Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Entre para seguir isso  
Herweg

Avast! não consegue remover ROOTKITS

Recommended Posts

Sempre que ligo o PC, meu Avast! Antivírus acusa a presença de dois rootkits, que foram detectados utilizando-se um método heurístico.

Os tais rootkits são:

"MBR:\\.\PHYSICALDRIVEo"

"\\.\PHYSICALDRIVEo MBR\:Whistler"

O Avast! ainda me solicita se quero excluir os arquivos imediatamente e agendar um escaneamento ao reiniciar o PC. Eu confirmo que sim, realizo o escaneamento e o problema continua... e é sempre assim ao ligar a máquina. Obviamente não agendei outro escaneamento, o que levaria horas.

Qual é a minha saída agora? ComboFix?

Editado por Herweg

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

Devo postar logs do DDS ou HiJackThis mesmo já tendo certeza da infecção?

O escaneamento completo do Avast! não acusa nada, exceto por meio desse método de heurístico, que é automático (surge por pop-ups). Não sei se há problema no próprio Avast! ou se é caso de apelar direto ao ComboFix.

Alguém me daria uma luz?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Leia o tópico "Leia Antes de Postar" e poste os logs solicitados.

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

.

DDS (Ver_11-03-05.01) - NTFSx86

Run by Usuario at 22:33:46,67 on seg 21/03/2011

Internet Explorer: 6.0.2900.2180 BrowserJavaVersion: 1.6.0_15

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.1471.995 [GMT -3:00]

.

AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}

.

============== Running Processes ===============

.

svchost.exe 4

svchost.exe 4

C:\ARQUIV~1\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\svchost -k DcomLaunch

C:\WINDOWS\system32\svchost -k rpcss

C:\WINDOWS\System32\svchost.exe -k netsvcs

C:\WINDOWS\system32\svchost.exe -k NetworkService

C:\WINDOWS\system32\svchost.exe -k LocalService

C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe

C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

C:\Arquivos de programas\Unlocker\UnlockerAssistant.exe

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMax4.exe

C:\Arquivos de programas\Alwil Software\Avast5\avastUI.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe -k LocalService

C:\WINDOWS\system32\svchost.exe -k hpdevmgmt

C:\WINDOWS\System32\svchost.exe -k HPZ12

C:\WINDOWS\System32\svchost.exe -k HPZ12

C:\Arquivos de programas\Arquivos comuns\Protexis\License Service\PSIService.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\Java\jre6\bin\jucheck.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Mozilla Firefox\plugin-container.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Documents and Settings\Usuario.HOME\Desktop\dds.scr

C:\WINDOWS\system32\wbem\wmiprvse.exe

.

============== Pseudo HJT Report ===============

.

BHO: ssh2 Class: {2e3c3651-b19c-4dd9-a979-901ec3e930af} - c:\arquivos de programas\scpad\scpsssh2.dll

BHO: {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No File

BHO: GbIehObj Class: {c41a1c0e-ea6c-11d4-b1b8-444553540003} - c:\arquivos de programas\gbplugin\gbiehcef.dll

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\arquivos de programas\java\jre6\bin\jp2ssv.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\arquivos de programas\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

mRun: [High Definition Audio Property Page Shortcut] HDAShCut.exe

mRun: [soundMAXPnP] c:\arquivos de programas\analog devices\core\smax4pnp.exe

mRun: [RemoteControl] "c:\arquivos de programas\cyberlink dvd solution\powerdvd\PDVDServ.exe"

mRun: [NeroFilterCheck] c:\windows\system32\NeroCheck.exe

mRun: [TkBellExe] "c:\arquivos de programas\arquivos comuns\real\update_ob\realsched.exe" -osboot

mRun: [QuickTime Task] "c:\arquivos de programas\quicktime\qttask.exe" -atboottime

mRun: [iSUSPM Startup] c:\arquiv~1\arquiv~1\instal~1\update~1\ISUSPM.exe -startup

mRun: [iSUSScheduler] "c:\arquivos de programas\arquivos comuns\installshield\updateservice\issch.exe" -start

mRun: [HP Software Update] c:\arquivos de programas\hp\hp software update\HPWuSchd2.exe

mRun: [Adobe Reader Speed Launcher] "c:\arquivos de programas\adobe\reader 9.0\reader\Reader_sl.exe"

mRun: [unlockerAssistant] "c:\arquivos de programas\unlocker\UnlockerAssistant.exe" -H

mRun: [sunJavaUpdateSched] "c:\arquivos de programas\java\jre6\bin\jusched.exe"

mRun: [soundMax] "c:\arquivos de programas\analog devices\soundmax\SMax4.exe" /tray

mRun: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

mRun: [avast] "c:\arquivos de programas\alwil software\avast5\avastUI.exe" /nogui

dRunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe

StartupFolder: c:\docume~1\alluse~1.win\menuin~1\progra~1\inicia~1\adobeg~1.lnk - c:\arquivos de programas\arquivos comuns\adobe\calibration\Adobe Gamma Loader.exe

StartupFolder: c:\docume~1\alluse~1.win\menuin~1\progra~1\inicia~1\hpdigi~1.lnk - c:\arquivos de programas\hp\digital imaging\bin\hpqtra08.exe

IE: Download with GetRight - c:\arquivos de programas\getright\GRdownload.htm

IE: E&xportar para o Microsoft Excel

IE: Open with GetRight Browser - c:\arquivos de programas\getright\GRbrowse.htm

IE: Sothink SWF Catcher - c:\arquivos de programas\arquivos comuns\sourcetec\swf catcher\InternetExplorer.htm

IE: {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe

IE: {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - c:\arquivos de programas\arquivos comuns\sourcetec\swf catcher\InternetExplorer.htm

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\arquivos de programas\messenger\msmsgs.exe

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\arquiv~1\micros~2\office11\REFIEBAR.DLL

Notify: GbPluginCef - c:\arquivos de programas\gbplugin\gbiehCef.dll

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

SSODL: CompIBBrd - {A3717295-941D-416F-9384-ED1736729F1C} - c:\arquivos de programas\scpad\scpLIB.dll

STS: compIB Class: {a3717295-941d-416f-9384-ed1736729f1c} - c:\arquivos de programas\scpad\scpLIB.dll

SEH: GbPluginObj Class: {e37cb5f0-51f5-4395-a808-5fa49e399003} - c:\arquivos de programas\gbplugin\gbiehcef.dll

.

================= FIREFOX ===================

.

FF - ProfilePath - c:\docume~1\usuario~1.hom\dadosd~1\mozilla\firefox\profiles\yry4gips.default\

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\arquivos de programas\mozilla firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\arquivos de programas\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}

.

============= SERVICES / DRIVERS ===============

.

R0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\GbpKm.sys [2008-12-26 46664]

R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [2011-2-23 371544]

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2011-2-2 301528]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2011-2-2 19544]

R2 avast! Antivirus;avast! Antivirus;c:\arquivos de programas\alwil software\avast5\AvastSvc.exe [2011-2-2 42184]

R2 GbpSv;Gbp Service;c:\arquiv~1\gbplugin\GbpSv.exe [2008-3-30 54728]

S3 ICDUSB3;ICDUSB3;c:\windows\system32\drivers\ICDUSB3.sys [2010-1-17 11264]

.

=============== Created Last 30 ================

.

2011-03-03 19:55:05 1409 ----a-w- c:\windows\QTFont.for

2011-02-23 22:20:36 371544 ----a-w- c:\windows\system32\drivers\aswSnx.sys

.

==================== Find3M ====================

.

2011-02-23 15:04:21 40648 ----a-w- c:\windows\avastSS.scr

2004-10-01 17:00:16 40960 ----a-w- c:\arquivos de programas\Uninstall_CDS.exe

.

=================== ROOTKIT ====================

.

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net

Windows 5.1.2600

.

CreateFile("\\.\PHYSICALDRIVE0"): O arquivo já está sendo usado por outro processo.

device: opened successfully

user: error reading MBR

.

Disk trace:

called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys viaide.sys

1 nt!IofCallDriver[0x804E13B9] -> \Device\Harddisk0\DR0[0x89867AB8]

3 CLASSPNP[0xF763805B] -> nt!IofCallDriver[0x804E13B9] -> \Device\0000006d[0x89869F18]

5 ACPI[0xF75AE620] -> nt!IofCallDriver[0x804E13B9] -> \Device\Ide\IdeDeviceP2T0L0-a[0x897C7940]

kernel: MBR read successfully

_asm { XOR AX, AX; MOV DS, AX; MOV ES, AX; MOV SS, AX; MOV SP, 0x7c00; MOV SI, 0x7c00; MOV DI, 0x600; MOV CX, 0x80; PUSH ESI; POP ESI; CLD ; REP MOVSD ; NOP ; JMP FAR 0x0:0x622; }

user != kernel MBR !!!

.

============= FINISH: 22:35:43,00 ===============

Compartilhar este post


Link para o post
Compartilhar em outros sites

Leia o tópico "Leia Antes de Postar" e poste o log do GMER.

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

Amigo, não consigo de forma alguma executar o GMER, nem mesmo em Modo de Segurança. Durante o escaneamento esse programa trava e não há nada que possa ser feito...

E agora?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Leia as instruções contidas neste link:

Nas instruções contidas no link acima, poderá verificar quais os fóruns onde os Analistas estão devidamente habilitados a utilizar corretamente a ferramenta:"Fóruns para receber ajuda com logs do ComboFix"

  1. Faça o download do ComboFix de um dos links oficiais listados abaixo e salve no seu desktop:

[*]Temporariamente e durante a execução destas instruções, é muito importante que mantenha desabilitados os seus programas de proteção (Antivirus, Antispyware e Firewall). Reative as proteções após a execução do(s) procedimento(s) abaixo mencionado(s).[*]Duplo clique no icone desktopicon.png que está no desktop.[*]Leia e aceite as condições, digitando 1 e enter.[*]Computadores com Windows XP deverão instalar o Console de Recuperação:

  • Se o seu computador tem instalado o Windows XP e ainda não tem instalado o Console de Recuperação, por favor certifique-se que está conectado à Internet, e clique em "Sim".
  • Clique em "OK" ao EULA.
  • Quando o Console de Recuperação estiver já instalado, clique em "SIM" para continuar.

[*]O ComboFix será executado, por favor seja paciente e aguarde. [*]Atenção: Não utilize o mouse nem o teclado enquanto a ferramenta estiver sendo executada, isso pode fazer com que o computador pare.[*]Poderá surgir o aviso que é necessário reiniciar o computador.

NÃO REINICIE!!! O ComboFix reiniciará o computador automaticamente.[*]Quando a ferramenta terminar de rodar, gerará um log (o arquivo C:\ComboFix.txt). Copie e cole o conteúdo desse arquivo na sua proxima resposta.

NÃO utilize a ferramenta por conta própria. É uma ferramenta poderosa criada pra lidar com infecções sofisticadas e caso não a utilize corretamente poderá danificar o seu computador.

  • Existem vários malwares que impedem a execução correta da ferramenta e com isso danificar gravemente o computador. Analistas habilitados a utilizar o ComboFix conhecem esses casos e sabem lidar com estas situações.
  • Muitos dos Analistas não respondem a topicos em que vejam que o ComboFix foi utilizado sem supervisão.
  • Existem varias ferramentas anti-malware generalistas em que os autores ao elaborarem a programação das mesmas, estão pensando nos usuários finais e para serem usadas sem supervisão. O Combofix não é uma ferramenta desse tipo, e assim sendo e até por respeito ao autor da ferramenta, não utilize sem supervisão.

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

ComboFix 11-04-09.01 - User 09/04/2011 23:02:34.4.2 - x86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.1471.1010 [GMT -3:00]

Executando de: c:\documents and settings\User.HOME\Desktop\ComboFix.exe

AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}

.

ADS - system32: deleted 2 bytes in 1 streams.

ADS - drivers: deleted 220 bytes in 2 streams.

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\windows\Fonts\verdanab.ttf

.

c:\windows\system32\userinit.exe . . . está infectado!!

.

.

(((((((((((((((( Arquivos/Ficheiros criados de 2011-03-10 to 2011-04-10 ))))))))))))))))))))))))))))

.

.

Nenhum ficheiro/arquivo criado durante este período

.

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-02-23 15:04 . 2011-02-02 22:35 40648 ----a-w- c:\windows\avastSS.scr

2011-02-23 15:04 . 2011-02-02 22:24 190016 ----a-w- c:\windows\system32\aswBoot.exe

2011-02-23 14:56 . 2011-02-23 22:20 371544 ----a-w- c:\windows\system32\drivers\aswSnx.sys

2011-02-23 14:56 . 2011-02-02 22:25 301528 ----a-w- c:\windows\system32\drivers\aswSP.sys

2011-02-23 14:55 . 2011-02-02 22:25 49240 ----a-w- c:\windows\system32\drivers\aswTdi.sys

2011-02-23 14:55 . 2011-02-02 22:25 102232 ----a-w- c:\windows\system32\drivers\aswmon2.sys

2011-02-23 14:55 . 2011-02-02 22:25 96344 ----a-w- c:\windows\system32\drivers\aswmon.sys

2011-02-23 14:55 . 2011-02-02 22:25 25432 ----a-w- c:\windows\system32\drivers\aswRdr.sys

2011-02-23 14:54 . 2011-02-02 22:25 30680 ----a-w- c:\windows\system32\drivers\aavmker4.sys

2011-02-23 14:54 . 2011-02-02 22:25 19544 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys

2011-01-12 20:41 . 2008-12-26 21:47 46664 ----a-w- c:\windows\system32\drivers\GbpKm.sys

2004-10-01 17:00 . 2007-11-15 19:23 40960 ----a-w- c:\arquivos de programas\Uninstall_CDS.exe

2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\arquivos de programas\mozilla firefox\plugins\libdivx.dll

2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\arquivos de programas\mozilla firefox\plugins\ssldivx.dll

.

.

------- Sigcheck -------

.

[-] 2008-04-14 02:20 . D3F8E8DBE93A80440CAC78B305B40A67 . 821760 . . [2001.12.4414.700] . . c:\windows\SoftwareDistribution\Download\0bd93937a84337966dcbb1c34e8c1b2f\comres.dll

[-] 2008-04-14 02:20 . D3F8E8DBE93A80440CAC78B305B40A67 . 821760 . . [2001.12.4414.700] . . c:\windows\SoftwareDistribution\Download\f7670e43b3c19680acdc044a1fbe993f\comres.dll

[-] 2004-08-04 10:00 . 79A0D215972645015529DD0CD3B8872A . 821760 . . [2001.12.4414.258] . . c:\windows\system32\comres.dll

[7] 2004-08-04 10:00 . FB93B504600DA3EC407ED0252EEF97AB . 821760 . . [2001.12.4414.258] . . c:\windows\system32\dllcache\comres.dll

[7] 2004-08-04 03:45 . FB93B504600DA3EC407ED0252EEF97AB . 821760 . . [2001.12.4414.258] . . c:\windows\system32\dllcache\cache\comres.dll

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]

@="{472083B0-C522-11CF-8763-00608CC02F24}"

[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]

2011-02-23 15:04 122512 ----a-w- c:\arquivos de programas\Alwil Software\Avast5\ashShell.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 61952]

"SoundMAXPnP"="c:\arquivos de programas\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]

"RemoteControl"="c:\arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 32768]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"TkBellExe"="c:\arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" [2007-12-18 180269]

"QuickTime Task"="c:\arquivos de programas\QuickTime\qttask.exe" [2007-06-29 286720]

"ISUSPM Startup"="c:\arquiv~1\ARQUIV~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2005-02-16 221184]

"ISUSScheduler"="c:\arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" [2005-02-16 81920]

"HP Software Update"="c:\arquivos de programas\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 49152]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]

"UnlockerAssistant"="c:\arquivos de programas\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872]

"SunJavaUpdateSched"="c:\arquivos de programas\Java\jre6\bin\jusched.exe" [2009-08-24 149280]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-04 44544]

.

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{E37CB5F0-51F5-4395-A808-5FA49E399003}"= "c:\arquivos de programas\GBPLUGIN\gbiehcef.dll" [2011-02-18 346568]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginCef]

2011-02-18 18:50 346568 ----a-w- c:\arquivos de programas\GbPlugin\gbiehcef.dll

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ autocheck autochk *\0sprestrt

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Shareaza\\Shareaza.exe"=

"c:\\Arquivos de programas\\FileZilla FTP Client\\filezilla.exe"=

"c:\\Arquivos de programas\\Java\\jre6\\bin\\javaw.exe"=

.

R0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\GbpKm.sys [26/12/2008 18:47 46664]

R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [23/2/2011 19:20 371544]

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2/2/2011 19:25 301528]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2/2/2011 19:25 19544]

S3 ICDUSB3;ICDUSB3;c:\windows\system32\drivers\ICDUSB3.sys [17/1/2010 14:19 11264]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

.

Conteúdo da pasta 'Tarefas Agendadas'

.

2011-01-12 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\arquivos de programas\Apple Software Update\SoftwareUpdate.exe [2007-08-29 16:57]

.

2011-04-08 c:\windows\Tasks\WebReg Photosmart C4200 series.job

- c:\arquivos de programas\HP\Digital Imaging\bin\hpqwrg.exe [2007-03-11 23:27]

.

2011-04-10 c:\windows\Tasks\WGASetup.job

- c:\windows\system32\KB905474\wgasetup.exe [2009-03-26 01:18]

.

.

------- Scan Suplementar -------

.

IE: Download with GetRight - c:\arquivos de programas\GetRight\GRdownload.htm

IE: E&xportar para o Microsoft Excel

IE: Open with GetRight Browser - c:\arquivos de programas\GetRight\GRbrowse.htm

IE: Sothink SWF Catcher - c:\arquivos de programas\Arquivos comuns\SourceTec\SWF Catcher\InternetExplorer.htm

FF - ProfilePath - c:\documents and settings\User.HOME\Dados de aplicativos\Mozilla\Firefox\Profiles\yry4gips.default\

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\arquivos de programas\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\arquivos de programas\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}

.

- - - - ORFÃOS REMOVIDOS - - - -

.

AddRemove-_{63218538-4A69-497F-8455-904261B0E9E4} - c:\arquivos de programas\Corel\CorelDRAW Graphics Suite 13\Programs\MSILauncher {63218538-4A69-497F-8455-904261B0E9E4}

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2011-04-09 23:20

Windows 5.1.2600 Service Pack 2 NTFS

.

Procurando processos ocultos ...

.

Procurando entradas auto inicializáveis ocultas ...

.

Procurando ficheiros/arquivos ocultos ...

.

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

.

**************************************************************************

.

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net

Windows 5.1.2600

.

CreateFile("\\.\PHYSICALDRIVE0"): O arquivo já está sendo usado por outro processo.

device: opened successfully

user: error reading MBR

kernel: MBR read successfully

user != kernel MBR !!!

copy of MBR has been found in sector 9 !

.

**************************************************************************

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

.

- - - - - - - > 'winlogon.exe'(688)

c:\arquivos de programas\GBPLUGIN\gbiehcef.dll

.

- - - - - - - > 'explorer.exe'(3344)

c:\windows\system32\MSCTF.dll

c:\arquivos de programas\GBPLUGIN\gbiehcef.dll

c:\windows\system32\WPDShServiceObj.dll

c:\arquivos de programas\Scpad\scpLIB.dll

c:\arquivos de programas\Scpad\scpMIB.dll

c:\arquivos de programas\Scpad\sshib.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Outros Processos em Execução ------------------------

.

c:\arquiv~1\GbPlugin\GbpSv.exe

c:\arquivos de programas\Alwil Software\Avast5\AvastSvc.exe

c:\arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

c:\arquivos de programas\Arquivos comuns\Protexis\License Service\PSIService.exe

c:\windows\system32\wscntfy.exe

c:\windows\system32\msiexec.exe

c:\windows\system32\MsiExec.exe

.

**************************************************************************

.

Tempo para conclusão: 2011-04-09 23:29:15 - Máquina reiniciou

ComboFix-quarantined-files.txt 2011-04-10 02:29

.

Pré-execução: 3.739.750.400 bytes disponíveis

Pós execução: 5.872.209.920 bytes disponíveis

.

- - End Of File - - 438EFC4689DA7D2FC5240A534D9FE727

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

Em tempo: antes da varredura, surgiu uma pop-up do ComboFix informando que meu "master boot" estava infectado e que antes de pressionar "ok", meu antivírus deveria estar desabilitado.

Como isso já havia sido feito, apertei o botão "ok", o que fez meu PC travar!

Com isso fui obrigado a reiniciar o computador pelo botão "reset". Em nova tentativa, o ComboFix pulou direto para a varredura e, aparentemente, tudo correu bem a partir daí.

Editado por Herweg

Compartilhar este post


Link para o post
Compartilhar em outros sites

Configure o Windows para mostrar todos os arquivos

Acesse este site: http://virustotal.com/

Em File to upload coloque: c:\windows\system32\userinit.exe

Em seguida clique em Submit

Copie e poste o resultado deste exame.

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

Antivirus results

AhnLab-V3 - 2011.04.12.00 - 2011.04.11 - -

AntiVir - 7.11.6.53 - 2011.04.11 - -

Antiy-AVL - 2.0.3.7 - 2011.04.11 - -

Avast - 4.8.1351.0 - 2011.04.11 - -

Avast5 - 5.0.677.0 - 2011.04.11 - -

AVG - 10.0.0.1190 - 2011.04.11 - -

BitDefender - 7.2 - 2011.04.12 - -

CAT-QuickHeal - 11.00 - 2011.04.11 - -

ClamAV - 0.97.0.0 - 2011.04.11 - -

Commtouch - 5.2.11.5 - 2011.04.06 - -

Comodo - 8307 - 2011.04.11 - -

DrWeb - 5.0.2.03300 - 2011.04.12 - -

eSafe - 7.0.17.0 - 2011.04.10 - -

eTrust-Vet - 36.1.8266 - 2011.04.11 - -

F-Prot - 4.6.2.117 - 2011.04.11 - -

F-Secure - 9.0.16440.0 - 2011.04.11 - -

Fortinet - 4.2.254.0 - 2011.04.09 - -

GData - 22 - 2011.04.11 - -

Ikarus - T3.1.1.103.0 - 2011.04.11 - -

Jiangmin - 13.0.900 - 2011.04.09 - -

K7AntiVirus - 9.96.4360 - 2011.04.11 - -

McAfee - 5.400.0.1158 - 2011.04.11 - -

McAfee-GW-Edition - 2010.1C - 2011.04.11 - -

Microsoft - 1.6702 - 2011.04.11 - -

NOD32 - 6034 - 2011.04.11 - -

Norman - 6.07.07 - 2011.04.11 - -

Panda - 10.0.3.5 - 2011.04.11 - -

PCTools - 7.0.3.5 - 2011.04.11 - -

Prevx - 3.0 - 2011.04.12 - -

Rising - 23.53.00.05 - 2011.04.11 - -

Sophos - 4.64.0 - 2011.04.11 - -

SUPERAntiSpyware - 4.40.0.1006 - 2011.04.10 - -

Symantec - 20101.3.2.89 - 2011.04.12 - -

TheHacker - 6.7.0.1.171 - 2011.04.11 - -

TrendMicro - 9.200.0.1012 - 2011.04.11 - -

TrendMicro-HouseCall - 9.200.0.1012 - 2011.04.12 - -

VBA32 - 3.12.14.3 - 2011.04.11 - -

VIPRE - 8991 - 2011.04.12 - -

ViRobot - 2011.4.11.4404 - 2011.04.11 - -

VirusBuster - 13.6.299.0 - 2011.04.11 - -

File info:

MD5: 4ca695ec1ee4c7cf2144dfa00ea0e1f7

SHA1: 1abb96020d8f717bbae023b9e8f3a81e988bc2ae

SHA256: 950bac884e7a2812f1ebe9b6920c546eb7e7f50f6d743eccd5a6828f64d65613

File size: 24576 bytes

Scan date: 2011-04-11 22:35:31 (UTC)

Compartilhar este post


Link para o post
Compartilhar em outros sites

Leia atentamente toda a instrução abaixo antes de executar o programa.

Faça download do Kaspersky Removal Tool e salve em seu desktop.

  • Instale o programa normalmente, seguindo todas as instruções.
  • Uma pasta chamada Virus Removal Tool será criada no desktop.
  • Na tela do programa clique nas opções:
    • Meu computador
    • Hidden Startup objects
    • Disk boot sectors
    • System Memory

    [*]Clique no botão Start Scan.[*]Seja paciente, o scan é demorado![*]Conforme for scaneando provavelmente abrirá algumas janelas pequenas ao lado do relógio, não clique em nada.[*]Também há uma possibilidade de abrir uma janela maior contendo as seguintes opções:

    • Desinfection (quando possível)
    • Delete
    • Skip
  • Quando aparecer, marque primero a opção abaixo Apply to all objects e depois clique numa das opções acima.
  • Após completar tudo, clique no botão Reports, na janela que abrir nas opções acima deixe:
    • Autoscan
    • Group by result
    • All Events

    [*]Expanda Autoscan clicando no sinal ao lado de +[*]Expanda Result: Detected.[*]Clique com o botão direito do mouse e escolha Select all, e depois escolha Copy.[*]Atenção, ao fazer isso parece que o PC travou, mas não, aguarde uns minutos para liberar a memória.[*]Abra o Bloco de Notas e cole (ctrl + v)[*]Dê um nome para o arquivo e salve numa pasta de sua preferência.[*]Feche o resultado clicando no botão Exit.[*]Ao fazer isso será questionado se quer desinstalar a ferramenta, clique em Sim.[*]Reinicie o computador quando for pedido.[*]Poste o conteúdo desse arquivo em sua próxima resposta.

OBSERVAÇÃO1:

Atente para as janelas durante o scan elas possuem cores diferentes dependendo do risco. Portanto,
  • verde
    :
    baixo risco
  • amarelo
    :
    médio risco
  • vermelho
    :
    alto risco

Antes de tomar qualquer medida verifique com cuidado o caminho/nome do arquivo para ver é de seu conhecimento, caso seja clique em
Skip
.

OBSERVAÇÃO2:

Se no resultado final do scan apenas tiver
Result:
OK
, não precisa gerar um relatório, apenas informe deste.

OBSERVAÇÃO3:

Durante o scan pode ser que o Kaspersky acuse a seguinte pasta com vírus:
c:\
QooBox
. Caso isto aconteça escolha a opção
Skip
, pois a mesma pertence ao
ComboFix
e será removida quando o mesmo for desinstalado.

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

Verificação automática: concluído 3 minutos atrás (eventos: 259522, objetos: 257506, hora: 02:39:03)

Resultado: OK (eventos: 252287)

Resultado: Detectados (eventos: 12)

26/4/2011 18:55:03 C:\Documents and Settings\All Users.WINDOWS\Dados de aplicativos\Alwil Software\Avast5\arpot\904d6-480-0.dat Ação padrão selecionada

26/4/2011 19:03:32 C:\Documents and Settings\User.HOME\Dados de aplicativos\Sun\Java\Deployment\cache\6.0\11\668e8acb-24214504/adobeflash.class Ação padrão selecionada

26/4/2011 19:04:11 C:\Documents and Settings\User.HOME\Dados de aplicativos\Sun\Java\Deployment\cache\6.0\47\a6b36ef-6e4e0201/Inicio.class Ação padrão selecionada

26/4/2011 19:04:25 C:\Documents and Settings\User.HOME\Dados de aplicativos\Sun\Java\Deployment\cache\6.0\60\e8267fc-5ccab1ec/dostuff.class Ação padrão selecionada

26/4/2011 19:15:20 C:\Documents and Settings\User.HOME\Dados de aplicativos\Sun\Java\Deployment\cache\6.0\60\e8267fc-5ccab1ec/mosdef.class Ação padrão selecionada

26/4/2011 19:15:20 C:\Documents and Settings\User.HOME\Dados de aplicativos\Sun\Java\Deployment\cache\6.0\60\e8267fc-5ccab1ec/SiteError.class Ação padrão selecionada

26/4/2011 20:01:21 C:\found.001\dir0000.chk\jar_cache4953403261974802763.tmp/AppleT.class Ação padrão selecionada

26/4/2011 20:01:21 C:\found.001\dir0000.chk\jar_cache423774427851076392.tmp/bpac/KAVS.class Ação padrão selecionada

26/4/2011 20:01:21 C:\found.001\dir0000.chk\jar_cache8129810963845192455.tmp/wedfd/EoyweiX.class Ação padrão selecionada

26/4/2011 20:01:24 C:\found.001\dir0000.chk\jar_cache423774427851076392.tmp/ot/pizdi.class Ação padrão selecionada

26/4/2011 20:01:25 C:\found.001\dir0000.chk\jar_cache8129810963845192455.tmp/wedfd/HkdfkjX.class Ação padrão selecionada

26/4/2011 20:05:46 C:\Qoobox\Quarantine\MBR_HardDisk0.mbr Ação padrão selecionada

Resultado: Arquivar (eventos: 5178)

Resultado: Compactado (eventos: 1987)

Resultado: Corrompido (eventos: 1)

Resultado: Não neutralizado (eventos: 1)

Resultado: Excluído (eventos: 11)

Resultado: Em backup (eventos: 8)

Resultado: Não processado (eventos: 1)

Resultado: Protegido por senha (eventos: 32)

Resultado: Será excluído ao reiniciar o sistema (eventos: 1)

Resultado: Falha de desinfecção ao reiniciar do sistema (eventos: 1)

Resultado: Tarefa iniciada (eventos: 1)

Resultado: Tarefa concluída (eventos: 1)

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

Durante o escaneamento do Kasperky Virus Removal Tool, eu me descuidei e excluí arquivos da quarentena do Avast! e do ComboFix.

(Como surgiram muitas mensagens referentes à pasta de arquivos recuperados pelo PC Inspector File Recovery, terminei desviando minha atenção...)

Também notei que muitos caminhos apontavam para a pasta do Java. Na dúvida, optei por excluí-los.

Editado por Herweg

Compartilhar este post


Link para o post
Compartilhar em outros sites
 
Como tem estado o computador?

Desde o uso do ComboFix, não recebi mais qualquer mensagem do Avast! Antivírus.

Meu computador está com alguns conflitos depois que restaurei a instalação do Windows a partir de um CD diferente (tela azul, reiniciando, etc.). Não acredito que seja por causa de vírus, pois já estavam antes.

Devido às mensagens do Avast!, pensei em desinfectar antes de fazer o backup dos arquivos e finalmente formatá-lo.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Se foi formatado, podemos dar por resolvido?

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

Não, não formatei ainda! Estou apenas esperando o veredicto do pessoal aqui do Clube do Hardware para fazer os devidos backups e, então, formatar a máquina.

Devo rodar o Kaspersky e/ou ComboFix novamente? Posso ignorar os arquivos (supracitados) que deletei por descuido?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Não entendo. Para que limpar o computador para depois formatar? Não faz o menor sentido.

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

Ora, mas soa tão absurdo assim? Preciso fazer backup de meus arquivos. Limpando minha máquina antes não corro o risco de copiar um vírus...

Por exemplo: sempre faço cópia da minha pasta de fontes, independente de lá estarem fontes padrão ou uma das centenas que normalmente baixo. Para meu espanto, o log do ComboFix excluiu um arquivo .TTF, da fonte Verdana.

Posso, então, dar sequência à gravação de meus arquivos ou mais será necessária mais alguma varredura para me dar mais segurança?

Editado por Herweg

Compartilhar este post


Link para o post
Compartilhar em outros sites

Sua infecção estava no SISTEMA OPERACIONAL, não nos arquivos pessoais como planilhas, arquivos de texto, músicas, fotos. O nosso trabalho até o momento é limpar isso, seus arquivos nunca estiveram infectados, ou seja, se quisesse formatar o computador (sistema operacional), nem precisava ter postado os logs.

Entende?

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

Ok. Minha ideia inicial não era de formatar. Porém, além dos rootkits, meu Windows está péssimo desde que restaurei a instalação usando um CD diferente. Também não pretendo criar uma partição nova e essa máquina só possui um HD.

Mas e a respeito dos arquivos de fontes? Lembre-se de que o ComboFix deletou o "c:\windows\Fonts\verdanab.ttf".

Compartilhar este post


Link para o post
Compartilhar em outros sites

Sim, ela era legítima? Se sim, passarei para o desenvolvedor do ComboFix remover da lista de infecções.

Compartilhar este post


Link para o post
Compartilhar em outros sites
 
Sim, ela era legítima? Se sim, passarei para o desenvolvedor do ComboFix remover da lista de infecções.

Eu não saberia dizer. Porém alguns arquivos aparentam estar corrompidos na pasta "Windows/Fonts". Ao clicá-los, não aparece o preview da fonte, mas sim uma mensagem de erro.

Se você acha que devemos investigar melhor tudo bem, senão pode fechar o tópico.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Erro de visualização não tem relação com malware. Melhor seria postar isso em Sistemas Operacionais.

Mais alguma dúvida?

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.
Entre para seguir isso  





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×