Ir ao conteúdo
  • Cadastre-se
Frango Redneck

Win:Delf-Ify[Trj] não consigo remover, por favor me ajudem

Recommended Posts

A pessoal nao to conseguindo remover Win:Delf-Ify[Trj], por favor me ajudem

obrigado

log Hijack this

Logfile of HijackThis v1.99.1

Scan saved at 15:17:59, on 9/7/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\Arquivos de programas\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Thiago\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.oi.com.br/

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O12 - Plugin for .pdf: C:\Arquivos de programas\Internet Explorer\PLUGINS\nppdf32.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {33331111-1111-1111-1111-615111193427} -

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

log combofix

ComboFix 08-07-08.7 - Thiago 2008-07-09 15:19:03.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.224 [GMT -3:00]

Executando de: C:\Documents and Settings\Thiago\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

((((((((((((((((((((((( Ficheiros criados de 2008-06-09 to 2008-07-09 ))))))))))))))))))))))))))))))))

.

2008-07-09 13:08 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys

2008-07-09 12:52 . 2008-07-09 12:52 <DIR> d-------- C:\Arquivos de programas\Panda Security

2008-07-07 21:43 . 2008-07-07 21:43 <DIR> d--h----- C:\Documents and Settings\Thiago\InstallAnywhere

2008-07-07 21:43 . 2008-07-07 21:43 <DIR> d--h----- C:\Arquivos de programas\Zero G Registry

2008-07-07 21:22 . 2008-07-07 21:22 <DIR> d-------- C:\!KillBox

2008-07-07 18:07 . 2008-07-07 18:07 <DIR> d-------- C:\PenClean

2008-07-07 17:15 . 2008-07-07 17:15 <DIR> d-------- C:\Documents and Settings\Thiago\Dados de aplicativos\Sports Interactive

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-07-09 15:42 --------- d-----w C:\Arquivos de programas\Oi Internet

2008-07-09 01:26 --------- d-----w C:\Arquivos de programas\Desafio Sebrae 2008

2008-07-06 00:54 --------- d-----w C:\Documents and Settings\Thiago\Dados de aplicativos\AdobeUM

2008-07-03 21:22 --------- d--h--w C:\Arquivos de programas\InstallShield Installation Information

2008-07-03 21:22 --------- d-----w C:\Arquivos de programas\Arquivos comuns\InstallShield

2008-07-01 20:27 --------- d-----w C:\Arquivos de programas\coolpro2

2008-07-01 20:26 --------- d-----w C:\Arquivos de programas\BrOffice.org 2.0

2008-07-01 20:20 --------- d-----w C:\Arquivos de programas\Army Operations

2008-07-01 01:24 --------- d-----w C:\Arquivos de programas\Project64 1.6

2008-06-30 05:39 --------- d-----w C:\Documents and Settings\Thiago\Dados de aplicativos\BrOffice.org2

2008-06-04 23:38 --------- d-----w C:\Documents and Settings\Thiago\Dados de aplicativos\LimeWire

2008-05-30 16:15 --------- d-----w C:\Documents and Settings\Bruno.LOPES-9J2MWSA8B\Dados de aplicativos\AdobeUM

2008-04-29 11:24 22,848 -c--a-w C:\Documents and Settings\Bruno.LOPES-9J2MWSA8B\Dados de aplicativos\GDIPFONTCACHEV1.DAT

2007-01-20 13:17 22,848 -c--a-w C:\Documents and Settings\Thiago\Dados de aplicativos\GDIPFONTCACHEV1.DAT

2001-11-23 04:08 712,704 -c--a-r C:\WINDOWS\inf\OTHER\AUDIO3D.DLL

.

((((((((((((((((((((((((((((( snapshot@2008-07-09_12.00.37,28 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-07-09 14:21:24 2,048 --s-a-w C:\WINDOWS\bootstat.dat

+ 2008-07-09 18:15:08 2,048 --s-a-w C:\WINDOWS\bootstat.dat

- 2008-07-09 14:21:36 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_41c.dat

+ 2008-07-09 18:15:20 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_41c.dat

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Nota* entradas vazias & legítimas por defeito não são mostradas.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 04:45 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 07:15 106496]

"avast!"="C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-15 20:19 79224]

"TkBellExe"="C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" [2007-04-08 12:17 180269]

"SunJavaUpdateSched"="C:\Arquivos de programas\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 12:03 36975]

"SiSPower"="SiSPower.dll" [2004-09-02 02:47 49152 C:\WINDOWS\system32\SiSPower.dll]

"PCTVOICE"="pctspk.exe" [2001-09-05 23:50 86016 C:\WINDOWS\system32\pctspk.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 04:45 15360]

C:\Documents and Settings\Bruno.LOPES-9J2MWSA8B\Menu Iniciar\Programas\Inicializar\

PowerReg Scheduler V3.exe [2008-02-20 17:02:50 225280]

C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\

Microsoft Office.lnk - C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveSearch"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Sierra\\Empire Earth\\Empire Earth.exe"=

"C:\\Arquivos de programas\\TrackMaker\\Trackmaker.exe"=

"C:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe"=

"C:\\Arquivos de programas\\MSN Messenger\\livecall.exe"=

"C:\\Arquivos de programas\\LimeWire\\LimeWire.exe"=

"C:\\WINDOWS\\system32\\LEXPPS.EXE"=

"C:\\Documents and Settings\\Thiago\\Desktop\\Nova pasta\\Sports Interactive\\Football Manager 2008\\fm.exe"=

R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 17:24]

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-15 20:20]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-15 20:16]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{15ec2d7a-7463-11dc-a1c9-e3378f64ce48}]

\Shell\AutoRun\command - RavMon.exe

\Shell\explore\Command - RavMon.exe -e

\Shell\open\Command - RavMon.exe

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-07-09 15:20:57

Windows 5.1.2600 Service Pack 2 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros ocultos ...

**************************************************************************

.

Tempo para conclusão: 2008-07-09 15:24:08

ComboFix-quarantined-files.txt 2008-07-09 18:23:03

ComboFix2.txt 2008-07-09 15:01:50

Pre-Run: 18,713,358,336 bytes disponíveis

Post-Run: 18,712,379,392 bytes disponíveis

93

valeu

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá, Bem vindo ao Fórum do Clube do Hardware

Talvez você queira salvar esta página nos seus favoritos, para melhor a encontrar enquanto necessitar retornar aqui.

Tome nota do seguinte, por favor:

  • Estarei analisando o seu log para o ajudar, dê-me algum tempo e retornarei com instruções logo que me seja possível. NÃO faça nenhuma alteração e aguarde.
  • O processo de análise não é instantâneo. Seja paciente e aguarde pelas minhas instruções.
  • As instruções serão específicas para o seu problema e apenas deverão ser usadas neste pc
  • Se houver algo que não entenda e lhe deixe dúvidas, por favor pergunte antes de prosseguir com as instruções.
  • Por favor coloque as suas respostas neste topico. NÃO inicie um novo tópico

Obrigado

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá Frango Redneck

Etapa nº 1 #

Antes de iniciarmos a desinfecção é necessário desabilitar proteções residentes:

  • Clique com o direito no ícone do Avast, ao lado do relógio avast.gif
  • Clique em Pausar a proteção residente
  • Aparecerá uma janela de confirmação. Clique em SIM

Etapa nº 2 #

Vamos instalar agora o Console de Recuperação. O console de recuperação permite-nos entrar no sistema em um modo especial, muito útil quando não temos acesso ao modo normal ou de segurança e em casos de remoção de malware. Não utilize o console de recuperação sem supervisão se não souber o que está fazendo.

  • Vá ao site da Microsoft
    http://support.microsoft.com/kb/310994
  • Selecione o download,que seja adequado,ao seu Sistema Operacional!
    crecuperacaorz4.jpg
  • Faça o download do arquivo,e salve-o no seu desktop(área de trabalho).
  • Feche todos os programas,que estejam abertos.
  • Arraste o setup,baixado do site da Microsoft,para o interior do ComboFix.exe, como é demonstrado na figura abaixo:
    rc1.gif
  • Siga as mensagens que aparecem na tela,para iniciar o ComboFix.
  • Aceite a instalação do Console de Recuperação.
  • Na próxima mensagem,clique em "SIM",para realizar um scan com o ComboFix.
    Não esqueça de não mexer no mouse ou teclado duranto o scan do combofix
    RC_whatnext.gif
  • Copie e cole em sua próxima resposta o relatório C:\ComboFix.txt e um novo log do HijackThis.

IMPORTANTE: você utilizou o combofix, anteriormente, sozinho. Esta é uma ferramenta poderosa e que não deve ser utilizada sem a supervisão de um assistente de remoção de malwares para se evitar erros que possam comprometer a integridade do sistema operacional !

Agora você já pode reabilitar as proteções residentes

Abraços :)

Compartilhar este post


Link para o post
Compartilhar em outros sites

" Tópico Arquivado "

Como o tópico está inativo à mais de 5 dias, o mesmo é arquivado.

Se você necessita que o tópico seja reaberto, entre em contato com um dos membros da equipe de moderação (Lusitano ou RenatoMejias) e inclua no seu pedido o link para este tópico e a justificação para a respetiva reabertura.

Obrigado!

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×