Remoção de vírus

Mr.Wolf · 26/12/2008

geovanfsa disse:
Blz, o problema é, qual maquina ta espalhando o virus

Exato. Este é o ponto.

De fato, a máquina que está disseminando este vírus na rede é a que teve um pen drive plugado. Mas sim, pode ser várias, todas, uma, duas...
O problema é que no seu caso, existem 150 micros em rede. E isso é com certeza e obviamente, uma complicação à mais. Pois poderá limpar uma máquina, e quando ligá-la novamente em rede, poderá infectá-la de novo.

Ah o Instalar.exe é um virus com certeza, eu achei em pastas compartilhadas
e ele se espalha na rede tb, pode ser um worm nao tenho certeza ainda.

Eu sei que ele é um vírus.

Disse que ele não é um Worm. É um Trojan.Agent. Vírus que também espalha em rede. :thumbs_up

110 · 26/12/2008

Ola Mr.Wolf.

Meu mozilla ta meio loco fica minimizando do nada, quero saber se tem alguma infeçao.

Log do hijackyhis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:44:56, on 26/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Arquivos de programas\Bonjour\mDNSResponder.exe
C:\Arquivos de programas\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\Mixer.exe
C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Arquivos de programas\BitComet\BitComet.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &MSN.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Arquivos de programas\BitComet\tools\BitCometBHO_1.2.8.7.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Arquivos de programas\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [EssSpkPhone] essspk1.exe -c
O4 - HKLM\..\Run: [SoundFusion] RunDll32 cwcprops.cpl,CrystalControlWnd
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [amd_dc_opt] C:\Arquivos de programas\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKCU\..\Run: [DriverUpdaterPro] C:\Arquivos de programas\iXi Tools\Driver Updater Pro\DriverUpdaterPro.exe -t
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Baixar link usando &BitComet - res://C:\Arquivos de programas\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Baixar todos os links usando BitComet - res://C:\Arquivos de programas\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Baixar todos os vídeos usando BitComet - res://C:\Arquivos de programas\BitComet\BitComet.exe/AddVideo.htm
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Arquivos de programas\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&MSN.com
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab_srl.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O20 - AppInit_DLLs:
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Arquivos de programas\Bonjour\mDNSResponder.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Arquivos de programas\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

--
End of file - 6383 bytes

Mr.Wolf · 26/12/2008

Olá 110

Seu log está limpo amigo.

Creio que foi um bug temporário do Firefox. Ele fica minimizando toda hora?

Etdet · 26/12/2008

Mr.Wolf disse:
Etdet, seu log ainda está infectado. Se não fizer o CFScript os malwares não serão removidos. Não entendi o por quê do erro ao tentar executar o script no ComboFix.

Mas se seu computador está 100% você quem sabe se quer continuar ou não Etdet.

E logico quero continuar!!
Agora deu certo aquele CFScript o que eu coloquei errado salvei com "Combofix.txt" ¬¬'

entao vamos la

Combofix

ComboFix 08-12-26.02 - _DeT3TiV3_® 2008-12-26 18:36:59.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.511.197 [GMT -2:00]
Executando de: d:\downloads mozilla\ComboFix.exe
Comandos utilizados :: c:\documents and settings\_DeT3TiV3_®\Desktop\CFScript.txt
AV: Norton 360 *On-access scanning disabled* (Outdated)
FW: Norton 360 *disabled*
* Criado um novo ponto de restauro

FILE ::
C:\-197067532
C:\khr
C:\khs
C:\liruefno.exe
c:\windows\system32\autorun.i
c:\windows\system32\autorun.in
c:\windows\system32\cftn.exe
H:\birywp.exe
.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\khr
C:\khs
c:\windows\system32\autorun.i
c:\windows\system32\autorun.in
c:\windows\system32\cftn.exe

.
(((((((((((((((( Arquivos/Ficheiros criados de 2008-11-26 to 2008-12-26 ))))))))))))))))))))))))))))
.

2008-12-26 04:07 . 2008-12-26 04:07 <DIR> d-------- c:\documents and settings\LocalService\Dados de aplicativos\SACore
2008-12-26 04:06 . 2008-12-26 04:06 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\SiteAdvisor
2008-12-26 04:05 . 2008-12-26 04:05 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\McAfee
2008-12-26 04:05 . 2008-12-26 05:14 <DIR> d-------- c:\arquivos de programas\McAfee
2008-12-26 04:05 . 2008-12-26 04:05 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\McAfee
2008-12-25 20:13 . 2008-12-26 18:39 0 --a------ c:\windows\system32\drivers\74eab40f.sys
2008-12-25 06:31 . 2008-12-25 06:31 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\NVIDIA
2008-12-21 06:05 . 2008-12-21 06:05 <DIR> d-------- c:\arquivos de programas\Trend Micro
2008-12-15 10:15 . 2008-12-15 10:15 <DIR> d-------- c:\arquivos de programas\WinAVI Video Converter
2008-12-15 10:08 . 2008-12-15 10:08 <DIR> d-------- c:\arquivos de programas\XP Codec Pack
2008-12-15 10:08 . 2008-07-09 07:05 421,888 --a------ c:\windows\system32\ac3filter.acm
2008-12-15 08:44 . 2008-12-15 08:44 <DIR> d-------- c:\windows\Sun
2008-12-15 08:36 . 2008-12-15 08:36 <DIR> d-------- c:\arquivos de programas\Java
2008-12-15 08:36 . 2008-12-15 08:36 410,984 --a------ c:\windows\system32\deploytk.dll
2008-12-15 08:36 . 2008-12-15 08:36 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-12-15 08:34 . 2008-12-15 08:34 <DIR> d-------- c:\documents and settings\_DeT3TiV3_®\Dados de aplicativos\Sun
2008-12-15 06:43 . 2008-12-15 06:44 <DIR> d-------- c:\windows\system32\NtmsData
2008-12-10 21:35 . 2008-12-10 21:35 <DIR> d-------- c:\documents and settings\_DeT3TiV3_®\Dados de aplicativos\AdobeUM
2008-12-10 21:35 . 2008-12-10 21:35 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\Adobe
2008-12-10 04:45 . 2008-12-10 04:45 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Azureus
2008-12-10 04:45 . 2008-12-21 20:25 <DIR> d-------- c:\documents and settings\_DeT3TiV3_®\Dados de aplicativos\Azureus
2008-12-10 04:43 . 2008-12-10 05:01 <DIR> d-------- c:\arquivos de programas\Vuze
2008-12-10 04:43 . 2008-12-10 04:43 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\i4j_jres
2008-12-10 04:27 . 2008-12-26 04:08 <DIR> d-------- c:\documents and settings\_DeT3TiV3_®\Dados de aplicativos\HPAppData
2008-12-10 04:24 . 2008-12-10 04:24 <DIR> d-------- c:\arquivos de programas\Ashampoo
2008-12-09 06:09 . 2008-12-09 06:10 350 --a------ c:\windows\RefreshLock.ini
2008-12-09 05:39 . 2008-12-09 06:10 <DIR> d-------- c:\windows\system32\CatRoot_bak
2008-12-08 23:49 . 2008-12-08 23:49 <DIR> d-------- c:\arquivos de programas\MSXML 4.0
2008-12-08 05:45 . 2008-12-26 07:32 <DIR> d-------- c:\arquivos de programas\Steam
2008-12-08 02:48 . 2008-12-08 02:48 <DIR> d-------- c:\documents and settings\_DeT3TiV3_®\Dados de aplicativos\Opera
2008-12-08 02:39 . 2008-12-08 02:39 <DIR> d-------- c:\arquivos de programas\Opera
2008-12-07 23:06 . 2008-12-07 23:06 <DIR> d-------- c:\documents and settings\_DeT3TiV3_®\Dados de aplicativos\CyberLink
2008-12-07 23:05 . 2008-12-07 23:07 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\CyberLink
2008-12-07 23:05 . 2008-12-07 23:05 <DIR> d-------- c:\arquivos de programas\InstallShield Installation Information
2008-12-07 23:05 . 2008-12-07 23:05 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\CyberLink
2008-12-07 23:04 . 2008-12-07 23:05 <DIR> d-------- c:\arquivos de programas\CyberLink
2008-12-07 22:57 . 2008-12-07 22:57 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\WEBREG
2008-12-07 22:54 . 2008-12-07 22:59 <DIR> d-------- c:\documents and settings\_DeT3TiV3_®\Dados de aplicativos\HP
2008-12-07 22:45 . 2008-12-07 22:45 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\HP Product Assistant
2008-12-07 22:45 . 2008-12-07 22:47 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\HP
2008-12-07 22:44 . 2008-12-07 22:44 <DIR> d-------- c:\arquivos de programas\Hewlett-Packard
2008-12-07 22:44 . 2008-12-07 22:44 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\HP
2008-12-07 22:44 . 2008-12-07 22:44 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\Hewlett-Packard
2008-12-07 22:43 . 2008-01-24 20:25 49,920 -ra------ c:\windows\system32\drivers\HPZid412.sys
2008-12-07 22:43 . 2008-01-24 20:25 16,496 -ra------ c:\windows\system32\drivers\HPZipr12.sys
2008-12-07 22:42 . 2008-12-07 22:42 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Hewlett-Packard
2008-12-07 22:42 . 2008-01-24 20:25 970,752 -ra------ c:\windows\system32\hpotiop6.dll
2008-12-07 22:42 . 2008-01-24 20:25 372,736 -ra------ c:\windows\system32\hppldcoi.dll
2008-12-07 22:42 . 2008-01-24 20:25 309,760 -ra------ c:\windows\system32\difxapi.dll
2008-12-07 22:42 . 2008-01-24 20:25 303,104 -ra------ c:\windows\system32\hpovst14.dll
2008-12-07 22:42 . 2008-01-24 20:23 271,704 -ra------ c:\windows\system32\hpzids01.dll
2008-12-07 22:42 . 2008-02-07 10:26 118,272 --a------ c:\windows\system32\hpz3l5mu.dll
2008-12-07 22:42 . 2008-01-24 20:25 21,568 -ra------ c:\windows\system32\drivers\HPZius12.sys
2008-12-07 22:42 . 2004-08-03 22:58 15,104 --a------ c:\windows\system32\drivers\usbscan.sys
2008-12-07 22:42 . 2004-08-03 22:58 15,104 --a--c--- c:\windows\system32\dllcache\usbscan.sys
2008-12-07 22:27 . 2008-12-08 23:43 <DIR> d-------- c:\arquivos de programas\HP
2008-12-07 20:50 . 2008-12-07 22:56 176,877 --a------ c:\windows\hpoins29.dat
2008-12-07 20:50 . 2004-08-03 23:08 26,496 --a--c--- c:\windows\system32\dllcache\usbstor.sys
2008-12-07 20:50 . 2004-08-03 23:01 25,856 --a------ c:\windows\system32\drivers\usbprint.sys
2008-12-07 20:50 . 2004-08-03 23:01 25,856 --a--c--- c:\windows\system32\dllcache\usbprint.sys
2008-12-07 20:50 . 2008-05-04 22:13 799 --------- c:\windows\hpomdl29.dat
2008-12-07 01:13 . 2008-12-07 01:13 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\nView_Profiles
2008-12-07 01:11 . 2008-12-07 01:13 <DIR> d-------- c:\windows\nview
2008-12-07 01:11 . 2006-10-22 12:22 208,896 --a------ c:\windows\system32\nvudisp.exe
2008-12-07 01:11 . 2008-12-26 05:14 88,566 --a------ c:\windows\system32\nvapps.xml
2008-12-07 01:11 . 2006-10-22 12:22 17,056 --a------ c:\windows\system32\nvdisp.nvu
2008-12-07 01:10 . 2008-12-07 01:10 <DIR> d-------- C:\NVIDIA
2008-12-07 01:10 . 2008-12-07 01:10 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\InstallShield
2008-12-07 01:10 . 2006-10-22 15:06 208,896 --a------ c:\windows\system32\NVUNINST.EXE
2008-12-07 00:25 . 2008-12-07 00:25 <DIR> d-------- c:\documents and settings\_DeT3TiV3_®\Dados de aplicativos\Macromedia
2008-12-07 00:25 . 2008-12-10 21:35 <DIR> d-------- c:\documents and settings\_DeT3TiV3_®\Dados de aplicativos\Adobe
2008-12-06 23:45 . 2008-12-06 23:45 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes
2008-12-06 23:45 . 2008-12-06 23:45 <DIR> d-------- c:\documents and settings\_DeT3TiV3_®\Dados de aplicativos\Malwarebytes
2008-12-06 23:45 . 2008-12-06 23:45 <DIR> d-------- c:\arquivos de programas\Malwarebytes' Anti-Malware
2008-12-06 23:45 . 2008-09-08 00:11 38,528 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-06 23:45 . 2008-09-08 00:11 17,200 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-06 23:34 . 2008-12-06 23:34 <DIR> d-------- c:\arquivos de programas\Hexago
2008-12-06 23:29 . 2008-12-06 23:33 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Spybot - Search & Destroy
2008-12-06 23:29 . 2008-12-06 23:29 <DIR> d-------- c:\arquivos de programas\Spybot - Search & Destroy
2008-12-06 23:15 . 2008-12-06 23:18 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\OpenDNS Updater
2008-12-06 23:15 . 2008-12-06 23:15 <DIR> d-------- c:\arquivos de programas\OpenDNS Updater
2008-12-06 22:56 . 2008-12-26 03:05 <DIR> d-------- c:\arquivos de programas\Windows Media Connect 2
2008-12-06 22:55 . 2008-12-06 22:55 <DIR> d-------- c:\windows\system32\drivers\UMDF
2008-12-06 22:44 . 2008-06-14 15:59 272,384 --------- c:\windows\system32\drivers\bthport.sys
2008-12-06 22:44 . 2008-06-14 15:59 272,384 -----c--- c:\windows\system32\dllcache\bthport.sys
2008-12-06 22:42 . 2008-08-14 11:45 2,184,576 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2008-12-06 22:42 . 2008-08-14 11:45 2,140,160 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-12-06 22:42 . 2008-08-14 11:45 2,061,952 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-12-06 22:42 . 2008-08-14 11:45 2,019,840 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2008-12-06 22:34 . 2006-09-25 17:58 23,856 --a------ c:\windows\system32\spupdsvc.exe
2008-12-06 22:26 . 2008-12-06 22:26 <DIR> d--h----- c:\windows\system32\GroupPolicy
2008-12-06 21:52 . 2008-12-06 21:52 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Messenger Plus!
2008-12-06 21:51 . 2008-12-21 17:18 <DIR> d--h----- c:\windows\$hf_mig$
2008-12-06 21:28 . 2008-12-06 21:28 <DIR> d---s---- c:\documents and settings\_DeT3TiV3_®\UserData
2008-12-06 21:28 . 2008-12-06 21:28 <DIR> d---s---- c:\documents and settings\_DeT3TiV3_®\UserData
2008-12-06 21:28 . 2008-12-07 02:49 <DIR> d-------- c:\arquivos de programas\MessengerDiscovery
2008-12-06 21:27 . 2008-12-06 21:35 <DIR> d-------- c:\arquivos de programas\MessengerPlus! 3
2008-12-06 21:26 . 2008-12-06 21:28 <DIR> d-------- c:\arquivos de programas\MSN Messenger
2008-12-06 21:18 . 2008-12-06 21:18 <DIR> d-------- c:\arquivos de programas\Lavalys
2008-12-06 21:17 . 2008-12-06 21:17 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Hagel Technologies
2008-12-06 21:17 . 2008-12-06 21:17 <DIR> d-------- c:\arquivos de programas\DU Meter
2008-12-06 21:14 . 2008-12-06 21:14 <DIR> d-------- c:\documents and settings\_DeT3TiV3_®\Dados de aplicativos\TuneUp Software
2008-12-06 21:14 . 2008-12-06 21:15 306,432 --a------ c:\windows\system32\TuneUpDefragService.exe
2008-12-06 21:14 . 2007-12-20 10:41 29,440 --a------ c:\windows\system32\uxtuneup.dll
2008-12-06 21:13 . 2008-12-06 21:13 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\TuneUp Software
2008-12-06 21:13 . 2008-12-06 21:15 <DIR> d-------- c:\arquivos de programas\TuneUp Utilities 2008
2008-12-06 21:13 . 2008-12-06 21:13 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\Wise Installation Wizard
2008-12-06 21:04 . 2008-12-06 21:04 <DIR> d-------- c:\documents and settings\_DeT3TiV3_®\Dados de aplicativos\Mozilla
2008-12-06 21:04 . 2008-12-06 21:04 0 --a------ c:\windows\nsreg.dat
2008-12-06 20:58 . 2008-12-06 19:50 <DIR> d--h----- c:\documents and settings\Administrador\Modelos
2008-12-06 20:58 . 2008-12-06 17:43 <DIR> d-------- c:\documents and settings\Administrador\Meus documentos
2008-12-06 20:58 . 2008-12-06 17:43 <DIR> dr------- c:\documents and settings\Administrador\Menu Iniciar
2008-12-06 20:58 . 2008-12-06 17:43 <DIR> d-------- c:\documents and settings\Administrador\Favoritos
2008-12-06 20:58 . 2008-12-06 17:43 <DIR> dr-h----- c:\documents and settings\Administrador\Dados de aplicativos
2008-12-06 20:58 . 2008-12-26 18:38 <DIR> d--h----- c:\documents and settings\Administrador\Configurações locais
2008-12-06 20:58 . 2008-12-06 17:43 <DIR> d--h----- c:\documents and settings\Administrador\Ambiente de rede
2008-12-06 20:58 . 2008-12-06 17:43 <DIR> d--h----- c:\documents and settings\Administrador\Ambiente de impressão
2008-12-06 20:58 . 2008-12-06 20:58 <DIR> d-------- c:\documents and settings\Administrador
2008-12-06 20:51 . 2008-12-06 22:55 <DIR> d-------- c:\windows\system32\LogFiles
2008-12-06 20:51 . 2008-12-06 20:51 <DIR> d-------- c:\arquivos de programas\Windows Sidebar
2008-12-06 20:51 . 2008-12-06 22:30 <DIR> d-------- c:\arquivos de programas\Norton 360
2008-12-06 20:50 . 2008-12-09 01:05 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Symantec
2008-12-06 20:50 . 2008-12-09 01:10 123,952 --a------ c:\windows\system32\drivers\SYMEVENT.SYS
2008-12-06 20:50 . 2008-12-09 01:10 60,800 --a------ c:\windows\system32\S32EVNT1.DLL
2008-12-06 20:45 . 2008-12-06 22:05 <DIR> d-------- c:\documents and settings\_DeT3TiV3_®\Dados de aplicativos\Symantec

.
((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-06 21:54 --------- d-----w c:\arquivos de programas\microsoft frontpage
2008-12-06 21:52 --------- d-----w c:\arquivos de programas\Serviços on-line
2008-12-06 21:52 --------- d-----w c:\arquivos de programas\Arquivos comuns\Serviços
2008-10-23 13:00 283,648 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 16:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 16:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 16:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 16:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 16:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 16:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 16:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 16:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 10:39 661,504 ----a-w c:\windows\system32\wininet.dll
2008-10-03 10:16 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-09-30 18:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-06-30 15:44 324,976 ----a-w c:\arquivos de programas\mozilla firefox\components\coFFPlgn.dll
.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por defeito não são mostradas.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayExcluded]
@="{4433A54A-1AC8-432F-90FC-85F045CF383C}"
[HKEY_CLASSES_ROOT\CLSID\{4433A54A-1AC8-432F-90FC-85F045CF383C}]
2008-10-31 12:24 576352 --a------ c:\arquivos de programas\Arquivos comuns\Symantec Shared\Backup\buShell.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayPending]
@="{F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225}"
[HKEY_CLASSES_ROOT\CLSID\{F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225}]
2008-10-31 12:24 576352 --a------ c:\arquivos de programas\Arquivos comuns\Symantec Shared\Backup\buShell.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayProtected]
@="{476D0EA3-80F9-48B5-B70B-05E677C9C148}"
[HKEY_CLASSES_ROOT\CLSID\{476D0EA3-80F9-48B5-B70B-05E677C9C148}]
2008-10-31 12:24 576352 --a------ c:\arquivos de programas\Arquivos comuns\Symantec Shared\Backup\buShell.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"DAEMON Tools Lite"="c:\arquivos de programas\DAEMON Tools Lite\daemon.exe" [2007-12-19 486856]
"DU Meter"="c:\arquivos de programas\DU Meter\DUMeter.exe" [2007-10-15 2582288]
"MessengerDiscovery"="c:\arquivos de programas\MessengerDiscovery\msgdiscoveryx.exe" [2005-11-13 1658880]
"MessengerPlus3"="c:\arquivos de programas\MessengerPlus! 3\MsgPlus.exe" [2008-12-06 190024]
"TuneUp MemOptimizer"="c:\arquivos de programas\TuneUp Utilities 2008\MemOptimizer.exe" [2007-12-21 196864]
"SpybotSD TeaTimer"="c:\arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 2156368]
"msnmsgr"="c:\arquivos de programas\MSN Messenger\msnmsgr.exe" [2007-09-04 6856704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BigDogPath"="c:\windows\VM_STI.EXE" [2004-06-09 40960]
"ccApp"="c:\arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe" [2008-10-17 51048]
"osCheck"="c:\arquivos de programas\Norton 360\osCheck.exe" [2008-02-26 988512]
"MessengerPlus3"="c:\arquivos de programas\MessengerPlus! 3\MsgPlus.exe" [2008-12-06 190024]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"HP Software Update"="c:\arquivos de programas\HP\HP Software Update\HPWuSchd2.exe" [2008-03-25 49152]
"hpqSRMon"="c:\arquivos de programas\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-03-13 81920]
"RemoteControl8"="c:\arquivos de programas\CyberLink\PowerDVD8\PDVD8Serv.exe" [2008-03-20 83240]
"PDVD8LanguageShortcut"="c:\arquivos de programas\CyberLink\PowerDVD8\Language\Language.exe" [2007-12-14 50472]
"BDRegion"="c:\arquivos de programas\Cyberlink\Shared Files\brs.exe" [2008-03-21 91432]
"SunJavaUpdateSched"="c:\arquivos de programas\Java\jre6\bin\jusched.exe" [2008-12-15 136600]
"SoundMan"="SOUNDMAN.EXE" [2005-07-22 c:\windows\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2006-10-22 c:\windows\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-10-22 c:\windows\system32\nvmctray.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\
HP Digital Imaging Monitor.lnk - c:\arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe [2008-03-25 214360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= ffdshow.ax
"msacm.ac3filter"= ac3filter.acm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 14:24 1694208 c:\arquivos de programas\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqpsapp.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqcopy2.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqpse.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqsudi.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
"c:\\Arquivos de programas\\CyberLink\\PowerDVD8\\PowerDVD8.exe"=
"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

R2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};\??\c:\arquivos de programas\CyberLink\PowerDVD8\000.fcl [2008-02-01 17:24:04 41456]
R2 DUMeterSvc;DU Meter Service;c:\arquivos de programas\DU Meter\DUMeterSvc.exe /startedbyscm:E1F6D4BE-40E33354-DUMeterService [2008-12-06 1382672]
R2 gw6c;Hexago Gateway6 Client;c:\arquivos de programas\Hexago\Gateway6 Client\gw6c.exe [2008-06-06 385024]
R2 LiveUpdate Notice;LiveUpdate Notice;"c:\arquivos de programas\Arquivos comuns\Symantec Shared\ccSvcHst.exe" /h ccCommon [2008-02-18 149352]
R2 MBAMDrvService;MBAMDrvService;\??\c:\windows\system32\drivers\mbam.sys [2008-12-06 17200]
R2 MBAMService;MBAMService;"c:\arquivos de programas\Malwarebytes' Anti-Malware\mbamservice.exe" [2008-12-06 110256]
R2 mcafee siteadvisor service;McAfee SiteAdvisor Service;"c:\arquivos de programas\McAfee\SiteAdvisor\McSACore.exe" [2008-12-26 206096]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;\??\c:\arquivos de programas\Arquivos comuns\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2008-12-06 99376]
R3 HexTunnelDevice;Hexago Multi-Virtual Tunnel Adapter;c:\windows\system32\DRIVERS\hextun.sys [2008-06-06 22176]
R3 ZSMC302;VIMICRO USB PC Camera;c:\windows\system32\Drivers\usbVM31b.sys [2008-12-06 90568]
S3 COH_Mon;COH_Mon;\??\c:\windows\system32\Drivers\COH_Mon.sys [2008-01-13 23888]
S3 EraserUtilDrv10710;EraserUtilDrv10710;\??\c:\arquivos de programas\Arquivos comuns\Symantec Shared\EENGINE\EraserUtilDrv10710.sys []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - COMHOST
.
Conteúdo da pasta 'Tarefas Agendadas'

2008-12-26 c:\windows\Tasks\1-Click Maintenance.job
- c:\arquivos de programas\TuneUp Utilities 2008\OneClick.exe [2007-12-21 15:17]
.
.
------- Scan Suplementar -------
.
uStart Page = about:blank
TCP: {20E2CB2D-ADB8-4083-91B3-645ACFEFE433} = 200.221.11.98,200.147.255.105,208.67.222.222,208.67.220.220
FF - ProfilePath - c:\documents and settings\_DeT3TiV3_®\Dados de aplicativos\Mozilla\Firefox\Profiles\7vaa26ur.default\
FF - prefs.js: browser.startup.homepage - about:blank
FF - component: c:\arquivos de programas\McAfee\SiteAdvisor\components\McFFPlg.dll
FF - component: c:\arquivos de programas\Mozilla Firefox\components\coFFPlgn.dll

ATTENTION: FIREFOX POLICES IS IN FORCE
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-26 18:38:56
Windows 5.1.2600 Service Pack 2 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso
arquivos/ficheiros ocultos: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\DUMeterSvc]
"ImagePath"="c:\arquivos de programas\DU Meter\DUMeterSvc.exe /startedbyscm:E1F6D4BE-40E33354-DUMeterService"

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]
"ImagePath"="\??\c:\arquivos de programas\CyberLink\PowerDVD8\000.fcl"

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\74eab40f]
"ImagePath"="\SystemRoot\System32\drivers\74eab40f.sys"
.
Tempo para conclusão: 2008-12-26 18:39:55
ComboFix-quarantined-files.txt 2008-12-26 20:39:52

Pré-execução: 7.700.168.704 bytes disponíveis
Pós execução: 7,693,357,056 bytes disponíveis

302 --- E O F --- 2008-12-21 19:18:40

Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:45:29, on 26/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\VM_STI.EXE
C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSvcHst.exe
C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe
C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe
C:\Arquivos de programas\CyberLink\PowerDVD8\PDVD8Serv.exe
C:\Arquivos de programas\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Arquivos de programas\Cyberlink\Shared Files\brs.exe
C:\Arquivos de programas\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\DAEMON Tools Lite\daemon.exe
C:\Arquivos de programas\DU Meter\DUMeter.exe
C:\Arquivos de programas\MessengerDiscovery\msgdiscoveryx.exe
C:\Arquivos de programas\TuneUp Utilities 2008\MemOptimizer.exe
C:\Arquivos de programas\DU Meter\DUMeterSvc.exe
C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe
C:\Arquivos de programas\Hexago\Gateway6 Client\gw6c.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Arquivos de programas\McAfee\SiteAdvisor\McSACore.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamtrayctrl.exe
C:\Arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Arquivos de programas\HP\Digital Imaging\bin\hpqbam08.exe
C:\Arquivos de programas\HP\Digital Imaging\bin\hpqgpc01.exe
C:\ARQUIV~1\ARQUIV~1\SYMANT~1\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\TuneUpDefragService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Arquivos de programas\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\coShared\Browser\2.6\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\ARQUIV~1\ARQUIV~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll
O2 - BHO: McAfee SiteAdvisor BHO - {b164e929-a1b6-4a06-b104-2cd0e90a88ff} - c:\ARQUIV~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Arquivos de programas\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\coShared\Browser\2.6\CoIEPlg.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\ARQUIV~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Arquivos de programas\Norton 360\osCheck.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpqSRMon] C:\Arquivos de programas\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [RemoteControl8] "C:\Arquivos de programas\CyberLink\PowerDVD8\PDVD8Serv.exe"
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] "C:\Arquivos de programas\CyberLink\PowerDVD8\Language\Language.exe"
O4 - HKLM\..\Run: [BDRegion] C:\Arquivos de programas\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Arquivos de programas\DAEMON Tools Lite\daemon.exe"
O4 - HKCU\..\Run: [DU Meter] C:\Arquivos de programas\DU Meter\DUMeter.exe
O4 - HKCU\..\Run: [MessengerDiscovery] C:\Arquivos de programas\MessengerDiscovery\msgdiscoveryx.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Arquivos de programas\TuneUp Utilities 2008\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: Seleção HP Smart - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Arquivos de programas\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&MSN.com
O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - https://www-secure.symantec.com/techsupp/asa/ss/sa/sa_cabs/tgctlsr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{20E2CB2D-ADB8-4083-91B3-645ACFEFE433}: NameServer = 200.221.11.98,200.147.255.105,208.67.222.222,208.67.220.220
O17 - HKLM\System\CS1\Services\Tcpip\..\{20E2CB2D-ADB8-4083-91B3-645ACFEFE433}: NameServer = 200.221.11.98,200.147.255.105,208.67.222.222,208.67.220.220
O17 - HKLM\System\CS2\Services\Tcpip\..\{20E2CB2D-ADB8-4083-91B3-645ACFEFE433}: NameServer = 200.221.11.98,200.147.255.105,208.67.222.222,208.67.220.220
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\ARQUIV~1\mcafee\SITEAD~1\mcieplg.dll
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Arquivos de programas\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\VAScanner\comHost.exe
O23 - Service: DU Meter Service (DUMeterSvc) - Hagel Technologies Ltd - C:\Arquivos de programas\DU Meter\DUMeterSvc.exe
O23 - Service: Hexago Gateway6 Client (gw6c) - Hexago, Inc. - C:\Arquivos de programas\Hexago\Gateway6 Client\gw6c.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Arquivos de programas\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSvcHst.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: McAfee SiteAdvisor Service (mcafee siteadvisor service) - Unknown owner - C:\Arquivos de programas\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\ARQUIV~1\ARQUIV~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 9693 bytes

Etdet · 26/12/2008

Mr.Wolf disse:
Etdet, seu log ainda está infectado. Se não fizer o CFScript os malwares não serão removidos. Não entendi o por quê do erro ao tentar executar o script no ComboFix.

Mas se seu computador está 100% você quem sabe se quer continuar ou não Etdet.

E logico quero continuar!!
Agora deu certo aquele CFScript o que eu coloquei errado salvei com "Combofix.txt" ¬¬'

entao vamos la

Combofix

ComboFix 08-12-26.02 - _DeT3TiV3_® 2008-12-26 18:36:59.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.511.197 [GMT -2:00]
Executando de: d:\downloads mozilla\ComboFix.exe
Comandos utilizados :: c:\documents and settings\_DeT3TiV3_®\Desktop\CFScript.txt
AV: Norton 360 *On-access scanning disabled* (Outdated)
FW: Norton 360 *disabled*
* Criado um novo ponto de restauro

FILE ::
C:\-197067532
C:\khr
C:\khs
C:\liruefno.exe
c:\windows\system32\autorun.i
c:\windows\system32\autorun.in
c:\windows\system32\cftn.exe
H:\birywp.exe
.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\khr
C:\khs
c:\windows\system32\autorun.i
c:\windows\system32\autorun.in
c:\windows\system32\cftn.exe

.
(((((((((((((((( Arquivos/Ficheiros criados de 2008-11-26 to 2008-12-26 ))))))))))))))))))))))))))))
.

2008-12-26 04:07 . 2008-12-26 04:07 <DIR> d-------- c:\documents and settings\LocalService\Dados de aplicativos\SACore
2008-12-26 04:06 . 2008-12-26 04:06 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\SiteAdvisor
2008-12-26 04:05 . 2008-12-26 04:05 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\McAfee
2008-12-26 04:05 . 2008-12-26 05:14 <DIR> d-------- c:\arquivos de programas\McAfee
2008-12-26 04:05 . 2008-12-26 04:05 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\McAfee
2008-12-25 20:13 . 2008-12-26 18:39 0 --a------ c:\windows\system32\drivers\74eab40f.sys
2008-12-25 06:31 . 2008-12-25 06:31 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\NVIDIA
2008-12-21 06:05 . 2008-12-21 06:05 <DIR> d-------- c:\arquivos de programas\Trend Micro
2008-12-15 10:15 . 2008-12-15 10:15 <DIR> d-------- c:\arquivos de programas\WinAVI Video Converter
2008-12-15 10:08 . 2008-12-15 10:08 <DIR> d-------- c:\arquivos de programas\XP Codec Pack
2008-12-15 10:08 . 2008-07-09 07:05 421,888 --a------ c:\windows\system32\ac3filter.acm
2008-12-15 08:44 . 2008-12-15 08:44 <DIR> d-------- c:\windows\Sun
2008-12-15 08:36 . 2008-12-15 08:36 <DIR> d-------- c:\arquivos de programas\Java
2008-12-15 08:36 . 2008-12-15 08:36 410,984 --a------ c:\windows\system32\deploytk.dll
2008-12-15 08:36 . 2008-12-15 08:36 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-12-15 08:34 . 2008-12-15 08:34 <DIR> d-------- c:\documents and settings\_DeT3TiV3_®\Dados de aplicativos\Sun
2008-12-15 06:43 . 2008-12-15 06:44 <DIR> d-------- c:\windows\system32\NtmsData
2008-12-10 21:35 . 2008-12-10 21:35 <DIR> d-------- c:\documents and settings\_DeT3TiV3_®\Dados de aplicativos\AdobeUM
2008-12-10 21:35 . 2008-12-10 21:35 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\Adobe
2008-12-10 04:45 . 2008-12-10 04:45 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Azureus
2008-12-10 04:45 . 2008-12-21 20:25 <DIR> d-------- c:\documents and settings\_DeT3TiV3_®\Dados de aplicativos\Azureus
2008-12-10 04:43 . 2008-12-10 05:01 <DIR> d-------- c:\arquivos de programas\Vuze
2008-12-10 04:43 . 2008-12-10 04:43 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\i4j_jres
2008-12-10 04:27 . 2008-12-26 04:08 <DIR> d-------- c:\documents and settings\_DeT3TiV3_®\Dados de aplicativos\HPAppData
2008-12-10 04:24 . 2008-12-10 04:24 <DIR> d-------- c:\arquivos de programas\Ashampoo
2008-12-09 06:09 . 2008-12-09 06:10 350 --a------ c:\windows\RefreshLock.ini
2008-12-09 05:39 . 2008-12-09 06:10 <DIR> d-------- c:\windows\system32\CatRoot_bak
2008-12-08 23:49 . 2008-12-08 23:49 <DIR> d-------- c:\arquivos de programas\MSXML 4.0
2008-12-08 05:45 . 2008-12-26 07:32 <DIR> d-------- c:\arquivos de programas\Steam
2008-12-08 02:48 . 2008-12-08 02:48 <DIR> d-------- c:\documents and settings\_DeT3TiV3_®\Dados de aplicativos\Opera
2008-12-08 02:39 . 2008-12-08 02:39 <DIR> d-------- c:\arquivos de programas\Opera
2008-12-07 23:06 . 2008-12-07 23:06 <DIR> d-------- c:\documents and settings\_DeT3TiV3_®\Dados de aplicativos\CyberLink
2008-12-07 23:05 . 2008-12-07 23:07 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\CyberLink
2008-12-07 23:05 . 2008-12-07 23:05 <DIR> d-------- c:\arquivos de programas\InstallShield Installation Information
2008-12-07 23:05 . 2008-12-07 23:05 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\CyberLink
2008-12-07 23:04 . 2008-12-07 23:05 <DIR> d-------- c:\arquivos de programas\CyberLink
2008-12-07 22:57 . 2008-12-07 22:57 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\WEBREG
2008-12-07 22:54 . 2008-12-07 22:59 <DIR> d-------- c:\documents and settings\_DeT3TiV3_®\Dados de aplicativos\HP
2008-12-07 22:45 . 2008-12-07 22:45 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\HP Product Assistant
2008-12-07 22:45 . 2008-12-07 22:47 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\HP
2008-12-07 22:44 . 2008-12-07 22:44 <DIR> d-------- c:\arquivos de programas\Hewlett-Packard
2008-12-07 22:44 . 2008-12-07 22:44 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\HP
2008-12-07 22:44 . 2008-12-07 22:44 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\Hewlett-Packard
2008-12-07 22:43 . 2008-01-24 20:25 49,920 -ra------ c:\windows\system32\drivers\HPZid412.sys
2008-12-07 22:43 . 2008-01-24 20:25 16,496 -ra------ c:\windows\system32\drivers\HPZipr12.sys
2008-12-07 22:42 . 2008-12-07 22:42 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Hewlett-Packard
2008-12-07 22:42 . 2008-01-24 20:25 970,752 -ra------ c:\windows\system32\hpotiop6.dll
2008-12-07 22:42 . 2008-01-24 20:25 372,736 -ra------ c:\windows\system32\hppldcoi.dll
2008-12-07 22:42 . 2008-01-24 20:25 309,760 -ra------ c:\windows\system32\difxapi.dll
2008-12-07 22:42 . 2008-01-24 20:25 303,104 -ra------ c:\windows\system32\hpovst14.dll
2008-12-07 22:42 . 2008-01-24 20:23 271,704 -ra------ c:\windows\system32\hpzids01.dll
2008-12-07 22:42 . 2008-02-07 10:26 118,272 --a------ c:\windows\system32\hpz3l5mu.dll
2008-12-07 22:42 . 2008-01-24 20:25 21,568 -ra------ c:\windows\system32\drivers\HPZius12.sys
2008-12-07 22:42 . 2004-08-03 22:58 15,104 --a------ c:\windows\system32\drivers\usbscan.sys
2008-12-07 22:42 . 2004-08-03 22:58 15,104 --a--c--- c:\windows\system32\dllcache\usbscan.sys
2008-12-07 22:27 . 2008-12-08 23:43 <DIR> d-------- c:\arquivos de programas\HP
2008-12-07 20:50 . 2008-12-07 22:56 176,877 --a------ c:\windows\hpoins29.dat
2008-12-07 20:50 . 2004-08-03 23:08 26,496 --a--c--- c:\windows\system32\dllcache\usbstor.sys
2008-12-07 20:50 . 2004-08-03 23:01 25,856 --a------ c:\windows\system32\drivers\usbprint.sys
2008-12-07 20:50 . 2004-08-03 23:01 25,856 --a--c--- c:\windows\system32\dllcache\usbprint.sys
2008-12-07 20:50 . 2008-05-04 22:13 799 --------- c:\windows\hpomdl29.dat
2008-12-07 01:13 . 2008-12-07 01:13 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\nView_Profiles
2008-12-07 01:11 . 2008-12-07 01:13 <DIR> d-------- c:\windows\nview
2008-12-07 01:11 . 2006-10-22 12:22 208,896 --a------ c:\windows\system32\nvudisp.exe
2008-12-07 01:11 . 2008-12-26 05:14 88,566 --a------ c:\windows\system32\nvapps.xml
2008-12-07 01:11 . 2006-10-22 12:22 17,056 --a------ c:\windows\system32\nvdisp.nvu
2008-12-07 01:10 . 2008-12-07 01:10 <DIR> d-------- C:\NVIDIA
2008-12-07 01:10 . 2008-12-07 01:10 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\InstallShield
2008-12-07 01:10 . 2006-10-22 15:06 208,896 --a------ c:\windows\system32\NVUNINST.EXE
2008-12-07 00:25 . 2008-12-07 00:25 <DIR> d-------- c:\documents and settings\_DeT3TiV3_®\Dados de aplicativos\Macromedia
2008-12-07 00:25 . 2008-12-10 21:35 <DIR> d-------- c:\documents and settings\_DeT3TiV3_®\Dados de aplicativos\Adobe
2008-12-06 23:45 . 2008-12-06 23:45 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes
2008-12-06 23:45 . 2008-12-06 23:45 <DIR> d-------- c:\documents and settings\_DeT3TiV3_®\Dados de aplicativos\Malwarebytes
2008-12-06 23:45 . 2008-12-06 23:45 <DIR> d-------- c:\arquivos de programas\Malwarebytes' Anti-Malware
2008-12-06 23:45 . 2008-09-08 00:11 38,528 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-06 23:45 . 2008-09-08 00:11 17,200 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-06 23:34 . 2008-12-06 23:34 <DIR> d-------- c:\arquivos de programas\Hexago
2008-12-06 23:29 . 2008-12-06 23:33 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Spybot - Search & Destroy
2008-12-06 23:29 . 2008-12-06 23:29 <DIR> d-------- c:\arquivos de programas\Spybot - Search & Destroy
2008-12-06 23:15 . 2008-12-06 23:18 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\OpenDNS Updater
2008-12-06 23:15 . 2008-12-06 23:15 <DIR> d-------- c:\arquivos de programas\OpenDNS Updater
2008-12-06 22:56 . 2008-12-26 03:05 <DIR> d-------- c:\arquivos de programas\Windows Media Connect 2
2008-12-06 22:55 . 2008-12-06 22:55 <DIR> d-------- c:\windows\system32\drivers\UMDF
2008-12-06 22:44 . 2008-06-14 15:59 272,384 --------- c:\windows\system32\drivers\bthport.sys
2008-12-06 22:44 . 2008-06-14 15:59 272,384 -----c--- c:\windows\system32\dllcache\bthport.sys
2008-12-06 22:42 . 2008-08-14 11:45 2,184,576 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2008-12-06 22:42 . 2008-08-14 11:45 2,140,160 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-12-06 22:42 . 2008-08-14 11:45 2,061,952 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-12-06 22:42 . 2008-08-14 11:45 2,019,840 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2008-12-06 22:34 . 2006-09-25 17:58 23,856 --a------ c:\windows\system32\spupdsvc.exe
2008-12-06 22:26 . 2008-12-06 22:26 <DIR> d--h----- c:\windows\system32\GroupPolicy
2008-12-06 21:52 . 2008-12-06 21:52 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Messenger Plus!
2008-12-06 21:51 . 2008-12-21 17:18 <DIR> d--h----- c:\windows\$hf_mig$
2008-12-06 21:28 . 2008-12-06 21:28 <DIR> d---s---- c:\documents and settings\_DeT3TiV3_®\UserData
2008-12-06 21:28 . 2008-12-06 21:28 <DIR> d---s---- c:\documents and settings\_DeT3TiV3_®\UserData
2008-12-06 21:28 . 2008-12-07 02:49 <DIR> d-------- c:\arquivos de programas\MessengerDiscovery
2008-12-06 21:27 . 2008-12-06 21:35 <DIR> d-------- c:\arquivos de programas\MessengerPlus! 3
2008-12-06 21:26 . 2008-12-06 21:28 <DIR> d-------- c:\arquivos de programas\MSN Messenger
2008-12-06 21:18 . 2008-12-06 21:18 <DIR> d-------- c:\arquivos de programas\Lavalys
2008-12-06 21:17 . 2008-12-06 21:17 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Hagel Technologies
2008-12-06 21:17 . 2008-12-06 21:17 <DIR> d-------- c:\arquivos de programas\DU Meter
2008-12-06 21:14 . 2008-12-06 21:14 <DIR> d-------- c:\documents and settings\_DeT3TiV3_®\Dados de aplicativos\TuneUp Software
2008-12-06 21:14 . 2008-12-06 21:15 306,432 --a------ c:\windows\system32\TuneUpDefragService.exe
2008-12-06 21:14 . 2007-12-20 10:41 29,440 --a------ c:\windows\system32\uxtuneup.dll
2008-12-06 21:13 . 2008-12-06 21:13 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\TuneUp Software
2008-12-06 21:13 . 2008-12-06 21:15 <DIR> d-------- c:\arquivos de programas\TuneUp Utilities 2008
2008-12-06 21:13 . 2008-12-06 21:13 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\Wise Installation Wizard
2008-12-06 21:04 . 2008-12-06 21:04 <DIR> d-------- c:\documents and settings\_DeT3TiV3_®\Dados de aplicativos\Mozilla
2008-12-06 21:04 . 2008-12-06 21:04 0 --a------ c:\windows\nsreg.dat
2008-12-06 20:58 . 2008-12-06 19:50 <DIR> d--h----- c:\documents and settings\Administrador\Modelos
2008-12-06 20:58 . 2008-12-06 17:43 <DIR> d-------- c:\documents and settings\Administrador\Meus documentos
2008-12-06 20:58 . 2008-12-06 17:43 <DIR> dr------- c:\documents and settings\Administrador\Menu Iniciar
2008-12-06 20:58 . 2008-12-06 17:43 <DIR> d-------- c:\documents and settings\Administrador\Favoritos
2008-12-06 20:58 . 2008-12-06 17:43 <DIR> dr-h----- c:\documents and settings\Administrador\Dados de aplicativos
2008-12-06 20:58 . 2008-12-26 18:38 <DIR> d--h----- c:\documents and settings\Administrador\Configurações locais
2008-12-06 20:58 . 2008-12-06 17:43 <DIR> d--h----- c:\documents and settings\Administrador\Ambiente de rede
2008-12-06 20:58 . 2008-12-06 17:43 <DIR> d--h----- c:\documents and settings\Administrador\Ambiente de impressão
2008-12-06 20:58 . 2008-12-06 20:58 <DIR> d-------- c:\documents and settings\Administrador
2008-12-06 20:51 . 2008-12-06 22:55 <DIR> d-------- c:\windows\system32\LogFiles
2008-12-06 20:51 . 2008-12-06 20:51 <DIR> d-------- c:\arquivos de programas\Windows Sidebar
2008-12-06 20:51 . 2008-12-06 22:30 <DIR> d-------- c:\arquivos de programas\Norton 360
2008-12-06 20:50 . 2008-12-09 01:05 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Symantec
2008-12-06 20:50 . 2008-12-09 01:10 123,952 --a------ c:\windows\system32\drivers\SYMEVENT.SYS
2008-12-06 20:50 . 2008-12-09 01:10 60,800 --a------ c:\windows\system32\S32EVNT1.DLL
2008-12-06 20:45 . 2008-12-06 22:05 <DIR> d-------- c:\documents and settings\_DeT3TiV3_®\Dados de aplicativos\Symantec

.
((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-06 21:54 --------- d-----w c:\arquivos de programas\microsoft frontpage
2008-12-06 21:52 --------- d-----w c:\arquivos de programas\Serviços on-line
2008-12-06 21:52 --------- d-----w c:\arquivos de programas\Arquivos comuns\Serviços
2008-10-23 13:00 283,648 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 16:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 16:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 16:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 16:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 16:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 16:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 16:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 16:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 10:39 661,504 ----a-w c:\windows\system32\wininet.dll
2008-10-03 10:16 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-09-30 18:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-06-30 15:44 324,976 ----a-w c:\arquivos de programas\mozilla firefox\components\coFFPlgn.dll
.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por defeito não são mostradas.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayExcluded]
@="{4433A54A-1AC8-432F-90FC-85F045CF383C}"
[HKEY_CLASSES_ROOT\CLSID\{4433A54A-1AC8-432F-90FC-85F045CF383C}]
2008-10-31 12:24 576352 --a------ c:\arquivos de programas\Arquivos comuns\Symantec Shared\Backup\buShell.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayPending]
@="{F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225}"
[HKEY_CLASSES_ROOT\CLSID\{F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225}]
2008-10-31 12:24 576352 --a------ c:\arquivos de programas\Arquivos comuns\Symantec Shared\Backup\buShell.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayProtected]
@="{476D0EA3-80F9-48B5-B70B-05E677C9C148}"
[HKEY_CLASSES_ROOT\CLSID\{476D0EA3-80F9-48B5-B70B-05E677C9C148}]
2008-10-31 12:24 576352 --a------ c:\arquivos de programas\Arquivos comuns\Symantec Shared\Backup\buShell.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"DAEMON Tools Lite"="c:\arquivos de programas\DAEMON Tools Lite\daemon.exe" [2007-12-19 486856]
"DU Meter"="c:\arquivos de programas\DU Meter\DUMeter.exe" [2007-10-15 2582288]
"MessengerDiscovery"="c:\arquivos de programas\MessengerDiscovery\msgdiscoveryx.exe" [2005-11-13 1658880]
"MessengerPlus3"="c:\arquivos de programas\MessengerPlus! 3\MsgPlus.exe" [2008-12-06 190024]
"TuneUp MemOptimizer"="c:\arquivos de programas\TuneUp Utilities 2008\MemOptimizer.exe" [2007-12-21 196864]
"SpybotSD TeaTimer"="c:\arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 2156368]
"msnmsgr"="c:\arquivos de programas\MSN Messenger\msnmsgr.exe" [2007-09-04 6856704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BigDogPath"="c:\windows\VM_STI.EXE" [2004-06-09 40960]
"ccApp"="c:\arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe" [2008-10-17 51048]
"osCheck"="c:\arquivos de programas\Norton 360\osCheck.exe" [2008-02-26 988512]
"MessengerPlus3"="c:\arquivos de programas\MessengerPlus! 3\MsgPlus.exe" [2008-12-06 190024]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"HP Software Update"="c:\arquivos de programas\HP\HP Software Update\HPWuSchd2.exe" [2008-03-25 49152]
"hpqSRMon"="c:\arquivos de programas\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-03-13 81920]
"RemoteControl8"="c:\arquivos de programas\CyberLink\PowerDVD8\PDVD8Serv.exe" [2008-03-20 83240]
"PDVD8LanguageShortcut"="c:\arquivos de programas\CyberLink\PowerDVD8\Language\Language.exe" [2007-12-14 50472]
"BDRegion"="c:\arquivos de programas\Cyberlink\Shared Files\brs.exe" [2008-03-21 91432]
"SunJavaUpdateSched"="c:\arquivos de programas\Java\jre6\bin\jusched.exe" [2008-12-15 136600]
"SoundMan"="SOUNDMAN.EXE" [2005-07-22 c:\windows\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2006-10-22 c:\windows\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-10-22 c:\windows\system32\nvmctray.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\
HP Digital Imaging Monitor.lnk - c:\arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe [2008-03-25 214360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= ffdshow.ax
"msacm.ac3filter"= ac3filter.acm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 14:24 1694208 c:\arquivos de programas\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqpsapp.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqcopy2.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqpse.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqsudi.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
"c:\\Arquivos de programas\\CyberLink\\PowerDVD8\\PowerDVD8.exe"=
"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

R2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};\??\c:\arquivos de programas\CyberLink\PowerDVD8\000.fcl [2008-02-01 17:24:04 41456]
R2 DUMeterSvc;DU Meter Service;c:\arquivos de programas\DU Meter\DUMeterSvc.exe /startedbyscm:E1F6D4BE-40E33354-DUMeterService [2008-12-06 1382672]
R2 gw6c;Hexago Gateway6 Client;c:\arquivos de programas\Hexago\Gateway6 Client\gw6c.exe [2008-06-06 385024]
R2 LiveUpdate Notice;LiveUpdate Notice;"c:\arquivos de programas\Arquivos comuns\Symantec Shared\ccSvcHst.exe" /h ccCommon [2008-02-18 149352]
R2 MBAMDrvService;MBAMDrvService;\??\c:\windows\system32\drivers\mbam.sys [2008-12-06 17200]
R2 MBAMService;MBAMService;"c:\arquivos de programas\Malwarebytes' Anti-Malware\mbamservice.exe" [2008-12-06 110256]
R2 mcafee siteadvisor service;McAfee SiteAdvisor Service;"c:\arquivos de programas\McAfee\SiteAdvisor\McSACore.exe" [2008-12-26 206096]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;\??\c:\arquivos de programas\Arquivos comuns\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2008-12-06 99376]
R3 HexTunnelDevice;Hexago Multi-Virtual Tunnel Adapter;c:\windows\system32\DRIVERS\hextun.sys [2008-06-06 22176]
R3 ZSMC302;VIMICRO USB PC Camera;c:\windows\system32\Drivers\usbVM31b.sys [2008-12-06 90568]
S3 COH_Mon;COH_Mon;\??\c:\windows\system32\Drivers\COH_Mon.sys [2008-01-13 23888]
S3 EraserUtilDrv10710;EraserUtilDrv10710;\??\c:\arquivos de programas\Arquivos comuns\Symantec Shared\EENGINE\EraserUtilDrv10710.sys []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - COMHOST
.
Conteúdo da pasta 'Tarefas Agendadas'

2008-12-26 c:\windows\Tasks\1-Click Maintenance.job
- c:\arquivos de programas\TuneUp Utilities 2008\OneClick.exe [2007-12-21 15:17]
.
.
------- Scan Suplementar -------
.
uStart Page = about:blank
TCP: {20E2CB2D-ADB8-4083-91B3-645ACFEFE433} = 200.221.11.98,200.147.255.105,208.67.222.222,208.67.220.220
FF - ProfilePath - c:\documents and settings\_DeT3TiV3_®\Dados de aplicativos\Mozilla\Firefox\Profiles\7vaa26ur.default\
FF - prefs.js: browser.startup.homepage - about:blank
FF - component: c:\arquivos de programas\McAfee\SiteAdvisor\components\McFFPlg.dll
FF - component: c:\arquivos de programas\Mozilla Firefox\components\coFFPlgn.dll

ATTENTION: FIREFOX POLICES IS IN FORCE
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-26 18:38:56
Windows 5.1.2600 Service Pack 2 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso
arquivos/ficheiros ocultos: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\DUMeterSvc]
"ImagePath"="c:\arquivos de programas\DU Meter\DUMeterSvc.exe /startedbyscm:E1F6D4BE-40E33354-DUMeterService"

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]
"ImagePath"="\??\c:\arquivos de programas\CyberLink\PowerDVD8\000.fcl"

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\74eab40f]
"ImagePath"="\SystemRoot\System32\drivers\74eab40f.sys"
.
Tempo para conclusão: 2008-12-26 18:39:55
ComboFix-quarantined-files.txt 2008-12-26 20:39:52

Pré-execução: 7.700.168.704 bytes disponíveis
Pós execução: 7,693,357,056 bytes disponíveis

302 --- E O F --- 2008-12-21 19:18:40

Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:45:29, on 26/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\VM_STI.EXE
C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSvcHst.exe
C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe
C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe
C:\Arquivos de programas\CyberLink\PowerDVD8\PDVD8Serv.exe
C:\Arquivos de programas\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Arquivos de programas\Cyberlink\Shared Files\brs.exe
C:\Arquivos de programas\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\DAEMON Tools Lite\daemon.exe
C:\Arquivos de programas\DU Meter\DUMeter.exe
C:\Arquivos de programas\MessengerDiscovery\msgdiscoveryx.exe
C:\Arquivos de programas\TuneUp Utilities 2008\MemOptimizer.exe
C:\Arquivos de programas\DU Meter\DUMeterSvc.exe
C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe
C:\Arquivos de programas\Hexago\Gateway6 Client\gw6c.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Arquivos de programas\McAfee\SiteAdvisor\McSACore.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamtrayctrl.exe
C:\Arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Arquivos de programas\HP\Digital Imaging\bin\hpqbam08.exe
C:\Arquivos de programas\HP\Digital Imaging\bin\hpqgpc01.exe
C:\ARQUIV~1\ARQUIV~1\SYMANT~1\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\TuneUpDefragService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Arquivos de programas\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\coShared\Browser\2.6\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\ARQUIV~1\ARQUIV~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll
O2 - BHO: McAfee SiteAdvisor BHO - {b164e929-a1b6-4a06-b104-2cd0e90a88ff} - c:\ARQUIV~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Arquivos de programas\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\coShared\Browser\2.6\CoIEPlg.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\ARQUIV~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Arquivos de programas\Norton 360\osCheck.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpqSRMon] C:\Arquivos de programas\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [RemoteControl8] "C:\Arquivos de programas\CyberLink\PowerDVD8\PDVD8Serv.exe"
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] "C:\Arquivos de programas\CyberLink\PowerDVD8\Language\Language.exe"
O4 - HKLM\..\Run: [BDRegion] C:\Arquivos de programas\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Arquivos de programas\DAEMON Tools Lite\daemon.exe"
O4 - HKCU\..\Run: [DU Meter] C:\Arquivos de programas\DU Meter\DUMeter.exe
O4 - HKCU\..\Run: [MessengerDiscovery] C:\Arquivos de programas\MessengerDiscovery\msgdiscoveryx.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Arquivos de programas\TuneUp Utilities 2008\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: Seleção HP Smart - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Arquivos de programas\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&MSN.com
O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - https://www-secure.symantec.com/techsupp/asa/ss/sa/sa_cabs/tgctlsr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{20E2CB2D-ADB8-4083-91B3-645ACFEFE433}: NameServer = 200.221.11.98,200.147.255.105,208.67.222.222,208.67.220.220
O17 - HKLM\System\CS1\Services\Tcpip\..\{20E2CB2D-ADB8-4083-91B3-645ACFEFE433}: NameServer = 200.221.11.98,200.147.255.105,208.67.222.222,208.67.220.220
O17 - HKLM\System\CS2\Services\Tcpip\..\{20E2CB2D-ADB8-4083-91B3-645ACFEFE433}: NameServer = 200.221.11.98,200.147.255.105,208.67.222.222,208.67.220.220
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\ARQUIV~1\mcafee\SITEAD~1\mcieplg.dll
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Arquivos de programas\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\VAScanner\comHost.exe
O23 - Service: DU Meter Service (DUMeterSvc) - Hagel Technologies Ltd - C:\Arquivos de programas\DU Meter\DUMeterSvc.exe
O23 - Service: Hexago Gateway6 Client (gw6c) - Hexago, Inc. - C:\Arquivos de programas\Hexago\Gateway6 Client\gw6c.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Arquivos de programas\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSvcHst.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: McAfee SiteAdvisor Service (mcafee siteadvisor service) - Unknown owner - C:\Arquivos de programas\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\ARQUIV~1\ARQUIV~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 9693 bytes

Mr.Wolf · 26/12/2008

Ok Etdet, os logs estão limpos.

Vá em Iniciar > Executar, digite combofix /u e dê um Enter. Delete as pastas C:\Qoobox e ComboFix (caso existam ainda).

110 · 26/12/2008

Mr.Wolf disse:
Olá 110

Seu log está limpo amigo.

Creio que foi um bug temporário do Firefox. Ele fica minimizando toda hora?

Quando eu postei o log minimizava a cada 10s agora demora um pouco.

Mr.Wolf · 26/12/2008

110 disse:
Quando eu postei o log minimizava a cada 10s agora demora um pouco.

Estranho isso 110.

Acesse a página abaixo com o Firefox, e mais abaixo da página clique em Start the test. Aguarde!

Browser Security test

Poste o log final aqui 110.

Scorpyon · 26/12/2008

Mr.Wolf disse:
Opa DirenightOver,

Pois é, o pior é que é verdade amigo. O Norton 2009 está bem mais leve, fácil de instalar e desinstalar (o que era uma briga antes). Porém, não é melhor do que Kaspersky não.

Muitos estão dizendo que o Norton está melhor que Kaspersky, mas com certeza é por pura inveja do Kaspersky, que sempre foi o líder. Um ponto fraquíssimo do Norton 2009 é a sua heurísitica, diria péssima, na minha opinião. Testes de Av-Comparatives, eu ajudo a fazer e vejo que o resultado não é tudo o que dizem não. Muitos códigos maliciosos o Norton não consegue detectar ainda. Coisa que Kaspersky sempre detectou.

Portanto, minha opinião amigo DirenightOver: Norton 2009 não é melhor do que Kaspersky não.

Por acaso utiliza o Kaspersky amigo?

E aí Mr wolf, td na Paz?
Ñ sei se é a msm coisa mais o NORTON 360 é um dos piores antivirus q ja testei, até o momento o McAfee Total Protection ta mais ou menos queria muito testar o Kaspersky mais ñ consigo instalá-lo.
Mais queria te mostrar uma coisa lembra q vc me pediu outro dia um log do HijackThis por causa de um tal de livesearch.exe aí vc me pediu para desistala-lo e eu o fiz mais olha só isso aqui:

a-squared Anti-Malware - Versão 4.0
Última atualização 24/12/2008 22:15:55

Configurações da análise:

Objetos: Memória, Rastros, Cookies, C:\
Análise de arquivos: Ligado
Heurística: Ligado
Análise de ADS: Ligado

Início da análise: 24/12/2008 22:22:38

C:\Program Files\Fantastic Flame Screensaver\FantasticFlameAgent.exe detectado: Trojan-PWS.Win32.Delf!IK
C:\Users\wyllys\AppData\Roaming\Microsoft\Live Search\Suppression-Live-Search.exe detectado: Trojan.Generic!IK
C:\Users\wyllys\Codecs\CoreAAC-1.2.0.575-3.exe detectado: Trojan.Zlob!IK
C:\Users\wyllys\Downloads\Programas\Adobe_Phtshp_CS4.part1.rar/Adobe Bridge CS4.exe detectado: Trojan-Dropper.Agent!IK
C:\Users\wyllys\Downloads\Programas\Adobe_Phtshp_CS4.part1.rar/Adobe Device Central CS3.exe detectado: Trojan-Dropper.Agent!IK
C:\Users\wyllys\Downloads\Programas\Adobe_Phtshp_CS4.part1.rar/Adobe ExtendScript Toolkit 2.exe detectado: Trojan-Dropper.Agent!IK
C:\Users\wyllys\Downloads\Programas\Adobe_Phtshp_CS4.part1.rar/Adobe Photoshop CS4.exe detectado: Trojan-Dropper.Agent!IK
C:\Users\wyllys\Downloads\Programas\Norton360S200BR\N360S200BR.by.RoCkGirL\keygen.exe detectado: Riskware.Hacktool.Keygen.Norton2008!IK
C:\Users\wyllys\Downloads\Programas\Norton360S200BR\N360S200BR.by.RoCkGirL.rar/keygen.exe detectado: Riskware.Hacktool.Keygen.Norton2008!IK
C:\Users\wyllys\Downloads\ProgramasInstalados\UniBlue\driverscanner_2.0.0.26\Reg\patch 2.0.0.20\patch.exe detectado: Riskware.Hacktool.Patch.Uniblue!IK
C:\Users\wyllys\Programas_Portateis\CyberLink_PowerDVD_8.exe detectado: Backdoor.Turkojan.AV!IK

Analisado

Arquivos: 192185
Objetos: 472284
Cookies: 4
Processos: 58

Encontrado

Arquivos: 11
Objetos: 0
Cookies: 0
Processos: 0
Chaves do registro: 0

Fim da análise: 25/12/2008 00:11:21
Duração da análise: 1:48:43

C:\Users\wyllys\Programas_Portateis\CyberLink_PowerDVD_8.exe Excluído Backdoor.Turkojan.AV!IK
C:\Users\wyllys\Downloads\ProgramasInstalados\UniBlue\driverscanner_2.0.0.26\Reg\patch 2.0.0.20\patch.exe Excluído Riskware.Hacktool.Patch.Uniblue!IK
C:\Users\wyllys\Downloads\Programas\Norton360S200BR\N360S200BR.by.RoCkGirL\keygen.exe Excluído Riskware.Hacktool.Keygen.Norton2008!IK
C:\Users\wyllys\Downloads\Programas\Norton360S200BR\N360S200BR.by.RoCkGirL.rar/keygen.exe Excluído Riskware.Hacktool.Keygen.Norton2008!IK
C:\Users\wyllys\Downloads\Programas\Adobe_Phtshp_CS4.part1.rar/Adobe Bridge CS4.exe Excluído Trojan-Dropper.Agent!IK
C:\Users\wyllys\Downloads\Programas\Adobe_Phtshp_CS4.part1.rar/Adobe Device Central CS3.exe Excluído Trojan-Dropper.Agent!IK
C:\Users\wyllys\Downloads\Programas\Adobe_Phtshp_CS4.part1.rar/Adobe ExtendScript Toolkit 2.exe Excluído Trojan-Dropper.Agent!IK
C:\Users\wyllys\Downloads\Programas\Adobe_Phtshp_CS4.part1.rar/Adobe Photoshop CS4.exe Excluído Trojan-Dropper.Agent!IK
C:\Users\wyllys\Codecs\CoreAAC-1.2.0.575-3.exe Excluído Trojan.Zlob!IK
C:\Users\wyllys\AppData\Roaming\Microsoft\Live Search\Suppression-Live-Search.exe Excluído Trojan.Generic!IK
C:\Program Files\Fantastic Flame Screensaver\FantasticFlameAgent.exe Excluído Trojan-PWS.Win32.Delf!IK

Excluído

Arquivos: 11
Objetos: 0
Cookies: 0
agora será q o danado saiu msm?

110 · 26/12/2008

Agora parou

.

Resultado:

* Passed Mozilla crashes with evidence of memory corruption - passed
* Passed Mozilla crashes with evidence of memory corruption - passed
* Passed Adobe Flash Player video file parsing integer overflow - passed
* Passed Mozilla crashes with evidence of memory corruption (rv:1.8.1.5) - passed
* Passed Apple QuickTime MOV file JVTCompEncodeFrame heap overflow - passed
* Passed Mozilla code execution via QuickTime Media-link files - passed
* Passed Mozilla crashes with evidence of memory corruption (rv:1.8.1.8) - passed
* Passed Mozilla memory corruption vulnerabilities (rv:1.8.1.10) - passed
* Passed Mozilla crashes with evidence of memory corruption (rv:1.8.1.12) - passed
* Passed Mozilla Firefox MathML integer overflow - passed

rafamanhunt · 27/12/2008

Mr.Wolf esses dias atrás eu estava com uma máquina de meu amigo, que estava com problemas, quando você ligava ela, ela não dava vídeo, apenas ficava com a luz do monitor piscando, nem bipava nem nada, bom achei que isso era problema de hardware, mexi,mexi e nada, postei aqui no adrena ninguém soube me ajudar, até que desisti e meu amigo levou a máquina numa loja, que apesar de eu ser técnico em informática não tenho todas as ferramentas de uma loja né.E no dia seguinte eles deram o diagnóstico e disseram que era vírus, e que a solução era formatar...
Não acreditei pois a máquina nem bipava, então pensei em hardware, Mr.Wolf à a possibilidade de um vírus fazer tudo isso ou é gafe dos técnicos da loja ? se sim a melhor solução é formatar ? já que não tem como iniciar windows muito menos entrar em setup de máquina, pois não dá video?
Agradeço desde já !

Scorpyon · 27/12/2008

Caro Mr Wolf me tira essa duvida aqui sobre o programa Mega Cubo veja o q acontece na hora da instalação.

O que vc me diz sobre isso?
Edit:
Em uma varredura com o CA Yahoo! Anti-Spy encontrei isso aqui oh:

que troço é esse?

Um Feliz Ano Novo para vc e todos do forum.

ABRAÇO...

imartynetz · 27/12/2008

Desculpe a demora mas esta ai meu log.

Ferps · 27/12/2008

Boa tarde mr wolf, desculpe pela demora, mais ai está meus dois logs upados no rapidshare.

RapidShare: Easy Filehosting

RapidShare: Easy Filehosting

:thumbs_up:thumbs_up

agorasim™ · 27/12/2008

Mr.Wolf disse:
Olá

agorasim™, siga as instruções dentro do spoiler abaixo.

Selecione e copie este texto abaixo dentro do code. Cole o texto copiado dentro do Bloco de Notas do computador e salve-o como CFScript.txt em seu desktop:

Código:

Folder:: c:\arquivos de programas\A360 c:\documents and settings\Marcos\Dados de aplicativos\rstmpwcp File:: c:\windows\system32\ljmekrq.dll J:\LaunchU3.exe Registry:: [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\7c4a76f6509] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4de8a370-cf76-11dd-a289-001617aaf051}]

Arraste o CFScript para o ComboFix como na imagem aqui abaixo e aguarde a execução automática da ferramenta:

● Se for solicitado à você, pressione Enter para iniciar o processo de remoção;

segue os log ai...colega...aconteceu uns erros antes de gerar o log do combofix...mais ai só, dei um ok e logo veio log

RapidShare: Easy Filehosting

RapidShare: Easy Filehosting

no aguardo para qlq outro prossegmento....vlw

luisfanoronha · 28/12/2008

Estou temdo um problema aqui também... :no:
Se alguem que entenda(pq não entendo muito sobre Remoção de virus), puder me ajudar eu agradeço

Eu não sei o que explicar para facilitar à vocês, minha atualizações automaticas estão desabilitadas, e não consigo habilitar novamente(pelo virus)
Se por acaso aparecer novamente eu tiro SS...

Estou mandando o log, como foi postado pelo dono do tópico... :thumbs_up

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:21:22, on 28/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\VM303_STI.EXE
C:\Arquivos de programas\ESET\ESET Smart Security\egui.exe
C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe
C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe
C:\Arquivos de programas\ESET\ESET Smart Security\ekrn.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = UOL - O melhor conteúdo
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKLM\..\Run: [egui] "C:\Arquivos de programas\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Livro de recortes HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Arquivos de programas\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Seleção HP Smart - {700259D7-1666-479a-93B1-3250410481E8} - C:\Arquivos de programas\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&MSN.com
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=23100
O20 - AppInit_DLLs: emwpqq.dll
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Arquivos de programas\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Arquivos de programas\ESET\ESET Smart Security\ekrn.exe
O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5002 bytes

Já estava pensando em formatar até que lembrei deste tópico

Edit:
Esse comboFix eu devo instalar?

Edit2:

Etdet disse:
olha wolf apareceu aqui do nada sem eu entender tipo anti malware achou um estranho que eu nunca vi aqui!! ms antispyware 2009 nunca peguei isso lugar nenhum! sem explicaçao

anti-malwarebytes

É Tipo isso que está acontecendo aqui... numa página de internet, e pedindo para instalar, eu fecho e meu antivirus NOD detecta ataques

Espero ansioso por ajuda

marcoskiko · 28/12/2008

Mr.Wolf disse:
Olá pessoal boa tarde.

Antes de mais nada, gostaria de desejar à todos um feliz Natal e um Próspero Ano Novo à todos os amigos aqui do tópico e do fórum, em geral. Muita saúde, paz e realizações para vocês.

Bom vamos lá então, vou responder à todos neste post.

marcoskiko, possui o CD do Windows aí? Se sim, reinstale o sistema e veja se o problema ainda ocorre.

__________________________________________

Cole este log em sua próxima resposta Etdet.[/spoiler]

Seguinte MR. Wolf não consigo chegar na Tela para recuperação do Windows...coloco o Cd para reinstalar e ele entra em uma tela azul, dizendo que foi detectado um problema e o windows foi desligado para evitar danos ao computador.....
Eu estava tentando recuperar o sistema...e não queria formatar e reinstalar o windows agora, pois estou com dados importantes no pc..

me da uma solução ai cara..

abraço

marcoskiko · 28/12/2008

marcoskiko disse:
Seguinte MR. Wolf não consigo chegar na Tela para recuperação do Windows...coloco o Cd para reinstalar e ele entra em uma tela azul, dizendo que foi detectado um problema e o windows foi desligado para evitar danos ao computador.....
Eu estava tentando recuperar o sistema...e não queria formatar e reinstalar o windows agora, pois estou com dados importantes no pc..

me da uma solução ai cara..

abraço

Consegui entrar na tela de recuperação...so que ele diz a seguinte mensagem?:

O Programa de instalação não pode copiar o arquivo ssee1255.fon ..... e para por ai.... pergunta se é para ignorar o arquivo...

e ai o que faço?
valeu

Mr.Wolf · 28/12/2008

Opa pessoal

Vou responder à todos no mesmo post ok.

_______________________________

N00B#A$$aSsIN0, não utilize o ComboFix, por enquanto ainda. Siga as instruções abaixo dentro do spoiler N00B#A$$aSsIN0.

- Faça o download do Malwarebytes Anti-Malware e salve-o no desktop;

● Dê dois cliques no programa para iniciar a instalação. Selecione o idioma Português (Brasil);
● Ao final da instalação, marque as opções "Atualizar Malwarebytes Anti-Malware" e "Executar Malwarebytes Anti-Malware", e clique em Concluir;
● Após a instalação execute o programa;
● Marque a opção Verificação Completa e depois clique em Verificar. Selecione sua unidade C: e clique no botão Iniciar Verificação;
● Quando o scan terminar, clique em OK e o log será automaticamente aberto para você;
● Se algo for detectado, verifique se todos os itens estão marcados e clique no botão Remover.
OBS: Caso apareça uma mensagem pedindo para que você reinicie o computador para completar o processo de remoção, reinicie-o imediatamente;
● O log pode ser consultado clicando em Logs do menu principal também;

Copie e cole o conteúdo desse log na sua próxima resposta, juntamente com um novo log do HijackThis.

_______________________________

Scorpyon, primeiramente, o A-Squared é um dos anti-spywares com mais falsos-positivos atualmente. Portanto, cuidado no que removerá com ele.
Bem pelo que vi no seu log do A-Squared, são apenas rastros do LiveSearch Scorpyon. Nada do que se preocupar. Quanto ao problema da instalação do MegaCubo, falso-positivo do A-Squared, ignore esta detecção.
Scorpyon, o CA Yahoo Anti-Spy é simplesmente um péssimo anti-spyware. E não é seguro pois instala toolbars inseguras na máquina. Sugiro que remova o CA Yahoo anti-spy imediatamente.

______________________________

110, o log do teste está limpo. O problema, pelo que vi no log, estava ocorrendo com um recurso do Mozilla chamado MathML. Provavelmente foi o que ocasionou o problema 110. Mas no teste, ele agora está ok.

______________________________

rafamanhunt, tenho quase certeza que o problema da máquina de seu amigo é hardware. Dificilmente vírus causam isso, diria que nunca ouvi falar de vírus que fazem isso no computador. Acho que é uma "gafe" dos técnicos da loja sim. Mas, se seu amigo quiser postar um log aqui, mande-o ficar à vontade.
Mas pelo meu conhecimento digo que 99% de chance de ser hardware. Mas...

______________________________

imartynets, siga os procedimentos dentro do spoiler abaixo.

- Faça o download do Malwarebytes Anti-Malware e salve-o no desktop;

● Dê dois cliques no programa para iniciar a instalação. Selecione o idioma Português (Brasil);
● Ao final da instalação, marque as opções "Atualizar Malwarebytes Anti-Malware" e "Executar Malwarebytes Anti-Malware", e clique em Concluir;
● Após a instalação execute o programa;
● Marque a opção Verificação Completa e depois clique em Verificar. Selecione sua unidade C: e clique no botão Iniciar Verificação;
● Quando o scan terminar, clique em OK e o log será automaticamente aberto para você;
● Se algo for detectado, verifique se todos os itens estão marcados e clique no botão Remover.
OBS: Caso apareça uma mensagem pedindo para que você reinicie o computador para completar o processo de remoção, reinicie-o imediatamente;
● O log pode ser consultado clicando em Logs do menu principal também;

Copie e cole o conteúdo desse log na sua próxima resposta, juntamente com um novo log do HijackThis.

______________________________

Ferps, não há nada de errado no log. O Dr.WebCureit removeu algumas váriáveis do Backdoor Slobm também.

Há algum problema no pc ainda Ferps?

______________________________

agorasim™, siga as instruções abaixo.

- Faça o download do Malwarebytes Anti-Malware e salve-o no desktop;

● Dê dois cliques no programa para iniciar a instalação. Selecione o idioma Português (Brasil);
● Ao final da instalação, marque as opções "Atualizar Malwarebytes Anti-Malware" e "Executar Malwarebytes Anti-Malware", e clique em Concluir;
● Após a instalação execute o programa;
● Marque a opção Verificação Rápida e depois clique em Verificar;
● Quando o scan terminar, clique em OK e o log será automaticamente aberto para você;
● Se algo for detectado, verifique se todos os itens estão marcados e clique no botão Remover.
OBS: Caso apareça uma mensagem pedindo para que você reinicie o computador para completar o processo de remoção, reinicie-o imediatamente;
● O log pode ser consultado clicando em Logs do menu principal também;

Copie e cole o conteúdo desse log na sua próxima resposta, juntamente com um novo log do HijackThis.

_______________________________

marcoskiko, este tópico aqui é destinado à Remoção de Vírus amigo. Sugiro que abra um tópico na área de Windows abaixo:

Área Windows - Fórum Adrenaline

G3 · 28/12/2008

oi...
passando soh para dar os parabens pela iniciativa...

naum sou muito ligado em virus e etc, acesso internet banking em casa...
qual um 'pacote' de software para segurança, de preferencia FREE que eu possa usar
toh usando atualmente
XP SP2
AVG 8
SpyBot
Malwarebytes Anti-Malware

parabens pelo topico

Ferps · 28/12/2008

bom, creio que não, o que estava acontecendo era LENTIDÃO, mais percebi que está normal até agora, obrigado mais uma vez por me ajudar MR WOLF

Até mais.

luisfanoronha · 28/12/2008

Mr.Wolf disse:
N00B#A$$aSsIN0, não utilize o ComboFix, por enquanto ainda. Siga as instruções abaixo dentro do spoiler N00B#A$$aSsIN0.

- Faça o download do Malwarebytes Anti-Malware e salve-o no desktop;

● Dê dois cliques no programa para iniciar a instalação. Selecione o idioma Português (Brasil);
● Ao final da instalação, marque as opções "Atualizar Malwarebytes Anti-Malware" e "Executar Malwarebytes Anti-Malware", e clique em Concluir;
● Após a instalação execute o programa;
● Marque a opção Verificação Completa e depois clique em Verificar. Selecione sua unidade C: e clique no botão Iniciar Verificação;
● Quando o scan terminar, clique em OK e o log será automaticamente aberto para você;
● Se algo for detectado, verifique se todos os itens estão marcados e clique no botão Remover.
OBS: Caso apareça uma mensagem pedindo para que você reinicie o computador para completar o processo de remoção, reinicie-o imediatamente;
● O log pode ser consultado clicando em Logs do menu principal também;

Copie e cole o conteúdo desse log na sua próxima resposta, juntamente com um novo log do HijackThis.

# Log do Malwarebytes' Anti-Malware:

Malwarebytes' Anti-Malware 1.31
Versão do banco de dados: 1562
Windows 5.1.2600 Service Pack 3

28/12/2008 15:09:21
mbam-log-2008-12-28 (15-09-21).txt

Tipo de Verificação: Completa (C:\|)
Objetos verificados: 114422
Tempo decorrido: 17 minute(s), 51 second(s)

Processos da Memória infectados: 0
Módulos de Memória Infectados: 3
Chaves do Registro infectadas: 16
Valores do Registro infectados: 1
Ítens do Registro infectados: 2
Pastas infectadas: 0
Arquivos infectados: 11

Processos da Memória infectados:
(Nenhum ítem malicioso foi detectado)

Módulos de Memória Infectados:
C:\WINDOWS\system32\urqNGvsP.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\emwpqq.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\nnnllMEu.dll (Trojan.Vundo) -> Delete on reboot.

Chaves do Registro infectadas:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{16cbb270-4fc7-430b-82b3-eacdbb24370c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{16cbb270-4fc7-430b-82b3-eacdbb24370c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3d7e9758-f150-46ba-9014-22197a47cae8} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{3d7e9758-f150-46ba-9014-22197a47cae8} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nnnllmeu (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{16cbb270-4fc7-430b-82b3-eacdbb24370c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Valores do Registro infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Delete on reboot.

Ítens do Registro infectados:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\urqngvsp -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\urqngvsp -> Delete on reboot.

Pastas infectadas:
(Nenhum ítem malicioso foi detectado)

Arquivos infectados:
C:\WINDOWS\system32\emwpqq.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\urqNGvsP.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\PsvGNqru.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\PsvGNqru.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nnnllMEu.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\clomxwaw.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wawxmolc.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\jwcnlsge.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ddcYsRIB.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ljJBtSKB.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vtUOfdEU.dll (Trojan.vundo) -> Quarantined and deleted successfully.

# Novo Log do HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:16:50, on 28/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\VM303_STI.EXE
C:\Arquivos de programas\ESET\ESET Smart Security\egui.exe
C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe
C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe
C:\Arquivos de programas\ESET\ESET Smart Security\ekrn.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = UOL - O melhor conteúdo
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Arquivos de programas\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKLM\..\Run: [egui] "C:\Arquivos de programas\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [RGSC] C:\Arquivos de programas\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Livro de recortes HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Arquivos de programas\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Seleção HP Smart - {700259D7-1666-479a-93B1-3250410481E8} - C:\Arquivos de programas\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&MSN.com
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=23100
O20 - AppInit_DLLs: emwpqq.dll
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Arquivos de programas\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Arquivos de programas\ESET\ESET Smart Security\ekrn.exe
O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5380 bytes

Mr.Wolf · 28/12/2008

N00B#A$$aSsIN0, copie e cole todo este texto abaixo dentro do Bloco de notas:

VUNDO IN THE GMER EXTERMINATE OF THE REGISTRY

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"HTTPFilter"=hex(7):48,00,54,00,54,00,50,00,46,00,69,00,6c,00,74,00,65,00,72,\
00,00,00,00,00
"LocalService"=hex(7):41,00,6c,00,65,00,72,00,74,00,65,00,72,00,00,00,57,00,65,\
00,62,00,43,00,6c,00,69,00,65,00,6e,00,74,00,00,00,4c,00,6d,00,48,00,6f,00,\
73,00,74,00,73,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,52,00,65,00,67,\
00,69,00,73,00,74,00,72,00,79,00,00,00,75,00,70,00,6e,00,70,00,68,00,6f,00,\
73,00,74,00,00,00,53,00,53,00,44,00,50,00,53,00,52,00,56,00,00,00,00,00
"NetworkService"=hex(7):44,00,6e,00,73,00,43,00,61,00,63,00,68,00,65,00,00,00,\
00,00
"netsvcs"=hex(7):36,00,74,00,6f,00,34,00,00,00,41,00,70,00,70,00,4d,00,67,00,\
6d,00,74,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,42,\
00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,43,00,72,00,79,00,70,00,74,00,\
53,00,76,00,63,00,00,00,44,00,4d,00,53,00,65,00,72,00,76,00,65,00,72,00,00,\
00,44,00,48,00,43,00,50,00,00,00,45,00,52,00,53,00,76,00,63,00,00,00,45,00,\
76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,46,00,61,\
00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\
69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\
00,69,00,74,00,79,00,00,00,48,00,69,00,64,00,53,00,65,00,72,00,76,00,00,00,\
49,00,61,00,73,00,00,00,49,00,70,00,72,00,69,00,70,00,00,00,49,00,72,00,6d,\
00,6f,00,6e,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,\
76,00,65,00,72,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,57,00,6f,00,72,\
00,6b,00,73,00,74,00,61,00,74,00,69,00,6f,00,6e,00,00,00,4d,00,65,00,73,00,\
73,00,65,00,6e,00,67,00,65,00,72,00,00,00,4e,00,65,00,74,00,6d,00,61,00,6e,\
00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,00,\
00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,69,\
00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,00,\
74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,73,\
00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,00,\
63,00,65,00,73,00,73,00,00,00,53,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,\
00,00,00,53,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,00,00,53,00,45,00,\
4e,00,53,00,00,00,53,00,68,00,61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,\
00,73,00,73,00,00,00,53,00,52,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\
00,00,54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,54,00,68,00,65,00,6d,\
00,65,00,73,00,00,00,54,00,72,00,6b,00,57,00,6b,00,73,00,00,00,57,00,33,00,\
32,00,54,00,69,00,6d,00,65,00,00,00,57,00,5a,00,43,00,53,00,56,00,43,00,00,\
00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,70,00,\
00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,77,00,73,00,63,00,73,\
00,76,00,63,00,00,00,78,00,6d,00,6c,00,70,00,72,00,6f,00,76,00,00,00,4d,00,\
48,00,4e,00,00,00,42,00,49,00,54,00,53,00,00,00,77,00,75,00,61,00,75,00,73,\
00,65,00,72,00,76,00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,44,00,\
65,00,74,00,65,00,63,00,74,00,69,00,6f,00,6e,00,00,00,68,00,65,00,6c,00,70,\
00,73,00,76,00,63,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,4e,00,\
00,00,00,00
"DcomLaunch"=hex(7):44,00,63,00,6f,00,6d,00,4c,00,61,00,75,00,6e,00,63,00,68,\
00,00,00,54,00,65,00,72,00,6d,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\
00,00,00,00
"rpcss"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"imgsvc"=hex(7):53,00,74,00,69,00,53,00,76,00,63,00,00,00,00,00
"termsvcs"=hex(7):54,00,65,00,72,00,6d,00,53,00,65,00,72,00,76,00,69,00,63,00,\
65,00,00,00,00,00
"bthsvcs"=hex(7):62,00,74,00,68,00,73,00,65,00,72,00,76,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\DComLaunch]
"CoInitializeSecurityParam"=dword:00000001
"DefaultRpcStackSize"=dword:00000008

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\HTTPFilter]
"CoInitializeSecurityParam"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]

Save-o no desktop como DelFileCF.reg. NÃO execute o arquivo.

- Faça o download do ComboFix e salve-o na área de trabalho;

● Desative temporariamente o seu antivirus para não detectar a ferramenta como vírus;
● Duplo clique no ícone combofix.exe para iniciar o scan;

OBS: Aquele arquivo que você criou no desktop (DelFileCF.reg), neste momento da execução do ComboFix, será automaticamente adicionado ao registro do Windows plo ComboFix. portanto, se por ventura, aparecer uma mensagem de erro, dê um OK > Suivant > OK.

● Leia o contrato que aparecerá e clique em Sim para continuar;
● Abrirá uma janela do Console de Recuperação, clique em Sim para instalar. Se aparecer outra janela do Console, clique em OK > Sim;
● Aguarde enquanto o ComboFix faz o scan;
● Se ocorrer algum problema durante o scan, reinicie seu computador em Modo de Segurança e repita o procedimento;
● Não clique na janela do ComboFix e procure não utilizar o teclado também, para não atrapalhar a varredura da ferramenta;
● Se quiser sair ou parar o ComboFix, tecle N;
● Quando terminar seu micro será reiniciado. Após o reinicio, a ferramenta executará novamente, aguarde;
● Será gerado um log em C:\ComboFix.txt.

Cole este log em sua próxima resposta.

___________________________

Ferps, delete o programa Dr.WebCureit e a pasta C:\Documents and Settings\Administrador\DoctorWeb.

Abraço

Mr.Wolf · 28/12/2008

G3 disse:
oi...
passando soh para dar os parabens pela iniciativa...

naum sou muito ligado em virus e etc, acesso internet banking em casa...
qual um 'pacote' de software para segurança, de preferencia FREE que eu possa usar
toh usando atualmente
XP SP2
AVG 8
SpyBot
Malwarebytes Anti-Malware

parabens pelo topico

Obrigado G3.

Uma coisa já errada, é estar ainda com o SP2. Pois versões desatualizadas deixam o sistema mais vulnerável. Sugiro que atualize para o SP3.
AVG também é bastante fraco. Sugeria que para antivirus gratuito utilizasse o Avira AntiVir Personal que é considerado o melhor, e realmente é!
Malwarebytes e Spybot são excelentes escolhas. Uma recomendação à mais G3, quando for acessar internet banking, não acesse-o pelo navegador Internet Explorer. Acesse-o pelo Firefox ou Opera.
Sugeria também que deixasse o SpywareBlater como proteção de controles ActiveX, bloqueador de animações em Flash maliciosas, privacidade na navegação, etc.

Abraço

luisfanoronha · 28/12/2008

Mr.Wolf disse:
N00B#A$$aSsIN0, copie e cole todo este texto abaixo dentro do Bloco de notas:

VUNDO IN THE GMER EXTERMINATE OF THE REGISTRY

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"HTTPFilter"=hex(7):48,00,54,00,54,00,50,00,46,00,69,00,6c,00,74,00,65,00,72,\
00,00,00,00,00
"LocalService"=hex(7):41,00,6c,00,65,00,72,00,74,00,65,00,72,00,00,00,57,00,65,\
00,62,00,43,00,6c,00,69,00,65,00,6e,00,74,00,00,00,4c,00,6d,00,48,00,6f,00,\
73,00,74,00,73,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,52,00,65,00,67,\
00,69,00,73,00,74,00,72,00,79,00,00,00,75,00,70,00,6e,00,70,00,68,00,6f,00,\
73,00,74,00,00,00,53,00,53,00,44,00,50,00,53,00,52,00,56,00,00,00,00,00
"NetworkService"=hex(7):44,00,6e,00,73,00,43,00,61,00,63,00,68,00,65,00,00,00,\
00,00
"netsvcs"=hex(7):36,00,74,00,6f,00,34,00,00,00,41,00,70,00,70,00,4d,00,67,00,\
6d,00,74,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,42,\
00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,43,00,72,00,79,00,70,00,74,00,\
53,00,76,00,63,00,00,00,44,00,4d,00,53,00,65,00,72,00,76,00,65,00,72,00,00,\
00,44,00,48,00,43,00,50,00,00,00,45,00,52,00,53,00,76,00,63,00,00,00,45,00,\
76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,46,00,61,\
00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\
69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\
00,69,00,74,00,79,00,00,00,48,00,69,00,64,00,53,00,65,00,72,00,76,00,00,00,\
49,00,61,00,73,00,00,00,49,00,70,00,72,00,69,00,70,00,00,00,49,00,72,00,6d,\
00,6f,00,6e,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,\
76,00,65,00,72,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,57,00,6f,00,72,\
00,6b,00,73,00,74,00,61,00,74,00,69,00,6f,00,6e,00,00,00,4d,00,65,00,73,00,\
73,00,65,00,6e,00,67,00,65,00,72,00,00,00,4e,00,65,00,74,00,6d,00,61,00,6e,\
00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,00,\
00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,69,\
00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,00,\
74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,73,\
00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,00,\
63,00,65,00,73,00,73,00,00,00,53,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,\
00,00,00,53,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,00,00,53,00,45,00,\
4e,00,53,00,00,00,53,00,68,00,61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,\
00,73,00,73,00,00,00,53,00,52,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\
00,00,54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,54,00,68,00,65,00,6d,\
00,65,00,73,00,00,00,54,00,72,00,6b,00,57,00,6b,00,73,00,00,00,57,00,33,00,\
32,00,54,00,69,00,6d,00,65,00,00,00,57,00,5a,00,43,00,53,00,56,00,43,00,00,\
00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,70,00,\
00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,77,00,73,00,63,00,73,\
00,76,00,63,00,00,00,78,00,6d,00,6c,00,70,00,72,00,6f,00,76,00,00,00,4d,00,\
48,00,4e,00,00,00,42,00,49,00,54,00,53,00,00,00,77,00,75,00,61,00,75,00,73,\
00,65,00,72,00,76,00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,44,00,\
65,00,74,00,65,00,63,00,74,00,69,00,6f,00,6e,00,00,00,68,00,65,00,6c,00,70,\
00,73,00,76,00,63,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,4e,00,\
00,00,00,00
"DcomLaunch"=hex(7):44,00,63,00,6f,00,6d,00,4c,00,61,00,75,00,6e,00,63,00,68,\
00,00,00,54,00,65,00,72,00,6d,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\
00,00,00,00
"rpcss"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"imgsvc"=hex(7):53,00,74,00,69,00,53,00,76,00,63,00,00,00,00,00
"termsvcs"=hex(7):54,00,65,00,72,00,6d,00,53,00,65,00,72,00,76,00,69,00,63,00,\
65,00,00,00,00,00
"bthsvcs"=hex(7):62,00,74,00,68,00,73,00,65,00,72,00,76,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\DComLaunch]
"CoInitializeSecurityParam"=dword:00000001
"DefaultRpcStackSize"=dword:00000008

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\HTTPFilter]
"CoInitializeSecurityParam"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]

Save-o no desktop como DelFileCF.reg. NÃO execute o arquivo.

- Faça o download do ComboFix e salve-o na área de trabalho;

● Desative temporariamente o seu antivirus para não detectar a ferramenta como vírus;
● Duplo clique no ícone combofix.exe para iniciar o scan;

OBS: Aquele arquivo que você criou no desktop (DelFileCF.reg), neste momento da execução do ComboFix, será automaticamente adicionado ao registro do Windows plo ComboFix. portanto, se por ventura, aparecer uma mensagem de erro, dê um OK > Suivant > OK.

● Leia o contrato que aparecerá e clique em Sim para continuar;
● Abrirá uma janela do Console de Recuperação, clique em Sim para instalar. Se aparecer outra janela do Console, clique em OK > Sim;
● Aguarde enquanto o ComboFix faz o scan;
● Se ocorrer algum problema durante o scan, reinicie seu computador em Modo de Segurança e repita o procedimento;
● Não clique na janela do ComboFix e procure não utilizar o teclado também, para não atrapalhar a varredura da ferramenta;
● Se quiser sair ou parar o ComboFix, tecle N;
● Quando terminar seu micro será reiniciado. Após o reinicio, a ferramenta executará novamente, aguarde;
● Será gerado um log em C:\ComboFix.txt.

Cole este log em sua próxima resposta.

Abraço

Log ComboFix:

ComboFix 08-12-28.01 - Usuario 2008-12-28 18:50:57.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1046.18.2047.1471 [GMT -2:00]
Executando de: c:\documents and settings\Usuario\Desktop\ComboFix.exe
AV: ESET Smart Security 3.0 *On-access scanning disabled* (Outdated)
FW: ESET Personal firewall *disabled*
* Criado um novo ponto de restauro
* Resident AV is active

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Usuario\Dados de aplicativos\inst.exe
c:\windows\system32\AutoRun.inf

.
(((((((((((((((( Arquivos/Ficheiros criados de 2008-11-28 to 2008-12-28 ))))))))))))))))))))))))))))
.

2008-12-28 14:48 . 2008-12-28 14:48 <DIR> d-------- c:\documents and settings\Usuario\Dados de aplicativos\Malwarebytes
2008-12-28 14:48 . 2008-12-28 14:48 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes
2008-12-28 14:48 . 2008-12-28 14:48 <DIR> d-------- c:\arquivos de programas\Malwarebytes' Anti-Malware
2008-12-28 14:48 . 2008-12-03 19:59 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-28 14:48 . 2008-12-03 19:59 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-28 01:56 . 2008-12-28 01:56 107,888 --a------ c:\windows\system32\CmdLineExt.dll
2008-12-28 01:34 . 2008-12-28 01:34 <DIR> d-------- c:\windows\system32\xlive
2008-12-28 01:34 . 2008-12-28 01:35 <DIR> d-------- c:\arquivos de programas\Microsoft Games for Windows - LIVE
2008-12-28 01:28 . 2008-12-28 01:28 <DIR> d-------- c:\arquivos de programas\Rockstar Games
2008-12-28 00:21 . 2008-12-28 00:21 <DIR> d-------- c:\arquivos de programas\Trend Micro
2008-12-27 23:16 . 2008-12-27 23:16 <DIR> d-------- c:\arquivos de programas\CCleaner
2008-12-27 14:38 . 2008-12-27 14:38 <DIR> d-------- c:\arquivos de programas\MSBuild
2008-12-27 14:37 . 2008-12-27 14:37 <DIR> d-------- c:\windows\system32\XPSViewer
2008-12-27 14:36 . 2008-12-27 14:36 <DIR> d-------- c:\arquivos de programas\Reference Assemblies
2008-12-27 14:36 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll
2008-12-23 03:47 . 2008-12-23 23:01 <DIR> d-------- C:\Fraps
2008-12-23 03:47 . 2008-12-23 23:02 <DIR> d-a------ c:\documents and settings\All Users\Dados de aplicativos\TEMP
2008-12-19 21:30 . 2008-12-19 21:30 81,920 --a------ c:\windows\system32\frapsvid.dll
2008-12-16 13:53 . 2008-12-16 13:53 <DIR> d-------- c:\documents and settings\Usuario\Dados de aplicativos\Shareaza
2008-12-16 13:53 . 2008-12-16 13:53 <DIR> d-------- c:\arquivos de programas\Shareaza
2008-12-11 21:58 . 2008-12-11 21:58 <DIR> d-------- c:\documents and settings\Usuario\workspace
2008-12-11 21:50 . 2008-12-11 21:50 <DIR> d-------- C:\MinGW
2008-12-07 23:00 . 2008-12-07 23:00 <DIR> d-------- c:\arquivos de programas\Real Alternative
2008-12-07 22:08 . 2008-12-07 22:08 <DIR> d-------- c:\windows\WinAVI Video Converter 9.0
2008-12-07 21:55 . 2008-12-09 01:05 <DIR> d-------- C:\Temp
2008-12-07 21:54 . 2008-12-07 21:54 <DIR> d-------- c:\arquivos de programas\Witcobber

.
((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-28 03:28 --------- d--h--w c:\arquivos de programas\InstallShield Installation Information
2008-12-28 00:28 --------- d-----w c:\documents and settings\Usuario\Dados de aplicativos\Azureus
2008-12-27 16:11 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Codemasters
2008-12-24 03:13 --------- d-----w c:\arquivos de programas\SpeedFan
2008-11-26 01:35 --------- d-----w c:\arquivos de programas\Sony
2008-11-26 01:21 --------- d-----w c:\arquivos de programas\Sony Setup
2008-11-23 20:43 --------- d-----w c:\arquivos de programas\Arquivos comuns\Adobe
2008-11-23 10:40 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Apple Computer
2008-11-21 10:11 --------- d-----w c:\arquivos de programas\Vuze
2008-11-20 10:53 --------- d-----w c:\arquivos de programas\Google
2008-11-18 21:17 --------- d-----w c:\documents and settings\Usuario\Dados de aplicativos\HPAppData
2008-11-18 21:17 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\HPSSUPPLY
2008-11-18 21:17 --------- d-----w c:\arquivos de programas\HP
2008-11-18 21:16 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\HP Product Assistant
2008-11-18 21:07 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\HP
2008-11-17 02:54 47,360 ----a-w c:\documents and settings\Usuario\Dados de aplicativos\pcouffin.sys
2008-11-17 02:54 --------- d-----w c:\documents and settings\Usuario\Dados de aplicativos\Vso
2008-11-17 02:40 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\vsosdk
2008-11-17 00:56 47,360 ----a-w c:\windows\system32\drivers\pcouffin.sys
2008-11-16 06:20 --------- d-----w c:\arquivos de programas\URUSoft
2008-11-15 23:12 --------- d-----w c:\documents and settings\Usuario\Dados de aplicativos\Apple Computer
2008-11-15 16:28 --------- d--h--r c:\documents and settings\Usuario\Dados de aplicativos\SecuROM
2008-11-15 16:24 22,328 ----a-w c:\documents and settings\Usuario\Dados de aplicativos\PnkBstrK.sys
2008-11-13 05:00 --------- d-----w c:\arquivos de programas\MSXML 4.0
2008-11-09 06:14 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Trymedia
2008-11-08 23:28 --------- d-----w c:\documents and settings\Usuario\Dados de aplicativos\uTorrent
2008-11-07 13:08 444,952 ----a-w c:\windows\system32\wrap_oal.dll
2008-11-07 13:08 109,080 ----a-w c:\windows\system32\OpenAL32.dll
2008-11-07 13:08 --------- d-----w c:\arquivos de programas\OpenAL
2008-11-01 18:17 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Azureus
2008-10-30 15:49 --------- d-----w c:\documents and settings\Usuario\Dados de aplicativos\Talkback
2008-10-28 19:41 14,303,392 ----a-w c:\windows\system32\xlive.dll
2008-10-28 19:41 13,643,936 ----a-w c:\windows\system32\xlivefnt.dll
2008-10-23 12:37 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-17 21:46 720,896 ----a-w c:\windows\iun6002ev.exe
2008-10-16 16:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 16:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 16:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 16:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 16:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 16:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 16:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 16:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 01:02 668,160 ----a-w c:\windows\system32\wininet.dll
2008-10-03 10:04 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-09-30 18:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-12-19 03:25 67,688 ----a-w c:\arquivos de programas\mozilla firefox\components\jar50.dll
2008-12-19 03:25 54,368 ----a-w c:\arquivos de programas\mozilla firefox\components\jsd3250.dll
2008-12-19 03:25 34,944 ----a-w c:\arquivos de programas\mozilla firefox\components\myspell.dll
2008-12-19 03:25 46,712 ----a-w c:\arquivos de programas\mozilla firefox\components\spellchk.dll
2008-12-19 03:25 172,136 ----a-w c:\arquivos de programas\mozilla firefox\components\xpinstal.dll
.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por defeito não são mostradas.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe" [2007-06-01 153136]
"RGSC"="c:\arquivos de programas\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe" [2008-12-28 306088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-09 8429568]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-06-09 81920]
"NeroFilterCheck"="c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"BigDog303"="c:\windows\VM303_STI.EXE" [2005-10-25 61440]
"egui"="c:\arquivos de programas\ESET\ESET Smart Security\egui.exe" [2007-12-21 1443072]
"HP Software Update"="c:\arquivos de programas\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 49152]
"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"nwiz"="nwiz.exe" [2007-06-09 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\
HP Digital Imaging Monitor.lnk - c:\arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe [2007-03-11 210520]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=emwpqq.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Adobe Gamma Loader.lnk]
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^HP Digital Imaging Monitor.lnk]
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Real Desktop
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RGSC

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2008-04-14 00:20 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-06-10 05:27 144784 c:\arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
-r------- 2005-05-03 08:43 69632 c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
-r------- 2007-04-10 05:28 16126464 c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-r------- 2007-04-04 07:22 1822720 c:\windows\SkyTel.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Documents and Settings\\All Users\\Dados de aplicativos\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 2009\\English\\setup.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe"=
"c:\\Arquivos de programas\\MSN Messenger\\livecall.exe"=
"c:\\Valve\\steamapps\\scorpion9089\\counter-strike\\hl.exe"=
"e:\\+Programas +Jogos +Filmes\\Jogos\\PES 2009 - Completo\\pes 2009.exe"=
"c:\\Arquivos de programas\\Vuze\\Azureus.exe"=
"c:\\Arquivos de programas\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"c:\\Arquivos de programas\\Rockstar Games\\Grand Theft Auto IV\\LaunchGTAIV.exe"=

R2 ekrn;Eset Service;"c:\arquivos de programas\ESET\ESET Smart Security\ekrn.exe" [2007-12-21 468224]
R3 AtcL002;NDIS Miniport Driver for Atheros L2 Fast Ethernet Controller;c:\windows\system32\DRIVERS\l251x86.sys [2002-02-05 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

*Newly Created Service* - PROCEXP90
.
- - - - ORFÃOS REMOVIDOS - - - -

MSConfigStartUp-60ff53ad - c:\windows\system32\clomxwaw.dll

.
------- Scan Suplementar -------
.
uStart Page = hxxp://www.uol.com.br/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Usuario\Dados de aplicativos\Mozilla\Firefox\Profiles\6zanoif6.default\
FF - prefs.js: browser.startup.homepage - Globo.com - Absolutamente tudo sobre esportes, notÃ*cias, entretenimento e vÃ*deos
FF - component: c:\arquivos de programas\Mozilla Firefox\extensions\talkback@mozilla.org\components\qfaservices.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-28 18:51:56
Windows 5.1.2600 Service Pack 3 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
BigDog303 = c:\windows\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)????????????????0?????????@??????????????

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso
arquivos/ficheiros ocultos: 0

**************************************************************************
.
Tempo para conclusão: 2008-12-28 18:52:36
ComboFix-quarantined-files.txt 2008-12-28 20:52:19

Pré-execução: 5.551.890.432 bytes disponíveis
Pós execução: 6,032,289,792 bytes disponíveis

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

190 --- E O F --- 2008-12-19 05:00:43

Ai está...

Pelo visto aqui, os problemas já se acabaram...
Mas vamos continuar né?

Edit:
Se precisar vou colocar também o novo Log do hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:01:23, on 28/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\VM303_STI.EXE
C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe
C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexStoreSvr.exe
C:\Arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Arquivos de programas\ESET\ESET Smart Security\ekrn.exe
C:\WINDOWS\explorer.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uol.com.br/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Arquivos de programas\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKLM\..\Run: [egui] "C:\Arquivos de programas\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [RGSC] C:\Arquivos de programas\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Livro de recortes HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Arquivos de programas\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Seleção HP Smart - {700259D7-1666-479a-93B1-3250410481E8} - C:\Arquivos de programas\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=23100
O20 - AppInit_DLLs: emwpqq.dll
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Arquivos de programas\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Arquivos de programas\ESET\ESET Smart Security\ekrn.exe
O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5409 bytes

Remoção de vírus

Malware Removal

Ou não

Malware Removal

Misterioso "D"

Misterioso "D"

Malware Removal

Ou não

Malware Removal

Night Danger

Ou não

Profissional de T.I

Night Danger

Member

Attachments

Member

mulher virtuosa kd vc?

Hungry Member

Member

Member

Malware Removal

Inimigo do Mauri

Member

Hungry Member

Malware Removal

Malware Removal

Hungry Member

Users who are viewing this thread