Remoção de vírus

Prontinho caro Mr. Wolf

Feito conforme solicitado, RHosts e logo depois HostsXpert e aqui o novo log do HijackThis. Prezado colega, se me permite tirar uma dúvida, gostaria de entender como você sabe fazer tudo isso, porque você é especialista na área, teve algum ensino para isso escola, curso, existe isso na internet para aprender? como sabe qual programa deve usar, qual vírus é, e aqueles códigos estranhos que passou a mim antes com os programas PsTools e Strings, além desses RHosts e HostsXpert que está sendo bastante usado pelo que percebi?

Eu entendo apenas de mapas, regiões, climas, tempos, resumindo geografia (risos). Isso tudo que você me manda fazer e esses logs para mim são gregos e árabes (risos).

Obrigado por tudo

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:31:55, on 17/4/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programas\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programas\Ficheiros comuns\EPSON\EBAPI\SAgent2.exe
C:\Programas\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Programas\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programas\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Programas\Java\jre6\bin\jusched.exe
C:\Programas\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programas\Internet Explorer\iexplore.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hiperligações
O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programas\Ficheiros comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programas\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programas\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programas\Google\GoogleToolbarNotifier\5.0.926. 3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programas\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O3 - Toolbar: Barra de Ferramentas do Yahoo! com bloqueador de pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programas\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programas\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programas\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programas\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programas\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programas\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WHITNEY_S2P] C:\Programas\Samsung\Samsung SCX-4x21 Series\PSU\Scan2pc.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [DGITAWSServiceController] "C:\Programas\Ficheiros comuns\Sage\2070\DGITAWS\DGITAServiceController.ex e"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programas\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [swg] C:\Programas\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programas\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ASUS] C:\WINDOWS\9112037.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIÇO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Serviço de rede')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programas\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: QuickTV.lnk = C:\Programas\AVerTV\QuickTV.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1131138641937
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1131154904984
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programas\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programas\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programas\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programas\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Sage DGITA - WebService Manager (DGITAWS) - Unknown owner - C:\Programas\Ficheiros comuns\Sage\2070\DGITAWS\DGITAService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programas\Ficheiros comuns\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programas\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programas\Java\jre6\bin\jqs.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 8156 bytes
 
Olá Mr Wolf!
Sou eu novamente com essas máquinas infestadas dessas praguinhas! :)
Vou postar um log do hijackthis daqui há pouco, é só a máquina conseguir entrar no windows, já que devido ao virus só consigo entrar em modo de segurança.
Tá travando geral quando entra normal!
Já já posto!

Log agora
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:35:31, on 17/4/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\HiJackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Arquivos de programas\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Arquivos de programas\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Arquivos de programas\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Arquivos de programas\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [egui] "C:\Arquivos de programas\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [GlobalFlagACER] C:\WINDOWS\system32\maindwxp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SysCom] C:\WINDOWS\system\msnmsgr.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [swg] C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Ferramenta de Verificação de Mídia do Picture Motion Browser.lnk = C:\Arquivos de programas\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: taskmanager.lnk = C:\WINDOWS\system32\taskmgr.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Arquivos de programas\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Arquivos de programas\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Arquivos de programas\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 4957 bytes

P.S.: Desinstalei o Avast e agora a máquina está entrando em modo normal. Provavelmente era esse o problema do travamento inicial pois tinha Avast e Eset Smart Security juntos. Nem sei porque o cara colocou o avast se ja tinha o ESET instalado, vai saber!?
 
rodrigo guedes disse:
Prezado colega, se me permite tirar uma dúvida, gostaria de entender como você sabe fazer tudo isso, porque você é especialista na área, teve algum ensino para isso escola, curso, existe isso na internet para aprender?
Clique para expandir...
Eu sou formado em Segurança e Sistema de Informação amigo Rodrigo. Também possuo diploma de curso técnico de programação e web design (que não cheguei a completar o curso). Mas não existe faculdade ou curso que ensine a analisar logs do HijackThis. Apenas em grupo de estudos em fóruns, ao qual já fui um aluno no fórum americano Bleeping Computer, que hoje sou coordenador e professor lá. Aqui no Brasil existem grupos de estudos para isso nos fóruns Linha Defensiva (onde também sou coordenador do grupo e analista) e Clube do Hardware.

como sabe qual programa deve usar, qual vírus é
Clique para expandir...
Aqui uma coisa leva à outra Rodrigo. Sabendo-se qual é o vírus, será mais fácil dizer qual ferramenta usar. Para descobrir de qual vírus se trata há diversos fatores, alguns complexos. Uma prestando atenção no relato do caso; Segundo vendo em qual entrada o vírus está no log e qual é o arquivo; Terceiro pesquisando. O problema é que pesquisar é, para mim particularmente, o último dos últimos recursos, pois o que muitos sites dizem não é 100%.

e aqueles códigos estranhos que passou a mim antes com os programas PsTools e Strings, além desses RHosts e HostsXpert que está sendo bastante usado pelo que percebi?
Clique para expandir...
O Trojan HOSTSButz, que é o que infectou sua máquina, modifica o arquivo hosts de seu sistema, acrescentado entradas totalmente falsas e estranhas, e o Rootkit que está carregado tem o poder de bloquear o acesso ao arquivo. Os códigos do Strings e PsTools foram para retirar o nível de payload que havia no rootkit e fazer com que ele não fosse mais carregado no trojan. Já o HostsXpert e RHosts servem para limpar o arquivo hosts da contaminação pelo trojan. :thumbs_up

Remover o Trojan HOSTSButz não é difícil. O problema é este rootkit carregado nele que complica e atrasa tudo!

Bom, continuando amigo Rodrigo...

- Faça o download do Malwarebytes Anti-Malware e salve-o no desktop;

● Dê dois cliques no programa para iniciar a instalação. Selecione o idioma Português (Brasil);
● Ao final da instalação, marque as opções "Atualizar Malwarebytes Anti-Malware" e "Executar Malwarebytes Anti-Malware", e clique em Concluir;
● Após a instalação execute o programa;
● Marque a opção Verificação Rápida e depois clique em Verificar;
● Quando o scan terminar, clique em OK e o log será automaticamente aberto para você;
● Se algo for detectado, verifique se todos os itens estão marcados e clique no botão Remover.
OBS: Caso apareça uma mensagem pedindo para que você reinicie o computador para completar o processo de remoção, reinicie-o imediatamente;
● O log pode ser consultado clicando em Logs do menu principal também;

Copie e cole o conteúdo desse log na sua próxima resposta, juntamente com um novo log do HijackThis.
 
luisednardo

- Faça o download do BankerFix e salve-o no desktop;

● Desabilite o seu antivírus temporariamente para não detectar a ferramenta como vírus;
● Dê um duplo clique em bankerfix.exe;
● Surgirá uma mensagem dizendo que o mesmo será baixado via internet;
● Clique em OK > OK. Tecle Enter e aguarde o término do scan;
● Terminado o scan, leia a mensagem na tela e tecle Enter novamente.
● Será gerado um log em C:\LinhaDefensiva\relatorio.txt.

Cole este log em sua próxima resposta, juntamente com um novo log do HijackThis.

Delete a pasta C:\LinhaDefensiva após colar seu log aqui.
 
Mr.Wolf disse:
luisednardo

- Faça o download do BankerFix e salve-o no desktop;

● Desabilite o seu antivírus temporariamente para não detectar a ferramenta como vírus;
● Dê um duplo clique em bankerfix.exe;
● Surgirá uma mensagem dizendo que o mesmo será baixado via internet;
● Clique em OK > OK. Tecle Enter e aguarde o término do scan;
● Terminado o scan, leia a mensagem na tela e tecle Enter novamente.
● Será gerado um log em C:\LinhaDefensiva\relatorio.txt.

Cole este log em sua próxima resposta, juntamente com um novo log do HijackThis.

Delete a pasta C:\LinhaDefensiva após colar seu log aqui.
Clique para expandir...

Mr Wolf,
O bankerfix não achou nada. É normal isso ou será que é algum banker novo?!
 
Não é normal não luisednardo, e não é novo o banker, é bem antigo inclusive, mas... acontece! Este banker é pego através de sites bancários falsos e/ou plugins instalados sem o conhecimento do usuário. Vamos lá luisednardo:

- Faça o download do KillBox crie uma pasta própria para a ferramenta em C: e salve-o dentro da pasta criada;

● Execute o KillBox e marque a opção Delete on Reboot;
● Selecione todo o texto aqui abaixo e copie-o (Ctrl + C):

C:\WINDOWS\system32\maindwxp.exe
C:\WINDOWS\system\msnmsgr.exe

● Volte ao KillBox, clique no menu File > Paste from Clipboard;
● Clique no botão All Files;
● Clique no botão
killbox.png
e ao ser perguntado Reboot Now? Diga Não!

● Execute o HijackThis e clique em Do a system scan only. Marque as entradas abaixo e clique no botão .

O4 - HKLM\..\Run: [GlobalFlagACER] C:\WINDOWS\system32\maindwxp.exe

O4 - HKLM\..\Run: [SysCom] C:\WINDOWS\system\msnmsgr.exe
Clique para expandir...
Reinicie o PC e poste um novo log.
 
Puxa Mr. Wolf muito obrigado por relatar sua trajetória aqui, é legal vermos quem entende assim compartilhar suas histórias de vida com a gente, e parabéns pelos cargos que ocupa como coordenador e professor dos fóruns todos, isso é motivo de orgulho e honra, quando eu me tornei professor de geografia fiquei numa satisfação que só vendo mesmo. Que bom que existem usuários avançados assim nos ajudando como você, obrigado por toda ajuda maravilhosa que está me dando aqui.

Agora convenhamos você poderia nos dar umas aulinhas aqui (risos). Eu não digo o mesmo pra mim porque acho que aqui ninguem ira querer aprender geografia né (risos). E eu preciso muito saber mais sobre segurança e questões de vírus assim.

Na sua opinião qual é o melhor antivirus prezado Mr. Wolf e qual o vírus mais avançado para que eu possa me previnir dele aqui?

Muito obrigado e depois desse discurso posto o log do programa Malwarebytes' Anti-Malware

Saudações colega, Rodrigo

Malwarebytes' Anti-Malware 1.36
Versão do banco de dados: 1992
Windows 5.1.2600 Service Pack 3

17/4/2009 02:59:01
mbam-log-2009-04-17 (03-00-01).txt

Tipo de Verificação: Rápida
Objetos verificados: 108961
Tempo decorrido: 33 minute(s), 37 second(s)

Processos da Memória infectados: 0
Módulos de Memória Infectados: 0
Chaves do Registro infectadas: 0
Valores do Registro infectados: 0
Ítens do Registro infectados: 0
Pastas infectadas: 2
Arquivos infectados: 10

Processos da Memória infectados:
(Nenhum ítem malicioso foi detectado)

Módulos de Memória Infectados:
(Nenhum ítem malicioso foi detectado)

Chaves do Registro infectadas:
(Nenhum ítem malicioso foi detectado)

Valores do Registro infectados:
(Nenhum ítem malicioso foi detectado)

Ítens do Registro infectados:
(Nenhum ítem malicioso foi detectado)

Pastas infectadas:
C:\WINDOWS\system32\hh (Trojan.Hostsbutz) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hj (Trojan.Hostsbutz) -> Quarantined and deleted successfully.

Arquivos infectados:
C:\Windows\System32\hyaunn (Trojan.Hostsbutz) -> Quarantined and deleted successfully.
C:\Documents and Settings\Rodrigo Guedes (GEO)\Local Settings\Temp\hpzasda213b (Trojan.Hostsbutz) -> Quarantined and deleted successfully.
C:\Documents and Settings\Rodrigo Guedes (GEO)\Local Settings\Temp\hpzasda3333 (Trojan.Hostsbutz) -> Quarantined and deleted successfully.
C:\Documents and Settings\Rodrigo Guedes (GEO)\Local Settings\Temp\hpzasda2728 (Trojan.Hostsbutz) -> Quarantined and deleted successfully.
C:\Documents and Settings\Rodrigo Guedes (GEO)\Local Settings\Temp\hpzasda14ra (Trojan.Hostsbutz) -> Quarantined and deleted successfully.
C:\Documents and Settings\Rodrigo Guedes (GEO)\Local Settings\Temp\Hujaçççç (Trojan.Hostsbutz) -> Quarantined and deleted successfully.
C:\Documents and Settings\Rodrigo Guedes (GEO)\Local Settings\Temp\aokmsju (Trojan.Hostsbutz) -> Quarantined and deleted successfully.
C:\Documents and Settings\Rodrigo Guedes (GEO)\Local Settings\Temp\juhuhuhu (Trojan.Hostsbutz) -> Quarantined and deleted successfully.
C:\Documents and Settings\Rodrigo Guedes (GEO)\Local Settings\Temp\kllllloa (Trojan.Hostsbutz) -> Quarantined and deleted successfully.
C:\Documents and Settings\Rodrigo Guedes (GEO)\Local Settings\Temp\poaioapo (Trojan.Hostsbutz) -> Quarantined and deleted successfully.
 
Rodrigo, abra o Malwarebytes e clique em Quarentena. Selecione todos os itens lá e clique no botão "Remover Tudo".

Por favor, poste um novo log do HijackThis.

OBS: Delete as ferramentas BFU, RHosts e HostsXpert.
 
Novo Log Mr Wolf
Será que saiu?
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:38:27, on 17/4/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe
C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Arquivos de programas\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe
C:\Arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
C:\Arquivos de programas\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HiJackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Arquivos de programas\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Arquivos de programas\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Arquivos de programas\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Arquivos de programas\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [swg] C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Ferramenta de Verificação de Mídia do Picture Motion Browser.lnk = C:\Arquivos de programas\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: taskmanager.lnk = C:\WINDOWS\system32\taskmgr.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Arquivos de programas\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 5359 bytes
 
Certo Mr. Wolf aqui está o novo log

Obrigado mais uma vez meu micro já está em perfeito estado

Saudações

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:48:32, on 17/4/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programas\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programas\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Programas\Java\jre6\bin\jusched.exe
C:\Programas\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programas\Internet Explorer\iexplore.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hiperligações
O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programas\Ficheiros comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programas\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programas\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programas\Google\GoogleToolbarNotifier\5.0.926. 3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programas\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O3 - Toolbar: Barra de Ferramentas do Yahoo! com bloqueador de pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programas\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programas\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programas\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programas\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programas\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programas\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WHITNEY_S2P] C:\Programas\Samsung\Samsung SCX-4x21 Series\PSU\Scan2pc.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [DGITAWSServiceController] "C:\Programas\Ficheiros comuns\Sage\2070\DGITAWS\DGITAServiceController.ex e"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programas\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [swg] C:\Programas\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programas\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ASUS] C:\WINDOWS\9112037.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIÇO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Serviço de rede')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programas\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: QuickTV.lnk = C:\Programas\AVerTV\QuickTV.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1131138641937
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1131154904984
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programas\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programas\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programas\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programas\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Sage DGITA - WebService Manager (DGITAWS) - Unknown owner - C:\Programas\Ficheiros comuns\Sage\2070\DGITAWS\DGITAService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programas\Ficheiros comuns\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programas\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programas\Java\jre6\bin\jqs.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 8156 bytes
 
Rodrigo, perdoe-me a distração em não ter respondido suas perguntas anteriores.

Na sua opinião qual é o melhor antivirus prezado Mr. Wolf e qual o vírus mais avançado para que eu possa me previnir dele aqui?
Clique para expandir...
Não existe um antivirus 100% Rodrigo. Aliás, o melhor é o próprio usuário. Seu antivirus não pode fazer milagres para proteger seu sistema. Mas antivirus que considero excelentes são: Kaspersky, NOD32, Avira e G-DATA.

Quanto ao vírus mais avançado, atualmente está sendo o Conficker. Está bem complicado removê-lo, até a Microsoft está orientando aos usuários que formatem o PC caso estejam infectados pelo worm. O modo para uma prevenção contra ele é deixar o sistema sempre atualizadíssimo, o antivirus também, utilizar um ótimo firewall, procurar não plugar pen drives de terceiros em sua máquina, até mesmo HD externos e outros, desativar o autorun do Windows, etc.

Seu log está limpo amigo Rodrigo :)

Mas uma pergunta: Por acaso quando o sistema inicia, aparece alguma mensagem de interface e configurações sobre sua placa-mãe ASUS?
 
luisednardo, há uma entrada oculta ainda no log que, creio eu, não ser nada, mas vamos averiguar.

Faça o download do DDS e salve no desktop.
http://download.bleepingcomputer.com/sUBs/dds.scr

- Desative os seus programas de proteção;
- Duplo clique em dds.scr.
- Irá surgir uma tela preta com algumas informações. Não clique em nada, apenas aguarde!
- Quando terminar, o DDS.txt irá abrir.
- Surgirá também uma nova caixa "D.D.S - Optional_Scan", clique em Sim.
- Uma nova janela do Bloco de Notas irá abrir com o log "Attach.txt".
- Uma caixa final irá surgir, clique em OK.
- Salve os resultados (DDS.txt e Attach.txt) e cole-os na sua próxima resposta.
 
Mr.Wolf disse:
luisednardo, há uma entrada oculta ainda no log que, creio eu, não ser nada, mas vamos averiguar.

Faça o download do DDS e salve no desktop.
http://download.bleepingcomputer.com/sUBs/dds.scr

- Desative os seus programas de proteção;
- Duplo clique em dds.scr.
- Irá surgir uma tela preta com algumas informações. Não clique em nada, apenas aguarde!
- Quando terminar, o DDS.txt irá abrir.
- Surgirá também uma nova caixa "D.D.S - Optional_Scan", clique em Sim.
- Uma nova janela do Bloco de Notas irá abrir com o log "Attach.txt".
- Uma caixa final irá surgir, clique em OK.
- Salve os resultados (DDS.txt e Attach.txt) e cole-os na sua próxima resposta.
Clique para expandir...

Ok. Arquivos em anexo
 

Attachments

  • DDS.txt
    6.9 KB · Visitas: 119
  • Attach.txt
    7.3 KB · Visitas: 200
Prezado Mr. Wolf

Não se perdoe não fiquei ofendido em não ter respondido, jamais. Ao contrário obrigado pelas prontas respostas e pronta ajuda também que foi rápida, excelente e só merece elogios. Então o avast não se enquadra em sua opinião de melhores Antivirus? (risos). Já me falaram sobre esse tal avira, meu filho usa ele mas é pirateado e não gosto disso, prefiro usar soluções gratuitas do que piratear.

Em respeito ao confiker acho que então estou bem protegido, meu windows atualiza certinho, o avast depois que voce começou me ajudar esta atualizando toda hora, eu não coloco pendrivers de outras pessoas em meu micro, agora só esse tal autorun que estou confuso, como eu o desativo ou já vem desativado??

Em respeito a mensagem sobre a asus minha aqui realmente ocorre uma mensagem para mim configurar alguma coisa quando eu ligo o micro, mas as vezes aparece e as vezes não, dai só dou um ok e fecha rapidinho e as vezes fecha sozinho a mensagem. Pensei que não era vírus, tenho que tirar essa mensagem??

Muito obrigado mesmo pela ajuda caro Mr. Wolf foi valoroza e sensacional, parabéns pelo trabalho exposto aqui.

Saudações, Rodrigo
 
Ok, luisednardo, nada errado. A entrada oculta é referente ao Avira, não sei porquê está ocultada, mas tudo bem!

Os logs estão limpos luisednardo :)

Delete as pastas do KillBox em C: e a ferramenta também.
 
rodrigo guedes disse:
agora só esse tal autorun que estou confuso, como eu o desativo ou já vem desativado??
Clique para expandir...
Instale esta atualização abaixo amigo Rodrigo:
http://www.microsoft.com/downloads/...e3-7814-47c5-849e-e64ecfb35d74&displaylang=en :thumbs_up

Em respeito a mensagem sobre a asus minha aqui realmente ocorre uma mensagem para mim configurar alguma coisa quando eu ligo o micro, mas as vezes aparece e as vezes não, dai só dou um ok e fecha rapidinho e as vezes fecha sozinho a mensagem. Pensei que não era vírus, tenho que tirar essa mensagem??
Clique para expandir...
Acalme-se, não é vírus não amigo.

Esta mensagem está aparecendo porque o arquivo de configurações da interface gráfica da ASUS (9112037.exe) está inicializando com seu sistema. Vá em Iniciar > Executar, digite msconfig e dê um OK. Clique na aba Inicializar e desmarque o item ASUS > OK. Reinicie o PC e veja se a mensagem sumiu.

Este arquivo é colocado na inicialização por causa de alguns modelos da ASUS que exigem configuração de interface e etc. Besteira... :)
 
Mr.Wolf disse:
Ok, luisednardo, nada errado. A entrada oculta é referente ao Avira, não sei porquê está ocultada, mas tudo bem!

Os logs estão limpos luisednardo :)

Delete as pastas do KillBox em C: e a ferramenta também.
Clique para expandir...

Ok Mr Wolf, ainda bem que dessa vez foi simples!
Muitíssimo Obrigado mesmo pela ajuda. Amanhã te perturbarei de novo com outro log.
Abração e Fique com Deus!
 
Prezado Mr. Wolf

Que ótimo não ver mais aquela mensagem chata, seu procedimento foi tiro e queda aqui, não apareceu mais a mensagem. Já pensei que era outro vírus (risos).

Olha Mr. Wolf sua ajuda e ter te conhecido foi uma benção para mim, de verdade, pessoas como você conheço poucas. Já participei de um fórum chamado guia do hardware e fui muito mal recebido e atendido lá, não gostei mesmo. Aqui o tratamento foi completamente o oposto, você me recebeu muito bem e me ajudou dispostamente e com vontade. Muito obrigado meu caro, de coração. O que puder fazer para retribuir esta ajuda farei pode ter certeza.

Que deus lhe abençoe e te dê saúde sempre, lhe de vontade para manter sempre este seu profissionalismo ótimo, e parabéns por ele. A partir daqui estou começando a me interessar por esses assuntos envolvendo vírus e tudo isso que acho complicado mas nunca é tarde né (risos).

Só uma dúvida caro e colega Mr. Wolf, será que posso fazer um log do micro do meu filho e da minha mulher e postá-los aqui para que você de uma olhada?? É só porque aqui compartilhamos internet e arquivos e não sei se isso interfere em algo, se os vírus podem passar através de recursos assim.

Obrigado por toda atenção e pela maravilhosa ajuda

Saudações, Rodrigo Guedes
 
Bom dia!

Fiz o Combofix por orientação de uma pessoa do pcfórum....

Gostaria que vc não ficasse aborrecido de eu estar em dois fóruns:cry:, pq tudo que eu queria era resolver o meu problema....mas o fato é que eu não estou entendendo mais nada, e o pior não sei se a minha maquina tá ok....:eek:hmy:

Seguem os log's

Ver anexo 116324

Ver anexo 116325

Ver anexo 116326

Ver anexo 116327


Depois disso fui orientada a instalar o malwarebytes:

Ver anexo 116328

Estou muito confusa diante de tantos pocedimentos, tantos log's.....
Pq tenho muitas dúvidas....Vc poderia fazer a gentileza de me esclarecer?:slap::fist::confused:

1)Devo excluir a instalação do ComboFix? Achei estranho pq o avira captou alguma coisa dele com vírus e colocou na quarantina:

tela avira.jpg

2)Nooossa!!!! que lista imensa do combo fix!!!! Como eu peguei tanta infecção se tenho o avira? ele falhou?

3) Qual era o vírus que estava no Pc?

4) existe algum programa mais"ligth" que o Combo que eu poderia usar 1X por mês por precação? Tenho o Hijack, mas quando ele faz aquele relatório de vistoria, não entendo absolutamente nada.....

Muito grata pela sua atenção Mr. Wolf:yes:, estou certa que o sr. continuará me ajudando....
 
Mr. Wolf, não estou conseguido anexar o arquivo.... vou copiar aqui:

OT MoveIt:
========== PROCESSES ==========
Unable to kill process: explorer.exe
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\MSServer deleted successfully.
========== FILES ==========
File/Folder C:\Users\Thiago\AppData\Local\Temp\jkKASlJC.dll not found.
========== COMMANDS ==========
File delete failed. C:\Users\Thiago\AppData\Local\Temp\fccaAsPi.dll scheduled to be deleted on reboot.
File delete failed. C:\Users\Thiago\AppData\Local\Temp\qoMdDvsQ.dll scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
Windows Temp folder emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 04172009_131514


HiJackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:33:46, on 07/04/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\fraps\fraps.exe
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Program Files (x86)\Internet Explorer\ieuser.exe
C:\Program Files (x86)\DAEMON Tools Pro\DTProAgent.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
C:\Program Files (x86)\DAEMON Tools Pro\DTProShellHlp.exe
C:\Program Files (x86)\PowerISO\PWRISOVM.EXE
C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\ZSSnp211.exe
C:\Windows\Domino.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Windows\SysWOW64\rundll32.exe
C:\Windows\SysWOW64\conime.exe
C:\Users\Thiago\Desktop\RSIT.exe
C:\Program Files (x86)\Trend Micro\HijackThis\Thiago.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe"
O4 - HKLM\..\Run: [SoundTray] "C:\Program Files (x86)\Analog Devices\SoundMAX\SoundTray.exe"
O4 - HKLM\..\Run: [PWRISOVM.EXE] "C:\Program Files (x86)\PowerISO\PWRISOVM.EXE"
O4 - HKLM\..\Run: [BigDogPath] "C:\Windows\ZSSnp211.exe"
O4 - HKLM\..\Run: [Domino] "C:\Windows\Domino.exe"
O4 - HKLM\..\Run: [MMTray] "C:\Windows\system32\MMTray.exe"
O4 - HKLM\..\Run: [avast!] "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [Ad-Watch] "C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWTray.exe"
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files (x86)\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [WindowsWelcomeCenter] "C:\Windows\system32\rundll32.exe" oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [ehTray.exe] "C:\Windows\ehome\ehTray.exe"
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files (x86)\DAEMON Tools Pro\DTProAgent.exe" -autorun
O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\Thiago\AppData\Local\Temp\jkKASlJC.dll,#1
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files (x86)\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files (x86)\Java\jre1.5.0_03\bin\npjpi150_03.dll
O13 - Gopher Prefix:
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5_0_03-windows-i586.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Unknown owner - C:\Windows\system32\AEADISRV.EXE (file missing)
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. (www.webroot.com) - C:\Program Files (x86)\Webroot\Spy Sweeper\SpySweeper.exe
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: WMPNetworkSvc - Unknown owner - (no file)

--
End of file - 7926 bytes


Abs
 
vimed disse:
Bom dia!

Fiz o Combofix por orientação de uma pessoa do pcfórum....

Gostaria que vc não ficasse aborrecido de eu estar em dois fóruns:cry:, pq tudo que eu queria era resolver o meu problema....mas o fato é que eu não estou entendendo mais nada, e o pior não sei se a minha maquina tá ok....:eek:hmy:
Clique para expandir...
Amiga vimed, não fico aborrecido em ter dois tópicos em fóruns diferentes, não aconselho isso apenas. Pois atrapalha quem estiver ajudando, por exemplo: Às vezes eu passo uma ferramenta aqui e o outro user do PC Fórum passa outra que acaba "embaralhando" os arquivos em seu sistema e assim atrapalhando a limpeza e resolução do problema mais rapidamente.
Apesar de que no fórum PC Fórum, o user lhe indicou o ComboFix e a ferramenta removeu um arquivo legítmo (o gerenciador de downloads FlashGet) de seu PC e ele nem se quer tomou uma atitude para restaurar o programa. Mas enfim...

1)Devo excluir a instalação do ComboFix? Achei estranho pq o avira captou alguma coisa dele com vírus e colocou na quarantina:
Clique para expandir...
Não se preocupe. O ComboFix é 100% seguro. Todos os antivirus o detectam como vírus mesmo, pelo fato dele carregar scripts de remoção, e antivirus possuem bloqueadores de scripts. Portanto é o que chamamos de falso-positivo (detecção errônea) dos antivirus. Por isso deve-se, antes de rodar o ComboFix, desativar seu antivirus e anti-spyware para que este ocorrido não aconteça.

2)Nooossa!!!! que lista imensa do combo fix!!!! Como eu peguei tanta infecção se tenho o avira? ele falhou?
Clique para expandir...
Amigo vimed, você pode ter qualquer antivirus do mundo, o melhor... Ele não pegará TUDO! Seja Avira, Kaspersky, NOD32 ou qual for. Nenhum antivirus é 100% eficaz. E lembre-se do que eu falei acima: A maior parte dos arquivos removidos pelo ComboFix NÃO SÃO VÍRUS. São do FlashGet. Portanto, seu PC não estava tão lotado assim de vírus.

3) Qual era o vírus que estava no Pc?
Clique para expandir...
Haviam Backdoor.Agent's, Trojans-Downloaders.WE e um Rootkit.CarQ, pelo que vi em seu tópico no PC Fórum. Não são vírus difíceis de rmeover. Nem necessitava de ComboFix na verdade.

4) existe algum programa mais"ligth" que o Combo que eu poderia usar 1X por mês por precação? Tenho o Hijack, mas quando ele faz aquele relatório de vistoria, não entendo absolutamente nada.....
Clique para expandir...
Malwarebytes' Anti-Malware você pode utilizá-lo quando quiser, semanalmente, mensalmente, diariamente... Outra ferramenta excelente de se utilizar é o Kaspersky AVP Tool da Kaspersky para uma vistoria mensal também.

Uma coisa que sempre aconselho: Faça, mensalmente ou semanalmente (ou como queia), um scan online com um antivirus diferente do seu. Exemplo: Kaspersky Online Scanner, ESET NOD32 Online Scanner, BitDefender Online, Trend Micro Housecall, eTrust Online Scanner. Pois cada antivirus é diferente, um detecta coisas que outro não detecta e vice-versa. É assim com todos os produtos antivirus. E quanto mais diverso for a vasculha por vírus, será mais seguro saber se o PC está ou não realmente limpo. :thumbs_up

OBS: Não consegui acessar aos anexos que postou vimed. Peço que upe-os no host abaixo:
http://rapidshare.com/

__________________________________________


Postado originalmente por rodrigo guedes
viewpost.gif

Só uma dúvida caro e colega Mr. Wolf, será que posso fazer um log do micro do meu filho e da minha mulher e postá-los aqui para que você de uma olhada?? É só porque aqui compartilhamos internet e arquivos e não sei se isso interfere em algo, se os vírus podem passar através de recursos assim.
Clique para expandir...
A infecção que havia em seu sistema não contamina compartilhamentos não amigo Rodrigo.

Mas claro que pode postar os logs de seu filho e sua esposa aqui. :thumbs_up
 
tfarina, siga as instruções abaixo:

Baixe o ATF-Cleaner e salve no desktop;
Duplo clique na ferramenta e marque a opção Select All. Clique no botão Empty Selected > OK. Clique em Exit para sair.

- Faça o download do Avenger e salve-o no desktop;

● Extraia o conteúdo do zip para o desktop;
● Selecione e copie o texto aqui abaixo:

Files to delete:
C:\Users\Thiago\AppData\Local\Temp\jkKASlJC.dll
Clique para expandir...

● Execute o programa Avenger, dando dois cliques em avenger.exe;
● Clique no menu Load Script > Paste from Clipboard;
● Clique no botão Execute > Yes > OK;
● Seu computador será reiniciado;
● Será gerado um log em C:\avenger.txt

Cole este log em sua próxima resposta.

Execute o HijackThis e clique em Do a system scan only. Marque a entrada abaixo e clique em Fix Checked.

O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\Thiago\AppData\Local\Temp\jkKASlJC.dll,#1
Clique para expandir...
Cole os logs do Avenger e HijackThis em sua próxima resposta.
 
Mr.Wolf disse:
Olá pessoal!


Amigo Paradise Lost, pode remover todos os itens da quarentena do Malwarebytes. Seu log ainda possui duas entradas indeterminadas, vamos ver isto. Siga a instrução do spoiler abaixo Paradise:

Faça o download do OTListIt2 e salve-o no desktop;

● Dê um duplo clique em OTListIt2.exe para executá-lo;
● Marque a opção Scan All Users e no item "File Age" coloque a opção 90 Days;
● Clique no botão
runscanbutton.png
e aguarde o scan;
● Dois logs serão gerados no Bloco de Notas:

- OTListIt.txt <- este será aberto
- Extra.txt <- este estará minimizado

Anexe-os em sua próxima resposta.
Clique para expandir...

fiz o scan pelo OTListIt2, e os Logs foram:
 

Attachments

  • OTListIt.Txt
    112.4 KB · Visitas: 52
  • Extras.Txt
    33.5 KB · Visitas: 130
Mr.Wolf disse:
tfarina, siga as instruções abaixo:

Baixe o ATF-Cleaner e salve no desktop;
Duplo clique na ferramenta e marque a opção Select All. Clique no botão Empty Selected > OK. Clique em Exit para sair.

- Faça o download do Avenger e salve-o no desktop;

● Extraia o conteúdo do zip para o desktop;
● Selecione e copie o texto aqui abaixo:



● Execute o programa Avenger, dando dois cliques em avenger.exe;
● Clique no menu Load Script > Paste from Clipboard;
● Clique no botão Execute > Yes > OK;
● Seu computador será reiniciado;
● Será gerado um log em C:\avenger.txt

Cole este log em sua próxima resposta.

Execute o HijackThis e clique em Do a system scan only. Marque a entrada abaixo e clique em Fix Checked.

Cole os logs do Avenger e HijackThis em sua próxima resposta.
Clique para expandir...


Mr. Wolf, não está dando certo, apareceu a seguinte mensagem quando rodo o Avenger.exe:

Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


De qualquer forma, estou enviando outro log do Hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:33:46, on 07/04/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\fraps\fraps.exe
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Program Files (x86)\Internet Explorer\ieuser.exe
C:\Program Files (x86)\DAEMON Tools Pro\DTProAgent.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
C:\Program Files (x86)\DAEMON Tools Pro\DTProShellHlp.exe
C:\Program Files (x86)\PowerISO\PWRISOVM.EXE
C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\ZSSnp211.exe
C:\Windows\Domino.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Windows\SysWOW64\rundll32.exe
C:\Windows\SysWOW64\conime.exe
C:\Users\Thiago\Desktop\RSIT.exe
C:\Program Files (x86)\Trend Micro\HijackThis\Thiago.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe"
O4 - HKLM\..\Run: [SoundTray] "C:\Program Files (x86)\Analog Devices\SoundMAX\SoundTray.exe"
O4 - HKLM\..\Run: [PWRISOVM.EXE] "C:\Program Files (x86)\PowerISO\PWRISOVM.EXE"
O4 - HKLM\..\Run: [BigDogPath] "C:\Windows\ZSSnp211.exe"
O4 - HKLM\..\Run: [Domino] "C:\Windows\Domino.exe"
O4 - HKLM\..\Run: [MMTray] "C:\Windows\system32\MMTray.exe"
O4 - HKLM\..\Run: [avast!] "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [Ad-Watch] "C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWTray.exe"
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files (x86)\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [WindowsWelcomeCenter] "C:\Windows\system32\rundll32.exe" oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [ehTray.exe] "C:\Windows\ehome\ehTray.exe"
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files (x86)\DAEMON Tools Pro\DTProAgent.exe" -autorun
O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\Thiago\AppData\Local\Temp\jkKASlJC.dll,#1
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files (x86)\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files (x86)\Java\jre1.5.0_03\bin\npjpi150_03.dll
O13 - Gopher Prefix:
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5_0_03-windows-i586.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Unknown owner - C:\Windows\system32\AEADISRV.EXE (file missing)
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. (www.webroot.com) - C:\Program Files (x86)\Webroot\Spy Sweeper\SpySweeper.exe
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: WMPNetworkSvc - Unknown owner - (no file)

--
End of file - 7926 bytes
 
Você deve fazer login ou se registrar para responder aqui.

Users who are viewing this thread

Total: 6 (membros: 0, visitantes: 6)
Voltar
Topo