Usamos cookies para medir audiência e melhorar sua experiência. Você pode aceitar ou recusar a qualquer momento. Veja sobre o iMasters.
Prezados Srs.,
Gostaria da ajuda de voces para o problema no meu PC. Depois de passar o AVIRA e o SPYBOT o problema permanece que uma mensagem que aparece ao lado do relogio na parte inferiro da tela ""You computer is infected", e ja comeca tentando instalar um PRO 2008 que trata-se de um SPYWARE que depois pede pra compra-lo.
Segue o log do HIJACKTHIS do meu computador ...
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:02:04, on 01/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe
C:\Documents and Settings\Usuario\Dados de aplicativos\seres.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe
C:\Documents and Settings\Usuario\Dados de aplicativos\svcst.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
C:\Arquivos de programas\Firebird\Firebird_2_1\bin\fbguard.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Arquivos de programas\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Firebird\Firebird_2_1\bin\fbserver.exe
C:\Arquivos de programas\Internet Explorer\iexplore.exe
C:\Arquivos de programas\Windows Live\Toolbar\wltuser.exe
C:\Documents and Settings\Usuario\Meus documentos\ERNANI - ENDEMIAS\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Arquivos de programas\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: DirecX - {83FDA784-0154-418F-810B-F1839272C361} - C:\WINDOWS\system32\DirectX\Dinput\diagx3d.dll (file missing)
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [restorer32_a] C:\Documents and Settings\Usuario\restorer32_a.exe
O4 - HKCU\..\Run: [mserv] C:\Documents and Settings\Usuario\Dados de aplicativos\seres.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [svchost] C:\Documents and Settings\Usuario\Dados de aplicativos\svcst.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: uecupd32.exe
O8 - Extra context menu item: Abrir em uma nova guia do plano de fundo - res://C:\Arquivos de programas\Windows Live Toolbar\Components\pt-br\msntabres.dll.mui/229?1c0caf2e1b98477d878779d8eb195ecb
O8 - Extra context menu item: Abrir em uma nova guia do primeiro plano - res://C:\Arquivos de programas\Windows Live Toolbar\Components\pt-br\msntabres.dll.mui/230?1c0caf2e1b98477d878779d8eb195ecb
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1253560491703
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B88CD75-2417-4342-B81B-D510C3B2923B}: Domain = saude.ce.gov.br
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B88CD75-2417-4342-B81B-D510C3B2923B}: NameServer = 208.67.222.222
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - Firebird Project - C:\Arquivos de programas\Firebird\Firebird_2_1\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - Firebird Project - C:\Arquivos de programas\Firebird\Firebird_2_1\bin\fbserver.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\Arquivos de programas\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\Arquivos de programas\Borland\InterBase\bin\ibserver.exe
--
End of file - 6874 bytes
>
- Faça o download do '>http://www.malwarebytes.org/mbam/program/mbam-setup.exe"]Malwarebytes Anti-Malware e salve-o no desktop;
● Dê dois cliques no programa para iniciar a instalação. Selecione o idioma Português (Brasil);
● Ao final da instalação, marque as opções "**Atualizar Malwarebytes Anti-Malware**" e "**Executar Malwarebytes Anti-Malware**", e clique em *Concluir*;
● Após a instalação execute o programa;
● Marque a opção **Verificação Completa** e depois clique em *Verificar*. Selecione sua unidade C: e clique no botão **Iniciar Verificação**;
● Quando o scan terminar, clique em OK e o log será automaticamente aberto para você;● Se algo for detectado, verifique se todos os itens estão marcados e clique no botão Remover.
OBS: Caso apareça uma mensagem pedindo para que você reinicie o computador para completar o processo de remoção, reinicie-o imediatamente;
● O log pode ser consultado clicando em Logs do menu principal também;
2ª Etapa
/applications/core/interface/imageproxy/imageproxy.php?img=http://i37.tinypic.com/mw9u2w.jpg&key=9e2e026d076f44a2cab97f29052186856ce58f528d7e1e5ce5fc3b042365386f" alt="mw9u2w.jpg" />
● Desative temporariamente o seu antivirus para não detectar a ferramenta como vírus;
● Duplo clique em *svchost.exe* para iniciar o scan;
● Leia o contrato que aparecerá e clique em **Sim** para continuar;
● Abrirá uma janela do *Console de Recuperação*, clique em **Sim** para instalar. Se aparecer outra janela do Console, clique em OK > Sim;
● Aguarde enquanto o ComboFix faz o scan;
● Se ocorrer algum problema durante o scan, reinicie seu computador em Modo de Segurança e repita o procedimento;
● Não clique na janela do ComboFix e procure não utilizar o teclado também, para não atrapalhar a varredura da ferramenta;
● Se quiser sair ou parar o ComboFix, tecle **N**;
● Quando terminar seu micro será reiniciado. Após o reinicio, a ferramenta executará novamente, aguarde;● Será gerado um log em C:\ComboFix.txt.
Em sua próxima resposta, cole os logs do Malwarebytes e ComboFix.
Segue o LOG ...
Malwarebytes' Anti-Malware 1.41
Versão do banco de dados: 2892
Windows 5.1.2600 Service Pack 2
02/10/2009 09:34:31
mbam-log-2009-10-02 (09-34-26).txt
Tipo de Verificação: Completa (C:\|)
Objetos verificados: 134586
Tempo decorrido: 20 minute(s), 53 second(s)
Processos da Memória infectados: 2
Módulos de Memória Infectados: 0
Chaves do Registro infectadas: 5
Valores do Registro infectados: 9
Ítens do Registro infectados: 4
Pastas infectadas: 0
Arquivos infectados: 29
Processos da Memória infectados:
C:\Documents and Settings\Usuario\Dados de aplicativos\seres.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Usuario\Dados de aplicativos\svcst.exe (Trojan.Agent) -> No action taken.
Módulos de Memória Infectados:
(Nenhum ítem malicioso foi detectado)
Chaves do Registro infectadas:
HKEY_CLASSES_ROOT\CLSID\{bb4c402f-882a-4526-8c08-51278ea437c1} (Spyware.OnlineGames) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{83fda784-0154-418f-810b-f1839272c361} (Trojan.Banker) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{83fda784-0154-418f-810b-f1839272c361} (Trojan.Banker) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83fda784-0154-418f-810b-f1839272c361} (Trojan.Banker) -> No action taken.
Valores do Registro infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{bb4c402f-882a-4526-8c08-51278ea437c1} (Spyware.OnlineGames) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mserv (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\restorer32_a (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Control Panel\don't load\scui.cpl (Hijack.SecurityCenter) -> No action taken.
HKEY_CURRENT_USER\Control Panel\don't load\wscui.cpl (Hijack.SecurityCenter) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\csrcs (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Antivirus Pro 2010 (Rogue.AntiVirusPro2010) -> No action taken.
Ítens do Registro infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe csrcs.exe) Good: (Explorer.exe) -> No action taken.
Pastas infectadas:
(Nenhum ítem malicioso foi detectado)
Arquivos infectados:
C:\Documents and Settings\Usuario\Configurações locais\Temp\~TM14.tmp (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Usuario\Configurações locais\Temp\msupd_2.exe (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\Usuario\Configurações locais\Temporary Internet Files\Content.IE5\2HKTLVTU\Install[1].VIR (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\Usuario\Configurações locais\Temporary Internet Files\Content.IE5\OU4JBVHJ\Install[1].exe (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\Usuario\Dados de aplicativos\lizkavd.exe (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\Usuario\Menu Iniciar\Programas\Inicializar\uecupd32.exe (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{76D4DB21-F64E-4C00-8B17-49ECBB7F7437}\RP3\A0010222.cpl (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{76D4DB21-F64E-4C00-8B17-49ECBB7F7437}\RP5\A0010308.exe (Trojan.Bredolab) -> No action taken.
C:\System Volume Information\_restore{76D4DB21-F64E-4C00-8B17-49ECBB7F7437}\RP5\A0011311.cpl (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{76D4DB21-F64E-4C00-8B17-49ECBB7F7437}\RP5\A0012323.exe (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{76D4DB21-F64E-4C00-8B17-49ECBB7F7437}\RP5\A0012331.exe (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{76D4DB21-F64E-4C00-8B17-49ECBB7F7437}\RP5\A0012332.cpl (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\pss\uecupd32.exeStartup (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\_scui.cpl (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\Usuario\Dados de aplicativos\seres.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Usuario\Dados de aplicativos\svcst.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\restorer32_a.exe (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\Usuario\Dados de aplicativos\evegowel.dll (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Usuario\Dados de aplicativos\wiaserva.log (Malware.Trace) -> No action taken.
C:\Documents and Settings\Usuario\Dados de aplicativos\wiaservg.log (Malware.Trace) -> No action taken.
C:\Documents and Settings\Usuario\Configurações locais\Temp\BN16.tmp (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Usuario\Configurações locais\Temp\BN17.tmp (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Usuario\Configurações locais\Temp\BN18.tmp (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Usuario\Configurações locais\Temp\BN19.tmp (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Usuario\Configurações locais\Temp\BN1A.tmp (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Usuario\Configurações locais\Temp\BN1B.tmp (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Usuario\Configurações locais\Temp\tmpwr2 (Rogue.Installer) -> No action taken.
C:\Documents and Settings\Usuario\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
C:\WINDOWS\AhnRpta.exe (Trojan.Backdoor) -> No action taken.
Agora o LOG do COMBOFIX:
ComboFix 09-10-01.01 - Usuario 02/10/2009 9:46.1.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.503.244 [GMT -3:00]
Executando de: c:\documents and settings\Usuario\Desktop\ComboFix.exe
AV: AntiVir Desktop On-access scanning disabled (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\arquivos de programas\Arquivos comuns\acebesaf.ban
c:\arquivos de programas\Arquivos comuns\elyf.dll
c:\arquivos de programas\Arquivos comuns\ifav.dl
c:\arquivos de programas\Arquivos comuns\iqywaqubez.com
c:\arquivos de programas\Arquivos comuns\ixifobe.ban
c:\arquivos de programas\Arquivos comuns\pedyn.bin
c:\arquivos de programas\Arquivos comuns\qalive.dll
c:\arquivos de programas\Arquivos comuns\rycyve.sys
c:\arquivos de programas\Arquivos comuns\tehadyfyl.scr
c:\arquivos de programas\Arquivos comuns\ukegysedy.inf
c:\arquivos de programas\Arquivos comuns\vuwa.inf
c:\arquivos de programas\Arquivos comuns\winy.exe
c:\arquivos de programas\Arquivos comuns\yqisekuha.bin
c:\arquivos de programas\Arquivos comuns\zaki.dl
c:\documents and settings\All Users\Dados de aplicativos\idedigigi.dl
c:\documents and settings\All Users\Dados de aplicativos\jaxoryvaq.scr
c:\documents and settings\All Users\Dados de aplicativos\pivax.scr
c:\documents and settings\All Users\Dados de aplicativos\qyfyku.dl
c:\documents and settings\All Users\Dados de aplicativos\sobihapyl._dl
c:\documents and settings\All Users\Dados de aplicativos\umytaryki.inf
c:\documents and settings\All Users\Dados de aplicativos\uselec.inf
c:\documents and settings\All Users\Dados de aplicativos\yciquvo.sys
c:\documents and settings\All Users\Documentos\axin.reg
c:\documents and settings\All Users\Documentos\cadedexax._dl
c:\documents and settings\All Users\Documentos\epubiginon.inf
c:\documents and settings\All Users\Documentos\erisakyk.ban
c:\documents and settings\All Users\Documentos\ladido.reg
c:\documents and settings\All Users\Documentos\urazod.com
c:\documents and settings\All Users\Documentos\xadijaf.pif
c:\documents and settings\All Users\Documentos\xyfidif.pif
c:\documents and settings\All Users\Documentos\yfydi.bin
c:\documents and settings\Usuario\Configura‡äes locais\Dados de aplicativos\qamelod.reg
c:\documents and settings\Usuario\Configura‡äes locais\Dados de aplicativos\qewafy.inf
c:\documents and settings\Usuario\Configura‡äes locais\Dados de aplicativos\tymuc.inf
c:\documents and settings\Usuario\Configura‡äes locais\Dados de aplicativos\urajiqy.vbs
c:\documents and settings\Usuario\Configura‡äes locais\Dados de aplicativos\ynycijo.reg
c:\documents and settings\Usuario\Dados de aplicativos\emepacal.ban
c:\documents and settings\Usuario\Dados de aplicativos\hazoqu._sy
c:\documents and settings\Usuario\Dados de aplicativos\jezaziju.inf
c:\documents and settings\Usuario\Dados de aplicativos\qacy.dl
c:\documents and settings\Usuario\Dados de aplicativos\qybaqyca._sy
c:\documents and settings\Usuario\Dados de aplicativos\wywejepufu.sys
c:\documents and settings\Usuario\Dados de aplicativos\yjoduza.dl
c:\windows\goqebejybi.bin
c:\windows\Installer\851006.msi
c:\windows\jucysaza.pif
c:\windows\oqopuwuh.bin
c:\windows\oqubu.reg
c:\windows\osaqe.inf
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\AutoRun.inf
c:\windows\system32\Cache
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\ityg.sys
c:\windows\system32\myniziwem.dll
c:\windows\system32\o4Patch.exe
c:\windows\system32\onybogaxu.pif
c:\windows\system32\Process.exe
c:\windows\system32\raxawyhu.vbs
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\uwidunug.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\wibupunul.reg
c:\windows\system32\WS2Fix.exe
c:\windows\system32\zukewojupy.reg
c:\windows\tykanidu.pif
c:\windows\ufequ.pif
c:\windows\ugubowadis.bin
c:\windows\uzyh.reg
c:\windows\wehoc._dl
c:\windows\xajefife.bin
c:\windows\xasahuzoj.vbs
c:\windows\ygibyzev.bin
c:\windows\ytegi.dl
c:\windows\zixequjy._dl
c:\windows\zybidimy.bat
.
(((((((((((((((( Arquivos/Ficheiros criados de 2009-09-02 to 2009-10-02 ))))))))))))))))))))))))))))
.
2009-10-02 11:56 . 2009-10-02 11:56 -------- d-----w- c:\documents and settings\Usuario\Dados de aplicativos\Malwarebytes
2009-10-02 11:56 . 2009-09-10 17:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-02 11:56 . 2009-10-02 11:56 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes
2009-10-02 11:56 . 2009-09-10 17:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-02 11:56 . 2009-10-02 12:34 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware
2009-10-01 13:11 . 2009-10-01 16:40 -------- d-----w- c:\arquivos de programas\Spybot - Search & Destroy
2009-10-01 13:11 . 2009-10-01 16:38 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Spybot - Search & Destroy
2009-10-01 12:12 . 2009-07-28 19:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-10-01 12:12 . 2009-03-30 13:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-10-01 12:12 . 2009-02-13 15:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-10-01 12:12 . 2009-02-13 15:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-10-01 12:12 . 2009-10-01 12:12 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Avira
2009-10-01 12:12 . 2009-10-01 12:12 -------- d-----w- c:\arquivos de programas\Avira
2009-09-30 19:07 . 2009-09-30 19:07 19262 ----a-w- c:\windows\system32\gudinumaw.dat
2009-09-30 19:07 . 2009-09-30 19:07 13972 ----a-w- c:\windows\rosetedyq.com
2009-09-30 19:06 . 2009-09-30 19:06 11712 ----a-w- c:\windows\system32\azoker.dat
2009-09-29 13:25 . 2009-09-29 13:25 17084 ----a-w- c:\windows\adafisekas.com
2009-09-29 13:25 . 2009-09-29 13:25 15649 ----a-w- c:\windows\qidygerix.com
2009-09-29 13:25 . 2009-09-29 13:25 15343 ----a-w- c:\windows\upyko.dat
2009-09-29 12:25 . 2009-09-29 12:25 26836 ----a-w- C:\tjwn.exe
2009-09-29 12:25 . 2009-09-29 12:25 105984 ----a-w- C:\vivfqcpr.exe
2009-09-23 18:51 . 2009-09-23 18:51 -------- d-----w- c:\windows\system32\pt-br
2009-09-21 19:38 . 2009-09-30 19:15 -------- d-----w- c:\documents and settings\Usuario\Tracing
2009-09-21 19:38 . 2009-09-21 19:38 -------- d-----w- c:\arquivos de programas\Microsoft Sync Framework
2009-09-21 19:37 . 2009-09-21 19:37 -------- d-----w- c:\arquivos de programas\Microsoft
2009-09-21 19:37 . 2009-09-21 19:37 -------- d-----w- c:\arquivos de programas\Windows Live SkyDrive
2009-09-21 19:36 . 2009-09-21 19:38 -------- d-----w- c:\arquivos de programas\Windows Live
2009-09-21 19:26 . 2009-09-21 19:26 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Windows Live
2009-09-16 13:13 . 2008-04-23 11:45 393216 ----a-r- c:\windows\system32\FBCLIENT.DLL
2009-09-16 13:09 . 2009-10-01 13:04 -------- d-----w- c:\arquivos de programas\Console
2009-09-16 13:04 . 2009-09-16 13:04 -------- d-----w- C:\sim_localIguatu
2009-09-16 13:03 . 2009-09-16 13:04 -------- d-----w- C:\sinasc_localIguatu
.
((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-02 10:36 . 2009-10-02 10:36 10560 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\donavy.dat
2009-09-30 19:06 . 2009-09-30 19:06 16837 ----a-w- c:\arquivos de programas\Arquivos comuns\lixoqa.db
2009-09-30 19:06 . 2009-09-30 19:06 11238 ----a-w- c:\arquivos de programas\Arquivos comuns\zadatyti.lib
2009-09-29 13:25 . 2009-09-29 13:25 14148 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\yhanuqasip.dat
2009-09-29 13:25 . 2009-09-29 13:25 10174 ----a-w- c:\arquivos de programas\Arquivos comuns\yruzupuzok.db
2009-09-28 17:56 . 2009-02-20 16:41 -------- d-----w- c:\documents and settings\Usuario\Dados de aplicativos\U3
2009-09-21 19:38 . 2008-12-29 12:46 -------- d-----w- c:\arquivos de programas\Windows Live Toolbar
2009-09-16 13:10 . 2009-01-12 17:42 -------- d-----w- c:\arquivos de programas\Exportação e Importação SIM
2009-08-06 22:23 . 2007-12-21 23:37 209624 ----a-w- c:\windows\system32\wuweb.dll
2009-07-26 19:44 . 2009-07-26 19:44 48448 ----a-w- c:\windows\system32\sirenacm.dll
1999-04-01 18:53 . 1999-04-01 18:53 99840 ----a-w- c:\arquivos de programas\Arquivos comuns\IRAABOUT.DLL
1998-12-09 04:53 . 1998-12-09 04:53 70144 ----a-w- c:\arquivos de programas\Arquivos comuns\IRAMDMTR.DLL
1998-12-09 04:53 . 1998-12-09 04:53 48640 ----a-w- c:\arquivos de programas\Arquivos comuns\IRALPTTR.DLL
1998-12-09 04:53 . 1998-12-09 04:53 31744 ----a-w- c:\arquivos de programas\Arquivos comuns\IRAWEBTR.DLL
1998-12-09 04:53 . 1998-12-09 04:53 186368 ----a-w- c:\arquivos de programas\Arquivos comuns\IRAREG.DLL
1998-12-09 04:53 . 1998-12-09 04:53 17920 ----a-w- c:\arquivos de programas\Arquivos comuns\IRASRIAL.DLL
2009-02-02 12:18 . 2009-02-02 12:23 1696 --sha-r- c:\windows\system32\DirectX\Dinput\desktop.inf.dat
.
(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
Nota entradas vazias e legítimas por defeito não são mostradas.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-12 39792]
"avgnt"="c:\arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Malwarebytes Anti-Malware (reboot)"="c:\arquivos de programas\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Symantec Fax Starter Edition Port.lnk]
path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\Symantec Fax Starter Edition Port.lnk
backup=c:\windows\pss\Symantec Fax Starter Edition Port.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^Usuario^Menu Iniciar^Programas^Inicializar^nhaupd32.exe]
path=c:\documents and settings\Usuario\Menu Iniciar\Programas\Inicializar\nhaupd32.exe
backup=c:\windows\pss\nhaupd32.exeStartup
[HKLM\~\startupfolder\C:^Documents and Settings^Usuario^Menu Iniciar^Programas^Inicializar^uecupd32.exe]
path=c:\documents and settings\Usuario\Menu Iniciar\Programas\Inicializar\uecupd32.exe
backup=c:\windows\pss\uecupd32.exeStartup
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Arquivos de programas\\Puxa Rápido\\PuxaRapido.exe"=
"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=
"c:\\Arquivos de programas\\Microsoft Office\\Office\\1046\\WFXMSRVR.EXE"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5319:TCP"= 5319:TCP:jhsmqd
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\arquivos de programas\Avira\AntiVir Desktop\sched.exe [01/10/2009 09:12 108289]
R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\arquivos de programas\Firebird\Firebird_2_1\bin\fbguard.exe [23/09/2009 15:57 81920]
R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\arquivos de programas\Firebird\Firebird_2_1\bin\fbserver.exe [23/09/2009 15:57 2723840]
S1 f8197570.sys;f8197570.sys;\??\c:\windows\System32\drivers\f8197570.sys --> c:\windows\System32\drivers\f8197570.sys [?]
S1 nmo24bd;nmo24bd;\??\c:\windows\System32\drivers\nmo24bd.sys --> c:\windows\System32\drivers\nmo24bd.sys [?]
S2 fqbpykfok;Task Image;c:\windows\system32\svchost.exe -k netsvcs [04/08/2004 00:45 14336]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
fqbpykfok
.
.
------- Scan Suplementar -------
.
uStart Page = hxxp://www.google.com.br/
IE: Abrir em uma nova guia do plano de fundo - c:\arquivos de programas\Windows Live Toolbar\Components\pt-br\msntabres.dll.mui/229?1c0caf2e1b98477d878779d8eb195ecb
IE: Abrir em uma nova guia do primeiro plano - c:\arquivos de programas\Windows Live Toolbar\Components\pt-br\msntabres.dll.mui/230?1c0caf2e1b98477d878779d8eb195ecb
IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {7B88CD75-2417-4342-B81B-D510C3B2923B} = 208.67.222.222
.
AddRemove-SimSinasc - c:\windows\uninstallsimsinasc.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-02 09:49
Windows 5.1.2600 Service Pack 2 NTFS
Procurando processos ocultos ...
Procurando entradas auto inicializáveis ocultas ...
Procurando ficheiros/arquivos ocultos ...
Varredura completada com sucesso
arquivos/ficheiros ocultos: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fqbpykfok]
"ServiceDll"="c:\windows\system32\fheetrrj.dll"
.
--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Tempo para conclusão: 2009-10-02 9:51
ComboFix-quarantined-files.txt 2009-10-02 12:51
Pré-execução: 22 pasta(s) 65.536.200.704 bytes disponíveis
Pós execução: 23 pasta(s) 65.680.379.904 bytes disponíveis
WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
246 --- E O F --- 2008-12-30 18:50
C:\Documents and Settings\Usuario\Dados de aplicativos\seres.exe (Trojan.Agent) -> No action taken.
Você não removeu as infecções encontradas pelo Malwarebytes. Deveria ter marcado todos os itens, ao término do scan, e clicado no botão Remover - como o instruí anteriormente. No entanto, não alterou o nome do ComboFix - como também lhe foi instruído na segunda etapa.
Vá em Iniciar > Executar, digite sysdm.cpl e dê um OK. Clique na guia Restauração do Sistema, marque a opção "Desativar restauração do sistema" > OK. Mantenha, por enquanto, esta opção marcada.
Selecione e copie o texto abaixo. Cole dentro do Bloco de Notas de seu computador e salve-o no desktop como CFScript.txt
Snapshot::File::c:\windows\system32\gudinumaw.datc:\windows\rosetedyq.comc:\windows\system32\azoker.datc:\windows\adafisekas.comc:\windows\qidygerix.comc:\windows\upyko.datC:\tjwn.exeC:\vivfqcpr.exec:\documents and settings\All Users\Dados de aplicativos\donavy.datc:\arquivos de programas\Arquivos comuns\lixoqa.dbc:\arquivos de programas\Arquivos comuns\zadatyti.libc:\documents and settings\All Users\Dados de aplicativos\yhanuqasip.datc:\arquivos de programas\Arquivos comuns\yruzupuzok.dbc:\windows\system32\DirectX\Dinput\desktop.inf.datc:\documents and settings\Usuario\Menu Iniciar\Programas\Inicializar\nhaupd32.exec:\windows\pss\nhaupd32.exec:\documents and settings\Usuario\Menu Iniciar\Programas\Inicializar\uecupd32.exec:\windows\pss\uecupd32.exec:\windows\System32\drivers\f8197570.sysc:\windows\System32\drivers\nmo24bd.sysc:\windows\system32\fheetrrj.dllRegistry::[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fqbpykfok]Driver::f8197570.sysnmo24bdfqbpykfokNetSvc::fqbpykfok
Arraste o CFScript para o ComboFix como na imagem aqui abaixo e aguarde a execução automática da ferramenta:
/applications/core/interface/imageproxy/imageproxy.php?img=http://users.pandora.be/bluepatchy/miekiemoes/images/CFScript.gif&key=aa06bb7a384f8fa15f7e1a4f58abd652eaebf82f4abc577ab5cdd4b0f21e4492" alt="CFScript.gif" />
● Se for solicitado à você, pressione **Enter** para iniciar o processo de remoção;
● Não use o mouse nem o teclado quando o ComboFix estiver rodando;
● Quando terminar, será gerado um novo log que estará em C:\**ComboFix.txt**;● Talvez seu computador seja reiniciado automaticamente. Caso não ocorra, reinicie-o manualmente.
Na sua próxima resposta, cole o ComboFix.txt e um novo log do HijackThis.
PROBLEMA RESOLVIDO!
Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico.
PS: O tópico estava arquivado mas o membro informou via MP que o mesmo foi resolvido
● Se algo for detectado, verifique se todos os itens estão marcados e clique no botão Remover.
OBS: Caso apareça uma mensagem pedindo para que você reinicie o computador para completar o processo de remoção, reinicie-o imediatamente;
● O log pode ser consultado clicando em Logs do menu principal também;
2ª Etapa
/applications/core/interface/imageproxy/imageproxy.php?img=http://i37.tinypic.com/mw9u2w.jpg&key=9e2e026d076f44a2cab97f29052186856ce58f528d7e1e5ce5fc3b042365386f" alt="mw9u2w.jpg" />
● Será gerado um log em C:\ComboFix.txt.
Em sua próxima resposta, cole os logs do Malwarebytes e ComboFix.