Ir ao conteúdo
  • Cadastre-se
Entre para seguir isso  
Maklack

Janela preta abre e fecha ao entrar em usuário

Recommended Posts

Sistema: WinXP

Core 2 duo

1,61GHz

2,00Gb de RAM

- Ligo o computador;

- Windows XP carrega;

- Seleção de usuários;

- Seleciono o meu usuário e confirmo a entrada;

- Demora 30 segundos para sair da tela de usuários e carregar o plano de fundo;

- Uma janela preta (parecida com o prompt de comando do DOS) abre e fecha muito rapidamente várias vezes em vários lugares na tela durante 10-20 segundos. Ela parece com essa: http://forum.clubedohardware.com.br/...09579?t=609579

- Os ícones e a barra de iniciar do desktop são então corretamente carregados (após a janela preta ter parado de abrir e fechar sozinha);

*tempo para carregar área de trabalho e começar a operar: 40-50 segundos

Isso acontece aproximadamente 5 em cada 6 vezes que eu ligo o computador e entro no meu usuário. Na outra 1 vez ele carrega normalmente, demorando cerca de 3-5 segundos para iniciar tudo e sem travar na tela de usuário e sem abrir a janela preta.

Não tem por que demorar tanto, já que não está carregado e o computador é bom. Deve ser algum vírus... Tenho o Spybot S&D atualizado e ele não detecta problemas. Tenho também o Avast!, mas não consigo mais atualizar ele (está muuuuito desatualizado). Fora esse problema na inicialização não parece haver outros problemas, exceto talvez por uma leve lentidão para rodar alguns programas pesados (jogos...). A tela preta não pisca ao logar com outros usuários, e tudo é carregado rapidamente em 3-5 segundos.

Seguem os logs:

GMER:

GMER 1.0.15.14972 - http://www.gmer.net

Rootkit scan 2009-05-07 07:21:24

Windows 5.1.2600 Service Pack 2

---- System - GMER 1.0.15 ----

Code \SystemRoot\System32\DRIVERS\gmer.sys (GMER Driver http://www.gmer.net/GMER) ZwCreateProcess [0xB6432F68]

Code \SystemRoot\System32\DRIVERS\gmer.sys (GMER Driver http://www.gmer.net/GMER) ZwCreateProcessEx [0xB64330AC]

Code \SystemRoot\System32\DRIVERS\gmer.sys (GMER Driver http://www.gmer.net/GMER) ZwCreateSection [0xB6432C46]

Code \SystemRoot\System32\DRIVERS\gmer.sys (GMER Driver http://www.gmer.net/GMER) ZwLoadDriver [0xB6432AEE]

Code \SystemRoot\System32\DRIVERS\gmer.sys (GMER Driver http://www.gmer.net/GMER) ZwSetSystemInformation [0xB6432A5C]

Code \SystemRoot\System32\DRIVERS\gmer.sys (GMER Driver http://www.gmer.net/GMER) NtCreateSection

---- Kernel code sections - GMER 1.0.15 ----

PAGE ntkrnlpa.exe!ZwLoadDriver 80582DFE 7 Bytes JMP B6432AF2 \SystemRoot\System32\DRIVERS\gmer.sys (GMER Driver http://www.gmer.net/GMER)

PAGE ntkrnlpa.exe!NtCreateSection 805A9DEE 7 Bytes JMP B6432C4A \SystemRoot\System32\DRIVERS\gmer.sys (GMER Driver http://www.gmer.net/GMER)

PAGE ntkrnlpa.exe!ZwCreateProcessEx 805CF966 7 Bytes JMP B64330B0 \SystemRoot\System32\DRIVERS\gmer.sys (GMER Driver http://www.gmer.net/GMER)

PAGE ntkrnlpa.exe!ZwCreateProcess 805CFA1C 5 Bytes JMP B6432F6C \SystemRoot\System32\DRIVERS\gmer.sys (GMER Driver http://www.gmer.net/GMER)

PAGE ntkrnlpa.exe!ZwSetSystemInformation 8060DB2E 5 Bytes JMP B6432A60 \SystemRoot\System32\DRIVERS\gmer.sys (GMER Driver http://www.gmer.net/GMER)

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- EOF - GMER 1.0.15 ----

DDS:

DDS (Ver_09-03-16.01) - NTFSx86

Run by Particular at 18:23:12,75 on qua 06/05/2009

Internet Explorer: 6.0.2900.2180

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.2047.1622 [GMT -3:00]

AV: avast! antivirus 4.6.623 [VPS 0511-1] *On-access scanning disabled* (Outdated)

============== Running Processes ===============

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

svchost.exe

svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\WINDOWS\Explorer.exe

C:\WINDOWS\system32\VTTimer.exe

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\vsnpstd.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\csrcs.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\MSN Messenger\usnsvc.exe

C:\Documents and Settings\Particular\Desktop\dds.exe

============== Pseudo HJT Report ===============

uStart Page = hxxp://google.com.br/

mWinlogon: Shell=Explorer.exe csrcs.exe

BHO: AcroIEHlprObj Class: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\arquivos de programas\adobe\acrobat 5.0\reader\activex\AcroIEHelper.ocx

BHO: Skype add-on (mastermind): {22bf413b-c6d2-4d91-82a9-a0f997ba588c} - c:\arquivos de programas\skype\toolbars\internet explorer\SkypeIEPlugin.dll

BHO: Java Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\arquivos de programas\java\jre6\bin\ssv.dll

BHO: {7E853D72-626A-48EC-A868-BA8D5E23E045} - No File

BHO: Windows Live Sign-in Helper: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\arquivos de programas\arquivos comuns\microsoft shared\windows live\WindowsLiveLogin.dll

BHO: Windows Live Toolbar Helper: {bdbd1dad-c946-4a17-adc1-64b5b4ff55d0} - c:\arquivos de programas\windows live toolbar\msntb.dll

BHO: 1 (0x1) - No File

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\arquivos de programas\java\jre6\bin\jp2ssv.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\arquivos de programas\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

TB: Windows Live Toolbar: {bdad1dad-c946-4a17-adc1-64b5b4ff55d0} - c:\arquivos de programas\windows live toolbar\msntb.dll

uRun: [MSMSGS] "c:\arquivos de programas\messenger\msmsgs.exe" /background

mRun: [VTTrayp] VTtrayp.exe

mRun: [VTTimer] VTTimer.exe

mRun: [sunJavaUpdateSched] "c:\arquivos de programas\java\jre6\bin\jusched.exe"

mRun: [soundMan] SOUNDMAN.EXE

mRun: [snpstd] c:\windows\vsnpstd.exe

mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit

mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

mRun: [Emurayden PSX Emulator] c:\arquiv~1\alwils~1\avast4\ashDisp.exe

mRun: [avast!] c:\arquiv~1\alwils~1\avast4\ashDisp.exe

mRun: [services] c:\windows\services.exe

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

mExplorerRun: [csrcs] c:\windows\system32\csrcs.exe

IE: &Windows Live Search - c:\arquivos de programas\windows live toolbar\msntb.dll/search.htm

IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\micros~2\office11\EXCEL.EXE/3000

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\arquivos de programas\messenger\msmsgs.exe

IE: {77BF5300-1474-4EC7-9980-D32B190E9B07} - {77BF5300-1474-4EC7-9980-D32B190E9B07} - c:\arquivos de programas\skype\toolbars\internet explorer\SkypeIEPlugin.dll

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\arquiv~1\micros~2\office11\REFIEBAR.DLL

DPF: {5D6F45B3-9043-443D-A792-115447494D24} - hxxp://messenger.zone.msn.com/EN-US/a-UNO1/GAME_UNO1.cab

DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} - hxxp://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\arquiv~1\arquiv~1\skype\SKYPE4~1.DLL

============= SERVICES / DRIVERS ===============

R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [2007-10-30 11264]

R2 avast! Antivirus;avast! Antivirus;c:\arquivos de programas\alwil software\avast4\ashServ.exe [2007-10-30 90160]

S2 GF0012;TF Filter Driver B;c:\windows\system32\drivers\GF0012.sys [2008-6-20 11520]

S3 avast! Mail Scanner;avast! Mail Scanner;c:\arquivos de programas\alwil software\avast4\ashMaiSv.exe [2007-10-30 237616]

S3 avast! Web Scanner;avast! Web Scanner;c:\arquivos de programas\alwil software\avast4\ashWebSv.exe [2007-10-30 340016]

=============== Created Last 30 ================

2009-04-18 22:10 266 a------- c:\windows\kaillera.ini

==================== Find3M ====================

2009-03-24 01:16 416,040 a------- c:\windows\system32\perfh016.dat

2009-03-24 01:16 62,358 a------- c:\windows\system32\perfc016.dat

2004-08-04 20:58 345,768 a--shr-- c:\windows\system32\csrcs.exe

============= FINISH: 18:23:29,84 ===============

Compartilhar este post


Link para o post
Compartilhar em outros sites

Vejo que você tem uma infecção por backdoor. Este programa tem a capacidade de roubar senhas e outras informações do seu computador. Recomendo que tome essas seguintes providências o quanto antes:

  • Informe seu banco do ocorrido, caso use banco pela internet, tomando as devidas precauções para que não haja fraudes.
  • Após eu dar o log como limpo troque suas senhas de e-mails e demais serviços que usa pela internet.
  • Considere informações que possam ter sido roubadas de seu computador e tome as providências necessárias.

Agora vamos a remoção.

Faça o download do SDFix:

http://linhadefensiva.org/dl/sdfix

Salve-o em sua área de trabalho. Dê um duplo clique no SDFix.exe e a ferramenta será instalada em %SystemDrive%\SDFix (geralmente C:\SDFix)

Reinicie em Modo de Segurança (Pressione intermitentemente F8 durante a inicialização, no menu que aparecer escolha através da seta de navegação, Modo Seguro).

  1. Entre na pasta SDFix que foi instalada no seu computador e dê um duplo clique no arquivo RunThis.bat
  2. Tecle Y para que a ferramenta inicie o processo de remoção
  3. Quando tudo terminar, você verá um aviso dizendo para apertar qualquer tecla para continuar. Ao pressionar qualquer tecla, o computador será reiniciado automaticamente
  4. Após reiniciar, a ferramenta ainda será executada novamente e irá terminar o seu trabalho e a palavra Finished irá aparecer. Pressione qualquer tecla.
  5. Uma janela com o relatório do SDFix irá aparecer.
  6. Copie e cole este relatório na sua resposta. Caso você tenha fechado a janela, uma cópia do relatório estará na pasta SDFix com o nome Report.txt

Compartilhar este post


Link para o post
Compartilhar em outros sites

Obrigado pela atenção Renato. Aqui está o log do SDfix.

SDFix: Version 1.240

Run by Particular on seg 11/05/2009 at 20:44

Microsoft Windows XP [versÆo 5.1.2600]

Running From: C:\SDFix

Checking Services :

Restoring Default Security Values

Restoring Default Hosts File

Rebooting

Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\csrcs.exe - Deleted

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-05-11 21:05:28

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Arquivos de programas\\InterVideo\\DVD5\\WinDVD.exe"="C:\\Arquivos de programas\\InterVideo\\DVD5\\WinDVD.exe:*:Enabled:WinDVD"

"C:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe"="C:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Arquivos de programas\\MSN Messenger\\livecall.exe"="C:\\Arquivos de programas\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"D:\\World of Warcraft\\WoW-2.3.0-enUS-downloader.exe"="D:\\World of Warcraft\\WoW-2.3.0-enUS-downloader.exe:*:Enabled:Blizzard Downloader"

"C:\\Arquivos de programas\\Winamp Remote\\bin\\Orb.exe"="C:\\Arquivos de programas\\Winamp Remote\\bin\\Orb.exe:*:Enabled:Orb"

"C:\\Arquivos de programas\\Winamp Remote\\bin\\OrbTray.exe"="C:\\Arquivos de programas\\Winamp Remote\\bin\\OrbTray.exe:*:Enabled:OrbTray"

"C:\\Arquivos de programas\\Winamp Remote\\bin\\OrbStreamerClient.exe"="C:\\Arquivos de programas\\Winamp Remote\\bin\\OrbStreamerClient.exe:*:Enabled:Orb Stream Client"

"C:\\Documents and Settings\\Particular\\Meus documentos\\Zsnes\\zsnesw.exe"="C:\\Documents and Settings\\Particular\\Meus documentos\\Zsnes\\zsnesw.exe:*:Enabled:zsnesw"

"D:\\OnGame\\GunBoundWC\\GunBound.gme"="D:\\OnGame\\GunBoundWC\\GunBound.gme:*:Disabled:GunBound"

"C:\\Documents and Settings\\Particular\\Meus documentos\\DreMule\\emule.exe"="C:\\Documents and Settings\\Particular\\Meus documentos\\DreMule\\emule.exe:*:Disabled:Dreamule"

"C:\\Documents and Settings\\Particular\\Meus documentos\\Hamachi\\hamachi.exe"="C:\\Documents and Settings\\Particular\\Meus documentos\\Hamachi\\hamachi.exe:*:Enabled:Hamachi Client"

"C:\\Documents and Settings\\Particular\\Meus documentos\\Tibia\\Tibia.exe"="C:\\Documents and Settings\\Particular\\Meus documentos\\Tibia\\Tibia.exe:*:Disabled:Tibia Player"

"D:\\World of Warcraft\\Launcher.exe"="D:\\World of Warcraft\\Launcher.exe:*:Enabled:Blizzard Launcher"

"C:\\Arquivos de programas\\Messenger\\msmsgs.exe"="C:\\Arquivos de programas\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"

"C:\\Arquivos de programas\\Skype\\Phone\\Skype.exe"="C:\\Arquivos de programas\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Arquivos de programas\\MSN Messenger\\msncall.exe"="C:\\Arquivos de programas\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

"C:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe"="C:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Arquivos de programas\\MSN Messenger\\livecall.exe"="C:\\Arquivos de programas\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files :

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 20 Oct 2003 73,688 ..SHR --- "C:\Arquivos de programas\Autodesk\Autodesk DWF Viewer\Setup.exe"

Sat 24 Jan 2004 5,120 A.SHR --- "C:\Arquivos de programas\Autodesk\Autodesk DWF Viewer\_Setupx.dll"

Mon 22 Jul 2002 418,816 ...HR --- "C:\WINDOWS\system32\Tools\All.exe"

Fri 19 Jul 2002 390,144 ...HR --- "C:\WINDOWS\system32\Tools\Change.exe"

Fri 19 Jul 2002 574,464 ...HR --- "C:\WINDOWS\system32\Tools\CheckPath.exe"

Tue 20 Aug 2002 430,592 ...HR --- "C:\WINDOWS\system32\Tools\Counter.exe"

Tue 23 Jul 2002 390,656 ...HR --- "C:\WINDOWS\system32\Tools\DelFolders.exe"

Fri 22 Nov 2002 399,872 ...HR --- "C:\WINDOWS\system32\Tools\DirectSetup.exe"

Fri 19 Jul 2002 388,096 ...HR --- "C:\WINDOWS\system32\Tools\RegClean.exe"

Fri 19 Jul 2002 388,608 ...HR --- "C:\WINDOWS\system32\Tools\Regexe.exe"

Fri 19 Jul 2002 388,096 ...HR --- "C:\WINDOWS\system32\Tools\RunRegexe.exe"

Wed 22 Oct 2008 949,072 A.SHR --- "C:\Documents and Settings\Particular\Meus documentos\Protect\Spybot - Search & Destroy\advcheck.dll"

Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Documents and Settings\Particular\Meus documentos\Protect\Spybot - Search & Destroy\SDHelper.dll"

Mon 7 Jul 2008 1,429,840 A.SHR --- "C:\Documents and Settings\Particular\Meus documentos\Protect\Spybot - Search & Destroy\SDUpdate.exe"

Mon 7 Jul 2008 4,891,472 A.SHR --- "C:\Documents and Settings\Particular\Meus documentos\Protect\Spybot - Search & Destroy\SpybotSD.exe"

Thu 5 Mar 2009 2,260,480 A.SHR --- "C:\Documents and Settings\Particular\Meus documentos\Protect\Spybot - Search & Destroy\TeaTimer.exe"

Wed 22 Oct 2008 962,896 A.SHR --- "C:\Documents and Settings\Particular\Meus documentos\Protect\Spybot - Search & Destroy\Tools.dll"

Mon 26 Jan 2009 1,740,632 A.SHR --- "C:\Documents and Settings\Particular\Meus documentos\Protect\Spybot - Search & Destroy\Spybot - Search & Destroy\SDUpdate.exe"

Mon 26 Jan 2009 5,365,592 A.SHR --- "C:\Documents and Settings\Particular\Meus documentos\Protect\Spybot - Search & Destroy\Spybot - Search & Destroy\SpybotSD.exe"

Thu 5 Mar 2009 2,260,480 A.SHR --- "C:\Documents and Settings\Particular\Meus documentos\Protect\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe"

Finished!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá,

Leia as instruções contidas neste link:

Nas instruções contidas no link acima, poderá verificar quais os fóruns onde os Analistas estão devidamente habilitados a utilizar corretamente a ferramenta:"Fóruns para receber ajuda com logs do ComboFix"

  1. Faça o download do ComboFix de um dos links oficiais listados abaixo e salve no seu desktop:

[*]Temporariamente e durante a execução destas instruções, é muito importante que mantenha desabilitados os seus programas de proteção (Antivirus, Antispyware e Firewall). Reative as proteções após a execução do(s) procedimento(s) abaixo mencionado(s).

[*]Duplo clique no icone desktopicon.png que está no desktop.

[*]Leia e aceite as condições, digitando 1 e enter.

[*]Computadores com Windows XP deverão instalar o Console de Recuperação:

  • Se o seu computador tem instalado o Windows XP e ainda não tem instalado o Console de Recuperação, por favor certifique-se que está conectado a Internet, e clique em "Sim".
  • Clique em "OK" ao EULA.
  • Quando o Console de Recuperação estiver instalado, clique em "SIM" para continuar.

[*]O ComboFix será executado, por favor seja paciente e aguarde.

[*]Atenção: Não utilize o mouse nem o teclado enquanto a ferramenta estiver sendo executada, isso pode fazer com que o computador pare.

[*]Poderá surgir o aviso que é necessário reiniciar o computador.

NÃO REINICIE!!! O ComboFix reiniciará o computador automaticamente.

[*]Quando a ferramenta terminar de rodar, gerará um log (o arquivo C:\ComboFix.txt). Copie e cole o conteúdo desse arquivo na sua proxima resposta.

NÃO utilize a ferramenta por conta própria. É uma ferramenta poderosa criada pra lidar com infecções sofisticadas e caso não a utilize corretamente poderá danificar o seu computador.

  • Existem vários malwares que impedem a execução correta da ferramenta e com isso danificar gravemente o computador. Analistas habilitados a utilizar o ComboFix conhecem esses casos e sabem lidar com estas situações.
  • Muitos dos Analistas não respondem a topicos em que vejam que o ComboFix foi utilizado sem supervisão.
  • Existem varias ferramentas anti-malware generalistas em que os autores ao elaborarem a programação das mesmas, estão pensando nos usuários finais e para serem usadas sem supervisão. O Combofix não é uma ferramenta desse tipo, e assim sendo e até por respeito ao autor da ferramenta, não utilize sem supervisão.

Compartilhar este post


Link para o post
Compartilhar em outros sites

O log do ComboFix como solicitado:

ComboFix 09-05-12.04 - Particular 12/05/2009 19:00.6 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.2047.1677 [GMT -3:00]

Executando de: c:\documents and settings\Particular\Desktop\ComboFix.exe

AV: avast! antivirus 4.6.623 [VPS 0511-1] *On-access scanning disabled* (Outdated)

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system32\404Fix.exe

c:\windows\system32\csrcs.exe

c:\windows\system32\dumphive.exe

c:\windows\system32\IEDFix.C.exe

c:\windows\system32\IEDFix.exe

c:\windows\system32\o4Patch.exe

c:\windows\system32\Process.exe

c:\windows\system32\SrchSTS.exe

c:\windows\system32\tmp.reg

c:\windows\system32\VACFix.exe

c:\windows\system32\VCCLSID.exe

c:\windows\system32\WS2Fix.exe

.

(((((((((((((((( Arquivos/Ficheiros criados de 2009-04-12 to 2009-05-12 ))))))))))))))))))))))))))))

.

2009-05-10 01:27 . 2009-05-10 01:32 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-24 04:16 . 2001-10-28 15:07 62358 ----a-w c:\windows\system32\perfc016.dat

2009-03-24 04:16 . 2001-10-28 15:07 416040 ----a-w c:\windows\system32\perfh016.dat

2009-03-11 00:53 . 2009-03-11 00:53 56 ---ha-w c:\windows\system32\ezsidmv.dat

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"="c:\arquivos de programas\Messenger\msmsgs.exe" [2004-08-04 1667584]

"SpybotSD TeaTimer"="c:\documents and settings\Particular\Meus documentos\Protect\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="c:\arquivos de programas\Java\jre6\bin\jusched.exe" [2008-12-15 136600]

"snpstd"="c:\windows\vsnpstd.exe" [2004-06-10 286720]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-04-19 86016]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-19 7700480]

"Emurayden PSX Emulator"="c:\arquiv~1\ALWILS~1\Avast4\ashDisp.exe" [2005-03-12 98352]

"avast!"="c:\arquiv~1\ALWILS~1\Avast4\ashDisp.exe" [2005-03-12 98352]

"VTTrayp"="VTtrayp.exe" - c:\windows\system32\VTTrayp.exe [2006-08-30 180224]

"VTTimer"="VTTimer.exe" - c:\windows\system32\VTTimer.exe [2006-08-03 53248]

"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2006-03-01 577536]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Adobe Gamma Loader.lnk]

path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\Adobe Gamma Loader.lnk

backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^AutoCAD Startup Accelerator.lnk]

path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\AutoCAD Startup Accelerator.lnk

backup=c:\windows\pss\AutoCAD Startup Accelerator.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^InterVideo WinCinema Manager.lnk]

path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\InterVideo WinCinema Manager.lnk

backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\InterVideo\\DVD5\\WinDVD.exe"=

"c:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\MSN Messenger\\livecall.exe"=

"d:\\World of Warcraft\\WoW-2.3.0-enUS-downloader.exe"=

"c:\\Arquivos de programas\\Winamp Remote\\bin\\Orb.exe"=

"c:\\Arquivos de programas\\Winamp Remote\\bin\\OrbTray.exe"=

"c:\\Arquivos de programas\\Winamp Remote\\bin\\OrbStreamerClient.exe"=

"c:\\Documents and Settings\\Particular\\Meus documentos\\Zsnes\\zsnesw.exe"=

"d:\\OnGame\\GunBoundWC\\GunBound.gme"=

"c:\\Documents and Settings\\Particular\\Meus documentos\\DreMule\\emule.exe"=

"c:\\Documents and Settings\\Particular\\Meus documentos\\Hamachi\\hamachi.exe"=

"c:\\Documents and Settings\\Particular\\Meus documentos\\Tibia\\Tibia.exe"=

"d:\\World of Warcraft\\Launcher.exe"=

"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

"c:\\Arquivos de programas\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [30/10/2007 09:21 11264]

S2 GF0012;TF Filter Driver B;c:\windows\system32\drivers\GF0012.sys [20/6/2008 21:41 11520]

S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6b320c5c-f940-11dc-9ef2-001a4dab7b24}]

\Shell\AutoRun\command - F:\fwjnzj.exe

\Shell\explore\Command - F:\fwjnzj.exe

\Shell\open\Command - F:\fwjnzj.exe

.

Conteúdo da pasta 'Tarefas Agendadas'

2009-05-12 c:\windows\Tasks\Verificar Atualizações para a Barra de Ferramentas do Windows Live.job

- c:\arquivos de programas\Windows Live Toolbar\MSNTBUP.EXE [2006-09-27 19:39]

.

- - - - ORFÃOS REMOVIDOS - - - -

HKLM-Explorer_Run-csrcs - c:\windows\system32\csrcs.exe

.

------- Scan Suplementar -------

.

uStart Page = hxxp://google.com.br/

IE: &Windows Live Search - c:\arquivos de programas\Windows Live Toolbar\msntb.dll/search.htm

IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-05-12 19:01

Windows 5.1.2600 Service Pack 2 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]

"ImagePath"="c:\windows\system32\GameMon.des -service"

.

Tempo para conclusão: 2009-05-12 19:02

ComboFix-quarantined-files.txt 2009-05-12 22:02

ComboFix2.txt 2008-10-16 02:00

ComboFix3.txt 2008-10-15 12:34

ComboFix4.txt 2008-10-11 03:07

ComboFix5.txt 2009-05-12 21:59

Pré-execução: 15 pasta(s) 22.876.147.712 bytes disponíveis

Pós execução: 14 pasta(s) 22.885.076.992 bytes disponíveis

123

Compartilhar este post


Link para o post
Compartilhar em outros sites

Conecte suas mídias removíveis.

Temporariamente e durante a execução destas instruções, é muito importante que mantenha desabilitados os seus programas de proteção (Antivirus, Antispyware e Firewall). Reative as proteções após a execução do(s) procedimento(s) abaixo mencionado(s).

Abra o seu Bloco de Notas, copie (control + c) e cole (control + v) todo o texto que está dentro do "Código":


File::
F:\fwjnzj.exe
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6b320c5c-f940-11dc-9ef2-001a4dab7b24}]

  • Salve este arquivo como: CFScript.txt
    CFScriptB-4.gif
  • Tal com exemplificado na foto acima, arraste o arquivo CFScript.txt para dentro do ComboFix.exe
  • Quando a ferramenta terminar de rodar, gerará um log. Poste esse arquivo C:\ComboFix.txt.
  • Faça também um novo log do DDS para colocar na sua resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Log do Combofix:

ComboFix 09-05-12.04 - Particular 13/05/2009 12:49.7 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.2047.1648 [GMT -3:00]

Executando de: c:\documents and settings\Particular\Desktop\ComboFix.exe

Comandos utilizados :: c:\documents and settings\Particular\Desktop\CFScript.txt

AV: avast! antivirus 4.6.623 [VPS 0511-1] *On-access scanning disabled* (Outdated)

* Criado um novo ponto de restauro

FILE ::

F:\fwjnzj.exe

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

F:\fwjnzj.exe

.

(((((((((((((((( Arquivos/Ficheiros criados de 2009-04-13 to 2009-05-13 ))))))))))))))))))))))))))))

.

2009-05-10 01:27 . 2009-05-10 01:32 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-24 04:16 . 2001-10-28 15:07 62358 ----a-w c:\windows\system32\perfc016.dat

2009-03-24 04:16 . 2001-10-28 15:07 416040 ----a-w c:\windows\system32\perfh016.dat

2009-03-11 00:53 . 2009-03-11 00:53 56 ---ha-w c:\windows\system32\ezsidmv.dat

.

((((((((((((((((((((((((((((( SnapShot@2009-05-12_22.01.32 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-05-13 15:12 . 2009-05-13 15:12 16384 c:\windows\temp\Perflib_Perfdata_2a0.dat

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"="c:\arquivos de programas\Messenger\msmsgs.exe" [2004-08-04 1667584]

"SpybotSD TeaTimer"="c:\documents and settings\Particular\Meus documentos\Protect\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="c:\arquivos de programas\Java\jre6\bin\jusched.exe" [2008-12-15 136600]

"snpstd"="c:\windows\vsnpstd.exe" [2004-06-10 286720]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-04-19 86016]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-19 7700480]

"Emurayden PSX Emulator"="c:\arquiv~1\ALWILS~1\Avast4\ashDisp.exe" [2005-03-12 98352]

"avast!"="c:\arquiv~1\ALWILS~1\Avast4\ashDisp.exe" [2005-03-12 98352]

"VTTrayp"="VTtrayp.exe" - c:\windows\system32\VTTrayp.exe [2006-08-30 180224]

"VTTimer"="VTTimer.exe" - c:\windows\system32\VTTimer.exe [2006-08-03 53248]

"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2006-03-01 577536]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Adobe Gamma Loader.lnk]

path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\Adobe Gamma Loader.lnk

backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^AutoCAD Startup Accelerator.lnk]

path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\AutoCAD Startup Accelerator.lnk

backup=c:\windows\pss\AutoCAD Startup Accelerator.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^InterVideo WinCinema Manager.lnk]

path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\InterVideo WinCinema Manager.lnk

backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\InterVideo\\DVD5\\WinDVD.exe"=

"c:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\MSN Messenger\\livecall.exe"=

"d:\\World of Warcraft\\WoW-2.3.0-enUS-downloader.exe"=

"c:\\Arquivos de programas\\Winamp Remote\\bin\\Orb.exe"=

"c:\\Arquivos de programas\\Winamp Remote\\bin\\OrbTray.exe"=

"c:\\Arquivos de programas\\Winamp Remote\\bin\\OrbStreamerClient.exe"=

"c:\\Documents and Settings\\Particular\\Meus documentos\\Zsnes\\zsnesw.exe"=

"d:\\OnGame\\GunBoundWC\\GunBound.gme"=

"c:\\Documents and Settings\\Particular\\Meus documentos\\DreMule\\emule.exe"=

"c:\\Documents and Settings\\Particular\\Meus documentos\\Hamachi\\hamachi.exe"=

"c:\\Documents and Settings\\Particular\\Meus documentos\\Tibia\\Tibia.exe"=

"d:\\World of Warcraft\\Launcher.exe"=

"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

"c:\\Arquivos de programas\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [30/10/2007 09:21 11264]

S2 GF0012;TF Filter Driver B;c:\windows\system32\drivers\GF0012.sys [20/6/2008 21:41 11520]

S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]

.

Conteúdo da pasta 'Tarefas Agendadas'

2009-05-13 c:\windows\Tasks\Verificar Atualizações para a Barra de Ferramentas do Windows Live.job

- c:\arquivos de programas\Windows Live Toolbar\MSNTBUP.EXE [2006-09-27 19:39]

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://google.com.br/

IE: &Windows Live Search - c:\arquivos de programas\Windows Live Toolbar\msntb.dll/search.htm

IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-05-13 12:50

Windows 5.1.2600 Service Pack 2 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]

"ImagePath"="c:\windows\system32\GameMon.des -service"

.

Tempo para conclusão: 2009-05-13 12:52

ComboFix-quarantined-files.txt 2009-05-13 15:52

ComboFix2.txt 2009-05-12 22:02

ComboFix3.txt 2008-10-16 02:00

ComboFix4.txt 2008-10-15 12:34

ComboFix5.txt 2009-05-13 15:49

Pré-execução: 15 pasta(s) 22.784.626.688 bytes disponíveis

Pós execução: 14 pasta(s) 22.774.792.192 bytes disponíveis

114

Log do DDS

DDS (Ver_09-03-16.01) - NTFSx86

Run by Particular at 12:52:55,18 on qua 13/05/2009

Internet Explorer: 6.0.2900.2180

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.2047.1582 [GMT -3:00]

AV: avast! antivirus 4.6.623 [VPS 0511-1] *On-access scanning disabled* (Outdated)

============== Running Processes ===============

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

svchost.exe

svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\VTTimer.exe

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\Documents and Settings\Particular\Meus documentos\Protect\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\Particular\Desktop\dds.exe

============== Pseudo HJT Report ===============

uStart Page = hxxp://google.com.br/

BHO: AcroIEHlprObj Class: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\arquivos de programas\adobe\acrobat 5.0\reader\activex\AcroIEHelper.ocx

BHO: Skype add-on (mastermind): {22bf413b-c6d2-4d91-82a9-a0f997ba588c} - c:\arquivos de programas\skype\toolbars\internet explorer\SkypeIEPlugin.dll

BHO: Spybot-S&D IE Protection: {53707962-6f74-2d53-2644-206d7942484f} - c:\docume~1\partic~1\meusdo~1\protect\spybot~1\spybot~1\SDHelper.dll

BHO: Java Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\arquivos de programas\java\jre6\bin\ssv.dll

BHO: {7E853D72-626A-48EC-A868-BA8D5E23E045} - No File

BHO: Windows Live Sign-in Helper: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\arquivos de programas\arquivos comuns\microsoft shared\windows live\WindowsLiveLogin.dll

BHO: Windows Live Toolbar Helper: {bdbd1dad-c946-4a17-adc1-64b5b4ff55d0} - c:\arquivos de programas\windows live toolbar\msntb.dll

BHO: 1 (0x1) - No File

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\arquivos de programas\java\jre6\bin\jp2ssv.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\arquivos de programas\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

TB: Windows Live Toolbar: {bdad1dad-c946-4a17-adc1-64b5b4ff55d0} - c:\arquivos de programas\windows live toolbar\msntb.dll

uRun: [MSMSGS] "c:\arquivos de programas\messenger\msmsgs.exe" /background

uRun: [spybotSD TeaTimer] c:\documents and settings\particular\meus documentos\protect\spybot - search & destroy\spybot - search & destroy\TeaTimer.exe

mRun: [VTTrayp] VTtrayp.exe

mRun: [VTTimer] VTTimer.exe

mRun: [sunJavaUpdateSched] "c:\arquivos de programas\java\jre6\bin\jusched.exe"

mRun: [soundMan] SOUNDMAN.EXE

mRun: [snpstd] c:\windows\vsnpstd.exe

mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit

mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

mRun: [Emurayden PSX Emulator] c:\arquiv~1\alwils~1\avast4\ashDisp.exe

mRun: [avast!] c:\arquiv~1\alwils~1\avast4\ashDisp.exe

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

IE: &Windows Live Search - c:\arquivos de programas\windows live toolbar\msntb.dll/search.htm

IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\micros~2\office11\EXCEL.EXE/3000

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\arquivos de programas\messenger\msmsgs.exe

IE: {77BF5300-1474-4EC7-9980-D32B190E9B07} - {77BF5300-1474-4EC7-9980-D32B190E9B07} - c:\arquivos de programas\skype\toolbars\internet explorer\SkypeIEPlugin.dll

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\arquiv~1\micros~2\office11\REFIEBAR.DLL

IE: {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - {53707962-6F74-2D53-2644-206D7942484F} - c:\docume~1\partic~1\meusdo~1\protect\spybot~1\spybot~1\SDHelper.dll

DPF: {5D6F45B3-9043-443D-A792-115447494D24} - hxxp://messenger.zone.msn.com/EN-US/a-UNO1/GAME_UNO1.cab

DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} - hxxp://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\arquiv~1\arquiv~1\skype\SKYPE4~1.DLL

============= SERVICES / DRIVERS ===============

R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [2007-10-30 11264]

R2 avast! Antivirus;avast! Antivirus;c:\arquivos de programas\alwil software\avast4\ashServ.exe [2007-10-30 90160]

S2 GF0012;TF Filter Driver B;c:\windows\system32\drivers\GF0012.sys [2008-6-20 11520]

S3 avast! Mail Scanner;avast! Mail Scanner;c:\arquivos de programas\alwil software\avast4\ashMaiSv.exe [2007-10-30 237616]

S3 avast! Web Scanner;avast! Web Scanner;c:\arquivos de programas\alwil software\avast4\ashWebSv.exe [2007-10-30 340016]

S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\gamemon.des -service --> c:\windows\system32\GameMon.des -service [?]

=============== Created Last 30 ================

2009-05-13 12:49 <DIR> --d----- C:\ComboFix

2009-05-09 22:27 55,640 a------- c:\windows\system32\drivers\avgntflt.sys

2009-05-09 18:21 2,796,573 a------- c:\windows\system32\GameMon.des

2009-04-18 22:10 266 a------- c:\windows\kaillera.ini

==================== Find3M ====================

2009-03-24 01:16 416,040 a------- c:\windows\system32\perfh016.dat

2009-03-24 01:16 62,358 a------- c:\windows\system32\perfc016.dat

============= FINISH: 12:53:11,78 ===============

attach.txt

UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.

IF REQUESTED, ZIP IT UP & ATTACH IT

DDS (Ver_09-03-16.01)

Microsoft Windows XP Professional

Boot Device: \Device\HarddiskVolume1

Install Date: 11/10/2007 18:46:08

System Uptime: 13/5/2009 12:11:48 (0 hours ago)

Motherboard: Gigabyte Technology Co., Ltd. | | VM900M

Processor: Genuine Intel® CPU 2140 @ 1.60GHz | Socket 775 | 1607/200mhz

Processor: Genuine Intel® CPU 2140 @ 1.60GHz | Socket 775 | 1607/200mhz

==== Disk Partitions =========================

A: is Removable

C: is FIXED (NTFS) - 39 GiB total, 21,222 GiB free.

D: is FIXED (NTFS) - 110 GiB total, 77,499 GiB free.

E: is CDROM ()

F: is Removable

==== Disabled Device Manager Items =============

Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318}

Description: Controlador de interrupção do sistema

Device ID: PCI\VEN_1106&DEV_5364&SUBSYS_00000000&REV_00\3&2411E6FE&0&05

Manufacturer:

Name: Controlador de interrupção do sistema

PNP Device ID: PCI\VEN_1106&DEV_5364&SUBSYS_00000000&REV_00\3&2411E6FE&0&05

Service:

==== System Restore Points ===================

RP32: 1/3/2009 01:48:40 - Ponto de verificação do sistema

RP33: 2/3/2009 21:52:41 - Ponto de verificação do sistema

RP34: 4/3/2009 07:25:42 - Ponto de verificação do sistema

RP35: 5/3/2009 16:39:08 - Ponto de verificação do sistema

RP36: 6/3/2009 16:45:28 - Ponto de verificação do sistema

RP37: 7/3/2009 16:49:51 - Ponto de verificação do sistema

RP38: 9/3/2009 12:57:19 - Ponto de verificação do sistema

RP39: 10/3/2009 13:00:05 - Ponto de verificação do sistema

RP40: 12/3/2009 16:50:09 - Ponto de verificação do sistema

RP41: 13/3/2009 19:10:47 - Ponto de verificação do sistema

RP42: 16/3/2009 14:30:28 - Ponto de verificação do sistema

RP43: 19/3/2009 05:19:05 - Ponto de verificação do sistema

RP44: 20/3/2009 20:25:57 - Ponto de verificação do sistema

RP45: 22/3/2009 18:19:42 - Ponto de verificação do sistema

RP46: 25/3/2009 15:30:31 - Ponto de verificação do sistema

RP47: 26/3/2009 21:05:23 - Ponto de verificação do sistema

RP48: 30/3/2009 16:50:32 - Ponto de verificação do sistema

RP49: 31/3/2009 17:14:51 - Ponto de verificação do sistema

RP50: 4/4/2009 22:57:06 - Ponto de verificação do sistema

RP51: 6/4/2009 00:03:51 - Ponto de verificação do sistema

RP52: 7/4/2009 06:51:18 - Ponto de verificação do sistema

RP53: 9/4/2009 01:12:07 - Ponto de verificação do sistema

RP54: 10/4/2009 11:24:25 - Ponto de verificação do sistema

RP55: 11/4/2009 13:50:23 - Ponto de verificação do sistema

RP56: 12/4/2009 21:29:20 - Ponto de verificação do sistema

RP57: 14/4/2009 14:13:04 - Ponto de verificação do sistema

RP58: 15/4/2009 21:59:54 - Ponto de verificação do sistema

RP59: 16/4/2009 23:30:27 - Ponto de verificação do sistema

RP60: 18/4/2009 18:33:41 - Ponto de verificação do sistema

RP61: 22/4/2009 15:30:35 - Ponto de verificação do sistema

RP62: 23/4/2009 18:29:09 - Ponto de verificação do sistema

RP63: 26/4/2009 03:35:37 - Ponto de verificação do sistema

RP64: 27/4/2009 04:29:53 - Ponto de verificação do sistema

RP65: 28/4/2009 04:31:12 - Ponto de verificação do sistema

RP66: 29/4/2009 16:27:18 - Ponto de verificação do sistema

RP67: 30/4/2009 17:39:47 - Ponto de verificação do sistema

RP68: 5/5/2009 17:04:25 - Ponto de verificação do sistema

RP69: 6/5/2009 19:22:08 - Ponto de verificação do sistema

RP70: 7/5/2009 23:55:53 - Ponto de verificação do sistema

RP71: 9/5/2009 22:24:47 - Avira AntiVir Personal - 9/5/2009 22:24

RP72: 11/5/2009 11:42:17 - Avira AntiVir Personal - 11/5/2009 11:42

RP73: 13/5/2009 12:49:16 - ComboFix created restore point

==== Installed Programs ======================

Adobe Acrobat 5.0

Adobe Flash Player 10 ActiveX

Adobe Flash Player Plugin

Adobe Photoshop 7.0

Arquivo do WinRAR

AutoCAD 2005 - English

Autodesk DWF Viewer

avast! Antivirus

Badongo

Barra de Ferramentas do Outlook do Windows Live (Windows Live Toolbar)

Bloqueador de Pop-ups (Windows Live Toolbar)

Combined Community Codec Pack 2008-01-24

Creative DVD Audio Plugin for Audigy Series

Detector de Feed do Windows Live Toolbar (Windows Live Toolbar)

Dreamule 3.1

Extensão do Windows Live Toolbar (Windows Live Toolbar)

Google Chrome

Google Earth

Google Gears

Guitar Pro 5.0

GunboundWC

Hamachi 1.0.2.5

High Definition Audio Driver Package - KB888111

HijackThis 1.99.1

InterActual Player

InterVideo WinDVD 5

J2SE Runtime Environment 5.0 Update 6

Java 6 Update 11

Java 6 Update 3

Java 6 Update 5

Java 6 Update 7

Magic Workstation 0.94f

Menus Inteligentes (Windows Live Toolbar)

Microsoft .NET Framework 1.1

Microsoft Office Professional Edição 2003

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17

mp3-2-wav converter 1.14

Navegação com Guias (Windows Live Toolbar)

Nero 6 Enterprise Edition

NVIDIA Drivers

OneCare Advisor (Windows Live Toolbar)

Ping Plotter Freeware

Platform

Real Alternative 1.8.2

Realtek AC'97 Audio

Skype™ 4.0

Spybot - Search & Destroy

Tibia

TibiaBR Cam Lite 1.7

USB Dual Vibration Joystick With Macro

USB PC Camera (SN9C102)

VIA Platform Device Manager

VIA/S3G Display Driver 6.14.10.0331

Warcraft III: All Products

WebFldrs XP

Winamp

Winamp Remote

Windows Live Favorites para Windows Live Toolbar

Windows Live Messenger

Windows Live Sign-in Assistant

Windows Live Toolbar

Windows Media Format Runtime

World of Warcraft

==== End Of File ===========================

Compartilhar este post


Link para o post
Compartilhar em outros sites

Temporariamente desative anti-virus de seu computador!

Faça um Online Scan em kaspersky Virusscanner

  • Clique em Clipboard01-1.jpg
  • Clique em accept.
  • Surgirá uma janela, clique em Run.
  • O programa será instalado e depois começará a fazer as atualizações (updates). Aguarde...
  • Quando completar as atualizações (100%), clique no botão 3507611311_825f7c7183_o.jpg
  • Verifique, no painel à direita, se estão marcados as seguintes caixas:
  • Em: Detect malicious programs of the following categories:
    • Viruses, Worms, Trojan Horses, Rootkits (por default já vem selecionada)
    • Spyware, Adware, Dialers, and other potentially dangerous programs

    [*]Em: Scan compound files (doesn't apply to the File scan area):

    • Archives
    • Mail databases
  • Clique em My Computer para começar o scan. Aguarde...
  • Ao fim do scan clique no link View scan report.
  • Clique no botão 3508421676_e090b1e383_o.jpg
  • Na janela que abrir em Files of type escolha a extensão Text file (.txt), escolha um local e dê um nome para o arquivo.
  • Pode fechar a página do Kaspersky.
  • Abra o arquivo em que salvou o relatório, selecione todo o conteúdo (ctr + a), copie (ctrl + c) e cole (ctrl + v) em sua próxima resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Enquanto eu estava passando o scan (fiz o download completo com update e o scan estava em 15%) o site saiu do ar e não voltou até hoje. Vou continuar tentando. Ou devo fazer outra coisa?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Faça download do Kaspersky Removal Tool. Salve em seu desktop (área de trabalho).

  • Instale o programa normalmente, seguindo todas as instruções.
  • Uma pasta chamada Virus Removal Tool será criada no desktop.
  • Na tela principal do programa clique na opção Meu computador, Startup objects, Disk boot sectors e depois clique no botão Scan.
  • Seja paciente, o scan pode demorar
  • Se ele encontrar alguma infecção abrirá uma janela de alerta clique em skip.
  • Após completar tudo, clique no botão Reports... e clique em Save to file.
  • Dê um nome para o arquivo e salve numa pasta de sua preferência.
  • Feche o resultado clicando no X da janela.
  • Logo em seguida feche o programa também clicando no X da janela. Ao fazer isso será questionado se quer desinstalar a ferramenta, clique em No. Poste o conteúdo desse arquivo em sua próxima resposta e aguarde.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Também não funciona. O site do kaspersky não está entrando aqui, tentei os primeiros links em amarelo no google, e também não entrou.

Olha o que aparece:

Removal tool:

Ops! Este link parece estar corrompido.

Sugestões:

Ir para www. kaspersky- labs. com

Pesquisar no Google:

e o online scan (também continua sem funcionar):

Ops! Este link parece estar corrompido.

Sugestões:

Visualizar cópia em cache da página do Google

Recarregar esta página mais tarde

Ir para uma página com conteúdo similar https: / / www. iterasi. net/ public/ archive/ BT9IrWka4Uu5qVCL WD1ZA

Pesquisar no Google:

Compartilhar este post


Link para o post
Compartilhar em outros sites

Novo log do DDS:

DDS (Ver_09-03-16.01) - NTFSx86

Run by Particular at 1:59:54,20 on sáb 16/05/2009

Internet Explorer: 6.0.2900.2180

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.2047.1555 [GMT -3:00]

AV: avast! antivirus 4.6.623 [VPS 0511-1] *On-access scanning disabled* (Outdated)

============== Running Processes ===============

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

svchost.exe

svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\WINDOWS\system\msdct.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\VTTimer.exe

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\vsnpstd.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Documents and Settings\Particular\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Particular\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Arquivos de programas\MSN Messenger\usnsvc.exe

C:\Documents and Settings\Particular\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Particular\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Particular\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Particular\Desktop\dds.exe

============== Pseudo HJT Report ===============

uStart Page = hxxp://google.com.br/

BHO: AcroIEHlprObj Class: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\arquivos de programas\adobe\acrobat 5.0\reader\activex\AcroIEHelper.ocx

BHO: Skype add-on (mastermind): {22bf413b-c6d2-4d91-82a9-a0f997ba588c} - c:\arquivos de programas\skype\toolbars\internet explorer\SkypeIEPlugin.dll

BHO: {53707962-6F74-2D53-2644-206D7942484F} - No File

BHO: Java Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\arquivos de programas\java\jre6\bin\ssv.dll

BHO: {7E853D72-626A-48EC-A868-BA8D5E23E045} - No File

BHO: Windows Live Sign-in Helper: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\arquivos de programas\arquivos comuns\microsoft shared\windows live\WindowsLiveLogin.dll

BHO: Windows Live Toolbar Helper: {bdbd1dad-c946-4a17-adc1-64b5b4ff55d0} - c:\arquivos de programas\windows live toolbar\msntb.dll

BHO: 1 (0x1) - No File

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\arquivos de programas\java\jre6\bin\jp2ssv.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\arquivos de programas\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

TB: Windows Live Toolbar: {bdad1dad-c946-4a17-adc1-64b5b4ff55d0} - c:\arquivos de programas\windows live toolbar\msntb.dll

uRun: [MSMSGS] "c:\arquivos de programas\messenger\msmsgs.exe" /background

mRun: [VTTrayp] VTtrayp.exe

mRun: [VTTimer] VTTimer.exe

mRun: [sunJavaUpdateSched] "c:\arquivos de programas\java\jre6\bin\jusched.exe"

mRun: [soundMan] SOUNDMAN.EXE

mRun: [snpstd] c:\windows\vsnpstd.exe

mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit

mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

mRun: [Emurayden PSX Emulator] c:\arquiv~1\alwils~1\avast4\ashDisp.exe

mRun: [avast!] c:\arquiv~1\alwils~1\avast4\ashDisp.exe

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

IE: &Windows Live Search - c:\arquivos de programas\windows live toolbar\msntb.dll/search.htm

IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\micros~2\office11\EXCEL.EXE/3000

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\arquivos de programas\messenger\msmsgs.exe

IE: {77BF5300-1474-4EC7-9980-D32B190E9B07} - {77BF5300-1474-4EC7-9980-D32B190E9B07} - c:\arquivos de programas\skype\toolbars\internet explorer\SkypeIEPlugin.dll

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\arquiv~1\micros~2\office11\REFIEBAR.DLL

DPF: {5D6F45B3-9043-443D-A792-115447494D24} - hxxp://messenger.zone.msn.com/EN-US/a-UNO1/GAME_UNO1.cab

DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} - hxxp://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\arquiv~1\arquiv~1\skype\SKYPE4~1.DLL

============= SERVICES / DRIVERS ===============

R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [2007-10-30 11264]

R2 avast! Antivirus;avast! Antivirus;c:\arquivos de programas\alwil software\avast4\ashServ.exe [2007-10-30 90160]

S2 GF0012;TF Filter Driver B;c:\windows\system32\drivers\GF0012.sys [2008-6-20 11520]

S2 jzhcfoxi;Security Shell;c:\windows\system32\svchost.exe -k netsvcs [2004-8-4 14336]

S2 WM System Decode Application;WM System Decode Application;c:\windows\system\msdct.exe [2009-5-13 79360]

S3 avast! Mail Scanner;avast! Mail Scanner;c:\arquivos de programas\alwil software\avast4\ashMaiSv.exe [2007-10-30 237616]

S3 avast! Web Scanner;avast! Web Scanner;c:\arquivos de programas\alwil software\avast4\ashWebSv.exe [2007-10-30 340016]

S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\gamemon.des -service --> c:\windows\system32\GameMon.des -service [?]

S3 sysdrv32;Play Port I/O Driver;c:\windows\system32\drivers\sysdrv32.sys [2009-5-13 11656]

=============== Created Last 30 ================

2009-05-13 12:57 11,656 ---sh--- c:\windows\system32\drivers\sysdrv32.sys

2009-05-13 12:57 79,360 ---shr-- c:\windows\system\msdct.exe

2009-05-13 12:49 <DIR> --d----- C:\ComboFix

2009-05-09 22:27 55,640 a------- c:\windows\system32\drivers\avgntflt.sys

2009-05-09 18:21 2,796,573 a------- c:\windows\system32\GameMon.des

2009-04-18 22:10 266 a------- c:\windows\kaillera.ini

==================== Find3M ====================

2009-03-24 01:16 416,040 a------- c:\windows\system32\perfh016.dat

2009-03-24 01:16 62,358 a------- c:\windows\system32\perfc016.dat

2004-08-04 00:45 170,505 a--shr-- c:\windows\system32\ksewik.dll

============= FINISH: 2:00:13,98 ===============

Compartilhar este post


Link para o post
Compartilhar em outros sites

Houve reinfecção, você tem usado pendrive, MP3, MP4 ou afins?

Execute novamente o ComboFix.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Sim, eu conectei o MP3 no computador uma vez após o passo anterior ter sido realizado. Pensei que estaria desinfectado, mas tinha uma pasta nova nele dizendo "quarentena", ou algo assim. De qualquer forma, aqui vai o log do combofix.

ComboFix 09-05-23.03 - Particular 23/05/2009 18:39.9 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.2047.1626 [GMT -3:00]

Executando de: c:\documents and settings\Particular\Desktop\ComboFix.exe

AV: avast! antivirus 4.6.623 [VPS 0511-1] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_SYSDRV32

-------\Service_sysdrv32

(((((((((((((((( Arquivos/Ficheiros criados de 2009-04-23 to 2009-05-23 ))))))))))))))))))))))))))))

.

2009-05-13 15:57 . 2009-05-13 15:57 79360 --sh--r c:\windows\system\msdct.exe

2009-05-10 01:27 . 2009-05-10 01:32 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys

2009-05-06 18:13 . 2009-05-06 18:13 15240 ----a-w c:\documents and settings\Particular\Dados de aplicativos\Microsoft\IdentityCRL\PROD\ppcrlconfig.dll

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-05-21 23:51 . 2009-03-11 00:34 -------- d-----w c:\documents and settings\Particular\Dados de aplicativos\Skype

2009-05-21 23:34 . 2009-03-11 00:53 -------- d-----w c:\documents and settings\Particular\Dados de aplicativos\skypePM

2009-04-26 18:10 . 2008-10-03 15:10 -------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Spybot - Search & Destroy

2009-03-24 04:16 . 2001-10-28 15:07 62358 ----a-w c:\windows\system32\perfc016.dat

2009-03-24 04:16 . 2001-10-28 15:07 416040 ----a-w c:\windows\system32\perfh016.dat

2009-03-11 00:53 . 2009-03-11 00:53 56 ---ha-w c:\windows\system32\ezsidmv.dat

2004-08-04 03:45 . 2004-08-04 03:45 170505 --sha-r c:\windows\system32\ksewik.dll

.

((((((((((((((((((((((((((((( SnapShot@2009-05-12_22.01.32 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-05-23 21:41 . 2009-05-23 21:41 16384 c:\windows\temp\Perflib_Perfdata_5ac.dat

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Emurayden PSX Emulator"="c:\arquiv~1\ALWILS~1\Avast4\ashDisp.exe" [2005-03-12 98352]

"avast!"="c:\arquiv~1\ALWILS~1\Avast4\ashDisp.exe" [2005-03-12 98352]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-19 7700480]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WM System Decode Application]

@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Adobe Gamma Loader.lnk]

path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\Adobe Gamma Loader.lnk

backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^AutoCAD Startup Accelerator.lnk]

path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\AutoCAD Startup Accelerator.lnk

backup=c:\windows\pss\AutoCAD Startup Accelerator.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^InterVideo WinCinema Manager.lnk]

path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\InterVideo WinCinema Manager.lnk

backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\InterVideo\\DVD5\\WinDVD.exe"=

"c:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\MSN Messenger\\livecall.exe"=

"d:\\World of Warcraft\\WoW-2.3.0-enUS-downloader.exe"=

"c:\\Arquivos de programas\\Winamp Remote\\bin\\Orb.exe"=

"c:\\Arquivos de programas\\Winamp Remote\\bin\\OrbTray.exe"=

"c:\\Arquivos de programas\\Winamp Remote\\bin\\OrbStreamerClient.exe"=

"c:\\Documents and Settings\\Particular\\Meus documentos\\Zsnes\\zsnesw.exe"=

"d:\\OnGame\\GunBoundWC\\GunBound.gme"=

"c:\\Documents and Settings\\Particular\\Meus documentos\\DreMule\\emule.exe"=

"c:\\Documents and Settings\\Particular\\Meus documentos\\Hamachi\\hamachi.exe"=

"c:\\Documents and Settings\\Particular\\Meus documentos\\Tibia\\Tibia.exe"=

"d:\\World of Warcraft\\Launcher.exe"=

"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

"c:\\WINDOWS\\system\\msdct.exe"=

"c:\\Arquivos de programas\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

"2115:TCP"= 2115:TCP:tvfjc

R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [30/10/2007 09:21 11264]

S2 GF0012;TF Filter Driver B;c:\windows\system32\drivers\GF0012.sys [20/6/2008 21:41 11520]

S2 jzhcfoxi;Security Shell;c:\windows\system32\svchost.exe -k netsvcs [4/8/2004 00:45 14336]

S2 WM System Decode Application;WM System Decode Application;c:\windows\system\msdct.exe [13/5/2009 12:57 79360]

S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

jzhcfoxi

.

Conteúdo da pasta 'Tarefas Agendadas'

2009-05-23 c:\windows\Tasks\Verificar Atualizações para a Barra de Ferramentas do Windows Live.job

- c:\arquivos de programas\Windows Live Toolbar\MSNTBUP.EXE [2006-09-27 19:39]

.

- - - - ORFÃOS REMOVIDOS - - - -

SafeBoot-procexp90.Sys

.

------- Scan Suplementar -------

.

uStart Page = hxxp://google.com.br/

IE: &Windows Live Search - c:\arquivos de programas\Windows Live Toolbar\msntb.dll/search.htm

IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-05-23 18:41

Windows 5.1.2600 Service Pack 2 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]

"ImagePath"="c:\windows\system32\GameMon.des -service"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\jzhcfoxi]

"ServiceDll"="c:\windows\system32\ksewik.dll"

.

------------------------ Outros Processos em Execução ------------------------

.

c:\arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

c:\arquivos de programas\Alwil Software\Avast4\ashServ.exe

c:\arquivos de programas\Java\jre6\bin\jqs.exe

c:\arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\windows\system32\nvsvc32.exe

c:\windows\system32\wdfmgr.exe

c:\arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

c:\arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

.

**************************************************************************

.

Tempo para conclusão: 2009-05-23 18:43 - Máquina reiniciou

ComboFix-quarantined-files.txt 2009-05-23 21:43

ComboFix2.txt 2009-05-23 17:57

ComboFix3.txt 2009-05-13 15:52

ComboFix4.txt 2009-05-12 22:02

ComboFix5.txt 2009-05-23 21:38

Pré-execução: 15 pasta(s) 22.915.182.592 bytes disponíveis

Pós execução: 14 pasta(s) 22.928.871.424 bytes disponíveis

133

Compartilhar este post


Link para o post
Compartilhar em outros sites

Temporariamente e durante a execução destas instruções, é muito importante que mantenha desabilitados os seus programas de proteção (Antivirus, Antispyware e Firewall). Reative as proteções após a execução do(s) procedimento(s) abaixo mencionado(s).

Abra o seu Bloco de Notas, copie (control + c) e cole (control + v) todo o texto que está dentro do "Código":


File::

c:\windows\system\msdct.exe
c:\windows\system32\ksewik.dll


Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system\\msdct.exe"=-

Driver::

jzhcfoxi
npggsvc

NetSvc::

jzhcfoxi

  • Salve este arquivo como: CFScript.txt
    CFScriptB-4.gif
  • Tal com exemplificado na foto acima, arraste o arquivo CFScript.txt para dentro do ComboFix.exe
  • Quando a ferramenta terminar de rodar, gerará um log. Poste esse arquivo C:\ComboFix.txt.
  • Faça também um novo log do DDS para colocar na sua resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites

ComboFix 09-05-25.A2 - Particular 26/05/2009 12:48.10 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.2047.1680 [GMT -3:00]

Executando de: c:\documents and settings\Particular\Desktop\ComboFix.exe

Comandos utilizados :: c:\documents and settings\Particular\Desktop\CFScript.txt

AV: avast! antivirus 4.6.623 [VPS 0511-1] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

* Criado um novo ponto de restauro

FILE ::

"c:\windows\system\msdct.exe"

"c:\windows\system32\ksewik.dll"

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system\msdct.exe

c:\windows\system32\drivers\sysdrv32.sys

c:\windows\system32\ksewik.dll

.

((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_JZHCFOXI

-------\Legacy_SYSDRV32

-------\Service_jzhcfoxi

-------\Service_npggsvc

-------\Service_sysdrv32

(((((((((((((((( Arquivos/Ficheiros criados de 2009-04-26 to 2009-05-26 ))))))))))))))))))))))))))))

.

2009-05-10 01:27 . 2009-05-10 01:32 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys

2009-05-06 18:13 . 2009-05-06 18:13 15240 ----a-w c:\documents and settings\Particular\Dados de aplicativos\Microsoft\IdentityCRL\PROD\ppcrlconfig.dll

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-05-24 20:22 . 2009-03-11 00:34 -------- d-----w c:\documents and settings\Particular\Dados de aplicativos\Skype

2009-05-24 19:34 . 2009-03-11 00:53 -------- d-----w c:\documents and settings\Particular\Dados de aplicativos\skypePM

2009-04-26 18:10 . 2008-10-03 15:10 -------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Spybot - Search & Destroy

2009-03-24 04:16 . 2001-10-28 15:07 62358 ----a-w c:\windows\system32\perfc016.dat

2009-03-24 04:16 . 2001-10-28 15:07 416040 ----a-w c:\windows\system32\perfh016.dat

2009-03-11 00:53 . 2009-03-11 00:53 56 ---ha-w c:\windows\system32\ezsidmv.dat

.

((((((((((((((((((((((((((((( SnapShot@2009-05-12_22.01.32 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-05-26 15:51 . 2009-05-26 15:51 16384 c:\windows\temp\Perflib_Perfdata_108.dat

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Emurayden PSX Emulator"="c:\arquiv~1\ALWILS~1\Avast4\ashDisp.exe" [2005-03-12 98352]

"avast!"="c:\arquiv~1\ALWILS~1\Avast4\ashDisp.exe" [2005-03-12 98352]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-19 7700480]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WM System Decode Application]

@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Adobe Gamma Loader.lnk]

path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\Adobe Gamma Loader.lnk

backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^AutoCAD Startup Accelerator.lnk]

path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\AutoCAD Startup Accelerator.lnk

backup=c:\windows\pss\AutoCAD Startup Accelerator.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^InterVideo WinCinema Manager.lnk]

path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\InterVideo WinCinema Manager.lnk

backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\InterVideo\\DVD5\\WinDVD.exe"=

"c:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\MSN Messenger\\livecall.exe"=

"d:\\World of Warcraft\\WoW-2.3.0-enUS-downloader.exe"=

"c:\\Arquivos de programas\\Winamp Remote\\bin\\Orb.exe"=

"c:\\Arquivos de programas\\Winamp Remote\\bin\\OrbTray.exe"=

"c:\\Arquivos de programas\\Winamp Remote\\bin\\OrbStreamerClient.exe"=

"c:\\Documents and Settings\\Particular\\Meus documentos\\Zsnes\\zsnesw.exe"=

"d:\\OnGame\\GunBoundWC\\GunBound.gme"=

"c:\\Documents and Settings\\Particular\\Meus documentos\\DreMule\\emule.exe"=

"c:\\Documents and Settings\\Particular\\Meus documentos\\Hamachi\\hamachi.exe"=

"c:\\Documents and Settings\\Particular\\Meus documentos\\Tibia\\Tibia.exe"=

"d:\\World of Warcraft\\Launcher.exe"=

"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

"c:\\Arquivos de programas\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

"2115:TCP"= 2115:TCP:tvfjc

R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [30/10/2007 09:21 11264]

S2 GF0012;TF Filter Driver B;c:\windows\system32\drivers\GF0012.sys [20/6/2008 21:41 11520]

S2 WM System Decode Application;WM System Decode Application;"c:\windows\system\msdct.exe" --> c:\windows\system\msdct.exe [?]

.

Conteúdo da pasta 'Tarefas Agendadas'

2009-05-25 c:\windows\Tasks\Verificar Atualizações para a Barra de Ferramentas do Windows Live.job

- c:\arquivos de programas\Windows Live Toolbar\MSNTBUP.EXE [2006-09-27 19:39]

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://google.com.br/

IE: &Windows Live Search - c:\arquivos de programas\Windows Live Toolbar\msntb.dll/search.htm

IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-05-26 12:51

Windows 5.1.2600 Service Pack 2 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

**************************************************************************

.

------------------------ Outros Processos em Execução ------------------------

.

c:\arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

c:\arquivos de programas\Alwil Software\Avast4\ashServ.exe

c:\arquivos de programas\Java\jre6\bin\jqs.exe

c:\arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\windows\system32\nvsvc32.exe

c:\windows\system32\wdfmgr.exe

c:\arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

c:\arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

.

**************************************************************************

.

Tempo para conclusão: 2009-05-26 12:53 - Máquina reiniciou

ComboFix-quarantined-files.txt 2009-05-26 15:53

ComboFix2.txt 2009-05-23 21:43

ComboFix3.txt 2009-05-23 17:57

ComboFix4.txt 2009-05-13 15:52

ComboFix5.txt 2009-05-26 15:48

Pré-execução: 15 pasta(s) 22.003.716.096 bytes disponíveis

Pós execução: 14 pasta(s) 21.992.501.248 bytes disponíveis

133

E dds:

DDS (Ver_09-03-16.01) - NTFSx86

Run by Particular at 12:54:30,01 on ter 26/05/2009

Internet Explorer: 6.0.2900.2180

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.2047.1687 [GMT -3:00]

AV: avast! antivirus 4.6.623 [VPS 0511-1] *On-access scanning disabled* (Outdated)

============== Running Processes ===============

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

svchost.exe

svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\notepad.exe

C:\Documents and Settings\Particular\Desktop\dds.exe

============== Pseudo HJT Report ===============

uStart Page = hxxp://google.com.br/

BHO: AcroIEHlprObj Class: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\arquivos de programas\adobe\acrobat 5.0\reader\activex\AcroIEHelper.ocx

BHO: Skype add-on (mastermind): {22bf413b-c6d2-4d91-82a9-a0f997ba588c} - c:\arquivos de programas\skype\toolbars\internet explorer\SkypeIEPlugin.dll

BHO: Java Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\arquivos de programas\java\jre6\bin\ssv.dll

BHO: {7E853D72-626A-48EC-A868-BA8D5E23E045} - No File

BHO: Windows Live Sign-in Helper: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\arquivos de programas\arquivos comuns\microsoft shared\windows live\WindowsLiveLogin.dll

BHO: Windows Live Toolbar Helper: {bdbd1dad-c946-4a17-adc1-64b5b4ff55d0} - c:\arquivos de programas\windows live toolbar\msntb.dll

BHO: 1 (0x1) - No File

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\arquivos de programas\java\jre6\bin\jp2ssv.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\arquivos de programas\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

TB: Windows Live Toolbar: {bdad1dad-c946-4a17-adc1-64b5b4ff55d0} - c:\arquivos de programas\windows live toolbar\msntb.dll

mRun: [Emurayden PSX Emulator] c:\arquiv~1\alwils~1\avast4\ashDisp.exe

mRun: [avast!] c:\arquiv~1\alwils~1\avast4\ashDisp.exe

mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

IE: &Windows Live Search - c:\arquivos de programas\windows live toolbar\msntb.dll/search.htm

IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\micros~2\office11\EXCEL.EXE/3000

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\arquivos de programas\messenger\msmsgs.exe

IE: {77BF5300-1474-4EC7-9980-D32B190E9B07} - {77BF5300-1474-4EC7-9980-D32B190E9B07} - c:\arquivos de programas\skype\toolbars\internet explorer\SkypeIEPlugin.dll

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\arquiv~1\micros~2\office11\REFIEBAR.DLL

DPF: {5D6F45B3-9043-443D-A792-115447494D24} - hxxp://messenger.zone.msn.com/EN-US/a-UNO1/GAME_UNO1.cab

DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} - hxxp://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\arquiv~1\arquiv~1\skype\SKYPE4~1.DLL

============= SERVICES / DRIVERS ===============

R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [2007-10-30 11264]

R2 avast! Antivirus;avast! Antivirus;c:\arquivos de programas\alwil software\avast4\ashServ.exe [2007-10-30 90160]

S2 GF0012;TF Filter Driver B;c:\windows\system32\drivers\GF0012.sys [2008-6-20 11520]

S2 WM System Decode Application;WM System Decode Application;"c:\windows\system\msdct.exe" --> c:\windows\system\msdct.exe [?]

S3 avast! Mail Scanner;avast! Mail Scanner;c:\arquivos de programas\alwil software\avast4\ashMaiSv.exe [2007-10-30 237616]

S3 avast! Web Scanner;avast! Web Scanner;c:\arquivos de programas\alwil software\avast4\ashWebSv.exe [2007-10-30 340016]

=============== Created Last 30 ================

2009-05-23 18:38 154,624 a------- c:\windows\PEV.exe

2009-05-09 22:27 55,640 a------- c:\windows\system32\drivers\avgntflt.sys

2009-05-09 18:21 2,796,573 a------- c:\windows\system32\GameMon.des

==================== Find3M ====================

2009-03-24 01:16 416,040 a------- c:\windows\system32\perfh016.dat

2009-03-24 01:16 62,358 a------- c:\windows\system32\perfc016.dat

============= FINISH: 12:54:46,29 ===============

Compartilhar este post


Link para o post
Compartilhar em outros sites

Configure o Windows para mostrar todos os arquivos

Usando o Windows Explorer (clique com o botão da direita do mouse em cima do Iniciar depois clique em Explorar, procure e apague o seguinte arquivo em vermelho (se estiver[em] presente):

c:\windows\system32\GameMon.des <- este arquivo

Reinicie normalmente.

Temporariamente desative antivirus de seu computador!

Faça um Online Scan em kaspersky Virusscanner

  • Clique em Clipboard01-1.jpg
  • Clique em accept.
  • Surgirá uma janela, clique em Run.
  • O programa será instalado e depois começará a fazer as atualizações (updates). Aguarde...
  • Quando completar as atualizações (100%), clique no botão 3507611311_825f7c7183_o.jpg
  • Verifique, no painel à direita, se estão marcados as seguintes caixas:
  • Em: Detect malicious programs of the following categories:
    • Viruses, Worms, Trojan Horses, Rootkits (por default já vem selecionada)
    • Spyware, Adware, Dialers, and other potentially dangerous programs

    [*]Em: Scan compound files (doesn't apply to the File scan area):

    • Archives
    • Mail databases
  • Clique em My Computer para começar o scan. Aguarde...
  • Ao fim do scan clique no link View scan report.
  • Clique no botão 3508421676_e090b1e383_o.jpg
  • Na janela que abrir em Files of type escolha a extensão Text file (.txt), escolha um local e dê um nome para o arquivo.
  • Pode fechar a página do Kaspersky.
  • Abra o arquivo em que salvou o relatório, selecione todo o conteúdo (ctr + a), copie (ctrl + c) e cole (ctrl + v) em sua próxima resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7.0 REPORT

Wednesday, May 27, 2009

Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)

Kaspersky Online Scanner version: 7.0.26.13

Program database last update: Wednesday, May 27, 2009 22:56:07

Records in database: 2261230

--------------------------------------------------------------------------------

Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes

Scan area - My Computer:

A:\

C:\

D:\

E:\

Scan statistics:

Files scanned: 68033

Threat name: 4

Infected objects: 11

Suspicious objects: 0

Duration of the scan: 00:56:17

File name / Threat name / Threats count

C:\QooBox\Quarantine\C\WINDOWS\system\msdct.exe.vir Infected: Backdoor.Win32.Rbot.kpv 1

C:\QooBox\Quarantine\C\WINDOWS\system32\csrcs.exe.vir Infected: Trojan.Win32.Autoit.xp 1

C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\sysdrv32.sys.vir Infected: Worm.Win32.AutoRun.ezt 1

C:\QooBox\Quarantine\C\WINDOWS\system32\_ksewik_.dll.zip Infected: Net-Worm.Win32.Kido.ih 1

C:\SDFix\backups\backups.zip Infected: Trojan.Win32.Autoit.xp 1

C:\System Volume Information\_restore{1D1AE7D7-C9F7-40D3-80D0-405524701FDE}\RP5\A0000194.sys Infected: Worm.Win32.AutoRun.ezt 1

C:\System Volume Information\_restore{1D1AE7D7-C9F7-40D3-80D0-405524701FDE}\RP5\A0000301.sys Infected: Worm.Win32.AutoRun.ezt 1

C:\System Volume Information\_restore{1D1AE7D7-C9F7-40D3-80D0-405524701FDE}\RP6\A0000396.sys Infected: Worm.Win32.AutoRun.ezt 1

C:\System Volume Information\_restore{1D1AE7D7-C9F7-40D3-80D0-405524701FDE}\RP6\A0000607.sys Infected: Worm.Win32.AutoRun.ezt 1

C:\System Volume Information\_restore{1D1AE7D7-C9F7-40D3-80D0-405524701FDE}\RP8\A0000732.exe Infected: Backdoor.Win32.Rbot.kpv 1

C:\System Volume Information\_restore{1D1AE7D7-C9F7-40D3-80D0-405524701FDE}\RP8\A0000733.sys Infected: Worm.Win32.AutoRun.ezt 1

The selected area was scanned.

Compartilhar este post


Link para o post
Compartilhar em outros sites

As infecções apontadas estão nas pastas de backup dos programas de remoção, o procedimento abaixo as eliminará.

Parabéns, seu log está limpo.

De agora em diante fique ALERTA!

Para finalizar faça o seguinte:

Vá em Iniciar > Executar e digite combofix /u. Isso desinstalará o ComboFix de sua máquina.

Faça download do OTCleanIt by OldTimer

  • Salve no seu desktop (área/ambiente de trabalho).
  • Duplo-clique no icone otcleanitdesktopicon.png
  • Clique no botão "Cleanup" 8gehxg0.gif
  • Permita que o seu computador seja reiniciado.

Sugiro que rode o CCleaner para fazer uma limpeza em sua máquina. Faça o download dele aqui CCleaner

  • Abra o programa e clique em Executar Limpeza;
  • Após isto, clique em Erros >> Procurar erros >> Corrigir Erros

Sugiro também que consulte este artigo: Proteja seu PC

Mais algum problema com o computador?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Na verdade sim, gostaria de fazer o download para eliminar os vírus, mas não consigo com o link que você mandou. O OTCleanIt by OldTimer. Aparece isso quando tento acessar:

Erro de DNS - não é possível encontrar o servidor

Ops! Este link parece estar corrompido.

Sugestões:

Ir para bleepingcomputer . com

Ir para sitemap www. bleepingcomputer . com/ sitemap. php

Pesquisar no Google:

Gostaria também de limpar o meu mp3, pois ele está com uma pasta qoobox ou algo assim, acho que apareceu depois que passei o combofix com ele conectado. Houve reinfecção por causa dele, pois ele é a única mídia removível que eu uso.

Obrigado por toda a ajuda. =)

Compartilhar este post


Link para o post
Compartilhar em outros sites
Gostaria também de limpar o meu mp3, pois ele está com uma pasta qoobox ou algo assim, acho que apareceu depois que passei o combofix com ele conectado. Houve reinfecção por causa dele, pois ele é a única mídia removível que eu uso.

O ComboFix não cria essa pasta no pendrive.

Poste novo log do DDS.

Compartilhar este post


Link para o post
Compartilhar em outros sites

DDS (Ver_09-03-16.01) - NTFSx86

Run by Particular at 20:26:35,45 on seg 01/06/2009

Internet Explorer: 6.0.2900.2180

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.2047.1544 [GMT -3:00]

AV: avast! antivirus 4.8.1335 [VPS 090601-0] *On-access scanning disabled* (Updated)

============== Running Processes ===============

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

svchost.exe

svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Documents and Settings\Particular\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\Documents and Settings\Particular\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Particular\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Particular\Desktop\dds.exe

============== Pseudo HJT Report ===============

uStart Page = hxxp://google.com.br/

BHO: AcroIEHlprObj Class: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\arquivos de programas\adobe\acrobat 5.0\reader\activex\AcroIEHelper.ocx

BHO: Skype add-on (mastermind): {22bf413b-c6d2-4d91-82a9-a0f997ba588c} - c:\arquivos de programas\skype\toolbars\internet explorer\SkypeIEPlugin.dll

BHO: Java Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\arquivos de programas\java\jre6\bin\ssv.dll

BHO: {7E853D72-626A-48EC-A868-BA8D5E23E045} - No File

BHO: Windows Live Sign-in Helper: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\arquivos de programas\arquivos comuns\microsoft shared\windows live\WindowsLiveLogin.dll

BHO: Windows Live Toolbar Helper: {bdbd1dad-c946-4a17-adc1-64b5b4ff55d0} - c:\arquivos de programas\windows live toolbar\msntb.dll

BHO: 1 (0x1) - No File

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\arquivos de programas\java\jre6\bin\jp2ssv.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\arquivos de programas\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

TB: Windows Live Toolbar: {bdad1dad-c946-4a17-adc1-64b5b4ff55d0} - c:\arquivos de programas\windows live toolbar\msntb.dll

mRun: [Emurayden PSX Emulator] c:\arquiv~1\alwils~1\avast4\ashDisp.exe

mRun: [avast!] c:\arquiv~1\alwils~1\avast4\ashDisp.exe

mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

IE: &Windows Live Search - c:\arquivos de programas\windows live toolbar\msntb.dll/search.htm

IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\micros~2\office11\EXCEL.EXE/3000

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\arquivos de programas\messenger\msmsgs.exe

IE: {77BF5300-1474-4EC7-9980-D32B190E9B07} - {77BF5300-1474-4EC7-9980-D32B190E9B07} - c:\arquivos de programas\skype\toolbars\internet explorer\SkypeIEPlugin.dll

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\arquiv~1\micros~2\office11\REFIEBAR.DLL

DPF: {5D6F45B3-9043-443D-A792-115447494D24} - hxxp://messenger.zone.msn.com/EN-US/a-UNO1/GAME_UNO1.cab

DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} - hxxp://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\arquiv~1\arquiv~1\skype\SKYPE4~1.DLL

============= SERVICES / DRIVERS ===============

R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [2007-10-30 11264]

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-5-26 114768]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-5-26 20560]

R2 avast! Antivirus;avast! Antivirus;c:\arquivos de programas\alwil software\avast4\ashServ.exe [2007-10-30 138680]

S2 GF0012;TF Filter Driver B;c:\windows\system32\drivers\GF0012.sys [2008-6-20 11520]

S2 WM System Decode Application;WM System Decode Application;"c:\windows\system\msdct.exe" --> c:\windows\system\msdct.exe [?]

S3 avast! Mail Scanner;avast! Mail Scanner;c:\arquivos de programas\alwil software\avast4\ashMaiSv.exe [2007-10-30 254040]

S3 avast! Web Scanner;avast! Web Scanner;c:\arquivos de programas\alwil software\avast4\ashWebSv.exe [2007-10-30 352920]

=============== Created Last 30 ================

2009-05-23 18:38 154,624 a------- c:\windows\PEV.exe

2009-05-09 22:27 55,640 a------- c:\windows\system32\drivers\avgntflt.sys

==================== Find3M ====================

2009-03-24 01:16 416,040 a------- c:\windows\system32\perfh016.dat

2009-03-24 01:16 62,358 a------- c:\windows\system32\perfc016.dat

============= FINISH: 20:26:52,42 ===============

Compartilhar este post


Link para o post
Compartilhar em outros sites
gostaria de fazer o download para eliminar os vírus

Não existe mais infecções em seu computador, todos os logs estão limpos.

Tente acessar o site:

http://www.bleepingcomputer.com

Depois me diga se conseguiu ou não.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Consegui, deu tudo certo, muito obrigado por toda a ajuda. Gostaria de saber se tem algum jeito de limpar o meu MP3 que ficou com a pasta Qoobox ou Quarentena. Não conectei ele novamente desde o ocorrido da reinfecção, mas gostaria de limpá-lo. E quando eu passar músicas pra ele ou pegar arquivos dele pro computador como pode ocorrer a reinfecção?

Obrigado =)

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.
Entre para seguir isso  





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×