Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Entre para seguir isso  
laise51

Rootkit e varios danos

Recommended Posts

Caros Amigos, sou uma senhora que entende um pouco de computadores etc, porisso confio na ajuda de vocês pois este site me foi recomendado por sua credibilidade.

Há 1 mês venho notando diversos comportamentos estranhos no PC, cada dia que ligo o micro uma novidade aparece e suponho ser ação de um Rootkit pois pelas analises de todos os antivírus que já passei, é dele toda as alterações relatadas abaixo:

PROBLEMAS ENCONTRADOS

* O micro alem de desativar o firewall sozinho ainda está colocando inúmeras exceções sendo que estou excluindo todas a cada vez que aparecem

* Sempre que estou navegando ou ate mesmo sem me conectar (so trabalhando) aparece uma msg de erro na tela assim: GENERIC HOST PROCESS FOR WIN 32 SERVICES encontrou um problema e sera fechado. Daí corta minha conexão com a net, caso eu esteja nela e trava todo o PC, sem ao menos eu conseguir ate reiniciar o PC, so aceita se eu for no botão da CPU

As vezes não aparece essa msg mas meu micro fica estranho e trava o que estou fazendo, se eu dou um Ctrl + Alt+ Del no gerenciador aparecem vários processos do Iexplore.exe ( sem o R mesmo) ou Explorer.exe. o estranho é que não uso o IntExplorer, so está em uso o Firefox.

* Algumas vezes a aparência do meu PC mudou de cor e formato rapidamente e voltou a original do XP.

* Micro as vezes reiniciando sozinho

* Toda hora aparece a msg na tela : DLLRegister Server em jscript.dll teve êxito ( nem imagino o que seja isso..rs)

* Todas as vezes que vou desligar o micro, o explorer.exe não está finalizando sozinho, e aparece aquele icone que o o programa está sendo finalizado.

TENTATIVAS DE SOLUÇÕES JÁ EFETUADAS:

• Já usei o KASPERSKY VIRUS REMOVAL TOOL mas ele encontra o vírus e ao deleta-lo trava tudo, o sistema fica muito lento e não remove nada.

• Uso sempre o Malwarebytes Anti-Malware e ele também na Verificação Rápida encontra “ Rootkit.Agent “ onde diz que será deletado ao reiniciar mas não deleta, ao verificar novamente la está essa praga la;

• Na analise do CCleaner o meu IE está em atividade gerando cookies, arquivos temporarios etc sendo que NÃO utilizo esse navegador ( uso o Firefox), tentei bloquear e alterar os níveis de segurança para Maximo no navegador mas de nada adiantou. Toda hora eu limpo tudo com o CCleaner.

• Desabilitei toda a inicialização no Windows

• Programas que utilizo sempre e não está adiantando nada: Advanced Systemcare + CCleaner + Malwarebytes Anti-Malware

OBS: NÃO CONSEGUIREI FAZER A ANALISE COM O GMER POIS LI QUE TODOS OS PROGRAMAS PRECISAM SER FECHADOS E MEU IE FICA RODANDO SOZINHO, COMO FAÇO?

ABAIXO SEGUE o log do DDs.txt

DDS (Ver_10-12-12.02) - NTFSx86

Run by Laise at 17:24:57,35 on s*b 18/12/2010

Internet Explorer: 8.0.6001.18702

Microsoft Windows XP Home Edition 5.1.2600.3.1252.55.1046.18.991.545 [GMT -2:00]

AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}

============== Running Processes ===============

C:\ARQUIV~1\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\svchost -k DcomLaunch

C:\WINDOWS\system32\svchost -k rpcss

C:\WINDOWS\System32\svchost.exe -k netsvcs

C:\WINDOWS\system32\svchost.exe -k NetworkService

C:\WINDOWS\system32\svchost.exe -k LocalService

C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Arquivos de programas\Alwil Software\Avast5\avastUI.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\svchost.exe -k LocalService

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Laise\Desktop\dds.scr

C:\WINDOWS\system32\wbem\wmiprvse.exe

============== Pseudo HJT Report ===============

uStart Page = hxxp://www.google.com/

BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\arquivos de programas\arquivos comuns\adobe\acrobat\activex\AcroIEHelperShim.dll

BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File

BHO: : {701dc233-bda2-4290-86cb-da98920c94b3} - c:\windows\system32\alk23.dll

BHO: Auxiliar de Conexão do Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\arquivos de programas\arquivos comuns\microsoft shared\windows live\WindowsLiveLogin.dll

BHO: GbIehObj Class: {c41a1c0e-ea6c-11d4-b1b8-444553540000} - c:\arquivos de programas\gbplugin\gbieh.dll

BHO: GbIehObj Class: {c41a1c0e-ea6c-11d4-b1b8-444553540007} - c:\arquiv~1\gbplugin\gbiehAbn.dll

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\arquivos de programas\java\jre6\bin\jp2ssv.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\arquivos de programas\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe

mRun: [avast5] "c:\arquivos de programas\alwil software\avast5\avastUI.exe" /nogui

mRun: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

IE: {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\arquivos de programas\messenger\msmsgs.exe

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\arquiv~1\micros~3\office11\REFIEBAR.DLL

Trusted Zone: bancobrasil.com.br\www

Trusted Zone: bancobrasil.com.br\www14

Trusted Zone: bancobrasil.com.br\www2

Trusted Zone: bancoreal.com.br\www

Trusted Zone: bb.com.br\www

Trusted Zone: realsecureweb.com.br\www

Trusted Zone: realsecureweb.com.br\www2

Trusted Zone: realsecureweb.com.br\wwws

Trusted Zone: santander.com.br\www

Trusted Zone: santandernet.com.br\www

Trusted Zone: secureweb.com.br\www

DPF: {166B1BCA-3F9C-11CF-8075-444553540000} - hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab

DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos/OnlineScanner.cab

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} - hxxps://www14.bancobrasil.com.br/plugin/GbpDist.cab

DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} - hxxps://wwws.realsecureweb.com.br/mpr/plugin/Cab/GbPluginABN.cab

TCP: {79120533-C033-407D-992A-925142421024} = 200.204.0.10 200.204.0.138

Notify: GbPluginAbn - c:\arquiv~1\gbplugin\gbiehAbn.dll

Notify: GbPluginBb - c:\arquivos de programas\gbplugin\gbieh.dll

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

SEH: GbPluginObj Class: {e37cb5f0-51f5-4395-a808-5fa49e399f83} - c:\arquivos de programas\gbplugin\gbieh.dll

SEH: GbPluginObj Class: {e37cb5f0-51f5-4395-a808-5fa49e399007} - c:\arquiv~1\gbplugin\gbiehAbn.dll

================= FIREFOX ===================

FF - ProfilePath - c:\docume~1\laise\dadosd~1\mozilla\firefox\profiles\7q0crfai.default\

FF - prefs.js: network.proxy.type - 4

FF - component: c:\documents and settings\laise\dados de aplicativos\mozilla\firefox\profiles\7q0crfai.default\extensions\{87f8774f-b485-47e2-a755-a40a8a5e886d}\components\GbMzhCef.dll

FF - plugin: c:\arquivos de programas\mozilla firefox\plugins\npbittorrent.dll

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\arquivos de programas\mozilla firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Quick Starter: jqs@sun.com - c:\arquivos de programas\java\jre6\lib\deploy\jqs\ff

FF - Ext: Adicional de segurança CAIXA: {87F8774F-B485-47E2-A755-A40A8A5E886D} - %profile%\extensions\{87F8774F-B485-47E2-A755-A40A8A5E886D}

============= SERVICES / DRIVERS ===============

R?2 zcadbnfu; de fragmento de código de áudioHelper;c:\windows\system32\svchost.exe -k netsvcs [2004-8-4 14336]

R0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\gbpkm.sys [2009-11-26 47008]

R0 oujqnmmh;oujqnmmh;c:\windows\system32\drivers\oujqnmmh.sys [2004-8-4 23424]

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2010-11-10 28552]

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2010-11-11 165584]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2010-11-11 17744]

R2 avast! Antivirus;avast! Antivirus;c:\arquivos de programas\alwil software\avast5\AvastSvc.exe [2010-11-11 40384]

R2 GbpSv;Gbp Service;c:\arquiv~1\gbplugin\GbpSv.exe [2009-11-26 55072]

S0 nielprt;Nielsen Patch Service;c:\windows\system32\drivers\nielprt.sys --> c:\windows\system32\drivers\nielprt.sys [?]

S3 avast! Mail Scanner;avast! Mail Scanner;c:\arquivos de programas\alwil software\avast5\AvastSvc.exe [2010-11-11 40384]

S3 avast! Web Scanner;avast! Web Scanner;c:\arquivos de programas\alwil software\avast5\AvastSvc.exe [2010-11-11 40384]

S3 NielGfx;Nielsen USB GFX;c:\windows\system32\drivers\nielgfx.sys --> c:\windows\system32\drivers\nielgfx.sys [?]

=============== Created Last 30 ================

2010-12-15 00:20:10 -------- d-----w- c:\docume~1\laise\config~1\dadosd~1\BittorrentBar_PT

2010-12-12 04:59:06 -------- d-----w- c:\docume~1\laise\dadosd~1\PriceGong

2010-12-09 20:31:24 -------- d-----w- c:\docume~1\laise\config~1\dadosd~1\Conduit

2010-12-09 20:30:48 -------- d-----w- c:\docume~1\laise\config~1\dadosd~1\Temp

==================== Find3M ====================

2010-11-09 13:57:35 0 ----a-w- c:\windows\system32\alk23.tmp

============= FINISH: 17:25:46,18 ===============

ANALISE DO Attach.txt

UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.

IF REQUESTED, ZIP IT UP & ATTACH IT

DDS (Ver_10-12-12.02)

Microsoft Windows XP Home Edition

Boot Device: \Device\HarddiskVolume1

Install Date: 18/11/2009 17:25:48

System Uptime: 18/12/2010 17:00:18 (0 hours ago)

Motherboard: ECS | | M863

Processor: AMD Sempron 2200+ | CPU 1 | 1499/166mhz

==== Disk Partitions =========================

A: is Removable

C: is FIXED (NTFS) - 37 GiB total, 19,85 GiB free.

D: is CDROM ()

==== Disabled Device Manager Items =============

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}

Description: Intel® PRO/100+ Management Adapter with Alert On LAN*

Device ID: PCI\VEN_8086&DEV_1229&SUBSYS_000E8086&REV_08\3&267A616A&0&48

Manufacturer: Intel

Name: Intel® PRO/100+ Management Adapter with Alert On LAN*

PNP Device ID: PCI\VEN_8086&DEV_1229&SUBSYS_000E8086&REV_08\3&267A616A&0&48

Service: E100B

==== System Restore Points ===================

RP2: 18/12/2010 17:24:20 - Ponto de verificação do sistema

==== Installed Programs ======================

Adobe Flash Player 10 ActiveX

Adobe Flash Player 10 Plugin

Adobe Reader 9.4.0 - Português

Adobe Shockwave Player 11.5

Advanced SystemCare 3

Arquivo do WinRAR

Ashampoo Burning Studio 2010

Assistente de Conexão do Windows Live

Atualização de Segurança para o Windows Media Player (KB952069)

Atualização de Segurança para o Windows Media Player (KB954155)

Atualização de Segurança para o Windows Media Player (KB968816)

Atualização de Segurança para o Windows Media Player (KB973540)

Atualização de Segurança para o Windows Media Player 11 (KB954154)

Atualização de Segurança para Windows Internet Explorer 8 (KB971961)

Atualização de Segurança para Windows Internet Explorer 8 (KB974455)

Atualização de Segurança para Windows XP (KB923561)

Atualização de Segurança para Windows XP (KB923789)

Atualização de Segurança para Windows XP (KB941569)

Atualização de Segurança para Windows XP (KB946648)

Atualização de Segurança para Windows XP (KB950762)

Atualização de Segurança para Windows XP (KB950974)

Atualização de Segurança para Windows XP (KB951066)

Atualização de Segurança para Windows XP (KB951376-v2)

Atualização de Segurança para Windows XP (KB951748)

Atualização de Segurança para Windows XP (KB952004)

Atualização de Segurança para Windows XP (KB952954)

Atualização de Segurança para Windows XP (KB954459)

Atualização de Segurança para Windows XP (KB955069)

Atualização de Segurança para Windows XP (KB956572)

Atualização de Segurança para Windows XP (KB956744)

Atualização de Segurança para Windows XP (KB956802)

Atualização de Segurança para Windows XP (KB956803)

Atualização de Segurança para Windows XP (KB956844)

Atualização de Segurança para Windows XP (KB957097)

Atualização de Segurança para Windows XP (KB958644)

Atualização de Segurança para Windows XP (KB958687)

Atualização de Segurança para Windows XP (KB958869)

Atualização de Segurança para Windows XP (KB959426)

Atualização de Segurança para Windows XP (KB960803)

Atualização de Segurança para Windows XP (KB960859)

Atualização de Segurança para Windows XP (KB961371-v2)

Atualização de Segurança para Windows XP (KB961501)

Atualização de Segurança para Windows XP (KB969059)

Atualização de Segurança para Windows XP (KB969947)

Atualização de Segurança para Windows XP (KB970238)

Atualização de Segurança para Windows XP (KB971486)

Atualização de Segurança para Windows XP (KB971557)

Atualização de Segurança para Windows XP (KB971633)

Atualização de Segurança para Windows XP (KB971657)

Atualização de Segurança para Windows XP (KB973354)

Atualização de Segurança para Windows XP (KB973507)

Atualização de Segurança para Windows XP (KB973525)

Atualização de Segurança para Windows XP (KB973869)

Atualização de Segurança para Windows XP (KB974112)

Atualização de Segurança para Windows XP (KB974455)

Atualização de Segurança para Windows XP (KB974571)

Atualização de Segurança para Windows XP (KB975025)

Atualização de Segurança para Windows XP (KB975467)

Atualização para Windows Internet Explorer 8 (KB975364)

Atualização para Windows Internet Explorer 8 (KB976749)

Atualização para Windows XP (KB951978)

Atualização para Windows XP (KB961503)

Atualização para Windows XP (KB967715)

Atualização para Windows XP (KB968389)

Atualização para Windows XP (KB973687)

Atualização para Windows XP (KB973815)

avast! Free Antivirus

BitTorrent

C-Media 3D Audio

CCleaner

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá,

Pode executar o GMER mesmo com o Internet Explorer em exeução.

Aguardo o log.

Compartilhar este post


Link para o post
Compartilhar em outros sites
  • Autor do tópico
  • GMER 1.0.15.15530 - http://www.gmer.net

    Rootkit scan 2010-12-19 16:19:00

    Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e SAMSUNG_SP0411N rev.TW100-13

    Running: gmer.exe; Driver: C:\DOCUME~1\Laise\CONFIG~1\Temp\ugdoapoc.sys

    ---- System - GMER 1.0.15 ----

    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwClose [0xF361FCF0]

    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateKey [0xF361FBAC]

    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwDeleteKey [0xF3620160]

    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwDeleteValueKey [0xF362008A]

    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwDuplicateObject [0xF361F782]

    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwOpenKey [0xF361FC86]

    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwOpenProcess [0xF361F6C2]

    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwOpenThread [0xF361F726]

    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwQueryValueKey [0xF361FDA6]

    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwRenameKey [0xF362022E]

    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwRestoreKey [0xF361FD66]

    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwSetValueKey [0xF361FEE6]

    Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateProcessEx [0xF362CBAE]

    Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateSection [0xF362C9D2]

    Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwLoadDriver [0xF362CB0C]

    Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) NtCreateSection

    Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObInsertObject

    Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObMakeTemporaryObject

    ---- Kernel code sections - GMER 1.0.15 ----

    PAGE ntoskrnl.exe!ObInsertObject 8056503A 5 Bytes JMP F3629FFA \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)

    PAGE ntoskrnl.exe!NtCreateSection 805652B3 7 Bytes JMP F362C9D6 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)

    PAGE ntoskrnl.exe!SeAuditingFileEventsWithContext + 3D 8056858A 7 Bytes JMP 85FB23E0

    PAGE ntoskrnl.exe!ZwCreateProcessEx 80581030 7 Bytes JMP F362CBB2 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)

    PAGE ntoskrnl.exe!ObMakeTemporaryObject 8059F85E 5 Bytes JMP F36285D4 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)

    PAGE ntoskrnl.exe!ZwLoadDriver 805A3B01 7 Bytes JMP F362CB10 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)

    ---- User code sections - GMER 1.0.15 ----

    .text C:\WINDOWS\system32\winlogon.exe[496] ntdll.dll!LdrUnloadDll 7C91738B 5 Bytes JMP 10088340 C:\ARQUIV~1\GbPlugin\gbiehAbn.dll (Gbieh Module/Banco Real)

    .text C:\WINDOWS\system32\winlogon.exe[496] kernel32.dll!FreeLibrary 7C80AC7E 5 Bytes JMP 100881C0 C:\ARQUIV~1\GbPlugin\gbiehAbn.dll (Gbieh Module/Banco Real)

    .text C:\WINDOWS\system32\winlogon.exe[496] kernel32.dll!FreeLibraryAndExitThread 7C80C210 5 Bytes JMP 10088060 C:\ARQUIV~1\GbPlugin\gbiehAbn.dll (Gbieh Module/Banco Real)

    .text C:\WINDOWS\System32\svchost.exe[908] ntdll.dll!DbgBreakPoint 7C90120E 1 Byte [C3]

    .text C:\WINDOWS\System32\svchost.exe[908] ntdll.dll!DbgUiRemoteBreakin 7C951E13 5 Bytes JMP 7C923BD8 C:\WINDOWS\system32\ntdll.dll (DLL de nível do NT/Microsoft Corporation)

    .text C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe[1232] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 4 Bytes [C2, 04, 00, 90] {RET 0x4; NOP }

    .text C:\WINDOWS\Explorer.EXE[1308] ntdll.dll!DbgBreakPoint 7C90120E 1 Byte [C3]

    .text C:\WINDOWS\Explorer.EXE[1308] ntdll.dll!DbgUiRemoteBreakin 7C951E13 5 Bytes JMP 7C923BD8 C:\WINDOWS\system32\ntdll.dll (DLL de nível do NT/Microsoft Corporation)

    .text C:\Documents and Settings\Laise\Desktop\gmer\gmer.exe[1448] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 1005E0D0 C:\ARQUIV~1\GbPlugin\gbiehAbn.dll (Gbieh Module/Banco Real)

    .text C:\Documents and Settings\Laise\Desktop\gmer\gmer.exe[1448] USER32.dll!FindWindowA 7E3782E1 5 Bytes JMP 1008A020 C:\ARQUIV~1\GbPlugin\gbiehAbn.dll (Gbieh Module/Banco Real)

    .text C:\Documents and Settings\Laise\Desktop\gmer\gmer.exe[1448] USER32.dll!GetKeyState 7E379ED9 5 Bytes JMP 1005E390 C:\ARQUIV~1\GbPlugin\gbiehAbn.dll (Gbieh Module/Banco Real)

    .text C:\Documents and Settings\Laise\Desktop\gmer\gmer.exe[1448] USER32.dll!GetAsyncKeyState 7E37A78F 5 Bytes JMP 1005E7A0 C:\ARQUIV~1\GbPlugin\gbiehAbn.dll (Gbieh Module/Banco Real)

    .text C:\Documents and Settings\Laise\Desktop\gmer\gmer.exe[1448] USER32.dll!GetKeyboardState 7E37D226 5 Bytes JMP 1005E590 C:\ARQUIV~1\GbPlugin\gbiehAbn.dll (Gbieh Module/Banco Real)

    .text C:\Documents and Settings\Laise\Desktop\gmer\gmer.exe[1448] USER32.dll!SetWindowsHookExA 7E381211 5 Bytes JMP 1005E050 C:\ARQUIV~1\GbPlugin\gbiehAbn.dll (Gbieh Module/Banco Real)

    .text C:\Documents and Settings\Laise\Desktop\gmer\gmer.exe[1448] USER32.dll!FindWindowExA 7E38214A 5 Bytes JMP 1008A050 C:\ARQUIV~1\GbPlugin\gbiehAbn.dll (Gbieh Module/Banco Real)

    ---- User IAT/EAT - GMER 1.0.15 ----

    IAT C:\WINDOWS\system32\services.exe[540] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00380002

    IAT C:\WINDOWS\system32\services.exe[540] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00380000

    ---- Devices - GMER 1.0.15 ----

    Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/AVAST Software)

    AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/AVAST Software)

    AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)

    AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)

    AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)

    AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)

    ---- EOF - GMER 1.0.15 ----

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Leia as instruções contidas neste link:

    Nas instruções contidas no link acima, poderá verificar quais os fóruns onde os Analistas estão devidamente habilitados a utilizar corretamente a ferramenta:"Fóruns para receber ajuda com logs do ComboFix"

    1. Faça o download do ComboFix de um dos links oficiais listados abaixo e salve no seu desktop:

    [*]Temporariamente e durante a execução destas instruções, é muito importante que mantenha desabilitados os seus programas de proteção (Antivirus, Antispyware e Firewall). Reative as proteções após a execução do(s) procedimento(s) abaixo mencionado(s).[*]Duplo clique no icone desktopicon.png que está no desktop.[*]Leia e aceite as condições, digitando 1 e enter.[*]Computadores com Windows XP deverão instalar o Console de Recuperação:

    • Se o seu computador tem instalado o Windows XP e ainda não tem instalado o Console de Recuperação, por favor certifique-se que está conectado à Internet, e clique em "Sim".
    • Clique em "OK" ao EULA.
    • Quando o Console de Recuperação estiver já instalado, clique em "SIM" para continuar.

    [*]O ComboFix será executado, por favor seja paciente e aguarde. [*]Atenção: Não utilize o mouse nem o teclado enquanto a ferramenta estiver sendo executada, isso pode fazer com que o computador pare.[*]Poderá surgir o aviso que é necessário reiniciar o computador.

    NÃO REINICIE!!! O ComboFix reiniciará o computador automaticamente.[*]Quando a ferramenta terminar de rodar, gerará um log (o arquivo C:\ComboFix.txt). Copie e cole o conteúdo desse arquivo na sua proxima resposta.

    NÃO utilize a ferramenta por conta própria. É uma ferramenta poderosa criada pra lidar com infecções sofisticadas e caso não a utilize corretamente poderá danificar o seu computador.

    • Existem vários malwares que impedem a execução correta da ferramenta e com isso danificar gravemente o computador. Analistas habilitados a utilizar o ComboFix conhecem esses casos e sabem lidar com estas situações.
    • Muitos dos Analistas não respondem a topicos em que vejam que o ComboFix foi utilizado sem supervisão.
    • Existem varias ferramentas anti-malware generalistas em que os autores ao elaborarem a programação das mesmas, estão pensando nos usuários finais e para serem usadas sem supervisão. O Combofix não é uma ferramenta desse tipo, e assim sendo e até por respeito ao autor da ferramenta, não utilize sem supervisão.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Renato, agradeço imensamente sua ajuda que alias está sendo meu presente de natal pois ja não sabia mais a quem recorrer, sou muito grata a voce e saiba que sempre pesquiso minhas duvidas neste maravilhoso site que tanto nos auxilia!!

    Segue abaixo o log do ComboFix, aguardo novas instruções e sua orientação

    ComboFix 10-12-20.01 - Laise 20/12/2010 21:32:34.1.1 - x86

    Microsoft Windows XP Home Edition 5.1.2600.3.1252.55.1046.18.991.471 [GMT -2:00]

    Executando de: c:\documents and settings\Laise\Desktop\ComboFix.exe

    AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}

    .

    ADS - system32: deleted 4 bytes in 2 streams.

    ADS - drivers: deleted 304 bytes in 1 streams.

    ((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

    .

    c:\documents and settings\Laise\Dados de aplicativos\inst.exe

    c:\documents and settings\Laise\Dados de aplicativos\PriceGong

    c:\documents and settings\Laise\Dados de aplicativos\PriceGong\Data\1.xml

    c:\documents and settings\Laise\Dados de aplicativos\PriceGong\Data\a.xml

    c:\documents and settings\Laise\Dados de aplicativos\PriceGong\Data\b.xml

    c:\documents and settings\Laise\Dados de aplicativos\PriceGong\Data\c.xml

    c:\documents and settings\Laise\Dados de aplicativos\PriceGong\Data\d.xml

    c:\documents and settings\Laise\Dados de aplicativos\PriceGong\Data\e.xml

    c:\documents and settings\Laise\Dados de aplicativos\PriceGong\Data\f.xml

    c:\documents and settings\Laise\Dados de aplicativos\PriceGong\Data\g.xml

    c:\documents and settings\Laise\Dados de aplicativos\PriceGong\Data\h.xml

    c:\documents and settings\Laise\Dados de aplicativos\PriceGong\Data\i.xml

    c:\documents and settings\Laise\Dados de aplicativos\PriceGong\Data\J.xml

    c:\documents and settings\Laise\Dados de aplicativos\PriceGong\Data\k.xml

    c:\documents and settings\Laise\Dados de aplicativos\PriceGong\Data\l.xml

    c:\documents and settings\Laise\Dados de aplicativos\PriceGong\Data\m.xml

    c:\documents and settings\Laise\Dados de aplicativos\PriceGong\Data\mru.xml

    c:\documents and settings\Laise\Dados de aplicativos\PriceGong\Data\n.xml

    c:\documents and settings\Laise\Dados de aplicativos\PriceGong\Data\o.xml

    c:\documents and settings\Laise\Dados de aplicativos\PriceGong\Data\p.xml

    c:\documents and settings\Laise\Dados de aplicativos\PriceGong\Data\q.xml

    c:\documents and settings\Laise\Dados de aplicativos\PriceGong\Data\r.xml

    c:\documents and settings\Laise\Dados de aplicativos\PriceGong\Data\s.xml

    c:\documents and settings\Laise\Dados de aplicativos\PriceGong\Data\t.xml

    c:\documents and settings\Laise\Dados de aplicativos\PriceGong\Data\u.xml

    c:\documents and settings\Laise\Dados de aplicativos\PriceGong\Data\v.xml

    c:\documents and settings\Laise\Dados de aplicativos\PriceGong\Data\w.xml

    c:\documents and settings\Laise\Dados de aplicativos\PriceGong\Data\x.xml

    c:\documents and settings\Laise\Dados de aplicativos\PriceGong\Data\y.xml

    c:\documents and settings\Laise\Dados de aplicativos\PriceGong\Data\z.xml

    c:\windows\system32\alk23.dll

    c:\windows\system32\drivers\lxdhuygi.sys

    c:\windows\system32\drivers\oujqnmmh.sys

    c:\windows\system32\ReadMe.txt

    c:\windows\system32\umhdw.dll

    .

    ((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))

    .

    -------\Legacy_OUJQNMMH

    -------\Legacy_ZCADBNFU

    -------\Service_oujqnmmh

    -------\Service_zcadbnfu

    (((((((((((((((( Arquivos/Ficheiros criados de 2010-11-20 to 2010-12-20 ))))))))))))))))))))))))))))

    .

    2010-12-20 23:32 . 2010-12-20 23:32 12568 ----a-w- c:\windows\system32\drivers\PROCEXP113.SYS

    2010-12-15 00:20 . 2010-12-15 00:20 -------- d-----w- c:\documents and settings\Laise\Configurações locais\Dados de aplicativos\BittorrentBar_PT

    2010-12-09 20:31 . 2010-12-15 00:20 -------- d-----w- c:\documents and settings\Laise\Configurações locais\Dados de aplicativos\Conduit

    2010-12-09 20:30 . 2010-12-09 20:30 -------- d-----w- c:\documents and settings\Laise\Configurações locais\Dados de aplicativos\Temp

    .

    ((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

    .

    2010-12-03 10:57 . 2009-11-26 19:57 47008 ----a-w- c:\windows\system32\drivers\gbpkm.sys

    2010-11-29 19:42 . 2010-10-18 22:49 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

    2010-11-29 19:42 . 2010-10-18 22:49 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

    2010-11-13 01:38 . 2004-08-04 12:00 4224 ----a-w- c:\windows\system32\drivers\rdpcdd.sys

    2010-11-09 13:57 . 2010-11-09 13:57 0 ----a-w- c:\windows\system32\alk23.tmp

    .

    (((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

    .

    .

    *Nota* entradas vazias e legítimas por defeito não são mostradas.

    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    "avast5"="c:\arquivos de programas\Alwil Software\Avast5\avastUI.exe" [2010-09-07 2838912]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginAbn]

    2010-06-10 19:48 332840 ------w- c:\arquiv~1\GbPlugin\gbiehAbn.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginBb]

    2010-12-03 10:56 351008 ----a-w- c:\arquivos de programas\GbPlugin\gbieh.dll

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

    @="Driver"

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]

    c:\windows\system32\dumprep 0 -k [X]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

    2010-09-21 02:07 932288 ----a-r- c:\arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

    2010-09-23 07:47 35760 ----a-w- c:\arquivos de programas\Adobe\Reader 9.0\Reader\reader_sl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Advanced SystemCare 3]

    2010-09-28 23:33 2407632 ----a-w- c:\arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

    2008-04-13 21:20 15360 ----a-w- c:\windows\system32\ctfmon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus CX3500 Series]

    2004-03-04 04:00 98304 ----a-w- c:\windows\system32\spool\drivers\w32x86\3\E_FATI9BL.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]

    2006-12-06 00:55 54832 ----a-w- c:\arquivos de programas\CyberLink\PowerDVD\Language\Language.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCTVOICE]

    2004-01-30 10:33 180224 ----a-r- c:\windows\system32\pctspk.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]

    2006-11-23 17:10 56928 ------w- c:\arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSPower]

    2006-05-06 00:13 49152 ----a-w- c:\windows\system32\SiSPower.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSUSBRG]

    2002-07-12 21:15 106496 ----a-w- c:\windows\SiSUSBrg.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

    2010-02-18 14:43 248040 ----a-w- c:\arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

    "GbpSv"=2 (0x2)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

    "c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

    "c:\\WINDOWS\\system32\\LEXPPS.EXE"=

    "c:\\Arquivos de programas\\BitTorrent\\bittorrent.exe"=

    R0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\gbpkm.sys [26/11/2009 17:57 47008]

    R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [10/11/2010 21:28 28552]

    R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [11/11/2010 20:27 165584]

    R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [11/11/2010 20:27 17744]

    R2 GbpSv;Gbp Service;c:\arquiv~1\GbPlugin\GbpSv.exe [26/11/2009 17:57 55072]

    S0 nielprt;Nielsen Patch Service;c:\windows\system32\DRIVERS\nielprt.sys --> c:\windows\system32\DRIVERS\nielprt.sys [?]

    S3 NielGfx;Nielsen USB GFX;c:\windows\system32\drivers\nielgfx.sys --> c:\windows\system32\drivers\nielgfx.sys [?]

    --- =Outros Serviços/Drivers Na Memória ---

    *NewlyCreated* - OUJQNMMH

    *Deregistered* - oujqnmmh

    .

    Conteúdo da pasta 'Tarefas Agendadas'

    2010-12-19 c:\windows\Tasks\User_Feed_Synchronization-{40E85296-C417-4336-BF58-4A29BA09F267}.job

    - c:\windows\system32\msfeedssync.exe [2009-03-08 06:31]

    .

    .

    ------- Scan Suplementar -------

    .

    uStart Page = hxxp://www.google.com/

    Trusted Zone: bancobrasil.com.br\www

    Trusted Zone: bancobrasil.com.br\www14

    Trusted Zone: bancobrasil.com.br\www2

    Trusted Zone: bancoreal.com.br\www

    Trusted Zone: bb.com.br\www

    Trusted Zone: realsecureweb.com.br\www

    Trusted Zone: realsecureweb.com.br\www2

    Trusted Zone: realsecureweb.com.br\wwws

    Trusted Zone: santander.com.br\www

    Trusted Zone: santandernet.com.br\www

    Trusted Zone: secureweb.com.br\www

    DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} - hxxps://www14.bancobrasil.com.br/plugin/GbpDist.cab

    FF - ProfilePath - c:\documents and settings\Laise\Dados de aplicativos\Mozilla\Firefox\Profiles\7q0crfai.default\

    FF - prefs.js: network.proxy.type - 4

    FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\arquivos de programas\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

    FF - Ext: Java Quick Starter: jqs@sun.com - c:\arquivos de programas\Java\jre6\lib\deploy\jqs\ff

    FF - Ext: Adicional de segurança CAIXA: {87F8774F-B485-47E2-A755-A40A8A5E886D} - %profile%\extensions\{87F8774F-B485-47E2-A755-A40A8A5E886D}

    .

    - - - - ORFÃOS REMOVIDOS - - - -

    Toolbar-Locked - (no file)

    MSConfigStartUp-Cmaudio - cmicnfg.cpl

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

    Rootkit scan 2010-12-20 21:42

    Windows 5.1.2600 Service Pack 3 NTFS

    Procurando processos ocultos ...

    Procurando entradas auto inicializáveis ocultas ...

    Procurando ficheiros/arquivos ocultos ...

    Varredura completada com sucesso

    arquivos/ficheiros ocultos: 0

    **************************************************************************

    .

    --------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

    @Denied: (A 2) (Everyone)

    @="FlashBroker"

    "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

    "Enabled"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

    @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

    @Denied: (A 2) (Everyone)

    @="IFlashBroker4"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

    @="{00020424-0000-0000-C000-000000000046}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

    "Version"="1.0"

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]

    "6140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

    .

    --------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

    - - - - - - - > 'winlogon.exe'(488)

    c:\arquiv~1\GbPlugin\gbiehAbn.dll

    c:\arquivos de programas\GBPLUGIN\gbieh.dll

    - - - - - - - > 'explorer.exe'(3924)

    c:\windows\system32\WININET.dll

    c:\arquiv~1\WINDOW~2\wmpband.dll

    c:\arquiv~1\GbPlugin\gbiehAbn.dll

    c:\windows\system32\webcheck.dll

    c:\windows\system32\WPDShServiceObj.dll

    c:\windows\system32\PortableDeviceTypes.dll

    c:\arquivos de programas\GBPLUGIN\gbieh.dll

    c:\windows\system32\PortableDeviceApi.dll

    .

    ------------------------ Outros Processos em Execução ------------------------

    .

    c:\arquivos de programas\Alwil Software\Avast5\AvastSvc.exe

    c:\windows\system32\LEXBCES.EXE

    c:\windows\system32\LEXPPS.EXE

    c:\arquivos de programas\Java\jre6\bin\jqs.exe

    c:\arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

    c:\arquivos de programas\CyberLink\Shared Files\RichVideo.exe

    c:\windows\system32\wscntfy.exe

    c:\windows\system32\wbem\wmiapsrv.exe

    .

    **************************************************************************

    .

    Tempo para conclusão: 2010-12-20 21:46:19 - Máquina reiniciou

    ComboFix-quarantined-files.txt 2010-12-20 23:46

    Pré-execução: 6 pasta(s) 21.309.009.920 bytes disponíveis

    Pós execução: 8 pasta(s) 21.265.813.504 bytes disponíveis

    WindowsXP-KB310994-SP2-Home-BootDisk-PTB.exe

    [boot loader]

    timeout=2

    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

    [operating systems]

    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

    UnsupportedDebug="do not select this" /debug

    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

    - - End Of File - - 01426E9110644D2AB6F304AC488F6D31

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Leia atentamente toda a instrução abaixo antes de executar o programa.

    Faça download do Kaspersky Removal Tool e salve em seu desktop.

    • Instale o programa normalmente, seguindo todas as instruções.
    • Uma pasta chamada Virus Removal Tool será criada no desktop.
    • Na tela do programa clique nas opções:
      • Meu computador
      • Hidden Startup objects
      • Disk boot sectors
      • System Memory

      [*]Clique no botão Start Scan.[*]Seja paciente, o scan é demorado![*]Conforme for scaneando provavelmente abrirá algumas janelas pequenas ao lado do relógio, não clique em nada.[*]Também há uma possibilidade de abrir uma janela maior contendo as seguintes opções:

      • Desinfection (quando possível)
      • Delete
      • Skip
    • Quando aparecer, marque primero a opção abaixo Apply to all objects e depois clique numa das opções acima.
    • Após completar tudo, clique no botão Reports, na janela que abrir nas opções acima deixe:
      • Autoscan
      • Group by result
      • All Events

      [*]Expanda Autoscan clicando no sinal ao lado de +[*]Expanda Result: Detected.[*]Clique com o botão direito do mouse e escolha Select all, e depois escolha Copy.[*]Atenção, ao fazer isso parece que o PC travou, mas não, aguarde uns minutos para liberar a memória.[*]Abra o Bloco de Notas e cole (ctrl + v)[*]Dê um nome para o arquivo e salve numa pasta de sua preferência.[*]Feche o resultado clicando no botão Exit.[*]Ao fazer isso será questionado se quer desinstalar a ferramenta, clique em Sim.[*]Reinicie o computador quando for pedido.[*]Poste o conteúdo desse arquivo em sua próxima resposta.

    OBSERVAÇÃO1:
    Atente para as janelas durante o scan elas possuem cores diferentes dependendo do risco. Portanto,

    • verde
      :
      baixo risco
    • amarelo
      :
      médio risco
    • vermelho
      :
      alto risco

    Antes de tomar qualquer medida verifique com cuidado o caminho/nome do arquivo para ver é de seu conhecimento, caso seja clique em
    Skip
    .

    OBSERVAÇÃO2:
    Se no resultado final do scan apenas tiver
    Result:
    OK
    , não precisa gerar um relatório, apenas informe deste.

    OBSERVAÇÃO3:
    Durante o scan pode ser que o Kaspersky acuse a seguinte pasta com vírus:
    c:\
    QooBox
    . Caso isto aconteça escolha a opção
    Skip
    , pois a mesma pertence ao
    ComboFix
    e será removida quando o mesmo for desinstalado.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Ola Renato, antes de fazer a verificação solicitada, preciso que me responda se ha mesmo necessidade do KASPERSKY REMOVAL TOOL, se você detectou ainda algo no meu Pc pelos logs ou é somente precaução para sabermos se foi tudo retirado com o Combofix.

    Perdoe a pergunta mas é que ja havia feito uma varredura com ele assim que começaram os problemas, como informo no começo do meu topico, e foi um estrago danado, ele travou varias vezes, deu tela azul, ficava reiniciando o micro varias vezes e acabou não retirando nada. Meu pc é "velhinho" e me apavoro com a possibilidade dele nao voltar a funcionar entende?

    E sendo assim agora estou com medo de utiliza-lo novamente.

    Mas se você me disser que ha mesmo necessidade, se ainda corro o risco de ter algo em meu Pc, confio em você e farei a varredura ok?

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Ok, faça uma execução com o Malware Bytes e veja se ele aponta o tal rootkit.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Ok Renato, fiz a verificação tanto na rapida como na completa e desta vez não foi detectado mais nenhum Rootkit graças a Deus.

    Tenho 3 duvidas importantes que seguem abaixo:

    1- gostaria que me explicasse porque sempre ao fazer uma limpeza com o CCleaner, mesmo depois deste Rootkit ter sido deletado do meu PC, aparece na analise " arquivos temporarios Internet Explorer" sendo que não utilizo esse navegador, so uso o Firefox. Tenho ele instalado mas sem atividade.

    E não são pouco arquivos, as vezes é ate o dobro do que acusa no Firefox.

    Por que aparecem esses temporarios do IE ??

    você me recomenda fazer mais alguma verificação com outro programa ( ou mesmo o Kaspersky que tenho medo...) ou isso é normal?

    2- Outra coisa que gostaria que me explicasse, devo remover o Combofix + DDs + Gmer? Como fazer?

    3- Ha necessidade de trocar as senhas que utilizo normalmente? ate as de banco uma vez que uso meu banco online?

    No aguardo e FELIZ NATAL ( atrasado :unsure:desculpe)

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Respondendo:

    1. Não seria "Arquivos temporários da Internet"? Ela é comum para todos os navegadores.

    2. Será feito no final e eu explicarei como fazer.

    3. Aguarde até o final dos procedimentos

    Façamos um scan com o Kaspersky Online, ele não fará exclusões.

    Temporariamente desative seu antivirus!

    Acesse o site do Kaspersky OnLine

    • Clique no botão Accept
    • Na janela que aparecer clique em Run
    • Será iniciado o download de instalação e depois as atualizações;
    • Clique no botão Settings
    • Verifique se as opções abaixo estejam marcadas:
      1. Spyware, Adware, Dialers, and other potentially dangerous programs
      2. Archives
      3. Mail databases

      [*]Clique em My Computer e depois em Save para começar o scan;[*]Uma vez completo, clique em View Scan Report;[*]Clique em Save Resport As...[*]Escolha um local, nome e salve;[*]Copie e cole todo o conteúdo em sua próxima resposta.

    Para um melhor entendimento clique no link abaixo e veja a animação:

    http://d.imagehost.org/0688/kaspersky.gif

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Renato, estou com problemas, ontei tentei a verificação pelo Kaspersky Online mas ele ficou + de 4 hs fazendo Update e não liberava a varredura.

    Hoje fui tentar de novo e aparece a seguinte msg:

    Update has failed The program could not be started. Please close the window of Kaspersky Online Scanner 7.0 and start the program again from the web site of Kaspersky Lab. Successful updating of Kaspersky Online Scanner 7.0 and scanning of your computer requires uninterrupted Internet connection. Please make sure that the Internet connection is established. [ERROR: License has expired]

    E agora o que faço? seria algum bug no site deles? ou servidor com problemas?

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Continuando a duvida da minha pergunta 1 da resposta anterior, abaixo segue a analise do CCleaner, para que você entenda e tire a minha duvida de que se não estou abrindo o IE, porque então ele está gerando arquivos temporarios???? :

    ANÁLISE CONCLUÍDA - (1.225 segundo(s))

    ------------------------------------------------------------------------------------------

    4,16MB para ser removido. (Tamanho aproximado)

    ------------------------------------------------------------------------------------------

    Detalhes dos arquivos que serão removidos (Nota: Nenhum arquivo foi removido ainda)

    ------------------------------------------------------------------------------------------

    Internet Explorer - Arquivos temporários da internet 4.033KB 296 arquivos

    Internet Explorer - Cookies 3KB 6 arquivos

    Internet Explorer - Remover arquivos Index.dat 0KB 1 arquivos

    Windows Explorer - Documentos recentes 1KB 1 arquivos

    Sistema - Esvaziar lixeira 77KB 1 arquivos

    Mozilla/Firefox - Cache da internet 21KB 4 arquivos

    Mozilla/Firefox - Histórico de download 2KB 1 arquivos

    Internet - Sun Java 126KB 15 arquivos

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Faça o scan do Kaspersky Online usando o Internet Explorer.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Eu ja havia tentado antes assim que vi que não conseguiria pelo Firefox.

    E hoje apos seu pedido, tentei por diversas vezes pelo IE mas sem exito.

    Na primeira tentativa, parecia que ia dar certo, ficou + de 1hora fazendo Update mas quando chegou na metade apareceu a msg de erro de novo.

    Tentei + algumas vezes mas nada, não faz o Update completo e não libera o botão Settings.

    OBS: desativei meu Avast, o Firewall tambem, limpei cookies, passei CCleaner antes da analise mas de nada adianta.

    Não seria algum problema no sistema deles?

    Ou tem algum "bichinho" teimoso travando a varredura?

    O que faço agora? (tentarei amanha novamente)

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Fiz com o Eset como você pediu mas ele não gerou um log que eu pudesse copiar e colocar aqui, tentei de tudo mas não foi possivel copiar a msg.

    E a unica ameaça encontrada foi o virus que ainda está na quarentena do Combofix, um tal de oujqnmmh

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Perfeito.

    Como tem estado o computador?

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Os problemas detectados no Pc neste tempo foram:

    1- Em 2 dias alternados que ao ligar o micro ele não carregou, ficou em tela preta. Desliguei e depois de alguns minutos tentei novamente e deu certo, ele ligou certinho.

    2- E hoje ao abrir algumas imagens do meu arquivo de fotos, aparece a msg na tela " rundll32.exe econtrou um problema e sera fechado". Não sei o que é isso e nem como resolver.

    3-Notei depois do Combofix que ao colocar minha maquina fotografica para descarregar as fotos no pc ( em Usb) não aparece mais aquela opção que abria direto para escolhermos o que fazer, tipo, Abrir Arquivos ou Gravar cd etc Tudo que quero descarregar ou mesmo ao inserir um cd para gravar, tenho que ir em Meu computador e clicar direto na unidade, essa opção que abria direto sumiu.

    Todos estes dias tenho feito varredura com o Avast + Malwarebytes Anti-Malware e tb o Advanced SystemCare e nada foi encontrado.

    Por ora é so o que notei. Por ora agradeço sua atenção e paciencia :rolleyes:

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Respondendo seus pontos.

    1. não tem relação com malware.

    2. problema com sistema operacional, recomendo que busque ajuda na seção apropriada.

    3. sim, isso é mais seguro, pois é a auto execução que coloca em risco sua segurança com mídias removíveis.

    Parabéns, seu log está limpo.

    De agora em diante fique ALERTA!

    Para finalizar faça o seguinte:

    Vá em Iniciar > Executar e digite ComboFix /Uninstall . Isso desinstalará o ComboFix de sua máquina.

    Faça download do OTCleanIt by OldTimer

    • Salve no seu desktop (área/ambiente de trabalho).
    • Duplo-clique no icone do OTC.
    • Clique no botão "Cleanup" 8gehxg0.gif
    • Permita que o seu computador seja reiniciado.

    Sugiro que rode o CCleaner para fazer uma limpeza em sua máquina. Faça o download dele aqui CCleaner

    • Abra o programa e clique em Executar Limpeza;
    • Após isto, clique em Erros >> Procurar erros >> Corrigir Erros

    Sugiro também que consulte este artigo: Proteja seu PC

    Mais algum problema com o computador?

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Renato, não consigo desinstalar o Combofix, aparece uma msg de erro muito rapida na tela + ou - escrito isso: Erro de aplicativo - N.Pif a memoria não pode ser "written" ( acho que é isso mal dá pra ler)

    2-E como faço para desinstalar o DDs + o Gmer ?

    3-Em referencia ao que me mandou fazer no topico anterior, ja utilizo-o ha anos o CCleaner, sempre limpo meu pc com ele e ate postei uma duvida em 28/12 em continuação da duvida do topico que havia escrito antes mas acho que você não percebeu. Se ainda puder esclarecer essa duvida agradeço.

    4-Quanto a limpeza com o OTCleanIt by OldTimer devo so faze-la apos a remoção do Combo Fix?

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Você rodou o OTC antes de escrever o comando combofix /uninstall?

    Quanto ao DDS e GMER é só excluir os arquivos.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Comecei a fazer pela ordem que você postou aqui, dai a primeira coisa que fiz foi o combofix /uninstall.

    Era o contrario?

    Esqueci de comentar que tb apareceu uma msg na tela logo apos o erro do aplicativo, que eu deveria ter desabilitado o meu antivirus, coisa que não fiz porque não sabia. Então desabilitei, fui novamente no Executar > combofix /uninstall mas o erro na tela apareceu novamente.

    E agora?

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Se você executou o OTC o ComboFix é desinstalado, por isso a mensagem de erro :)

    Mais algum problema com o computador ou podemos dar por resolvido?

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Deu tudo certo, programas removidos

    :D Agradeço imensamente a voce Renato, pela sua paciencia, ajuda, orientações etc pois atraves delas que estou com meu Pc limpo e funcionando perfeito.

    Este site está de Parabens pela competencia e seriedade.

    Um grande abraço e bom serviço !

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Caso o autor do tópico necessite, o mesmo será reaberto, para isso deverá entrar em contato com a moderação solicitando o desbloqueio.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Visitante
    Este tópico está impedido de receber novos posts.
    Entre para seguir isso  





    Sobre o Clube do Hardware

    No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

    Direitos autorais

    Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

    ×