Ir ao conteúdo
  • Cadastre-se
Entre para seguir isso  
m. malett

Corrupt-EP??

Recommended Posts

``

ola fui infectado por umadezena de virus, todos embutidos em um tal DESKTOP SEGURIT 2010, que apos ser instalado ( idiotamente instalado ) defragou uma contaminação em massa, bem com muito custo consegui rodar o malwrebits e junto meu antvirus foram removidas 72 ameaças mas agora rodo o malwerbits e ele não acusa nada no entanto meu antvirus continua me mostrando este tal de corrupt-EP.

obrigado por hora pessoal

a mensagem do mcafee era que ele não podia remover o programa e dava o nome dele..... fiz o seguinte : coloquei o nome do tal programa em pesquizr , achei o dito na pasta ``temp ´´ e apaguei o cara......ele não apareceu mais em nenhum outro scan. utilizo por por praxe o ccleaner....bem parece que consegui tirar ele.no entanto agora cada vez que abro meu navegador (firefox sempre abre uma guia de propaganda , junto com minha pagina inicial). tenho então agora duas duvidas:``

1) sera que realmente consegui excliir o cara.

2) esta aba que abre no meu navegador tem haver com que? como tirar?

ps: não consegui fazer nenhum scan em modo de segurança sempre da um erro dizendo que um tal win32 precisa ser encerrado devido ha um problema... ai aparece um timer pedindo que eu encerre todos os programas pois o pc será reiniciado.

mensagens postadas originalmente em duvidas sobre invasoes e infecçoes (http://forum.clubedohardware.com.br/corrupt-ep/832120?t=832120)

agora postadas aqui por sugestão do sr Mog.lucas. desde ja agradeço.

seguem os logs para analise:

Editado por m. malett
seguindo intruçoes do sr diego moicano.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá

Desculpe a demora :)

Postes os logs de acordo com Leia Antes de Postar - Criando um novo Tópico

ATENÇÃO 1: Não precisa abrir um novo tópico, coloque os novos logs neste mesmo tópico, obrigado!

ATENÇÃO 2: Não edite seu tópico, use o botão responder, obrigado!

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

por favor aceite minhas desculpas, segue novo log do dds, não consigo postar i log do gmer. desde ja agradeço

DDS (Ver_10-03-17.01) - NTFSx86

Run by LM Informatica at 19:46:08,65 on seg 02/08/2010

Internet Explorer: 8.0.6001.18702 BrowserJavaVersion: 1.6.0_18

Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.2047.1623 [GMT -3:00]

AV: McAfee VirusScan *On-access scanning enabled* (Updated) {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83}

============== Running Processes ===============

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

svchost.exe

svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\rundll32.exe

svchost.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Arquivos comuns\McAfee\McSvcHost\McSvHost.exe

C:\Arquivos de programas\Arquivos comuns\McAfee\SystemCore\mfevtps.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMTray.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\ZSSnp211.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\Domino.exe

C:\Arquivos de programas\McAfee.com\Agent\mcagent.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\config\systemprofile\Configurações locais\Dados de aplicativos\Windows Network Name Service\wnns.exe

C:\Arquivos de programas\Arquivos comuns\McAfee\SystemCore\mcshield.exe

C:\Arquivos de programas\Arquivos comuns\McAfee\SystemCore\mfefire.exe

C:\WINDOWS\System32\svchost.exe -k HTTPFilter

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Mozilla Firefox\plugin-container.exe

C:\Documents and Settings\LM Informatica\Meus documentos\Downloads\dds.scr

============== Pseudo HJT Report ===============

uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2476266

uInternet Connection Wizard,ShellNext = iexplore

uURLSearchHooks: H - No File

BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\arquivos de programas\arquivos comuns\adobe\acrobat\activex\AcroIEHelperShim.dll

BHO: scriptproxy: {7db2d5a0-7241-4e79-b68d-6309f01c5231} - c:\arquivos de programas\arquivos comuns\mcafee\systemcore\ScriptSn.20100729121340.dll

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\arquivos de programas\java\jre6\bin\jp2ssv.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\arquivos de programas\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

BHO: {e7f88e02-0c78-48a1-86d2-82d8865de2df} - No File

TB: {e7f88e02-0c78-48a1-86d2-82d8865de2df} - No File

TB: {32099AAC-C132-4136-9E9A-4E364A424E17} - No File

uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe

uRun: [f:\setup.exe] f:\setup.exe /originalpath:"f:\setup.exe"

mRun: [smapp] c:\arquivos de programas\analog devices\soundmax\SMTray.exe

mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

mRun: [nwiz] nwiz.exe /install

mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit

mRun: [ZSSnp211] c:\windows\ZSSnp211.exe

mRun: [Domino] c:\windows\Domino.exe

mRun: [Adobe Reader Speed Launcher] "d:\arquivos de programas\adobe\reader 9.0\reader\Reader_sl.exe"

mRun: [Adobe ARM] "c:\arquivos de programas\arquivos comuns\adobe\arm\1.0\AdobeARM.exe"

mRun: [mcui_exe] "c:\arquivos de programas\mcafee.com\agent\mcagent.exe" /runkey

mRunServices: [ApexDCPaul] c:\docume~1\lminfo~1\config~1\temp\aewmgalk.exe

mRunServices: [setup2kISPNickel] c:\arquivos de programas\installshield installation information\{e672b767-4483-419e-9c8a-0ce59390e79e}\setup2kispnickel.exe

mRunServices: [fwdrvinsfwdrvver] c:\arquivos de programas\arquivos comuns\mcafee\fwdriver\versionversion.exe

mRunServices: [WAB32resSistema] c:\arquivos de programas\arquivos comuns\system\microsoftsystem.exe

mRunServices: [PaulApexDC] c:\docume~1\lminfo~1\config~1\temp\aewmgalk.exe

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

mPolicies-system: EnableLinkedConnections = 1 (0x1)

IE: &Search

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\arquivos de programas\messenger\msmsgs.exe

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab

DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxps://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab

AppInit_DLLs: c:\docume~1\lminfo~1\dadosd~1\winrar\winupl~1\msftldr.dll

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

================= FIREFOX ===================

FF - ProfilePath - c:\docume~1\lminfo~1\dadosd~1\mozilla\firefox\profiles\qsl2zncx.default\

FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1547340&SearchSource=3&q={searchTerms}

FF - prefs.js: browser.search.selectedEngine - Gossiper

FF - prefs.js: browser.startup.homepage - hxxp://www.google.com.br/webhp?sa=N&hl=pt-BR&tab=Tw

FF - plugin: c:\arquivos de programas\k-lite codec pack\real\browser\plugins\nppl3260.dll

FF - plugin: c:\arquivos de programas\k-lite codec pack\real\browser\plugins\nprpjplug.dll

FF - plugin: c:\documents and settings\all users\dados de aplicativos\zylom\zylomgamesplayer\npzylomgamesplayer.dll

FF - plugin: d:\arquivos de programas\adobe\reader 9.0\reader\browser\nppdf32.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\microsoft.net\framework\v3.5\windows presentation foundation\dotnetassistantextension\

FF - HiddenExtension: Java Console: No Registry Reference - c:\arquivos de programas\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}

---- FIREFOX POLICIES ----

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.proxy.type", 5);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("browser.formfill.debug", false);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("accelerometer.enabled", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("html5.enable", false);

c:\arquivos de programas\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);

c:\arquivos de programas\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

c:\arquivos de programas\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

c:\arquivos de programas\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);

c:\arquivos de programas\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);

c:\arquivos de programas\mozilla firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);

c:\arquivos de programas\mozilla firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");

c:\arquivos de programas\mozilla firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");

c:\arquivos de programas\mozilla firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

c:\arquivos de programas\mozilla firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\arquivos de programas\mozilla firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\arquivos de programas\mozilla firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");

c:\arquivos de programas\mozilla firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");

c:\arquivos de programas\mozilla firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);

c:\arquivos de programas\mozilla firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);

c:\arquivos de programas\mozilla firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);

c:\arquivos de programas\mozilla firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

c:\arquivos de programas\mozilla firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);

c:\arquivos de programas\mozilla firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);

c:\arquivos de programas\mozilla firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);

c:\arquivos de programas\mozilla firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);

c:\arquivos de programas\mozilla firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);

c:\arquivos de programas\mozilla firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

c:\arquivos de programas\mozilla firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);

c:\arquivos de programas\mozilla firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);

c:\arquivos de programas\mozilla firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);

============= SERVICES / DRIVERS ===============

R0 mfehidk;McAfee Inc. mfehidk;c:\windows\system32\drivers\mfehidk.sys [2010-3-14 385880]

R1 mfetdi2k;McAfee Inc. mfetdi2k;c:\windows\system32\drivers\mfetdi2k.sys [2010-7-29 82952]

R3 mfeavfk;McAfee Inc. mfeavfk;c:\windows\system32\drivers\mfeavfk.sys [2010-3-14 152320]

R3 mfebopk;McAfee Inc. mfebopk;c:\windows\system32\drivers\mfebopk.sys [2010-3-14 51688]

R3 mfefirek;McAfee Inc. mfefirek;c:\windows\system32\drivers\mfefirek.sys [2010-7-29 312616]

R3 mfendiskmp;mfendiskmp;c:\windows\system32\drivers\mfendisk.sys [2010-7-29 88480]

S3 cfwids;McAfee Inc. cfwids;c:\windows\system32\drivers\cfwids.sys [2010-7-29 55456]

S3 mfendisk;McAfee Core NDIS Intermediate Filter;c:\windows\system32\drivers\mfendisk.sys [2010-7-29 88480]

S3 mferkdet;McAfee Inc. mferkdet;c:\windows\system32\drivers\mferkdet.sys [2010-7-29 83496]

S3 mferkdk;McAfee Inc. mferkdk;c:\windows\system32\drivers\mferkdk.sys [2010-3-14 34248]

S3 mfesmfk;McAfee Inc. mfesmfk;c:\windows\system32\drivers\mfesmfk.sys [2010-3-14 40552]

=============== Created Last 30 ================

2010-08-01 16:01:57 26112 -c--a-w- c:\windows\system32\dllcache\usbser.sys

2010-08-01 16:01:57 26112 ----a-w- c:\windows\system32\drivers\usbser.sys

2010-08-01 12:08:28 0 d-----w- c:\arquivos de programas\Elaborate Bytes

2010-07-29 15:13:39 9344 ----a-w- c:\windows\system32\drivers\mfeclnk.sys

2010-07-29 15:13:22 95568 ----a-w- c:\windows\system32\drivers\mfeapfk.sys

2010-07-29 15:13:22 88480 ----a-w- c:\windows\system32\drivers\mfendisk.sys

2010-07-29 15:13:22 83496 ----a-w- c:\windows\system32\drivers\mferkdet.sys

2010-07-29 15:13:22 82952 ----a-w- c:\windows\system32\drivers\mfetdi2k.sys

2010-07-29 15:13:22 55456 ----a-w- c:\windows\system32\drivers\cfwids.sys

2010-07-29 15:13:22 312616 ----a-w- c:\windows\system32\drivers\mfefirek.sys

2010-07-27 23:04:31 0 d-----w- c:\docume~1\alluse~1\dadosd~1\FreeApp

2010-07-27 22:59:57 0 d-----w- c:\docume~1\alluse~1\dadosd~1\IObit

2010-07-27 22:38:28 0 d-----w- c:\arquivos de programas\IObit

2010-07-25 19:41:34 0 d-----w- c:\arquivos de programas\CAPCOM

2010-07-25 19:33:05 62976 -c--a-w- c:\windows\system32\dllcache\cdrom.sys

2010-07-25 19:33:05 62976 ----a-w- c:\windows\system32\drivers\cdrom.sys

2010-07-24 18:59:51 0 d-----w- c:\arquivos de programas\Spyware Doctor

2010-07-24 18:14:27 0 d-----w- c:\windows\system32\NtmsData

2010-07-24 18:06:16 0 d-----w- c:\docume~1\lminfo~1\dadosd~1\Malwarebytes

2010-07-24 18:05:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-07-24 18:05:15 0 d-----w- c:\docume~1\alluse~1\dadosd~1\Malwarebytes

2010-07-24 18:05:14 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-07-24 18:05:14 0 d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware

2010-07-24 17:19:20 0 d-----w- c:\windows\system32\wbem\Repository

2010-07-23 23:45:32 132096 --sha-r- c:\windows\system32\sensi.dll

2010-07-23 23:10:17 0 d-----w- c:\docume~1\alluse~1\dadosd~1\WinMaximizer

2010-07-22 19:04:33 0 d-----w- c:\arquivos de programas\Conduit

2010-07-22 17:12:40 10 ----a-w- c:\windows\system32\stamp.dat

2010-07-13 23:36:46 0 d-----w- c:\docume~1\lminfo~1\dadosd~1\Ashampoo

2010-07-13 23:36:15 0 d-----w- c:\docume~1\alluse~1\dadosd~1\ashampoo

2010-07-13 23:35:09 0 d-----w- c:\arquivos de programas\Ashampoo

==================== Find3M ====================

2010-07-15 18:18:22 120136 ----a-w- c:\windows\system32\drivers\Mpfp.sys

2010-06-29 01:14:56 87608 ----a-w- c:\docume~1\lminfo~1\dadosd~1\inst.exe

2010-06-29 01:14:56 47360 ----a-w- c:\windows\system32\drivers\pcouffin.sys

2010-06-29 01:14:56 47360 ----a-w- c:\docume~1\lminfo~1\dadosd~1\pcouffin.sys

2010-06-27 23:53:38 547150 ----a-w- c:\windows\system32\perfh016.dat

2010-06-27 23:53:38 100686 ----a-w- c:\windows\system32\perfc016.dat

2010-06-06 17:20:23 212992 ----a-w- c:\windows\system32\IscDbc.dll

2010-06-06 17:20:22 73728 ----a-w- c:\windows\system32\OdbcJdbcSetup.dll

2010-06-06 17:20:22 188416 ----a-w- c:\windows\system32\OdbcJdbc.dll

2010-05-20 00:16:51 729088 ----a-w- c:\windows\iun6002.exe

2010-05-06 10:34:18 916480 ----a-w- c:\windows\system32\wininet.dll

============= FINISH: 19:48:30,12 ===============

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro m.malett

Recomendo que salve este tópico em seus Favoritos para facilitar na hora de encontrá-lo.

Por favor, atente para o seguinte:

  • Caso fique sem resposta durante 3 dias, me envie uma Mensagem Privada (MP);
  • O que será passado aqui, somente será com relação ao problema do seu computador portanto, não faça mais em nenhum outro;
  • Siga, por favor, atentamente as instruções passadas e em caso de dúvidas não hesite em perguntá-las;
  • Sempre coloque suas respostas neste tópico... Não abra outro!
  • Procure sempre me manter informado, durante a remoção, sobre o que acontece com seu computador.
  • Observação: Não tome outra medida além das passadas aqui; atente para que, caso peça ajuda em outro fórum, não deixe de nos informar, sob risco de desconfigurar seu computador!

# Etapa nº 1 #

Leia as instruções contidas neste link:

Nas instruções contidas no link acima, poderá verificar quais os fóruns onde os Analistas estão devidamente habilitados a utilizar corretamente a ferramenta:"Fóruns para receber ajuda com logs do ComboFix"

  1. Faça o download do ComboFix de um dos links oficiais listados abaixo e salve no seu desktop:

[*]Temporariamente e durante a execução destas instruções, é muito importante que mantenha desabilitados os seus programas de proteção (Antivirus, Antispyware e Firewall). Reative as proteções após a execução do(s) procedimento(s) abaixo mencionado(s).[*]Duplo clique no icone desktopicon.png que está no desktop.[*]Leia e aceite as condições, digitando 1 e enter.[*]Computadores com Windows XP deverão instalar o Console de Recuperação:

  • Se o seu computador tem instalado o Windows XP e ainda não tem instalado o Console de Recuperação, por favor certifique-se que está conectado à Internet, e clique em "Sim".
  • Clique em "OK" ao EULA.
  • Quando o Console de Recuperação estiver já instalado, clique em "SIM" para continuar.

[*]O ComboFix será executado, por favor seja paciente e aguarde. [*]Atenção: Não utilize o mouse nem o teclado enquanto a ferramenta estiver sendo executada, isso pode fazer com que o computador pare.[*]Poderá surgir o aviso que é necessário reiniciar o computador.

NÃO REINICIE!!! O ComboFix reiniciará o computador automaticamente.[*]Quando a ferramenta terminar de rodar, gerará um log (o arquivo C:\ComboFix.txt). Copie e cole o conteúdo desse arquivo na sua proxima resposta.

NÃO utilize a ferramenta por conta própria. É uma ferramenta poderosa criada pra lidar com infecções sofisticadas e caso não a utilize corretamente poderá danificar o seu computador.

  • Existem vários malwares que impedem a execução correta da ferramenta e com isso danificar gravemente o computador. Analistas habilitados a utilizar o ComboFix conhecem esses casos e sabem lidar com estas situações.
  • Muitos dos Analistas não respondem a topicos em que vejam que o ComboFix foi utilizado sem supervisão.
  • Existem varias ferramentas anti-malware generalistas em que os autores ao elaborarem a programação das mesmas, estão pensando nos usuários finais e para serem usadas sem supervisão. O Combofix não é uma ferramenta desse tipo, e assim sendo e até por respeito ao autor da ferramenta, não utilize sem supervisão.

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

conforme solicitado segue o log. desde ja lhe agradeço.

ComboFix 10-08-03.01 - LM Informatica 03/08/2010 19:47:57.1.1 - x86

Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.2047.1614 [GMT -3:00]

Executando de: c:\documents and settings\LM Informatica\Meus documentos\Downloads\ComboFix.exe

AV: McAfee VirusScan *On-access scanning disabled* (Updated) {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83}

* AV residente está ativo

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\All Users\Dados de aplicativos\Microsoft\Network\Downloader\qmgr0.dat

c:\documents and settings\All Users\Dados de aplicativos\Microsoft\Network\Downloader\qmgr1.dat

c:\documents and settings\LM Informatica\Dados de aplicativos\inst.exe

----- BITS: Sites possivelmente infectados -----

hxxp://install10.nero.com

.

((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_SSHNAS

(((((((((((((((( Arquivos/Ficheiros criados de 2010-07-03 to 2010-08-03 ))))))))))))))))))))))))))))

.

2010-08-03 13:54 . 2010-08-03 13:54 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\IncrediMail

2010-08-03 13:54 . 2010-08-03 13:58 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\IM

2010-08-01 16:01 . 2008-04-13 14:45 26112 -c--a-w- c:\windows\system32\dllcache\usbser.sys

2010-08-01 16:01 . 2008-04-13 14:45 26112 ----a-w- c:\windows\system32\drivers\usbser.sys

2010-08-01 16:00 . 2010-08-01 18:37 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\BVRP Software

2010-08-01 12:08 . 2010-08-01 12:08 -------- d-----w- c:\arquivos de programas\Elaborate Bytes

2010-07-29 15:13 . 2010-04-27 20:16 9344 ----a-w- c:\windows\system32\drivers\mfeclnk.sys

2010-07-29 15:13 . 2010-04-27 20:16 95568 ----a-w- c:\windows\system32\drivers\mfeapfk.sys

2010-07-29 15:13 . 2010-04-27 20:16 88480 ----a-w- c:\windows\system32\drivers\mfendisk.sys

2010-07-29 15:13 . 2010-04-27 20:16 83496 ----a-w- c:\windows\system32\drivers\mferkdet.sys

2010-07-29 15:13 . 2010-04-27 20:16 82952 ----a-w- c:\windows\system32\drivers\mfetdi2k.sys

2010-07-29 15:13 . 2010-04-27 20:16 55456 ----a-w- c:\windows\system32\drivers\cfwids.sys

2010-07-29 15:13 . 2010-04-27 20:16 312616 ----a-w- c:\windows\system32\drivers\mfefirek.sys

2010-07-27 23:04 . 2010-07-27 23:04 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\FreeApp

2010-07-27 22:59 . 2010-07-27 22:59 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\IObit

2010-07-27 22:38 . 2010-07-27 22:38 -------- d-----w- c:\arquivos de programas\IObit

2010-07-25 19:41 . 2010-07-25 19:41 -------- d-----w- c:\arquivos de programas\CAPCOM

2010-07-25 19:33 . 2008-04-13 14:40 62976 -c--a-w- c:\windows\system32\dllcache\cdrom.sys

2010-07-25 19:33 . 2008-04-13 14:40 62976 ----a-w- c:\windows\system32\drivers\cdrom.sys

2010-07-24 18:59 . 2010-07-25 12:05 -------- d-----w- c:\arquivos de programas\Spyware Doctor

2010-07-24 18:59 . 2010-07-24 21:43 -------- d---a-w- c:\documents and settings\All Users\Dados de aplicativos\TEMP

2010-07-24 18:14 . 2010-07-24 18:19 -------- d-----w- c:\windows\system32\NtmsData

2010-07-24 18:06 . 2010-07-24 18:06 -------- d-----w- c:\documents and settings\LM Informatica\Dados de aplicativos\Malwarebytes

2010-07-24 18:05 . 2010-04-29 18:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-07-24 18:05 . 2010-07-24 18:05 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

2010-07-24 18:05 . 2010-07-24 18:05 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware

2010-07-24 18:05 . 2010-04-29 18:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-07-24 17:19 . 2010-07-24 17:19 -------- d-----w- c:\windows\system32\wbem\Repository

2010-07-23 23:45 . 2010-07-23 23:45 132096 --sha-r- c:\windows\system32\sensi.dll

2010-07-23 23:44 . 2010-07-23 23:44 2560 ----a-w- c:\documents and settings\LM Informatica\Dados de aplicativos\WinRAR\winupldrv46\msftdm32.exe

2010-07-23 23:44 . 2010-07-23 23:44 2560 ----a-w- c:\documents and settings\LM Informatica\Dados de aplicativos\WinRAR\winupldrv46\msftdm.exe

2010-07-23 23:44 . 2010-07-23 23:44 16384 ----a-w- c:\documents and settings\LM Informatica\Dados de aplicativos\WinRAR\winupldrv46\msftstp.exe

2010-07-23 23:44 . 2010-07-23 23:44 28672 ----a-w- c:\documents and settings\LM Informatica\Dados de aplicativos\WinRAR\winupldrv46\msftldr.dll

2010-07-23 23:44 . 2010-07-23 23:44 49152 ----a-w- c:\documents and settings\LM Informatica\Dados de aplicativos\WinRAR\winupldrv46\msftcore.dll

2010-07-23 23:10 . 2010-07-23 23:10 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\WinMaximizer

2010-07-22 19:04 . 2010-07-22 19:04 -------- d-----w- c:\arquivos de programas\Conduit

2010-07-22 17:12 . 2010-08-03 22:39 10 ----a-w- c:\windows\system32\stamp.dat

2010-07-13 23:36 . 2010-07-13 23:36 -------- d-----w- c:\documents and settings\LM Informatica\Dados de aplicativos\Ashampoo

2010-07-13 23:36 . 2010-07-13 23:36 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\ashampoo

2010-07-13 23:35 . 2010-07-13 23:35 -------- d-----w- c:\arquivos de programas\Ashampoo

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-08-01 18:11 . 2010-02-24 18:50 -------- d--h--w- c:\arquivos de programas\InstallShield Installation Information

2010-08-01 16:17 . 2010-02-25 00:18 -------- d-----w- c:\documents and settings\LM Informatica\Dados de aplicativos\Media Player Classic

2010-07-30 21:06 . 2010-03-15 01:22 -------- d-----w- c:\arquivos de programas\McAfee.com

2010-07-29 20:14 . 2010-03-14 23:51 -------- d-----w- c:\arquivos de programas\McAfee

2010-07-29 15:13 . 2010-03-15 01:22 -------- d-----w- c:\arquivos de programas\Arquivos comuns\McAfee

2010-07-27 22:38 . 2010-06-05 01:48 -------- d-----w- c:\documents and settings\LM Informatica\Dados de aplicativos\IObit

2010-07-15 18:18 . 2010-03-15 01:23 120136 ----a-w- c:\windows\system32\drivers\Mpfp.sys

2010-07-13 01:56 . 2010-03-14 13:45 -------- d-----w- c:\documents and settings\LM Informatica\Dados de aplicativos\uTorrent

2010-07-08 00:00 . 2010-05-29 17:15 -------- d-----w- c:\documents and settings\LM Informatica\Dados de aplicativos\Vso

2010-07-04 13:04 . 2010-06-29 01:14 -------- d-----w- c:\arquivos de programas\VSO

2010-06-29 01:14 . 2010-05-29 17:15 47360 ----a-w- c:\windows\system32\drivers\pcouffin.sys

2010-06-29 01:14 . 2010-05-29 17:15 47360 ----a-w- c:\documents and settings\LM Informatica\Dados de aplicativos\pcouffin.sys

2010-06-29 01:14 . 2010-05-29 17:15 47360 ----a-w- c:\documents and settings\LM Informatica\Dados de aplicativos\pcouffin.sys

2010-06-27 23:53 . 2008-04-14 12:00 547150 ----a-w- c:\windows\system32\perfh016.dat

2010-06-27 23:53 . 2008-04-14 12:00 100686 ----a-w- c:\windows\system32\perfc016.dat

2010-06-22 01:36 . 2010-06-22 01:36 -------- d-----w- c:\arquivos de programas\MSXML 4.0

2010-06-22 00:06 . 2010-06-22 00:06 -------- d-----w- c:\documents and settings\LM Informatica\Dados de aplicativos\Nero

2010-06-21 23:59 . 2010-06-21 23:37 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Nero

2010-06-20 17:09 . 2010-05-23 17:02 -------- d-----w- c:\arquivos de programas\Microsoft.NET

2010-06-14 14:31 . 2010-02-24 16:23 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe

2010-06-13 22:55 . 2010-06-13 22:55 -------- d-----w- c:\documents and settings\LM Informatica\Dados de aplicativos\InstallShield Installation Information

2010-06-13 22:55 . 2010-06-13 23:05 380928 ----a-w- c:\documents and settings\LM Informatica\Dados de aplicativos\InstallShield Installation Information\{DBFF7A38-F460-419A-A2E7-2D55BD2D9AD4}\_setup.dll

2010-06-13 14:13 . 2010-06-13 14:13 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\NCH Swift Sound

2010-06-07 13:33 . 2010-06-07 13:33 -------- d-----w- c:\arquivos de programas\Reference Assemblies

2010-06-06 17:20 . 2010-06-06 17:20 212992 ----a-w- c:\windows\system32\IscDbc.dll

2010-06-06 17:20 . 2010-06-06 17:20 73728 ----a-w- c:\windows\system32\OdbcJdbcSetup.dll

2010-06-06 17:20 . 2010-06-06 17:20 188416 ----a-w- c:\windows\system32\OdbcJdbc.dll

2010-06-05 01:23 . 2010-06-05 01:23 -------- d-----w- c:\documents and settings\LM Informatica\Dados de aplicativos\Zylom

2010-05-20 00:16 . 2010-05-18 02:26 729088 ----a-w- c:\windows\iun6002.exe

2010-05-06 10:34 . 2008-04-14 12:00 916480 ----a-w- c:\windows\system32\wininet.dll

2010-04-27 20:16 . 2010-07-29 15:13 24376 ----a-w- c:\arquivos de programas\mozilla firefox\components\Scriptff.dll

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Smapp"="c:\arquivos de programas\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 143360]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]

"nwiz"="nwiz.exe" [2008-05-03 1630208]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016]

"ZSSnp211"="c:\windows\ZSSnp211.exe" [2006-08-19 49152]

"Domino"="c:\windows\Domino.exe" [2006-08-18 49152]

"Adobe Reader Speed Launcher"="d:\arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]

"Adobe ARM"="c:\arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]

"mcui_exe"="c:\arquivos de programas\McAfee.com\Agent\mcagent.exe" [2010-04-02 1180976]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableLinkedConnections"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]

@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]

@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]

"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

"d:\\Games\\Age Of Empires 2\\empires2.exe"=

R1 mfetdi2k;McAfee Inc. mfetdi2k;c:\windows\system32\drivers\mfetdi2k.sys [29/7/2010 12:13 82952]

R3 mfefirek;McAfee Inc. mfefirek;c:\windows\system32\drivers\mfefirek.sys [29/7/2010 12:13 312616]

R3 mfendiskmp;mfendiskmp;c:\windows\system32\drivers\mfendisk.sys [29/7/2010 12:13 88480]

S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18/3/2010 13:16 130384]

S3 cfwids;McAfee Inc. cfwids;c:\windows\system32\drivers\cfwids.sys [29/7/2010 12:13 55456]

S3 mfendisk;McAfee Core NDIS Intermediate Filter;c:\windows\system32\drivers\mfendisk.sys [29/7/2010 12:13 88480]

S3 mferkdet;McAfee Inc. mferkdet;c:\windows\system32\drivers\mferkdet.sys [29/7/2010 12:13 83496]

S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14/3/2010 09:34 691696]

--- =Outros Serviços/Drivers Na Memória ---

*Deregistered* - mfeavfk01

.

Conteúdo da pasta 'Tarefas Agendadas'

2010-08-03 c:\windows\Tasks\User_Feed_Synchronization-{5A309131-70EF-4160-A420-C64233BDA0DB}.job

- c:\windows\system32\msfeedssync.exe [2009-03-08 07:31]

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://mystart.incredimail.com/

uInternet Connection Wizard,ShellNext = iexplore

FF - ProfilePath - c:\documents and settings\LM Informatica\Dados de aplicativos\Mozilla\Firefox\Profiles\qsl2zncx.default\

FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1547340&SearchSource=3&q={searchTerms}

FF - prefs.js: browser.search.selectedEngine - MyStart Search

FF - prefs.js: browser.startup.homepage - hxxp://mystart.incredimail.com/

FF - prefs.js: keyword.URL - hxxp://mystart.incredimail.com/?loc=ff_address_bar_im2_test_v2&search=

FF - plugin: c:\arquivos de programas\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF - plugin: c:\arquivos de programas\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

FF - plugin: c:\documents and settings\All Users\Dados de aplicativos\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll

FF - plugin: d:\arquivos de programas\Adobe\Reader 9.0\Reader\browser\nppdf32.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX POLICIES ----

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096);

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);

c:\arquivos de programas\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);

c:\arquivos de programas\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

c:\arquivos de programas\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

c:\arquivos de programas\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.

- - - - ORFÃOS REMOVIDOS - - - -

URLSearchHooks-{e7f88e02-0c78-48a1-86d2-82d8865de2df} - (no file)

BHO-{e7f88e02-0c78-48a1-86d2-82d8865de2df} - (no file)

Toolbar-{e7f88e02-0c78-48a1-86d2-82d8865de2df} - (no file)

WebBrowser-{E7F88E02-0C78-48A1-86D2-82D8865DE2DF} - (no file)

HKCU-Run-f:\setup.exe - f:\setup.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-08-03 19:56

Windows 5.1.2600 Service Pack 3 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

**************************************************************************

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'explorer.exe'(724)

c:\windows\system32\WININET.dll

c:\windows\system32\msi.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Outros Processos em Execução ------------------------

.

c:\windows\system32\rundll32.exe

c:\arquivos de programas\Java\jre6\bin\jqs.exe

c:\arquivos de programas\Arquivos comuns\McAfee\McSvcHost\McSvHost.exe

c:\arquivos de programas\Arquivos comuns\McAfee\SystemCore\mfevtps.exe

c:\windows\system32\nvsvc32.exe

c:\arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

c:\windows\system32\config\systemprofile\Configurações locais\Dados de aplicativos\Windows Network Name Service\wnns.exe

c:\arquivos de programas\Arquivos comuns\McAfee\SystemCore\mcshield.exe

c:\arquivos de programas\Arquivos comuns\McAfee\SystemCore\mfefire.exe

c:\windows\system32\RUNDLL32.EXE

c:\windows\SoftwareDistribution\Download\034e705a5b64f9c02df287bd7e30da8c\update\update.exe

.

**************************************************************************

.

Tempo para conclusão: 2010-08-03 20:04:54 - Máquina reiniciou

ComboFix-quarantined-files.txt 2010-08-03 23:04

Pré-execução: 5.212.008.448 bytes disponíveis

Pós execução: 7.436.546.048 bytes disponíveis

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 37531697DD665E5DE55BBA4E88391BCF

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro m.malett

Etapa nº 1 #

Clique em Iniciar -> Meu Computador

Depois em Ferramentas -> Opções de Pasta

Selecione a aba Modo de exibição

Desmarque:

  • Ocultar arquivos protegidos do sistema operacional (recomendado)
Marque:
  • Mostrar arquivos e pastas ocultos

Se surgir uma mensagem de aviso, clique em Sim

Clique em Aplicar e depois em OK

Etapa nº 2 #

Acesse o site 4y6d3b8.gif" Jotti's malware scan "

  • Na caixa que fica em cima (File to upload & scan);
  • Copie e cole o(s) seguinte(s) arquivo(s) um de cada vez:
    • c:\windows\system32\sensi.dll
    • c:\windows\iun6002.exe

    [*]Clique no botão 688godt.jpg[*] O(s) arquivo(s) irá(serão) ser examinado(s) por diferentes programas antivirus, por favor aguarde.[*] Copie e cole o(s) resultado(s).

Se o site acima estiver muito congestionado, tente num desses sites:

Alternativa 1

Alternativa 2

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

boa noite. fiz conforme solicitado para:

c:\windows\system32\sensi.dll a unica resposta obtida foi:

0 bytes size received / Se ha recibido un archivo vacio.

para :\windows\iun6002.exe o resultado foi este que segue.

File size: 729088 bytes

MD5...: 80e41fbc33b6d5a605e53787de767048

SHA1..: dbf29b5f3a440bc38633de39f853ee7d73523682

SHA256: af3ba3406b220c70b855f98b2f5ffae87ff302e4abd03e967db346d75e0fb4d8

ssdeep: 12288:vpVgMjjZ6JvlAbDNuuGQx+yHqiDlgo2RxDnrceelv38GXKeauh0lobpA8:

v1x1HqiDlgboT//X3auxpA

PEiD..: -

PEInfo: PE Structure information

( base data )

entrypointaddress.: 0x5e905

timedatestamp.....: 0x3fb4ddab (Fri Nov 14 13:50:35 2003)

machinetype.......: 0x14c (I386)

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x83fee 0x84000 6.53 158c89f31f44c80fe31ceca9fb519df2

.rdata 0x85000 0x17f0e 0x18000 4.54 149a2b9760497a5270a82fc8e7464a0d

.data 0x9d000 0x1191c 0xe000 5.12 e21946808edf2e036ff480ec33bfde55

.rsrc 0xaf000 0x6778 0x7000 3.64 bf40d9f04b7f1f56903940535f80dee0

( 14 imports )

> WINMM.dll: waveOutGetNumDevs

> VERSION.dll: VerLanguageNameA, GetFileVersionInfoA, GetFileVersionInfoSizeA, VerQueryValueA

> KERNEL32.dll: GetCPInfo, GetOEMCP, RtlUnwind, RaiseException, HeapFree, HeapAlloc, HeapReAlloc, GetTimeZoneInformation, GetSystemTime, GetLocalTime, ExitProcess, GetStartupInfoA, GetCommandLineA, GetACP, HeapSize, SetUnhandledExceptionFilter, GetEnvironmentVariableA, GlobalFlags, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, LCMapStringA, LCMapStringW, UnhandledExceptionFilter, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, GetStringTypeA, GetStringTypeW, IsBadCodePtr, SetStdHandle, CompareStringA, CompareStringW, SetEnvironmentVariableA, SetErrorMode, LocalReAlloc, EnterCriticalSection, LeaveCriticalSection, DeleteCriticalSection, InitializeCriticalSection, GetVersion, GetCurrentThreadId, GlobalGetAtomNameA, GlobalAddAtomA, GlobalFindAtomA, GlobalDeleteAtom, LockResource, FindResourceA, LoadResource, SystemTimeToFileTime, GetFileTime, FileTimeToSystemTime, WideCharToMultiByte, InterlockedDecrement, GetFullPathNameA, MoveFileA, UnlockFile, LockFile, FlushFileBuffers, DuplicateHandle, DosDateTimeToFileTime, LocalFileTimeToFileTime, SetFileTime, GetTickCount, IsBadStringPtrA, FileTimeToLocalFileTime, FileTimeToDosDateTime, lstrcmpiA, LocalAlloc, LocalLock, LocalUnlock, GlobalReAlloc, IsDBCSLeadByte, lstrcatA, TlsGetValue, IsBadReadPtr, TlsFree, TlsSetValue, TlsAlloc, MultiByteToWideChar, GetPrivateProfileIntA, GlobalMemoryStatus, GetVolumeInformationA, GetComputerNameA, MoveFileExA, WritePrivateProfileStringA, GetPrivateProfileStringA, TerminateProcess, Sleep, GetDiskFreeSpaceA, lstrcmpA, GetCurrentDirectoryA, LoadLibraryExA, GetLogicalDriveStringsA, GetShortPathNameA, CopyFileA, FormatMessageA, LocalFree, CreateProcessA, GetPrivateProfileSectionNamesA, GetPrivateProfileSectionA, GlobalAlloc, GlobalLock, GlobalHandle, GlobalUnlock, GlobalFree, GetCurrentThread, GetCurrentProcess, GetWindowsDirectoryA, GetSystemDirectoryA, GetSystemDefaultLangID, GetDriveTypeA, MulDiv, InterlockedIncrement, FindNextFileA, FindFirstFileA, FindClose, RemoveDirectoryA, SetCurrentDirectoryA, CreateDirectoryA, GetFileAttributesA, SetFileAttributesA, WriteFile, ReadFile, CreateFileA, GetFileSize, SetFilePointer, SetEndOfFile, DeleteFileA, GetTempPathA, GetTempFileNameA, lstrcpyA, lstrlenA, lstrcpynA, ExpandEnvironmentStringsA, GetProcessVersion, GetModuleFileNameA, OpenProcess, CloseHandle, GetModuleHandleA, LoadLibraryA, GetProcAddress, GetEnvironmentStrings, FreeEnvironmentStringsA, GetCurrentProcessId, FreeLibrary, GetVersionExA, GetLastError, SetLastError, HeapDestroy

> USER32.dll: UnpackDDElParam, ReuseDDElParam, SetMenu, LoadMenuA, DestroyMenu, ReleaseCapture, TranslateAcceleratorA, LoadAcceleratorsA, SetRectEmpty, GetMessageA, ValidateRect, GetCursorPos, PtInRect, FillRect, DrawFocusRect, GrayStringA, DrawTextA, TabbedTextOutA, EndPaint, BeginPaint, ClientToScreen, GetMenuCheckMarkDimensions, LoadBitmapA, GetMenuState, ModifyMenuA, SetMenuItemBitmaps, CheckMenuItem, EnableMenuItem, MapWindowPoints, GetSysColor, GetFocus, AdjustWindowRectEx, ScreenToClient, EqualRect, DeferWindowPos, BeginDeferWindowPos, CopyRect, EndDeferWindowPos, IsWindowVisible, UnregisterClassA, GetTopWindow, GetCapture, WinHelpA, GetMenu, GetMenuItemCount, GetSubMenu, GetMenuItemID, GetKeyState, SetWindowsHookExA, CallNextHookEx, GetClassLongA, BringWindowToTop, GetPropA, CallWindowProcA, RemovePropA, GetMessageTime, GetMessagePos, GetLastActivePopup, GetForegroundWindow, GetWindow, SystemParametersInfoA, GetWindowPlacement, SetActiveWindow, CreateDialogIndirectParamA, GetParent, SetFocus, IsWindowEnabled, ShowWindow, MoveWindow, GetDlgCtrlID, IsDialogMessageA, SendDlgItemMessageA, GetDlgItem, UnhookWindowsHookEx, GetWindowTextLengthA, LoadStringA, WaitForInputIdle, SetDlgItemTextA, SetWindowTextA, SetForegroundWindow, EndDialog, DialogBoxParamA, GetActiveWindow, GetClassNameA, CharUpperA, OemToCharA, CharNextA, CharPrevA, CharUpperBuffA, SetCursor, IsIconic, DrawIcon, DestroyIcon, ExitWindowsEx, LoadCursorA, UpdateWindow, RedrawWindow, GetDesktopWindow, GetWindowTextA, EnumWindows, GetWindowThreadProcessId, PostMessageA, ShowOwnedPopups, GetSysColorBrush, SetPropA, SetWindowPos, MessageBoxA, MsgWaitForMultipleObjects, GetSystemMetrics, EnableWindow, InvalidateRect, GetClientRect, GetDC, ReleaseDC, GetWindowRect, LoadIconA, SendMessageTimeoutA, TranslateMessage, DispatchMessageA, PeekMessageA, PostQuitMessage, IsWindow, GetWindowLongA, DefWindowProcA, SetWindowLongA, GetClassInfoA, RegisterClassA, CreateWindowExA, SendMessageA, DestroyWindow, wsprintfA, RegisterWindowMessageA, GetNextDlgTabItem

> GDI32.dll: SetViewportExtEx, OffsetViewportOrgEx, SetViewportOrgEx, SetMapMode, SelectObject, RestoreDC, SaveDC, CreateCompatibleDC, BitBlt, Escape, ExtTextOutA, TextOutA, RectVisible, PtVisible, ScaleWindowExtEx, SetWindowExtEx, DeleteObject, StretchDIBits, RealizePalette, SelectPalette, Rectangle, GetDeviceCaps, CreateFontA, CreateBitmap, SetTextColor, GetClipBox, GetBkColor, SetBkColor, SetBkMode, CreateICA, DeleteDC, GetTextMetricsA, RemoveFontResourceA, CreatePalette, GetStockObject, AddFontResourceA, CreateSolidBrush, CreateFontIndirectA, GetObjectA, ScaleViewportExtEx

> comdlg32.dll: GetFileTitleA, GetOpenFileNameA, GetSaveFileNameA

> WINSPOOL.DRV: DocumentPropertiesA, OpenPrinterA, ClosePrinter

> ADVAPI32.dll: GetServiceDisplayNameA, RegOpenKeyExA, RegCreateKeyExA, RegDeleteValueA, RegDeleteKeyA, LookupPrivilegeValueA, AdjustTokenPrivileges, LookupAccountSidA, GetUserNameA, OpenThreadToken, OpenProcessToken, GetTokenInformation, AllocateAndInitializeSid, EqualSid, FreeSid, UnlockServiceDatabase, OpenSCManagerA, EnumServicesStatusA, QueryServiceStatus, ControlService, StartServiceA, DeleteService, CloseServiceHandle, CreateServiceA, OpenServiceA, RegCloseKey, RegConnectRegistryA, RegEnumValueA, RegEnumKeyExA, RegQueryInfoKeyA, RegSetValueExA, RegQueryValueExA

> SHELL32.dll: DragFinish, SHChangeNotify, ShellExecuteA, SHBrowseForFolderA, SHGetFileInfoA, SHGetSpecialFolderLocation, SHGetPathFromIDListA, SHGetMalloc, DragQueryFileA

> COMCTL32.dll: -

> ole32.dll: CoInitialize, CoUninitialize, CoCreateInstance

> OLEAUT32.dll: -, -

> WSOCK32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -

> NETAPI32.dll: Netbios

( 0 exports )

RDS...: NSRL Reference Data Set

-

pdfid.: -

trid..: Win32 Executable MS Visual C++ (generic) (65.2%)

Win32 Executable Generic (14.7%)

Win32 Dynamic Link Library (generic) (13.1%)

Generic Win/DOS Executable (3.4%)

DOS Executable Generic (3.4%)

sigcheck:

publisher....: Indigo Rose Corporation

copyright....: Copyright © 2001 - 2002 Indigo Rose Corporation. All Rights Reserved

product......: Setup Factory 6.0 Runtime Module

description..: SUF60Runtime

original name: SUF60Runtime.exe

internal name: SUF60Runtime

file version.: 6.0.1.3

comments.....: http://www.indigorose.com

signers......: -

signing date.: -

verified.....: Unsigned

caso eu tenha feito algo errado por favor me corrija. desde ja lhe agradeço.

Compartilhar este post


Link para o post
Compartilhar em outros sites

utilizei o Verificador de malware do Jotti conforme solicitado : nada encontrado ,foi este o resultado.

(http://virusscan.jotti.org/pt-br/scanresult/6adc116216f9fc0791f984369a7b9ce6cf266137/7e8466af8f1f8eb7727d95e7767508fddd531462).

aguardo novas instruçoes. desde ja meu muito obrigado.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro m.malett

Leia atentamente toda a instrução abaixo antes de executar o programa.

Faça download do Kaspersky Removal Tool e salve em seu desktop.

  • Instale o programa normalmente, seguindo todas as instruções.
  • Uma pasta chamada Virus Removal Tool será criada no desktop.
  • Na tela do programa clique nas opções:
    • Meu computador
    • Hidden Startup objects
    • Disk boot sectors
    • System Memory

    [*]Clique no botão Start Scan.[*]Seja paciente, o scan é demorado![*]Conforme for scaneando provavelmente abrirá algumas janelas pequenas ao lado do relógio, não clique em nada.[*]Também há uma possibilidade de abrir uma janela maior contendo as seguintes opções:

    • Desinfection (quando possível)
    • Delete
    • Skip
  • Quando aparecer, marque primero a opção abaixo Apply to all objects e depois clique numa das opções acima.
  • Após completar tudo, clique no botão Reports, na janela que abrir nas opções acima deixe:
    • Autoscan
    • Group by result
    • All Events

    [*]Expanda Autoscan clicando no sinal ao lado de +[*]Expanda Result: Detected.[*]Clique com o botão direito do mouse e escolha Select all, e depois escolha Copy.[*]Atenção, ao fazer isso parece que o PC travou, mas não, aguarde uns minutos para liberar a memória.[*]Abra o Bloco de Notas e cole (ctrl + v) [*]Dê um nome para o arquivo e salve numa pasta de sua preferência.[*]Feche o resultado clicando no botão Exit.[*]Ao fazer isso será questionado se quer desinstalar a ferramenta, clique em Sim.[*]Reinicie o computador quando for pedido.[*]Poste o conteúdo desse arquivo em sua próxima resposta.

OBSERVAÇÃO1:
Atente para as janelas durante o scan elas possuem cores diferentes dependendo do risco. Portanto,
  • verde
    :
    baixo risco
  • amarelo
    :
    médio risco
  • vermelho
    :
    alto risco

Antes de tomar qualquer medida verifique com cuidado o caminho/nome do arquivo para ver é de seu conhecimento, caso seja clique em
Skip
.

OBSERVAÇÃO2:
Se no resultado final do scan apenas tiver
Result:
OK
, não precisa gerar um relatório, apenas informe deste.

OBSERVAÇÃO3:
Durante o scan pode ser que o Kaspersky acuse a seguinte pasta com vírus:
c:\
QooBox
. Caso isto aconteça escolha a opção
Skip
, pois a mesma pertence ao
ComboFix
e será removida quando o mesmo for desinstalado.

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

Bem o resultado do sacan foi este:

Autoscan: completed 3 minutes ago (events: 10, objects: 103113, time: 01:32:31)

7/8/2010 15:23:30 Task started

7/8/2010 15:59:26 Detected: Worm.Win32.AutoRun.bkcx C:\Arquivos de programas\Vimicro\ZS211\Driver AutoInstall\Action Files\Sign.exe

7/8/2010 16:00:34 Deleted: Worm.Win32.AutoRun.bkcx C:\Arquivos de programas\Vimicro\ZS211\Driver AutoInstall\Action Files\Sign.exe

7/8/2010 16:04:13 Detected: Backdoor.Win32.Agent.axhv C:\Documents and Settings\LM Informatica\Dados de aplicativos\WinRAR\winupldrv46\msftcore.dll/PE_Patch.UPX/UPX

7/8/2010 16:05:07 Deleted: Backdoor.Win32.Agent.axhv C:\Documents and Settings\LM Informatica\Dados de aplicativos\WinRAR\winupldrv46\msftcore.dll

7/8/2010 16:19:11 Detected: Worm.Win32.AutoRun.bkcx C:\System Volume Information\_restore{675FE743-A0FE-4F47-AB5D-760114C9C2FB}\RP25\A0006811.exe

7/8/2010 16:19:11 Detected: Backdoor.Win32.Agent.axhv C:\System Volume Information\_restore{675FE743-A0FE-4F47-AB5D-760114C9C2FB}\RP25\A0006812.dll/PE_Patch.UPX/UPX

7/8/2010 16:20:33 Deleted: Worm.Win32.AutoRun.bkcx C:\System Volume Information\_restore{675FE743-A0FE-4F47-AB5D-760114C9C2FB}\RP25\A0006811.exe

7/8/2010 16:20:33 Deleted: Backdoor.Win32.Agent.axhv C:\System Volume Information\_restore{675FE743-A0FE-4F47-AB5D-760114C9C2FB}\RP25\A0006812.dll

7/8/2010 16:56:03 Task completed

aguardo nova isntrução e desde ja meu muito obrigado.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro m.malett

Log limpo :)

>>>> Como está o computador?

# Etapa nº 1 #

Vamos desinstalar o ComboFix:

Renomeie o combofix.exe para uninstall.exe, clique duas vezes nele e aguarde o programa ser removido.

Ou se preferir vá em,

iniciar > executar e digite Combofix /Uninstall e clique OK, na janela que aparecer clique em executar e aguarde o programa ser removido.

# Etapa nº 2 #

Faça download do OTC by OldTimer e salve em seu desktop.

  • Clique duas vezes no ícone 4142006426_4719050954_o.gif
  • Clique em executar;
  • Clique em seu único botão (imagem abaixo):
    4141259853_5a542d5908_o.jpg
  • Permita que seu computador seja reiniciado.

# Etapa nº 3 #

O seu Java está desatualizado.

Atenção: Desinstale TODAS as versões antigas do Java.

  • Feche todos os programas especialmente o seu Navegador (IE, Firefox etc).
  • Acesse o site Java para Windows
  • Clique em 4531602912_e9606174d3_o.gif
  • Na janela que surgir clique em Executar;
  • Siga os procedimentos de instalação.

# Etapa nº 4 #

<<@>> Instale o CCleaner

O CCleaner é um excelente utilitário de limpeza para o computador, que lhe ajudará no desempenho do computador. Faça o download dele aqui CCleaner


  • IMPORTANTE: Após a instalação vá até o local onde o programa foi instalado, C:\Arquivos de programas\CCleaner, clique duas vezes na pasta, numa área vazia desta janela, clique com o botão direito do mouse e escolha Novo > pasta e crie uma nova pasta; coloque o nome de backups!
  • Abra o programa e clique em Executar Limpeza;
  • clique no botão Registro > Procurar Erros > Corrigir erro(s) seleciona(s)...
    Obs: Não se esqueça de aceitar o backup das correções, e salvá-los nas pasta criada acima!

<<@>> Mantenha sempre seu Windows atualizado; mantenha uma vigilância constante com o firewall e antivírus e por fim, lembre-se que, a melhor forma de prevenir começa pelas nossas atitudes!

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

>>>> Como está o computador?

Tudo voltou ao normal. Corrupt-ep resolvido.:)

Uma vez mais meu muito obrigado sr diego.:D abraços

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.
Entre para seguir isso  





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×