Ir ao conteúdo
  • Cadastre-se
dr. dj2

Infecção por Rootkit ???

Recommended Posts

Bem, inicialmente descobri isso através do AVAST q detectou algumas pragas. Mas não elimina.

também no rastreamento no AVAST, pede para reiniciar o PC e rastrear na inicialização. Se aborto essa etapa, o AVAST para e não prossegue.

Fora isso não notei outros problemas na PC. Fiz as recomendações do tópico master sobre Remoção de Malwares e abaixo estão os dois LOGS através dos programas GMER e RSIT.

GMER 1.0.14.14536 - http://www.gmer.net

Rootkit scan 2008-11-25 10:21:35

Windows 5.1.2600 Service Pack 2

---- System - GMER 1.0.14 ----

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xF37C3604]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xF37C34C0]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xF37C399E]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xF37C3098]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xF37C359A]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xF37C2FD8]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xF37C303C]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xF37C36BA]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xF37C367A]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xF37C37FA]

---- User IAT/EAT - GMER 1.0.14 ----

IAT D:\WINDOWS\system32\services.exe[692] @ D:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00370002

IAT D:\WINDOWS\system32\services.exe[692] @ D:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00370000

---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

---- EOF - GMER 1.0.14 ----

:confused::wacko:

Logfile of random's system information tool 1.04 (written by random/random)

Run by Caio at 2008-11-25 10:30:40

Microsoft Windows XP Professional Service Pack 2

System drive D: has 9 GB (43%) free of 20 GB

Total RAM: 1023 MB (63% free)

HijackThis download failed

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}]

Yahoo! Toolbar Helper - D:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll [2006-10-26 440384]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]

Spybot-S&D IE Protection - D:\ARQUIV~1\SPYBOT~1\SDHelper.dll [2008-09-15 1562960]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

{EF99BD32-C1FB-11D2-892F-0090271D4F88} - Barra de Ferramentas do Yahoo! com bloqueador de pop-up - D:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll [2006-10-26 440384]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"avast!"=D:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe [2008-11-18 81000]

"RTHDCPL"=D:\WINDOWS\RTHDCPL.EXE [2006-01-11 15961088]

"Alcmtr"=D:\WINDOWS\ALCMTR.EXE [2005-05-03 69632]

"OrderReminder"=D:\Arquivos de programas\Hewlett-Packard\OrderReminder\OrderReminder.exe [2006-07-30 98304]

"NeroCheck"=D:\WINDOWS\system32\\NeroCheck.exe [2001-07-09 155648]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"=D:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]

"SpybotSD TeaTimer"=D:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"dontdisplaylastusername"=0

"legalnoticecaption"=

"legalnoticetext"=

"shutdownwithoutlogon"=1

"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"D:\Arquivos de programas\Programador de Modem\AltaVia617BU.exe"="D:\Arquivos de programas\Programador de Modem\AltaVia617BU.exe:*:Enabled:Configurador de Modem Parks AltaVia617BU)"

"D:\Arquivos de programas\SiSoftware\SiSoftware Sandra Lite 2009\RpcAgentSrv.exe"="D:\Arquivos de programas\SiSoftware\SiSoftware Sandra Lite 2009\RpcAgentSrv.exe:*:Enabled:SiSoftware Deployment Agent Service"

"D:\Arquivos de programas\SiSoftware\SiSoftware Sandra Lite 2009\WNt500x86\RpcSandraSrv.exe"="D:\Arquivos de programas\SiSoftware\SiSoftware Sandra Lite 2009\WNt500x86\RpcSandraSrv.exe:*:Enabled:SiSoftware Sandra Agent Service"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

======List of files/folders created in the last 1 months======

2008-11-25 10:30:40 ----D---- D:\rsit

2008-11-25 10:30:40 ----D---- D:\Arquivos de programas\trend micro

2008-11-25 10:14:48 ----A---- D:\WINDOWS\gmer.ini

2008-11-25 10:14:47 ----A---- D:\WINDOWS\gmer_uninstall.cmd

2008-11-25 10:14:47 ----A---- D:\WINDOWS\gmer.exe

2008-11-25 10:14:47 ----A---- D:\WINDOWS\gmer.dll

2008-11-24 17:50:46 ----D---- D:\Arquivos de programas\GRISOFT

2008-11-12 18:16:08 ----HD---- D:\WINDOWS\$NtUninstallKB957097$

2008-11-12 18:15:57 ----HD---- D:\WINDOWS\$NtUninstallKB955069$

2008-11-12 10:19:39 ----A---- D:\WINDOWS\graphedit.INI

2008-11-11 14:06:33 ----D---- D:\Documents and Settings\Caio\Dados de aplicativos\Media Player Classic

2008-11-11 14:05:20 ----A---- D:\WINDOWS\system32\rmoc3260.dll

2008-11-11 14:05:20 ----A---- D:\WINDOWS\system32\pndx5032.dll

2008-11-11 14:05:20 ----A---- D:\WINDOWS\system32\pndx5016.dll

2008-11-11 14:05:20 ----A---- D:\WINDOWS\system32\pncrt.dll

2008-11-11 14:05:19 ----A---- D:\WINDOWS\system32\unrar.dll

2008-11-11 14:05:18 ----A---- D:\WINDOWS\avisplitter.ini

2008-11-11 14:05:15 ----A---- D:\WINDOWS\system32\yv12vfw.dll

2008-11-11 14:05:14 ----A---- D:\WINDOWS\system32\xvidvfw.dll

2008-11-11 14:05:14 ----A---- D:\WINDOWS\system32\xvidcore.dll

2008-11-11 14:05:13 ----A---- D:\WINDOWS\system32\qt-dx331.dll

2008-11-11 14:05:13 ----A---- D:\WINDOWS\system32\dpl100.dll

2008-11-11 14:05:12 ----A---- D:\WINDOWS\system32\divx.dll

2008-11-11 14:05:11 ----A---- D:\WINDOWS\system32\ff_vfw.dll.manifest

2008-11-11 14:05:11 ----A---- D:\WINDOWS\system32\ff_vfw.dll

2008-11-11 14:05:08 ----D---- D:\Documents and Settings\Caio\Dados de aplicativos\Real

2008-11-11 14:05:08 ----D---- D:\Documents and Settings\All Users\Dados de aplicativos\Real

2008-11-11 14:05:08 ----D---- D:\Arquivos de programas\K-Lite Codec Pack

======List of files/folders modified in the last 1 months======

2008-11-24 18:08:24 ----N---- D:\WINDOWS\SchedLgU.Txt

2008-11-19 17:50:02 ----A---- D:\WINDOWS\Arquinauta.ini

2008-11-18 15:41:38 ----A---- D:\WINDOWS\system32\aswBoot.exe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 Aavmker4;avast! Asynchronous Virus Monitor; D:\WINDOWS\system32\drivers\Aavmker4.sys [2008-11-18 26944]

R1 aswSP;avast! Self Protection; D:\WINDOWS\system32\drivers\aswSP.sys [2008-11-18 110160]

R1 aswTdi;avast! Network Shield Support; D:\WINDOWS\system32\drivers\aswTdi.sys [2008-11-18 50864]

R1 AvgArCln;Avg Anti-Rootkit Clean Driver; D:\WINDOWS\System32\DRIVERS\AvgArCln.sys [2007-01-18 3968]

R2 aswFsBlk;aswFsBlk; D:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-11-18 20560]

R2 aswMon2;avast! Standard Shield Support; D:\WINDOWS\system32\drivers\aswMon2.sys [2008-11-18 94032]

R3 aswRdr;aswRdr; D:\WINDOWS\system32\drivers\aswRdr.sys [2008-11-18 23152]

R3 cwcspud;Crystal SoundFusion Driver; D:\WINDOWS\system32\drivers\cwcspud.sys [2001-08-17 111872]

R3 cwcwdm;Crystal SoundFusion WDM Driver; D:\WINDOWS\system32\drivers\cwcwdm.sys [2001-08-17 93952]

R3 FETNDIS;VIA PCI 10/100Mb Fast Ethernet Adapter NT Driver; D:\WINDOWS\system32\DRIVERS\fetnd5.sys [2001-08-17 27165]

R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; D:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2005-01-07 138752]

R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); D:\WINDOWS\system32\drivers\RtkHDAud.sys [2006-01-13 4137984]

R3 MTsensor;ATK0110 ACPI UTILITY; D:\WINDOWS\system32\DRIVERS\ASACPI.sys [2004-08-12 5810]

R3 nv;nv; D:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2004-08-03 1897408]

R3 usbehci;Microsoft USB 2.0 Enhanced Host Controller Miniport Driver; D:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-04 26624]

R3 usbhub;USB2 Enabled Hub; D:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-04 57600]

R3 usbuhci;Microsoft USB Universal Host Controller Miniport Driver; D:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-04 20480]

S3 Asushwio;Asushwio; \??\D:\WINDOWS\system32\drivers\Asushwio.sys []

S3 gmer;gmer; D:\WINDOWS\System32\DRIVERS\gmer.sys [2008-11-25 85969]

S3 SANDRA;SANDRA; \??\D:\Arquivos de programas\SiSoftware\SiSoftware Sandra Lite 2009\WNt500x86\Sandra.sys []

S3 SONYPVU1;Sony USB Filter Driver (SONYPVU1); D:\WINDOWS\system32\DRIVERS\SONYPVU1.SYS [2001-08-17 7552]

S3 usbprint;Microsoft USB PRINTER Class; D:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856]

S3 USBSTOR;USB Mass Storage Driver; D:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]

S4 IntelIde;IntelIde; D:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 aswUpdSv;avast! iAVS4 Control Service; D:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe [2008-11-18 18752]

R2 avast! Antivirus;avast! Antivirus; D:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe [2008-11-18 155160]

R2 MDM;Machine Debug Manager; D:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-19 322120]

R3 avast! Mail Scanner;avast! Mail Scanner; D:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe [2008-11-18 254040]

R3 avast! Web Scanner;avast! Web Scanner; D:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe [2008-11-18 352920]

S3 ose;Office Source Engine; D:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]

S3 SandraAgentSrv;SiSoftware Deployment Agent Service; D:\Arquivos de programas\SiSoftware\SiSoftware Sandra Lite 2009\RpcAgentSrv.exe [2008-09-08 98488]

-----------------EOF-----------------

No aguardo, grato.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Já passei 3 ferramentas de remoção diferentes específicas para o caso: AVG anti-rootkit, F-secure Black Light e Pavark. nenhuma deu resultado...:eek::wacko: Alguém teria alguma sugestão eficaz :confused::confused:

Compartilhar este post


Link para o post
Compartilhar em outros sites

Leia o seguinte tópico e entenda porque houve demora em atender o seu caso:

http://forum.clubedohardware.com.br/nao-responda-seu/386252

Faça o download de DDS e salve no desktop.

  • Temporariamente desative os seus programas de proteção.
  • Duplo clique em dds.scr.
  • Irá surgir uma tela preta com algumas informações. Não clique em nada, apenas aguarde!
  • Quando terminar, o DDS.txt irá abrir.
  • Surgirá também uma nova caixa "D.D.S - Optional_Scan", clique em Sim.
  • Uma nova janela do Bloco de Notas irá abrir com o log "Attach.txt".
  • Uma caixa final irá surgir, clique em OK.
  • Salve ambos os resultados (DDS.txt e Attach.txt) e cole-os na sua próxima resposta

Compartilhar este post


Link para o post
Compartilhar em outros sites

Bem, conforme solicitado aqui estão os arquivos DDS.TXT e ATTACH.TXT

D:\Arquivos de programas\Hewlett-Packard\OrderReminder\OrderReminder.exe

D:\WINDOWS\system32\ctfmon.exe

D:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

D:\WINDOWS\system32\wuauclt.exe

D:\WINDOWS\system32\svchost.exe -k imgsvc

D:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Source Engine\OSE.EXE

D:\Arquivos de programas\Microsoft Office\OFFICE11\WINWORD.EXE

D:\Arca\programas\dds.scr

============== Pseudo HJT Report ===============

uStart Page = hxxp://br.yahoo.com/

uInternet Connection Wizard,ShellNext = iexplore

uURLSearchHooks: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - d:\arquivos de programas\yahoo!\companion\installs\cpn\yt.dll

BHO: {02478D38-C3F9-4EFB-9B51-7695ECA05670} - d:\arquivos de programas\yahoo!\companion\installs\cpn\yt.dll

BHO: {53707962-6F74-2D53-2644-206D7942484F} - d:\arquiv~1\spybot~1\SDHelper.dll

TB: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - d:\arquivos de programas\yahoo!\companion\installs\cpn\yt.dll

TB: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - d:\arquivos de programas\yahoo!\companion\installs\cpn\yt.dll

uRun: [CTFMON.EXE] d:\windows\system32\ctfmon.exe

uRun: [spybotSD TeaTimer] d:\arquivos de programas\spybot - search & destroy\TeaTimer.exe

mRun: [avast!] d:\arquiv~1\alwils~1\avast4\ashDisp.exe

mRun: [RTHDCPL] RTHDCPL.EXE

mRun: [Alcmtr] ALCMTR.EXE

mRun: [OrderReminder] d:\arquivos de programas\hewlett-packard\orderreminder\OrderReminder.exe

mRun: [NeroCheck] d:\windows\system32\\NeroCheck.exe

dRun: [CTFMON.EXE] d:\windows\system32\CTFMON.EXE

IE: E&xportar para o Microsoft Excel - d:\arquiv~1\micros~2\office11\EXCEL.EXE/3000

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - d:\arquivos de programas\messenger\msmsgs.exe

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - d:\arquiv~1\micros~2\office11\REFIEBAR.DLL

IE: {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - {53707962-6F74-2D53-2644-206D7942484F} - d:\arquiv~1\spybot~1\SDHelper.dll

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - d:\arquivos de programas\messenger\msmsgs.exe

============= SERVICES / DRIVERS ===============

R0 AVG Anti-Rootkit;AVG Anti-Rootkit;d:\windows\system32\drivers\avgarkt.sys [2007-1-31 5632]

R0 phooks;phooks;d:\windows\system32\drivers\phooks.sys [2008-11-25 23552]

R1 aswSP;avast! Self Protection;d:\windows\system32\drivers\aswSP.sys [2008-10-2 111184]

R1 AvgArCln;Avg Anti-Rootkit Clean Driver;d:\windows\system32\drivers\AvgArCln.sys [2008-11-24 3968]

R2 aswFsBlk;aswFsBlk;d:\windows\system32\drivers\aswFsBlk.sys [2008-10-2 20560]

R2 avast! Antivirus;avast! Antivirus;"d:\arquivos de programas\alwil software\avast4\ashServ.exe" [2008-10-2 155160]

R3 avast! Mail Scanner;avast! Mail Scanner;"d:\arquivos de programas\alwil software\avast4\ashMaiSv.exe" /service [2008-10-2 254040]

R3 avast! Web Scanner;avast! Web Scanner;"d:\arquivos de programas\alwil software\avast4\ashWebSv.exe" /service [2008-10-2 352920]

S3 Asushwio;Asushwio;\??\d:\windows\system32\drivers\Asushwio.sys [2008-10-2 5824]

S3 SandraAgentSrv;SiSoftware Deployment Agent Service;d:\arquivos de programas\sisoftware\sisoftware sandra lite 2009\RpcAgentSrv.exe [2008-10-5 98488]

=============== Created Last 30 ================

2008-12-01 14:52 308,224 a------- d:\windows\IsUn0416.exe

2008-11-26 09:30 102,800 a------- d:\windows\system32\drivers\tmcomm.sys

2008-11-25 11:33 23,552 a------- d:\windows\system32\drivers\phooks.sys

2008-11-25 11:33 <DIR> --d----- d:\documents and settings\caio\Pavark

2008-11-25 10:30 <DIR> --d----- d:\arquivos de programas\trend micro

2008-11-25 10:14 250 a------- d:\windows\gmer.ini

2008-11-24 17:50 3,968 a------- d:\windows\system32\drivers\AvgArCln.sys

==================== Find3M ====================

2008-11-07 18:32 2,109,440 a------- d:\windows\system32\dllcache\WMVCore.dll

2008-10-24 09:10 453,632 a------- d:\windows\system32\drivers\mrxsmb.sys

2008-10-24 09:10 453,632 -------- d:\windows\system32\dllcache\mrxsmb.sys

2008-10-23 11:00 283,648 a------- d:\windows\system32\gdi32.dll

2008-10-23 11:00 283,648 a------- d:\windows\system32\dllcache\gdi32.dll

2008-10-16 14:13 1,809,944 a------- d:\windows\system32\dllcache\wuaueng.dll

2008-10-16 14:13 202,776 a------- d:\windows\system32\dllcache\wuweb.dll

2008-10-16 14:12 323,608 a------- d:\windows\system32\dllcache\wucltui.dll

2008-10-16 14:12 561,688 a------- d:\windows\system32\dllcache\wuapi.dll

2008-10-16 14:09 92,696 a------- d:\windows\system32\dllcache\cdm.dll

2008-10-16 14:09 51,224 a------- d:\windows\system32\dllcache\wuauclt.exe

2008-10-16 14:08 34,328 a------- d:\windows\system32\dllcache\wups.dll

2008-10-15 14:59 332,800 a------- d:\windows\system32\dllcache\netapi32.dll

2008-10-15 07:45 18,432 a------- d:\windows\system32\dllcache\iedw.exe

2008-10-05 09:22 1,744 a------- d:\windows\system32\d3d9caps.dat

2008-10-04 22:45 4,608 a------- d:\windows\system32\w95inf32.dll

2008-10-04 22:45 2,272 a------- d:\windows\system32\w95inf16.dll

2008-10-03 10:08 86,327 a------- d:\windows\pchealth\helpctr\offlinecache\index.dat

2008-10-03 08:16 247,326 a------- d:\windows\system32\strmdll.dll

2008-10-03 08:16 247,326 a------- d:\windows\system32\dllcache\strmdll.dll

2008-10-02 16:15 370 a------- d:\arquivos de programas\INSTALL.LOG

2008-10-02 14:35 344,734 a------- d:\windows\system32\perfh016.dat

2008-10-02 14:35 48,846 a------- d:\windows\system32\perfc016.dat

2008-10-02 08:57 21,844 a------- d:\windows\system32\emptyregdb.dat

============= FINISH: 14:44:47,92 ===============

RP26: 31/10/2008 09:29:11 - Ponto de verificação do sistema

RP27: 4/11/2008 16:29:30 - Ponto de verificação do sistema

RP28: 6/11/2008 09:40:40 - Ponto de verificação do sistema

RP29: 10/11/2008 09:28:29 - Ponto de verificação do sistema

RP30: 11/11/2008 09:33:14 - Ponto de verificação do sistema

RP31: 11/11/2008 13:55:04 - antes do codec

RP32: 12/11/2008 16:36:29 - Ponto de verificação do sistema

RP33: 12/11/2008 18:15:51 - Software Distribution Service 3.0

RP34: 14/11/2008 09:29:08 - Ponto de verificação do sistema

RP35: 17/11/2008 09:20:18 - Ponto de verificação do sistema

RP36: 18/11/2008 16:58:40 - Ponto de verificação do sistema

RP37: 20/11/2008 09:19:15 - Ponto de verificação do sistema

RP38: 21/11/2008 09:41:24 - Ponto de verificação do sistema

RP39: 24/11/2008 10:37:29 - Ponto de verificação do sistema

RP40: 24/11/2008 17:46:54 - antes de excluir o rootkit

RP41: 26/11/2008 16:44:27 - Ponto de verificação do sistema

RP42: 28/11/2008 09:50:36 - Ponto de verificação do sistema

RP43: 2/12/2008 09:51:28 - Ponto de verificação do sistema

RP44: 3/12/2008 16:00:48 - Ponto de verificação do sistema

RP45: 5/12/2008 14:22:18 - Ponto de verificação do sistema

RP46: 8/12/2008 10:43:14 - Ponto de verificação do sistema

RP47: 9/12/2008 17:49:53 - Ponto de verificação do sistema

RP48: 10/12/2008 11:28:42 - Software Distribution Service 3.0

RP49: 11/12/2008 16:55:04 - Ponto de verificação do sistema

RP50: 15/12/2008 09:38:38 - Ponto de verificação do sistema

==== Installed Programs ======================

Adobe Acrobat 4.0

Adobe Flash Player ActiveX

Arquinauta

Atualização de Segurança para o Windows Media Player (KB952069)

Atualização de Segurança para Windows XP (KB923789)

Atualização de Segurança para Windows XP (KB938464)

Atualização de Segurança para Windows XP (KB952954)

Atualização de Segurança para Windows XP (KB953838)

Atualização de Segurança para Windows XP (KB953839)

Atualização de Segurança para Windows XP (KB954211)

Atualização de Segurança para Windows XP (KB954600)

Atualização de Segurança para Windows XP (KB955069)

Atualização de Segurança para Windows XP (KB956390)

Atualização de Segurança para Windows XP (KB956391)

Atualização de Segurança para Windows XP (KB956802)

Atualização de Segurança para Windows XP (KB956803)

Atualização de Segurança para Windows XP (KB956841)

Atualização de Segurança para Windows XP (KB957095)

Atualização de Segurança para Windows XP (KB957097)

Atualização de Segurança para Windows XP (KB958215)

Atualização de Segurança para Windows XP (KB958644)

Atualização para Windows XP (KB955839)

avast! Antivirus

AVG Anti-Rootkit Free

Barra de Ferramentas do Yahoo! com bloqueador de pop-up

CCleaner (remove only)

Corel Graphics Suite 11

CrossLoop 2.30

HijackThis 1.99.1

HP OrderReminder

iGrafx System

IZArc 3.81

K-Lite Mega Codec Pack 4.2.5

LaserJet 1018

Microsoft Office Professional Edição 2003

Nero - Burning Rom

Realtek High Definition Audio Driver

SiSoftware Sandra Lite 2009

SModem 1.0

Spybot - Search & Destroy

Suite de Aplicativos Gráficos CorelDRAW 11

TurboADSL 0.98

VBA (2627.7)

WebFldrs XP

Yahoo! Install Manager

Yahoo! Toolbar

==== Event Viewer Messages ===================

==== End Of File ===========================

Compartilhar este post


Link para o post
Compartilhar em outros sites

Qual o nome exato da infecção acusada?

Compartilhar este post


Link para o post
Compartilhar em outros sites
Qual o nome exato da infecção acusada?

O avast ( quando configurado para scaneamento full ) detecta rootkits e pede excluir e para reiniciar o micro e varrer o anti-vírus no boot e na memória ram...:confused: quando volto else estão novamente no escaneamento full posterior...

O nome ? tenho uma imagem capturada...aí tem informações. Se tiver como anexar essa imagem ???

Compartilhar este post


Link para o post
Compartilhar em outros sites

Hospede no imageshack.us:

http://www.imageshack.us

Depois poste-a aqui com a tag IMG.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá,

Leia as instruções contidas neste link:

Nas instruções contidas no link acima, poderá verificar quais os fóruns onde os Analistas estão devidamente habilitados a utilizar corretamente a ferramenta:"Fóruns para receber ajuda com logs do ComboFix"

  1. Faça o download do ComboFix de um dos links oficiais listados abaixo e salve no seu desktop:

[*]Temporariamente e durante a execução destas instruções, é muito importante que mantenha desabilitados os seus programas de proteção (Antivirus, Antispyware e Firewall). Reative as proteções após a execução do(s) procedimento(s) abaixo mencionado(s).

[*]Duplo clique no icone desktopicon.png que está no desktop.

[*]Leia e aceite as condições, digitando 1 e enter.

[*]Computadores com Windows XP deverão instalar o Console de Recuperação:

  • Se o seu computador tem instalado o Windows XP e ainda não tem instalado o Console de Recuperação, por favor certifique-se que está conectado a Internet, e clique em "Sim".
  • Clique em "OK" ao EULA.
  • Quando o Console de Recuperação estiver instalado, clique em "SIM" para continuar.

[*]O ComboFix será executado, por favor seja paciente e aguarde.

[*]Atenção: Não utilize o mouse nem o teclado enquanto a ferramenta estiver sendo executada, isso pode fazer com que o computador pare.

[*]Poderá surgir o aviso que é necessário reiniciar o computador.

NÃO REINICIE!!! O ComboFix reiniciará o computador automaticamente.

[*]Quando a ferramenta terminar de rodar, gerará um log (o arquivo C:\ComboFix.txt). Copie e cole o conteúdo desse arquivo na sua proxima resposta.

NÃO utilize a ferramenta por conta própria. É uma ferramenta poderosa criada pra lidar com infecções sofisticadas e caso não a utilize corretamente poderá danificar o seu computador.

  • Existem vários malwares que impedem a execução correta da ferramenta e com isso danificar gravemente o computador. Analistas habilitados a utilizar o ComboFix conhecem esses casos e sabem lidar com estas situações.
  • Muitos dos Analistas não respondem a topicos em que vejam que o ComboFix foi utilizado sem supervisão.
  • Existem varias ferramentas anti-malware generalistas em que os autores ao elaborarem a programação das mesmas, estão pensando nos usuários finais e para serem usadas sem supervisão. O Combofix não é uma ferramenta desse tipo, e assim sendo e até por respeito ao autor da ferramenta, não utilize sem supervisão.

Compartilhar este post


Link para o post
Compartilhar em outros sites

:wacko:Putz, ao postar os logs dos DDS.TXT e ATTACH.TXT esqueci de desabilitar o anti-vírus. Vi isso agora. Posto navamente antes de usar o ComboFix ???

Compartilhar este post


Link para o post
Compartilhar em outros sites

Pode postar o log do ComboFix.

Compartilhar este post


Link para o post
Compartilhar em outros sites





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×