso, felicidades e tudo d bom .

Um abraço.

 

[Mr.Wolf]

Esta tudo certo Mr. Wolf, problema resolvido.
Olha nem sei como te agradecer, seu trabalho é excelente, sempre resolvendo os problemas do pessoal e com muita cordialidade e agilidade, muito obrigado mesmo.

Eu lhe desejo muito sucesso, felicidades e tudo d bom .

Um abraço.

Muito obrigado pelas palavras 0xid0. Fico feliz que não esteja mais ocorrendo nada.

Qualquer problema ou dúvida é só postar aqui ok. Sucesso, felicidades e tudo de bom para você também amigo.

Um abraço :thumbs_up

 

[MarkuZ]

Apesar do Avira ser o rei dos falsos-positivos MarkuZ, quando se recebe um alerta desse sempre devemos ficar com "a pulga atrás da orelha". Principalmente se tratando de um trojan.vundo. Então peço que poste um log do HijackThis aqui MarkuZ.

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Arquivos de programas\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Ares\Ares.exe
C:\Arquivos de programas\Skype\Phone\Skype.exe
C:\Arquivos de programas\Skype\Plugin Manager\skypePM.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Arquivos de programas\Windows Live\Messenger\usnsvc.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Arquivos de programas\JetAudio\jetAudio.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Marcus V\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Arquivos de programas\BitComet\tools\BitCometBHO_1.2.1.2.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\system32\khooker.exe
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ares] "C:\Arquivos de programas\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Arquivos de programas\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [BitComet] "C:\Arquivos de programas\BitComet\BitComet.exe" /tray
O4 - HKCU\..\Run: [Skype] "C:\Arquivos de programas\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
O4 - Startup: Adobe Gamma.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: hamachi.lnk = C:\Arquivos de programas\Hamachi\hamachi.exe
O8 - Extra context menu item: Baixar link usando &BitComet - res://C:\Arquivos de programas\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Baixar todos os links usando BitComet - res://C:\Arquivos de programas\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Baixar todos os vídeos usando BitComet - res://C:\Arquivos de programas\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Arquivos de programas\BitComet\tools\BitCometBHO_1.2.1.2.dll/206 (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - http://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no-eula.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{751AC024-19AC-4A77-8EC4-85952F0914F2}: NameServer = 201.10.128.2 201.10.120.2
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

 

[Mr.Wolf]

MarkuZ, seu log está infectado por um vírus de pen drive. O que foi um equívoco do Avira alertar:

TR/Crypt.XPACK.Gen Trojan;
TR/Vundo.Gen Trojan.

Sendo que vírus de pen drive não é Vundo nem um XPACK. Mas sim um Trojan.Agent.

MarkuZ, possui algum pen drive, MP3, MP4, ou qualquer outra mídia removível?

Siga as instruções abaixo MarkuZ.

- Faça o download do ComboFix e salve-o no desktop;
OBS: Para que a ferramenta seja executada é necessário que esteja no desktop (área de trabalho)

● Desative, temporariamente, seu antivírus;
● Feche todas as janelas abertas;
● Dê um duplo clique no arquivo ComboFix;
● Tecle 1 e dê um Enter. Aguarde até que o relatório seja gerado. É um pouco demorado o scan;
● O ComboFix "poderá" reiniciar o PC automaticamente para completar o processo de remoção.
● Quando terminar, será gerado um log, que estará em C:\ComboFix.txt.
● Não clique na Janela do ComboFix, nem o feche clicando no X, enquanto estiver rodando, não mova o mouse e não use o teclado, pois senão irá parar e seu desktop ficará em branco.
● Para parar ou sair do ComboFix, tecle "N".

Cole o log do ComboFix em sua próxima resposta MarkuZ.

 

[lukox]

Mr.Wolf, como vc pediu vo posta aki então o log.Mais lembrando que agora o AU.EXE sumiu

Logfile of HijackThis v1.99.1
Scan saved at 21:32:27, on 8/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Arquivos de programas\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe
C:\Arquivos de programas\Tibia\Tibia.exe
C:\Arquivos de programas\TibiaBot NG 479\loader.exe
C:\Arquivos de programas\TibiaBot NG 479\loader.exe
C:\Arquivos de programas\internet explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\DOCUME~1\Dorival\CONFIG~1\Temp\Rar$EX00.375\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] c:\Arquivos de programas\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera
O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Arquivos de programas\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Arquivos de programas\Cópia de SUPERAntiSpyware\SUPERAntiSpyware.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{44BC92C3-4150-409E-B047-0FA0491523CB}: NameServer = 200.204.0.10 200.204.0.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{49900B58-C59B-4F42-B7C7-75E2D1051CD1}: NameServer = 200.204.0.10,200.204.0.138
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Machine Debug Manager (MDM) - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

[Mr.Wolf]

Ele estava em uma pasta temporária, por isso sumiu. Mas se este executável estava aí, tem coisas em seu computador.

- Faça o download do Malwarebytes Anti-Malware

- Faça a instalação dando um duplo clique em "mbam-setup.exe";
- Marque "Atualizar Malwarebytes Anti-Malware" e "Executar Malwarebytes Anti-Malware", e clique em concluir;
- Marque "Verificação Completa" e depois clique em Verificar. Selecione sua unidade C: e clique no botão Iniciar Verificação;
- Quando o scan terminar, clique em Ok e em "Mostrar Resultados" para ver o log;
- Se algo for detectado, veja se tudo está marcado e clique em "Remover";
- O log é automaticamente gravado e pode ser consultado clicando em "Logs" do menu principal;
- Copie e cole o conteúdo desse log na sua próxima resposta.

E também gere novo log do HijackThis e cole na sua resposta junto com o do Malwarebytes lukox.

 

[lukox]

Não pego nada não Mr.Wolf.Mais isso só pode ser Virus msm ?

Malwarebytes' Anti-Malware 1.30
Versão do banco de dados: 1375
Windows 5.1.2600 Service Pack 2

8/11/2008 22:40:39
mbam-log-2008-11-08 (22-40-39).txt

Tipo de Verificação: Completa (C:\|D:\|)
Objetos verificados: 111352
Tempo decorrido: 56 minute(s), 23 second(s)

Processos da Memória infectados: 0
Módulos de Memória Infectados: 0
Chaves do Registro infectadas: 0
Valores do Registro infectados: 0
Ítens do Registro infectados: 0
Pastas infectadas: 0
Arquivos infectados: 0

Processos da Memória infectados:
(Nenhum ítem malicioso foi detectado)

Módulos de Memória Infectados:
(Nenhum ítem malicioso foi detectado)

Chaves do Registro infectadas:
(Nenhum ítem malicioso foi detectado)

Valores do Registro infectados:
(Nenhum ítem malicioso foi detectado)

Ítens do Registro infectados:
(Nenhum ítem malicioso foi detectado)

Pastas infectadas:
(Nenhum ítem malicioso foi detectado)

Arquivos infectados:
(Nenhum ítem malicioso foi detectado)

Ow Mr.Wolf, tipo eu crackiei um programa ae utilizando um codigo dum site ae de cheats tal...n sei c da pra ve c é seguro atraves do codigo, passei uns par de coisa aki e ta sussa...c tive da uma ollhada pra pra ve ae

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Licenses]
"{R7C0DB872A3F777C0}"=hex:45,19,69,dd
"{K7C0DB872A3F777C0}"=hex:ff,a5,39,f1,95,0c,1f ,f0, 9c,a7,12,22,ff,92,24,8f,ed,\
6a,55,26,43,8d,f6,57,87,60,95,5a,95,7e,19,dd,9d,62 ,3f,c3,a3,03,33,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff ,ff,ff,ff,ff,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff ,ff,ff,ff,ff,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff ,ff,ff,ff,ff,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,00,00,00,00,57,87,60,95,95,0c,1f ,f0,9c,a7,12,22,ff,92,24,\
8f,ed,6a,55,26,43,8d,f6,57,87,60,95,5a,95,7e,19,dd ,9d,62,3f,c3,a3,03,33,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff ,ff,ff,ff,ff,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff ,ff,ff,ff,ff,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff ,ff,ff,ff,ff,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,00,00,00,00,57,87,60,95,2f ,06,8d,0d,02,9b,fd,39,88,\
8d,0d,03,ec,2a,f9,31,8d,0d,04,ab,89,bb,93,8d,0d,05 ,2c,06,ad,25,8d,0d,06,39,\
3a,a3,21,8d,0d,1e,ab,89,bb,93,8e,0d,01,c0,11,3e,5c ,8e,0d,02,9b,fd,39,88,8e,\
0d,03,ec,2a,f9,31,8e,0d,04,ab,89,bb,93,8e,0d,05,2c ,06,ad,25,8e,0d,06,39,3a,\
a3,21,8e,0d,1e,ab,89,bb,93,8e,0d,01,c0,11,3e,5c,8e ,0d,02,9b,fd,39,88,8e,0d,\
03,ec,2a,f9,31,8e,0d,04,ab,89,bb,93,8e,0d,05,2c,06 ,ad,25,8e,0d,06,39,3a,a3,\
21,8e,0d,1e,ab,89,bb,93,8e,0d,01,c0,11,3e,5c,8e,0d ,02,9b,fd,39,88,8e,0d,03,\
ec,2a,f9,31,8e,0d,04,ab,89,bb,93,8e,0d,05,2c,06,ad ,25,8e,0d,06,39,3a,a3,21,\ 8e,0d,1e,ab,89,bb,93,8e,0d,01,c0,11,3e,5c,8e,0d,02 ,9b,fd,39,88,8e,0d,03,ec,\
2a,f9,31,8e,0d,04,ab,89,bb,93,8e,0d,05,2c,06,ad,25 ,8e,0d,06,39,3a,a3,21,8e,\
0d,1e,ab,89,bb,93,8f,0d,01,c0,11,3e,5c,8f,0d,02,9b ,fd,39,88,8f,0d,03,ec,2a,\
f9,31,8f,0d,04,ab,89,bb,93,8f,0d,05,2c,06,ad,25,8f ,0d,06,39,3a,a3,21,8f,0d,\
1e,ab,89,bb,93,8f,0d,01,c0,11,3e,5c,8f,0d,02,9b,fd ,39,88,8f,0d,03,ec,2a,f9,\
31,8f,0d,04,ab,89,bb,93,8f,0d,05,2c,06,ad,25,8f,0d ,06,39,3a,a3,21,8f,0d,1e,\
ab,89,bb,93,8f,0d,01,c0,11,3e,5c,8f,0d,02,9b,fd,39 ,88,8f,0d,03,ec,2a,f9,31,\
8f,0d,04,ab,89,bb,93,8f,0d,05,2c,06,ad,25,8f,0d,06 ,39,3a,a3,21,8f,0d,1e,ab,\
89,bb,93,8f,0d,01,c0,11,3e,5c,8f,0d,02,9b,fd,39,88 ,8f,0d,03,ec,2a,f9,31,8f,\
0d,04,ab,89,bb,93,8f,0d,05,2c,06,ad,25,8f,0d,06,39 ,3a,a3,21,8f,0d,1e,ab,89,\
bb,93,8f,0d,01,c0,11,3e,5c,8f,0d,02,9b,fd,39,88,8f ,0d,03,ec,2a,f9,31,8f,0d,\
04,ab,89,bb,93,8f,0d,05,2c,06,ad,25,8f,0d,06,39,3a ,a3,21,8f,0d,1e,ab,89,bb,\
93,8f,0d,01,c0,11,3e,5c,8f,0d,02,9b,fd,39,88,8f,0d ,03,ec,2a,f9,31,8f,0d,04,\
ab,89,bb,93,8f,0d,05,2c,06,ad,25,8f,0d,06,39,3a,a3 ,21,8f,0d,1e,ab,89,bb,93,\
8f,0d,01,c0,11,3e,5c,8f,0d,02,9b,fd,39,88,8f,0d,03 ,ec,2a,f9,31,8f,0d,04,ab,\
89,bb,93,8f,0d,05,2c,06,ad,25,8f,0d,06,39,3a,a3,21 ,8f,0d,1e,ab,89,bb,93,8f,\
0d,01,c0,11,3e,5c,8f,0d,02,9b,fd,39,88,8f,0d,03,ec ,2a,f9,31,8f,0d,04,ab,89,\
bb,93,8f,0d,05,2c,06,ad,25,8f,0d,06,39,3a,a3,21,8f ,0d,1e,ab,89,bb,93,8f,0d,\
01,c0,11,3e,5c,8f,0d,02,9b,fd,39,88,8f,0d,03,ec,2a ,f9,31,8f,0d,04,ab,89,bb,\
93,8f,0d,05,2c,06,ad,25,8f,0d,06,39,3a,a3,21,8f,0d ,1e,ab,89,bb,93,8f,0d,01,\
c0,11,3e,5c,8f,0d,02,9b,fd,39,88,8f,0d,03,ec,2a,f9 ,31,8f,0d,04,ab,89,bb,93,\
8f,0d,05,2c,06,ad,25,8f,0d,06,39,3a,a3,21,8f,0d,1e ,ab,89,bb,93,8f,0d,01,c0,\
11,3e,5c,8f,0d,02,79,6a,69,69,8f,0d,03,b6,24,34,2b ,8f,0d,04,6f,9c,66,16,8f,\
0d,05,1c,29,e9,ce,8f,0d,06,0b,bb,b8,8f,8f,0d,07,73 ,61,67,a8,8f,0d,1e,6f,9c,\
66,16,90,0d,01,c0,11,3e,5c,90,0d,02,79,6a,69,69,90 ,0d,03,b6,24,34,2b,90,0d,\ 04,6f,9c,66,16,90,0d,05,1c,29,e9,ce,90,0d,06,0b,bb ,b8,8f,90,0d,07,73,61,67,\
a8,90,0d,1e,6f,9c,66,16,a1,0d,00,cf,c1,44,02,a1,0d ,01,6f,c1,36,6b,a1,0d,02,\
88,22,1a,82,a1,0d,03,a3,e4,5b,e2,a1,0d,04,81,ac,55 ,f9,a1,0d,05,45,19,69,dd,\
a1,0d,06,be,b6,2f,d9,a1,0d,07,2b,00,d5,e5,a1,0d,1e ,81,ac,55,f9,a1,0d,00,cf,\
c1,44,02,a1,0d,01,6f,c1,36,6b,a1,0d,02,88,22,1a,82 ,a1,0d,03,a3,e4,5b,e2,a1,\
0d,04,81,ac,55,f9,a1,0d,05,45,19,69,dd,a1,0d,06,be ,b6,2f,d9,a1,0d,07,2b,00,\
d5,e5,a1,0d,1e,81,ac,55,f9,a2,0d,00,cf,c1,44,02,a2 ,0d,01,6f,c1,36,6b,a2,0d,\
02,88,22,1a,82,a2,0d,03,a3,e4,5b,e2,a2,0d,04,81,ac ,55,f9,a2,0d,05,45,19,69,\
dd,a2,0d,06,be,b6,2f,d9,a2,0d,07,2b,00,d5,e5,a2,0d ,1e,81,ac,55,f9,a2,0d,00,\
cf,c1,44,02,a2,0d,01,6f,c1,36,6b,a2,0d,02,88,22,1a ,82,a2,0d,03,a3,e4,5b,e2,\
a2,0d,04,81,ac,55,f9,a2,0d,05,45,19,69,dd,a2,0d,06 ,be,b6,2f,d9,a2,0d,07,2b,\
00,d5,e5,a2,0d,1e,81,ac,55,f9,a3,0d,00,cf,c1,44,02 ,a3,0d,01,6f,c1,36,6b,a3,\
0d,02,88,22,1a,82,a3,0d,03,a3,e4,5b,e2,a3,0d,04,81 ,ac,55,f9,a3,0d,05,45,19,\
69,dd,a3,0d,06,be,b6,2f,d9,a3,0d,07,2b,00,d5,e5,a3 ,0d,1e,81,ac,55,f9,a4,0d,\
00,cf,c1,44,02,a4,0d,01,6f,c1,36,6b,a4,0d,02,88,22 ,1a,82,a4,0d,03,a3,e4,5b,\
e2,a4,0d,04,81,ac,55,f9,a4,0d,05,45,19,69,dd,a4,0d ,06,be,b6,2f,d9,a4,0d,07,\
2b,00,d5,e5,a4,0d,1e,81,ac,55,f9,a4,0d,00,cf,c1,44 ,02,a4,0d,01,6f,c1,36,6b,\
a4,0d,02,88,22,1a,82,a4,0d,03,a3,e4,5b,e2,a4,0d,04 ,81,ac,55,f9,a4,0d,05,45,\
19,69,dd,a4,0d,06,be,b6,2f,d9,a4,0d,07,2b,00,d5,e5 ,a4,0d,1e,81,ac,55,f9,a5,\
0d,00,cf,c1,44,02,a5,0d,01,6f,c1,36,6b,a5,0d,02,88 ,22,1a,82,a5,0d,03,a3,e4,\
5b,e2,a5,0d,04,81,ac,55,f9,a5,0d,05,45,19,69,dd,a5 ,0d,06,be,b6,2f,d9,a5,0d,\
07,2b,00,d5,e5,a5,0d,1e,81,ac,55,f9,a5,0d,00,cf,c1 ,44,02,a5,0d,01,6f,c1,36,\
6b,a5,0d,02,88,22,1a,82,a5,0d,03,a3,e4,5b,e2,a5,0d ,04,81,ac,55,f9,a5,0d,05,\
45,19,69,dd,a5,0d,06,be,b6,2f,d9,a5,0d,07,2b,00,d5 ,e5,a5,0d,1e,81,ac,55,f9,\
a5,0d,00,cf,c1,44,02,a5,0d,01,6f,c1,36,6b,a5,0d,02 ,88,22,1a,82,a5,0d,03,a3,\ e4,5b,e2,a5,0d,04,81,ac,55,f9,a5,0d,05,45,19,69,dd ,a5,0d,06,be,b6,2f,d9,a5,\
0d,07,2b,00,d5,e5,a5,0d,1e,81,ac,55,f9,a8,0d,00,cf ,c1,44,02,a8,0d,01,6f,c1,\
36,6b,a8,0d,02,88,22,1a,82,a8,0d,03,a3,e4,5b,e2,a8 ,0d,04,81,ac,55,f9,a8,0d,\
05,45,19,69,dd,a8,0d,06,be,b6,2f,d9,a8,0d,07,2b,00 ,d5,e5,a8,0d,1e,81,ac,55,\
f9,a8,0d,00,cf,c1,44,02,a8,0d,01,6f,c1,36,6b,a8,0d ,02,88,22,1a,82,a8,0d,03,\
a3,e4,5b,e2,a8,0d,04,81,ac,55,f9,a8,0d,05,45,19,69 ,dd,a8,0d,06,be,b6,2f,d9,\
a8,0d,07,2b,00,d5,e5,a8,0d,1e,81,ac,55,f9,a8,0d,00 ,cf,c1,44,02,a8,0d,01,6f,\
c1,36,6b,a8,0d,02,88,22,1a,82,a8,0d,03,a3,e4,5b,e2 ,a8,0d,04,81,ac,55,f9,a8,\
0d,05,45,19,69,dd,a8,0d,06,be,b6,2f,d9,a8,0d,07,2b ,00,d5,e5,a8,0d,1e,81,ac,\
55,f9,a9,0d,00,cf,c1,44,02,a9,0d,01,6f,c1,36,6b,a9 ,0d,02,88,22,1a,82,a9,0d,\
03,a3,e4,5b,e2,a9,0d,04,81,ac,55,f9,a9,0d,05,45,19 ,69,dd,a9,0d,06,be,b6,2f,\
d9,a9,0d,07,2b,00,d5,e5,a9,0d,1e,81,ac,55,f9,ab,0d ,00,cf,c1,44,02,ab,0d,01,\
6f,c1,36,6b,ab,0d,02,88,22,1a,82,ab,0d,03,a3,e4,5b ,e2,ab,0d,04,81,ac,55,f9,\
ab,0d,05,45,19,69,dd,ab,0d,06,be,b6,2f,d9,ab,0d,07 ,2b,00,d5,e5,ab,0d,1e,81,\
ac,55,f9 "{I1FE0CF141D6D3465}"=hex:32,09,00,00
"{01FE0CF141D6D3465}"=hex:5b,3e,8e,0f,ef,81,a3 ,b6, 36,67,3d,ee,5e,c1,08,c6,a9,\
4d,e5,0b,b7,dd,2b,c2,f6,85,0f,b9,22,f4,d4,50,34,05 ,a7,5b,b6,f4,72,7a,f7,84,\
9d,45,4d,52,a0,99,d6,be,51,c0,3f,2f,e5,51,7b,cb,5d ,c4,1b, cd,b0,15,98,ff,67,\
1f,37,bb,5c,20,8c,16,90,a1,72,5f,da,82,1b,00,ef,a3 ,e1,ba,48,d5,8b,79,97,39,\
26,89,c7,50,e1,aa,4d,c6,b1,0e,f8,99,83,f7,2f,69,ad ,ae,6f,71,4f,01,3b,c5,d5,\
64,0d,e2,97,84,43,33,9c,f5,22,33,03,24,db,d6,2d,35 ,c7,c1,54,c2,ad,93,b7,e1,\
c0,37,c1,a9,73,30,e7,3b,c9,0f,15,15,4e,14,c3,66,47 ,92,55,8c,15,da,58,4a,21,\
81,07,7b,e5,e9,3c,ac,6e,b1,af,a6,e3,b9,7c,25,d1,15 ,32,b7,f3,0e,0d,a7,d2,22,\
a8,67,d3,58,50,6c,c5,6e,7c,94,62,29,31,fb,96,5d,46 ,5a,d1,97,66,ba,06,96,ae,\
d7,bc,52,a8,10,ec,61,80,94,db,f0,e6,85,29,28,b7,8e ,e2,1d,cd,0a,8c,04,59,72,\
17,e9,76,99,fa,1a,5f
"{I70424D80D58C6480}"=hex:10,00,00,00
"{I4230FC8E653030DF}"=hex:5a,00,00,00
"{04230FC8E653030DF}"=hex:56,3e,a8,0e,0b,a2,a7 ,a6, 41,06,53,98,f8,bf,44,a3,0a,\
34,91,6e,d8,b6,05,a1,9a,e8,09,9b,1f,b1,5a,23,bd,ef ,c0,2f,84,ce,8c,7f,37,a5,\
c6,5d,b0,e1,b6,7f,a7,f2,7c,49,07,83,62,a0,80,31,aa ,7d,42,2a,a8,15,50,d0,62,\
29,2a,bd,d0,2d,8e,14,02,a8,7d,5d,71,8f,01,0e,6e,a0 ,e1,ba,b5,c0,51,97,88,d9,\
1c,13,a2,07,20,b0,25,ad,44,ac,0a,eb,53,c8,3f,79,71 ,5d,e4,26,c0,0c,b4,37,10,\
ea,5c,4d
"{I0B134061A67BB3B0}"=hex:0a,00,00,00
"{00B134061A67BB3B0}"=hex:56,3e,a8,0e,0b,a2,a7 ,a6, 41,06,53,98,f8,bf,44,a3,18,\
34,92,66,82,b6,01,a7,99,e8,09,9b,0a,b1,5a,23,bd,ef ,c0,2f,84,ce,8c,7f,37,a5,\
c6,5d,b0,e1,b6,7f,a7,f2,7c,49,07,83,62,a0,80,31,aa ,7d,42,2a,ac,15,17,96,2e,\
7d,2b,bd,d0,2d,8e,14,01,a8,a7,53,71,8f,e2,08,eb,24 ,1f,be,42,d5,8b,79,68,1d,\
9b,fc,f5 "{IAC275B82195B0168}"=hex:05,00,00,00
"{0AC275B82195B0168}"=hex:56,3e,a8,0e,0b,a2,a7 ,a6, 41,06,53,98,f8,bf,44,a3,1e,\
34,91,6e,d8,b6,05,a1,9a,e8,09,9b,1f,b1,5a,23,bd,ef ,c0,2f,84,ce,8c,7f,37,a5,\
c6,5d,b0,e1,b6,7f,a7,f2,7c,49,07,83,62,a0,80,31,aa ,7d,42,2a,ac,15,16,96,2e,\
7d,2b,bd,d1,2d,8e,14,01,a8,7e,5d,71,8f,e2,16,49,c0 ,3c,12,37,f0,15,1f,8e,fb,\
c6,b5,95,98,7e,0d,ef,fe,b5,62,c6,1d,e3,28,9b,b0,af ,b4,1e,78,c5,0c,b4,c8,a5,\
ac,36,d4,c5

[HKEY_LOCAL_MACHINE\SOFTWARE\Licenses\Nova chave #1]

 

[lopez]

Mr.Wolf como vai? :yes:

Eu passei o Malwarebytes e meu log deu dois virus, um deles parece um falso positivo que o tal de Rogue e o outro um trojan agente.Seria necessário passar o combofix?

Malwarebytes' Anti-Malware 1.30
Versão do banco de dados: 1375
Windows 5.1.2600 Service Pack 3

8/11/2008 23:15:58
mbam-log-2008-11-08 (23-15-58).txt

Tipo de Verificação: Completa (C:\|)
Objetos verificados: 122216
Tempo decorrido: 1 hour(s), 7 minute(s), 36 second(s)

Processos da Memória infectados: 0
Módulos de Memória Infectados: 0
Chaves do Registro infectadas: 1
Valores do Registro infectados: 0
Ítens do Registro infectados: 0
Pastas infectadas: 0
Arquivos infectados: 1

Processos da Memória infectados:
(Nenhum ítem malicioso foi detectado)

Módulos de Memória Infectados:
(Nenhum ítem malicioso foi detectado)

Chaves do Registro infectadas:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{e596df5f-4239-4d40-8367-ebadf0165917} (Rogue.Installer) -> Not selected for removal.

Valores do Registro infectados:
(Nenhum ítem malicioso foi detectado)

Ítens do Registro infectados:
(Nenhum ítem malicioso foi detectado)

Pastas infectadas:
(Nenhum ítem malicioso foi detectado)

Arquivos infectados:
C:\Documents and Settings\User\Dados de aplicativos\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully.

 

[MarkuZ]

MarkuZ, seu log está infectado por um vírus de pen drive. O que foi um equívoco do Avira alertar:



Sendo que vírus de pen drive não é Vundo nem um XPACK. Mas sim um Trojan.Agent.

MarkuZ, possui algum pen drive, MP3, MP4, ou qualquer outra mídia removível?

Siga as instruções abaixo MarkuZ.

- Faça o download do ComboFix e salve-o no desktop;
OBS: Para que a ferramenta seja executada é necessário que esteja no desktop (área de trabalho)

● Desative, temporariamente, seu antivírus;
● Feche todas as janelas abertas;
● Dê um duplo clique no arquivo ComboFix;
● Tecle 1 e dê um Enter. Aguarde até que o relatório seja gerado. É um pouco demorado o scan;
● O ComboFix "poderá" reiniciar o PC automaticamente para completar o processo de remoção.
● Quando terminar, será gerado um log, que estará em C:\ComboFix.txt.
● Não clique na Janela do ComboFix, nem o feche clicando no X, enquanto estiver rodando, não mova o mouse e não use o teclado, pois senão irá parar e seu desktop ficará em branco.
● Para parar ou sair do ComboFix, tecle "N".

Cole o log do ComboFix em sua próxima resposta MarkuZ.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf

.
(((((((((((((((( Arquivos/Ficheiros criados de 2008-10-09 to 2008-11-09 ))))))))))))))))))))))))))))
.

2008-11-06 15:21 . 2008-11-06 15:21 <DIR> d-------- c:\documents and settings\All Users.WINDOWS\Dados de aplicativos\Avira
2008-11-06 15:21 . 2008-11-06 15:21 <DIR> d-------- c:\arquivos de programas\Avira
2008-11-02 09:22 . 2008-11-02 09:20 155,648 --a------ c:\windows\system32\TVModeLib.dll
2008-11-02 09:21 . 2008-11-02 09:21 <DIR> d-------- c:\arquivos de programas\SiS Compatible VGA V2.22
2008-11-02 09:21 . 2008-11-02 09:20 106,496 --a------ c:\windows\SiSUSBrg.exe
2008-11-02 09:21 . 2008-11-02 09:20 32,768 --a------ c:\windows\SIS_LIB.DLL
2008-11-02 09:21 . 2008-11-02 09:20 3,583 --a------ c:\windows\SiSport.sys
2008-11-02 08:26 . 2008-11-02 08:26 <DIR> d-------- c:\documents and settings\All Users.WINDOWS\Dados de aplicativos\Sports Interactive
2008-11-02 08:25 . 2008-07-12 08:18 3,851,784 --a------ c:\windows\system32\D3DX9_39.dll
2008-11-02 08:25 . 2008-07-12 08:18 1,493,528 --a------ c:\windows\system32\D3DCompiler_39.dll
2008-11-02 08:25 . 2008-07-31 10:40 509,448 --a------ c:\windows\system32\XAudio2_2.dll
2008-11-02 08:25 . 2008-07-12 08:18 467,984 --a------ c:\windows\system32\d3dx10_39.dll
2008-11-02 08:25 . 2008-07-31 10:41 238,088 --a------ c:\windows\system32\xactengine3_2.dll
2008-11-02 08:25 . 2008-07-31 10:41 68,616 --a------ c:\windows\system32\XAPOFX1_1.dll
2008-11-02 08:17 . 2008-11-02 08:17 <DIR> d--h----- c:\documents and settings\Marcus V\InstallAnywhere

.
((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-09 10:38 --------- d-----w c:\documents and settings\Marcus V\Dados de aplicativos\Skype
2008-11-09 10:38 --------- d-----w c:\documents and settings\Marcus V\Dados de aplicativos\Hamachi
2008-11-09 10:37 --------- d-----w c:\documents and settings\Marcus V\Dados de aplicativos\skypePM
2008-11-08 17:19 --------- d-----w c:\arquivos de programas\Sports Interactive
2008-11-07 15:21 --------- d-----w c:\documents and settings\Marcus V\Dados de aplicativos\LimeWire
2008-11-02 11:21 98,304 ----a-w c:\windows\system32\SiSApCom.dll
2008-11-02 11:21 73,728 ----a-w c:\windows\system32\waitwnd.exe
2008-11-02 11:21 5,632 ----a-w c:\windows\system32\InstFunc.dll
2008-11-02 11:21 49,152 ----a-w c:\windows\system32\sis740.bin
2008-11-02 11:21 49,152 ----a-w c:\windows\system32\sis650.bin
2008-11-02 11:21 432,384 ----a-w c:\windows\system32\drivers\sisgrp.sys
2008-11-02 11:21 221,184 ----a-w c:\windows\system32\SiSParse.dll
2008-11-02 11:21 172,032 ----a-w c:\windows\system32\SiSInst.dll
2008-11-02 11:21 155,648 ----a-w c:\windows\system32\setuplib.dll
2008-11-02 11:21 1,861,814 ----a-w c:\windows\system32\sisgl.dll
2008-11-02 11:21 1,081,216 ----a-w c:\windows\system32\sisgrv.dll
2008-11-02 11:20 30,720 ----a-w c:\windows\system32\drivers\SISAGPX.SYS
2008-11-02 11:20 11,264 ----a-w c:\windows\system32\drivers\srvkp.sys
2008-10-31 21:37 --------- d-----w c:\arquivos de programas\JetAudio
2008-10-31 08:19 --------- d-----w c:\arquivos de programas\Microsoft Silverlight
2008-10-17 13:30 --------- d-----w c:\arquivos de programas\TrucoXP Online
2008-10-17 13:30 --------- d-----w c:\arquivos de programas\Arquivos comuns\InstallShield
2008-10-01 16:46 --------- d-----w c:\arquivos de programas\Arquivos comuns\Windows Live
2008-09-11 02:56 --------- d-----w c:\documents and settings\Marcus V\Dados de aplicativos\ICAClient
2008-09-05 19:22 92,932 --sh--r C:\ktnquo.exe
2001-11-23 15:08 712,704 ----a-w c:\windows\inf\OTHER\AUDIO3D.DLL
.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por defeito não são mostradas.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"ares"="c:\arquivos de programas\Ares\Ares.exe" [2007-12-31 962560]
"DAEMON Tools Lite"="c:\arquivos de programas\DAEMON Tools Lite\daemon.exe" [2008-04-01 486856]
"BitComet"="c:\arquivos de programas\BitComet\BitComet.exe" [2008-01-08 2124088]
"Skype"="c:\arquivos de programas\Skype\Phone\Skype.exe" [2008-07-23 21738792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\arquivos de programas\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2008-11-02 106496]
"SiS Tray"="c:\windows\system32\sistray.EXE" [2003-06-26 303104]
"avgnt"="c:\arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\documents and settings\Marcus V\Menu Iniciar\Programas\Inicializar\
Adobe Gamma.lnk - c:\arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]
hamachi.lnk - c:\arquivos de programas\Hamachi\hamachi.exe [2008-08-05 624416]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.i263"= i263_32.drv

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Arquivos de programas\\Ares\\Ares.exe"=
"c:\\Arquivos de programas\\uTorrent\\uTorrent.exe"=
"c:\\Arquivos de programas\\SopCast\\adv\\SopAdver.exe"=
"c:\\Arquivos de programas\\SopCast\\SopCast.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Documents and Settings\\Marcus V\\Desktop\\eMule0.49a\\eMule0.49a\\emule.exe"=
"c:\\Arquivos de programas\\LimeWire\\LimeWire.exe"=
"c:\\Arquivos de programas\\BitComet\\BitComet.exe"=
"c:\\Documents and Settings\\Marcus V\\Meus documentos\\Meus arquivos recebidos\\Banco_Imobiliario2000\\Banco Imobiliário\\BANCO.EXE"=
"c:\\Arquivos de programas\\Hamachi\\hamachi.exe"=
"c:\\Arquivos de programas\\Opera\\opera.exe"=
"c:\\Arquivos de programas\\Megacubo\\megacubo.exe"=
"c:\\Arquivos de programas\\Megacubo\\bin\\minifly.exe"=
"c:\\Arquivos de programas\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"22098:TCP"= 22098:TCP:BitComet 22098 TCP
"22098:UDP"= 22098:UDP:BitComet 22098 UDP

R2 UxTuneUp;TuneUp Theme Extension;c:\windows\System32\svchost.exe [2004-08-04 14336]
S3 TuneUp.Defrag;TuneUp Drive Defrag Service;c:\windows\System32\TuneUpDefragService.exe [2008-07-11 306432]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dfe76f80-7f52-11dd-b25b-000d870811db}]
\Shell\AutoRun\command - G:\ktnquo.exe
\Shell\explore\Command - G:\ktnquo.exe
\Shell\open\Command - G:\ktnquo.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fd4652b0-1fa1-11dd-b10b-000d870811db}]
\Shell\AutoRun\command - H:\vva0hc0p.cmd
\Shell\explore\Command - H:\vva0hc0p.cmd
\Shell\open\Command - H:\vva0hc0p.cmd

*Newly Created Service* - PROCEXP90
.
Conteúdo da pasta 'Tarefas Agendadas'

2008-11-07 c:\windows\Tasks\1-Click Maintenance.job
- c:\arquivos de programas\TuneUp Utilities 2008\OneClick.exe [2007-12-21 16:17]
.
- - - - ORFÃOS REMOVIDOS - - - -

HKLM-Run-SiS KHooker - c:\windows\system32\khooker.exe
HKLM-Run-Cmaudio - cmicnfg.cpl


.
------- Scan Suplementar -------
.
FireFox -: Profile - c:\documents and settings\Marcus V\Dados de aplicativos\Mozilla\Firefox\Profiles\zy9w8qay.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.netvasco.com.br
FF -: plugin - c:\arquivos de programas\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF -: plugin - c:\arquivos de programas\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF -: plugin - c:\arquivos de programas\Microsoft Silverlight\2.0.31005.0\npctrl.dll
FF -: plugin - c:\arquivos de programas\Opera\program\plugins\nppl3260.dll
FF -: plugin - c:\arquivos de programas\Opera\program\plugins\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-09 08:44:39
Windows 5.1.2600 Service Pack 2 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...


**************************************************************************
.
Tempo para conclusão: 2008-11-09 8:48:14
ComboFix-quarantined-files.txt 2008-11-09 10:47:11

Pré-execução: 805.842.944 bytes disponíveis
Pós execução: 930,811,904 bytes disponíveis

149 --- E O F --- 2008-05-28 00:50:22

 

[Asta.ini]

Olá Mr. Wolf.
É a primeira vez que visito o fórum e já deu pra notar que vc é fera mesmo, então me ajuda por favor!
Gostaria de mencionar que não sou muito habitualizado com máquinas. hehehehe!!!
Meu computador está com um arquivo chamado "System32PLSR" e parece que este arquivo tá travando a máquina. Pelo menos toda vez que o antivírus "chega nele" aí pára tudo e eu tenho que resetar. Tem ainda outros arquivos com este nome escrito na frente 001, 006 e 007, e nenhum desses aceitam removê-los.
Eu passei o NOD32, o Avira e um que chama Malwarebytes e travou!
Me ajuda aí vai!
Obrigado!

 

[Mr.Wolf]

lukox é vírus sim, siga as instruções dentro do spoiler abaixo.

Spoiler

Baixe o ATF-Cleaner e salve-o no desktop;

Execute a ferramenta e clique em Select All. Clique no botão Empty Selected > OK. Feche o programa clicando em Exit. Poste um novo log do HijackThis.

lukox, quanto ao código craqueado, é seguro.

_____________________________________________


Amigo lopez, os dois arquivos identificados pelo Malwarebytes são vírus mesmo. Não tem nenhum falso-positivo. Portanto, faça o scan com ele e exclua a primeira entrada que você não excluiu. Não vejo necessidade de rodar o ComboFix lopez. Suas infecções são fracas. Sugiro apenas que poste um log do HijackThis. :thumbs_up

_____________________________________________


MarkuZ, delete a pasta C:\Qoobox e o arquivo C:\ComboFix.txt. Depois siga as instruções dentro do spoiler abaixo MarkuZ.

Spoiler

Se tiver um pen drive conecete-o ao computador. Selecione e copie todo este conteúdo abaixo dentro do CODE. Cole-o em seu bloco de notas e salve-o na área de trabalho com o nome CFScript.txt

File::
C:\ktnquo.exe
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dfe76f80-7f52-11dd-b25b-000d870811db}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fd4652b0-1fa1-11dd-b10b-000d870811db}]

Arraste o CFScript para o ComboFix conforme a imagem abaixo:

O ComboFix será executado automaticamente. Se solicitado pressione "Enter" para iniciar o processo de remoção;

Não use o mouse nem o teclado quando o ComboFix estiver rodando.

Quando terminar, será gerado um log, que estará em C:\ComboFix.txt.

Obs: Se o Combofix não reiniciar seu computador automaticamente, faça-o manualmente.

Na sua próxima resposta, cole o ComboFix.txt e um novo log do HijackThis MarkuZ.

 

[Mr.Wolf]

Olá Mr. Wolf.
É a primeira vez que visito o fórum e já deu pra notar que vc é fera mesmo, então me ajuda por favor!
Gostaria de mencionar que não sou muito habitualizado com máquinas. hehehehe!!!
Meu computador está com um arquivo chamado "System32PLSR" e parece que este arquivo tá travando a máquina. Pelo menos toda vez que o antivírus "chega nele" aí pára tudo e eu tenho que resetar. Tem ainda outros arquivos com este nome escrito na frente 001, 006 e 007, e nenhum desses aceitam removê-los.
Eu passei o NOD32, o Avira e um que chama Malwarebytes e travou!
Me ajuda aí vai!
Obrigado!

Asta.ini, bem vindo ao fórum! :thumbs_up

O arquivo "System32PLSR" é um Keylogger.Delta muito perigoso, da mesma família que os trojans.agent. Os números que você diz são do Trojan Bagle. Responsável por bugar seus programas de segurança e tentar barrar qualquer atividade que tente removê-los.

Sugiro que poste um log do HijackThis aqui Asta.ini, para vermos em qual diretório eles estão e qual a variante de cada um, por gentileza.

 

[lukox]

Mr.Wolf passei esse programa e limpo algumas coisas só q n sei oq..ai segue o log do hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 18:08:07, on 9/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Arquivos de programas\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Arquivos de programas\Internet Explorer\iexplore.exe
C:\Arquivos de programas\Tibia\Tibia.exe
C:\Arquivos de programas\TibiaBot NG 479\loader.exe
C:\Arquivos de programas\TibiaBot NG 479\loader.exe
C:\Arquivos de programas\WinRAR\WinRAR.exe
C:\DOCUME~1\Dorival\CONFIG~1\Temp\Rar$EX01.578\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{44BC92C3-4150-409E-B047-0FA0491523CB}: NameServer = 200.204.0.10 200.204.0.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{49900B58-C59B-4F42-B7C7-75E2D1051CD1}: NameServer = 200.204.0.10,200.204.0.138
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Machine Debug Manager (MDM) - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

[Mr.Wolf]

Mr.Wolf passei esse programa e limpo algumas coisas só q n sei oq..ai segue o log do hijackthis

Sim, limpou o vírus lukox.

O log do HijackThis está limpo. Como está a máquina?

 

[lukox]

Ué ta normal, quando eu vi esse ''exe'' a maquina n apresento lerdeza nem nada.Do msm jeito que tava ontem tá agora eu pelo- acho.