[Resolvido] &nbsppc lento - virus aparentemente removidos

Olá Soraya Lourenço

*Baixe o MalwareBytes e salve-o no desktop

*Instale o programa e aguarde a atualização

*O programa será aberto automaticamente

*Na aba [Verificação], selecione [Verificação completa]

*Clique [Verificar] e selecione a partição onde o Windows está instalado

*Ao finalizar o scan, clique [sIM] > [OK] > [Ver Resultados] > [Remover Selecionados]

*Cole o relatório apresentado

Caso já tenhas o Malwarebytes instalado....

*Abra o Malwarebytes, clique [Atualização] > [baixar Atualizações]

*Na aba [Verificação], selecione [x] Verificação completa

*Clique [Verificar] e selecione a partição onde o Windows está instalado

*Ao finalizar o scan, clique [sIM] > [OK] > [Ver Resultados] > [Remover Selecionados]

*Cole o relatório apresentado

Olá!

Baixei o programa e atualizei.

Agora é aguardar o escaneamento.

Boa noite!

Segue o log gerado pelo malwarebytes: (o scan demorou muito)

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

Versão da Base de Dados: 6424

Windows 5.1.2600 Service Pack 2

Internet Explorer 8.0.6001.18702

23/4/2011 22:07:25

mbam-log-2011-04-23 (22-07-25).txt

Tipo de Verificação: Verificação Completa (C:\|)

Objetos escaneados: 196667

Tempo decorrido: 8 hora(s), 51 minuto(s), 50 segundo(s)

Processos de Memória Infectados: 0

Módulos de Memória Infectados: 0

Chaves de Registro Infectadas: 0

Valores de Registro Infectados: 2

Itens de Dados no Registro Infectados: 1

Pastas Infectadas: 0

Arquivos Infectados: 3

Processos de Memória Infectados:

(Não foram detectados ítens maliciosos)

Módulos de Memória Infectados:

(Não foram detectados ítens maliciosos)

Chaves de Registro Infectadas:

(Não foram detectados ítens maliciosos)

Valores de Registro Infectados:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\explorer.exe (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wsctf.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Itens de Dados no Registro Infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (PUM.Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Pastas Infectadas:

(Não foram detectados ítens maliciosos)

Arquivos Infectados:

C:\System Volume Information\_restore{46626EAB-2B1E-42CD-A506-C8722D6704E5}\RP30\A0006330.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{46626EAB-2B1E-42CD-A506-C8722D6704E5}\RP30\A0006336.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{46626EAB-2B1E-42CD-A506-C8722D6704E5}\RP31\A0006408.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Tinham telas q apareciam assim q eu ligava o computador. Elas desapareceram.

Mas o PC esta muito mais lento depois q instalei o malwarebytes.

1.

*Baixe o ATF Cleaner e salve-o no desktop

*Execute-o

*Selecione:

[X] Select All

*Clique [Empty Selected]

*Feche o ATF-Cleaner

2.

*Acesse o site ConfickerWorkingGroup

*No site, observe as figuras no quadro abaixo da frase "Conficker Eye Chart"

/applications/core/interface/imageproxy/imageproxy.php?img=http://img832.imageshack.us/img832/3298/6da8ec4865.png&key=827e29bb72d14fdfbde1b961785e9f54f80fdff52b2cacecf4563d436fca0ef2" alt="6da8ec4865.png" />

*Compare com o resultado da tabela abaixo da frase "How to interpret:"

/applications/core/interface/imageproxy/imageproxy.php?img=http://img801.imageshack.us/img801/5184/ab384b90ed.png&key=b76c79a42c4a39e74824d87241ebe114f59f58383a985a1b2e5dff7635be54cb" alt="ab384b90ed.png" />

*Informe o resultado.

3.

*Baixe o DDS e salve-o no desktop

*Execute-o e salve os relatórios no desktop (DDS.txt e Attach.txt)

*Cole o relatório DDS.txt

Boa tarde!

Usei o ATF-Cleaner.

No site Conficker o resultado foi: Normal/Not Infected by Conficker (or using proxy)

Relatório do DDS:

.

DDS (Ver_11-03-05.01) - NTFSx86

Run by Mary at 14:49:43,04 on ter 26/04/2011

Internet Explorer: 8.0.6001.18702

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.239.19 [GMT -3:00]

.

AV: AntiVir Desktop Enabled/Updated {AD166499-45F9-482A-A743-FDD3350758C7}

.

============== Running Processes ===============

.

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

svchost.exe

svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\system32\svchost.exe -k hpdevmgmt

C:\WINDOWS\System32\svchost.exe -k HPZ12

C:\WINDOWS\System32\svchost.exe -k HPZ12

C:\Arquivos de programas\Avira\AntiVir Desktop\avshadow.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\WINDOWS\system32\VTTimer.exe

C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

Boa tarde!

Usei o ATF-Cleaner.

No site Conficker o resultado foi: Normal/Not Infected by Conficker (or using proxy)

Relatório do DDS:

.

DDS (Ver_11-03-05.01) - NTFSx86

Run by Mary at 14:49:43,04 on ter 26/04/2011

Internet Explorer: 8.0.6001.18702

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.239.19 [GMT -3:00]

.

AV: AntiVir Desktop Enabled/Updated {AD166499-45F9-482A-A743-FDD3350758C7}

.

============== Running Processes ===============

.

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

svchost.exe

svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\system32\svchost.exe -k hpdevmgmt

C:\WINDOWS\System32\svchost.exe -k HPZ12

C:\WINDOWS\System32\svchost.exe -k HPZ12

C:\Arquivos de programas\Avira\AntiVir Desktop\avshadow.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\WINDOWS\system32\VTTimer.exe

C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Mozilla Firefox\plugin-container.exe

C:\Documents and Settings\Mary\Desktop\dds.scr

.

============== Pseudo HJT Report ===============

.

uStart Page = hxxp://www.google.com.br/

uSearch Page = hxxp://search.live.com

uInternet Connection Wizard,ShellNext = iexplore

mSearchAssistant = hxxp://search.live.com/sphome.aspx

mURLSearchHooks: CUOLSearchHook Object: {1fe8243e-0a3a-41b9-b9ce-effee51974d3} - c:\arquivos de programas\arquivos comuns\uol\urlsearch\UOLSearchHook.dll

BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\arquivos de programas\arquivos comuns\adobe\acrobat\activex\AcroIEHelperShim.dll

BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File

BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\arquiv~1\mi1933~1\office12\GRA8E1~1.DLL

BHO: Auxiliar de Conexão do Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\arquivos de programas\arquivos comuns\microsoft shared\windows live\WindowsLiveLogin.dll

TB: {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File

uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe

uRun: [MSMSGS] "c:\arquivos de programas\messenger\msmsgs.exe" /background

mRun: [VTTimer] VTTimer.exe

mRun: [VTTrayp] VTtrayp.exe

mRun: [Adobe Reader Speed Launcher] "c:\arquivos de programas\adobe\reader 10.0\reader\Reader_sl.exe"

mRun: [Adobe ARM] "c:\arquivos de programas\arquivos comuns\adobe\arm\1.0\AdobeARM.exe"

mRun: [GrooveMonitor] "c:\arquivos de programas\microsoft office\office12\GrooveMonitor.exe"

mRun: [NeroFilterCheck] c:\windows\system32\NeroCheck.exe

mRun: [HP Software Update] c:\arquivos de programas\hp\hp software update\HPWuSchd2.exe

mRun: [avgnt] "c:\arquivos de programas\avira\antivir desktop\avgnt.exe" /min

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

StartupFolder: c:\docume~1\alluse~1\menuin~1\progra~1\inicia~1\audiod~1.lnk - c:\arquivos de programas\via technologies, inc\via audio driver setup program\audiodeck\AudioDeck.exe

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\mi1933~1\office12\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\arquivos de programas\google\google toolbar\component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\arquivos de programas\messenger\msmsgs.exe

IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\arquiv~1\mi1933~1\office12\ONBttnIE.dll

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\arquiv~1\mi1933~1\office12\REFIEBAR.DLL

DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

TCP: {56F8B7A6-EB07-40AC-B7AC-71CFFB9A6A32} = 200.222.0.34 200.202.193.75

Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - c:\arquiv~1\mi1933~1\office12\GR99D3~1.DLL

SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - c:\arquiv~1\mi1933~1\office12\GRA8E1~1.DLL

.

================= FIREFOX ===================

.

FF - ProfilePath - c:\docume~1\mary\dadosd~1\mozilla\firefox\profiles\l0azv6o9.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.com.br/

FF - prefs.js: network.proxy.type - 0

.

============= SERVICES / DRIVERS ===============

.

R1 avgio;avgio;c:\arquivos de programas\avira\antivir desktop\avgio.sys [2011-4-1 11608]

R2 AntiVirSchedulerService;Avira AntiVir Agendamento;c:\arquivos de programas\avira\antivir desktop\sched.exe [2011-4-1 135336]

R2 AntiVirService;Avira AntiVir Guard;c:\arquivos de programas\avira\antivir desktop\avguard.exe [2011-4-1 269480]

R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2011-4-1 61960]

S2 izeupq;Boot Server;c:\windows\system32\svchost.exe -k netsvcs [2004-8-4 14336]

S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]

S3 Vsp;Vsp;c:\windows\system32\drivers\vsp.sys [2011-1-17 3351]

.

=============== Created Last 30 ================

.

2011-04-23 13:42:48 -------- d-----w- c:\docume~1\mary\dadosd~1\Malwarebytes

2011-04-23 13:41:52 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2011-04-23 13:41:23 -------- d-----w- c:\docume~1\alluse~1\dadosd~1\Malwarebytes

2011-04-23 13:40:58 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-04-23 13:40:55 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware

2011-04-03 23:38:36 -------- d-----w- c:\docume~1\mary\config~1\dadosd~1\Deployment

2011-04-02 22:08:33 -------- d-----w- c:\arquivos de programas\Windows Live SkyDrive

2011-04-02 16:35:02 -------- d-----w- C:\HiJackThis

2011-04-02 01:25:07 -------- d-----w- c:\arquivos de programas\arquivos comuns\Windows Live

2011-04-01 21:58:56 -------- d-----w- c:\windows\system32\NtmsData

2011-04-01 21:16:15 -------- d-----w- c:\docume~1\mary\dadosd~1\Avira

2011-04-01 21:12:33 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2011-04-01 21:12:21 -------- d-----w- c:\docume~1\alluse~1\dadosd~1\Avira

2011-04-01 21:12:21 -------- d-----w- c:\arquivos de programas\Avira

2011-03-31 21:08:12 -------- d-----w- c:\docume~1\mary\config~1\dadosd~1\HP

.

==================== Find3M ====================

.

.

============= FINISH: 14:51:07,39 ===============

Até...

Boa tarde!

Usei o ATF-Cleaner.

No site Conficker o resultado foi: Normal/Not Infected by Conficker (or using proxy)

Relatório do DDS:

.

DDS (Ver_11-03-05.01) - NTFSx86

Run by Mary at 14:49:43,04 on ter 26/04/2011

Internet Explorer: 8.0.6001.18702

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.239.19 [GMT -3:00]

.

AV: AntiVir Desktop Enabled/Updated {AD166499-45F9-482A-A743-FDD3350758C7}

.

============== Running Processes ===============

.

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

svchost.exe

svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\system32\svchost.exe -k hpdevmgmt

C:\WINDOWS\System32\svchost.exe -k HPZ12

C:\WINDOWS\System32\svchost.exe -k HPZ12

C:\Arquivos de programas\Avira\AntiVir Desktop\avshadow.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\WINDOWS\system32\VTTimer.exe

C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Mozilla Firefox\plugin-container.exe

C:\Documents and Settings\Mary\Desktop\dds.scr

.

============== Pseudo HJT Report ===============

.

uStart Page = hxxp://www.google.com.br/

uSearch Page = hxxp://search.live.com

uInternet Connection Wizard,ShellNext = iexplore

mSearchAssistant = hxxp://search.live.com/sphome.aspx

mURLSearchHooks: CUOLSearchHook Object: {1fe8243e-0a3a-41b9-b9ce-effee51974d3} - c:\arquivos de programas\arquivos comuns\uol\urlsearch\UOLSearchHook.dll

BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\arquivos de programas\arquivos comuns\adobe\acrobat\activex\AcroIEHelperShim.dll

BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File

BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\arquiv~1\mi1933~1\office12\GRA8E1~1.DLL

BHO: Auxiliar de Conexão do Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\arquivos de programas\arquivos comuns\microsoft shared\windows live\WindowsLiveLogin.dll

TB: {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File

uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe

uRun: [MSMSGS] "c:\arquivos de programas\messenger\msmsgs.exe" /background

mRun: [VTTimer] VTTimer.exe

mRun: [VTTrayp] VTtrayp.exe

mRun: [Adobe Reader Speed Launcher] "c:\arquivos de programas\adobe\reader 10.0\reader\Reader_sl.exe"

mRun: [Adobe ARM] "c:\arquivos de programas\arquivos comuns\adobe\arm\1.0\AdobeARM.exe"

mRun: [GrooveMonitor] "c:\arquivos de programas\microsoft office\office12\GrooveMonitor.exe"

mRun: [NeroFilterCheck] c:\windows\system32\NeroCheck.exe

mRun: [HP Software Update] c:\arquivos de programas\hp\hp software update\HPWuSchd2.exe

mRun: [avgnt] "c:\arquivos de programas\avira\antivir desktop\avgnt.exe" /min

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

StartupFolder: c:\docume~1\alluse~1\menuin~1\progra~1\inicia~1\audiod~1.lnk - c:\arquivos de programas\via technologies, inc\via audio driver setup program\audiodeck\AudioDeck.exe

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\mi1933~1\office12\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\arquivos de programas\google\google toolbar\component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\arquivos de programas\messenger\msmsgs.exe

IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\arquiv~1\mi1933~1\office12\ONBttnIE.dll

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\arquiv~1\mi1933~1\office12\REFIEBAR.DLL

DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

TCP: {56F8B7A6-EB07-40AC-B7AC-71CFFB9A6A32} = 200.222.0.34 200.202.193.75

Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - c:\arquiv~1\mi1933~1\office12\GR99D3~1.DLL

SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - c:\arquiv~1\mi1933~1\office12\GRA8E1~1.DLL

.

================= FIREFOX ===================

.

FF - ProfilePath - c:\docume~1\mary\dadosd~1\mozilla\firefox\profiles\l0azv6o9.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.com.br/

FF - prefs.js: network.proxy.type - 0

.

============= SERVICES / DRIVERS ===============

.

R1 avgio;avgio;c:\arquivos de programas\avira\antivir desktop\avgio.sys [2011-4-1 11608]

R2 AntiVirSchedulerService;Avira AntiVir Agendamento;c:\arquivos de programas\avira\antivir desktop\sched.exe [2011-4-1 135336]

R2 AntiVirService;Avira AntiVir Guard;c:\arquivos de programas\avira\antivir desktop\avguard.exe [2011-4-1 269480]

R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2011-4-1 61960]

S2 izeupq;Boot Server;c:\windows\system32\svchost.exe -k netsvcs [2004-8-4 14336]

S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]

S3 Vsp;Vsp;c:\windows\system32\drivers\vsp.sys [2011-1-17 3351]

.

=============== Created Last 30 ================

.

2011-04-23 13:42:48 -------- d-----w- c:\docume~1\mary\dadosd~1\Malwarebytes

2011-04-23 13:41:52 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2011-04-23 13:41:23 -------- d-----w- c:\docume~1\alluse~1\dadosd~1\Malwarebytes

2011-04-23 13:40:58 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-04-23 13:40:55 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware

2011-04-03 23:38:36 -------- d-----w- c:\docume~1\mary\config~1\dadosd~1\Deployment

2011-04-02 22:08:33 -------- d-----w- c:\arquivos de programas\Windows Live SkyDrive

2011-04-02 16:35:02 -------- d-----w- C:\HiJackThis

2011-04-02 01:25:07 -------- d-----w- c:\arquivos de programas\arquivos comuns\Windows Live

2011-04-01 21:58:56 -------- d-----w- c:\windows\system32\NtmsData

2011-04-01 21:16:15 -------- d-----w- c:\docume~1\mary\dadosd~1\Avira

2011-04-01 21:12:33 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2011-04-01 21:12:21 -------- d-----w- c:\docume~1\alluse~1\dadosd~1\Avira

2011-04-01 21:12:21 -------- d-----w- c:\arquivos de programas\Avira

2011-03-31 21:08:12 -------- d-----w- c:\docume~1\mary\config~1\dadosd~1\HP

.

==================== Find3M ====================

.

.

============= FINISH: 14:51:07,39 ===============

Até...

*Delete o DDS e seus relatórios.

O log está limpo.

Como está o PC?

Boa noite!

Deletei o DDS e seus relatórios.

O PC esta menos lento.

As janelas q apareciam do nada tambem sumiram.

A duvida q fica é:

Devo deletar os arquivos q estao em quarentena no malwarebyte?

Obrigado pela ajuda!!

Sim...pode remover.

*Execute o Malwarebytes, clique na aba [Quarentena], selecione todos os resultados e clique [Apagar tudo]

*Clique na aba [Logs], selecione o relatório e clique [Apagar]

*Feche o Malwarebytes

Um abraço.

Olá!

Excluir os arquivos da quarentena e o log.

Tem uma tela q ainda me perturba.

Fica piscando uma tela como se eu fosse mudar o contraste da tela do computador.

Antes ela aparecia com mais frequencia. Agora diminuiu. Mas ainda aparece.

E meu antivirus acusou esses arquivos a um tempo:

01/04

Vírus ou programa indesejado 'WORM/Conficker.IH [worm]'

detectado no arquivo 'C:\WINDOWS\system32\zbdondnd.dll.

Ação executada: Negar acesso

01/04

O arquivo 'C:\WINDOWS\system32\zbdondnd.dll'

continha um vírus ou programa indesejado 'WORM/Conficker.IH' [worm]

Ação(ões) executada(s):

Ocorreu um erro e o arquivo não foi excluído. ID do erro: 26003.

Não foi possível excluir o arquivo!

Tentando executar a ação usando a biblioteca ARK.

O arquivo foi movido para o diretório de quarentena sob o nome '571bc8aa.qua'.

01/04

O arquivo 'C:\WINDOWS\system32\explorer.exe'

continha um vírus ou programa indesejado 'W32/VB.BU' [virus]

Ação(ões) executada(s):

O arquivo foi excluído do reparo genérico devido ao tipo <W32>.

Não foi possível excluir o arquivo!

Tentando executar a ação usando a biblioteca ARK.

O arquivo foi excluído!

O arquivo foi excluído do reparo genérico devido ao tipo <W32>.

01/04

O arquivo 'C:\Documents and Settings\All Users\Dados de aplicativos\Avira\AntiVir Desktop\TEMP\AVSCAN-20110401-201153-E815F89D\ARK26.tmp'

continha um vírus ou programa indesejado 'W32/VB.BU' [virus]

Ação(ões) executada(s):

O arquivo foi excluído do reparo genérico devido ao tipo <W32>.

Não foi possível excluir o arquivo!

Tentando executar a ação usando a biblioteca ARK.

O arquivo foi excluído!

O arquivo foi excluído do reparo genérico devido ao tipo <W32>.

01/04

O arquivo 'C:\System Volume Information\_restore{46626EAB-2B1E-42CD-A506-C8722D6704E5}\RP52\A0019058.dll'

continha um vírus ou programa indesejado 'WORM/Conficker.IH' [worm]

Ação(ões) executada(s):

O arquivo foi excluído!

Início da varredura: sexta-feira, 1 de abril de 2011 18:58

Iniciando a pesquisa de objetos ocultos.

O reparo de rootkits só é possível no modo interativo!

c:\windows\system32\zbdondnd.dll

c:\windows\system32\zbdondnd.dll

[DETECÇÃO] Contém o padrão de reconhecimento do worm WORM/Conficker.IH

[NOTA] A entrada do registro está invisível.

Iniciar verificação em 'C:\WINDOWS\system32\zbdondnd.dll'

C:\WINDOWS\system32\zbdondnd.dll

[DETECÇÃO] Contém o padrão de reconhecimento do worm WORM/Conficker.IH

[NOTA] O arquivo foi movido para o diretório de quarentena sob o nome '571bc8aa.qua'.

Término da varredura: sexta-feira, 1 de abril de 2011 19:06

Tempo de uso: 07:54 Minuto(s)

A varredura foi concluída.

0 Diretórios verificados

40 Foi feita a varredura dos arquivos

3 Vírus e/ou programas indesejados foram encontrados

0 Os arquivos foram classificados como suspeitos

0 arquivos excluídos

0 Vírus e programas indesejados foram reparados

1 Os arquivos foram movidos para a quarentena

0 Os arquivos foram renomeados

0 Não é possível fazer a varredura dos arquivos

37 Arquivos não envolvidos

0 Os arquivamentos foram verificados

0 Avisos

0 Notas

31611 Os objetos foram verificados com a varredura do rootkit

1 Objetos ocultos foram encontrados

Iniciando a varredura do setor mestre de inicialização:

HD0 do setor mestre de inicialização

[iNFO] Nenhum vírus foi encontrado!

Iniciar a varredura dos setores de inicialização:

Setor de inicialização 'C:\'

[iNFO] Nenhum vírus foi encontrado!

Iniciando a varredura dos arquivos executáveis (registro).

C:\WINDOWS\system32\explorer.exe

[DETECÇÃO] Contém o padrão de reconhecimento do vírus do Windows W32/VB.BU

[NOTA] O arquivo foi excluído!

Foi feita a varredura do registro ( '369' arquivos ).

Iniciando a varredura do arquivo:

Iniciar verificação em 'C:\'

C:\Documents and Settings\All Users\Dados de aplicativos\Avira\AntiVir Desktop\TEMP\AVSCAN-20110401-201153-E815F89D\ARK26.tmp

[DETECÇÃO] Contém o padrão de reconhecimento do vírus do Windows W32/VB.BU

[NOTA] O arquivo foi excluído!

C:\System Volume Information\_restore{46626EAB-2B1E-42CD-A506-C8722D6704E5}\RP50\A0016000.exe

--> Object

[AVISO] Não foi possível ler o arquivo

[AVISO] Não foi possível ler o arquivo

C:\System Volume Information\_restore{46626EAB-2B1E-42CD-A506-C8722D6704E5}\RP52\A0019058.dll

[DETECÇÃO] Contém o padrão de reconhecimento do worm WORM/Conficker.IH

[NOTA] O arquivo foi excluído!

Término da varredura: sexta-feira, 1 de abril de 2011 21:24

Tempo de uso: 1:12:02 Hora(s)

A varredura foi concluída.

2988 Diretórios verificados

213391 Foi feita a varredura dos arquivos

4 Vírus e/ou programas indesejados foram encontrados

0 Os arquivos foram classificados como suspeitos

3 arquivos excluídos

0 Vírus e programas indesejados foram reparados

0 Os arquivos foram movidos para a quarentena

0 Os arquivos foram renomeados

0 Não é possível fazer a varredura dos arquivos

213387 Arquivos não envolvidos

1552 Os arquivamentos foram verificados

2 Avisos

1 Notas

259033 Os objetos foram verificados com a varredura do rootkit

1 Objetos ocultos foram encontrados

02/04

O arquivo 'C:\WINDOWS\system32\01.tmp'

continha um vírus ou programa indesejado 'RKIT/Conficker.A' [trojan]

Ação(ões) executada(s):

Não foi possível abrir o arquivo!

Está sendo realizada uma tentativa de varredura do arquivo com o auxílio do driver do instantâneo.

O arquivo foi excluído!

Início da varredura: sábado, 2 de abril de 2011 17:00

Iniciando a pesquisa de objetos ocultos.

c:\windows\system32\zbdondnd.dll

c:\windows\system32\zbdondnd.dll

[NOTA] A entrada do registro está invisível.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{56F8B7A6-EB07-40AC-B7AC-71CFFB9A6A32}\ntecontextlist

[NOTA] A entrada do registro está invisível.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{56F8B7A6-EB07-40AC-B7AC-71CFFB9A6A32}\dhcpipaddress

[NOTA] A entrada do registro está invisível.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{56F8B7A6-EB07-40AC-B7AC-71CFFB9A6A32}\dhcpipaddress

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{56F8B7A6-EB07-40AC-B7AC-71CFFB9A6A32}\nameserver

[NOTA] A entrada do registro está invisível.

Iniciando a varredura do arquivo:

Iniciar verificação em 'C:\'

C:\System Volume Information\_restore{46626EAB-2B1E-42CD-A506-C8722D6704E5}\RP50\A0016000.exe

--> Object

[AVISO] Não foi possível ler o arquivo

[AVISO] Não foi possível ler o arquivo

C:\WINDOWS\system32\01.tmp

[DETECÇÃO] Contém o padrão de reconhecimento do kit raiz RKIT/Conficker.A

[NOTA] O arquivo foi excluído!

Término da varredura: sábado, 2 de abril de 2011 17:44

Tempo de uso: 44:00 Minuto(s)

A varredura foi concluída.

3002 Diretórios verificados

210985 Foi feita a varredura dos arquivos

1 Vírus e/ou programas indesejados foram encontrados

0 Os arquivos foram classificados como suspeitos

1 arquivos excluídos

0 Vírus e programas indesejados foram reparados

0 Os arquivos foram movidos para a quarentena

0 Os arquivos foram renomeados

0 Não é possível fazer a varredura dos arquivos

210984 Arquivos não envolvidos

1554 Os arquivamentos foram verificados

2 Avisos

1 Notas

256920 Os objetos foram verificados com a varredura do rootkit

5 Objetos ocultos foram encontrados

Até...

*Desative temporariamente seu antivírus

>
Clique com o botão direito do mouse no ícone do Avira ao lado do relógio

Clique na opção "Antivir Guard enable".

*Baixe o ComboFix e salve-o no desktop

*Execute-o e aceite o contrato

*Se o Console de Recuperação do Microsoft Windows não estiver instalado, aceite a sua instalação

*Após a instalação do Console, clique [sim] e aguarde a conclusão das etapas

*Não use o mouse nem o teclado durante as etapas, pois implicará na desconfiguração do seu desktop!

*Cole o relatório apresentado

Boa noite, wings!!

Segue o relatorio:

ComboFix 11-04-28.01 - Mary 28/04/2011 22:24:14.1.1 - x86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.239.142 [GMT -3:00]

Executando de: c:\documents and settings\Mary\Desktop\ComboFix.exe

AV: AntiVir Desktop Disabled/Outdated {AD166499-45F9-482A-A743-FDD3350758C7}

.

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\hijackthis\HiJackThis.exe

.

.

(((((((((((((((( Arquivos/Ficheiros criados de 2011-03-28 to 2011-04-29 ))))))))))))))))))))))))))))

.

.

2011-04-23 13:42 . 2011-04-23 13:42 -------- d-----w- c:\documents and settings\Mary\Dados de aplicativos\Malwarebytes

2011-04-23 13:41 . 2010-04-29 18:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2011-04-23 13:41 . 2011-04-23 13:41 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

2011-04-23 13:40 . 2010-04-29 18:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-04-23 13:40 . 2011-04-23 13:42 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware

2011-04-03 23:38 . 2011-04-03 23:51 -------- d-----w- c:\documents and settings\Mary\Configurações locais\Dados de aplicativos\Deployment

2011-04-02 22:08 . 2011-04-02 22:08 -------- d-----w- c:\arquivos de programas\Windows Live SkyDrive

2011-04-02 22:07 . 2011-04-02 22:09 -------- d-----w- c:\arquivos de programas\Windows Live

2011-04-02 16:35 . 2011-04-29 01:29 -------- d-----w- C:\HiJackThis

2011-04-02 01:25 . 2011-04-02 01:25 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Windows Live

2011-04-01 23:38 . 2011-04-01 23:38 -------- d-----r- c:\documents and settings\LocalService\Favoritos

2011-04-01 21:58 . 2011-04-27 02:03 -------- d-----w- c:\windows\system32\NtmsData

2011-04-01 21:16 . 2011-04-01 21:16 -------- d-----w- c:\documents and settings\Mary\Dados de aplicativos\Avira

2011-04-01 21:12 . 2011-03-04 19:11 137656 ----a-w- c:\windows\system32\drivers\avipbb.sys

2011-04-01 21:12 . 2011-03-04 17:42 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2011-04-01 21:12 . 2010-06-17 17:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2011-04-01 21:12 . 2010-06-17 17:29 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2011-04-01 21:12 . 2011-04-01 21:12 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Avira

2011-04-01 21:12 . 2011-04-01 21:12 -------- d-----w- c:\arquivos de programas\Avira

2011-03-31 21:08 . 2011-03-31 21:08 -------- d-----w- c:\documents and settings\Mary\Configurações locais\Dados de aplicativos\HP

.

.

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-03-18 18:04 . 2011-04-05 19:18 142296 ----a-w- c:\arquivos de programas\mozilla firefox\components\browsercomps.dll

.

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

Nota entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"VTTimer"="VTTimer.exe" [2005-03-07 53248]

"VTTrayp"="VTtrayp.exe" [2005-03-11 147456]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-01-30 35736]

"Adobe ARM"="c:\arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]

"GrooveMonitor"="c:\arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"HP Software Update"="c:\arquivos de programas\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]

"avgnt"="c:\arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" [2011-03-04 281768]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

.

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

AudioDeck.lnk - c:\arquivos de programas\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe [2011-1-17 581632]

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcstart.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"1466:TCP"= 1466:TCP:uzxda

.

R2 AntiVirSchedulerService;Avira AntiVir Agendamento;c:\arquivos de programas\Avira\AntiVir Desktop\sched.exe [1/4/2011 18:12 135336]

S2 izeupq;Boot Server;c:\windows\system32\svchost.exe -k netsvcs [4/8/2004 00:45 14336]

S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]

S3 Vsp;Vsp;c:\windows\system32\drivers\vsp.sys [17/1/2011 21:20 3351]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

izeupq

.

Conteúdo da pasta 'Tarefas Agendadas'

.

2011-04-23 c:\windows\Tasks\WebReg HP Photosmart C4400 series.job

• c:\arquivos de programas\HP\Digital Imaging\bin\hpqwrg.exe [2007-10-14 22:40]

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.google.com.br/

uInternet Connection Wizard,ShellNext = iexplore

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MI1933~1\Office12\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\arquivos de programas\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html

TCP: {56F8B7A6-EB07-40AC-B7AC-71CFFB9A6A32} = 200.222.0.34 200.202.193.75

FF - ProfilePath - c:\documents and settings\Mary\Dados de aplicativos\Mozilla\Firefox\Profiles\l0azv6o9.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.com.br/

FF - prefs.js: network.proxy.type - 0

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2011-04-28 22:30

Windows 5.1.2600 Service Pack 2 NTFS

.

Procurando processos ocultos ...

.

Procurando entradas auto inicializáveis ocultas ...

.

Procurando ficheiros/arquivos ocultos ...

.

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

.

**************************************************************************

.

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\izeupq]

"ServiceDll"="c:\windows\system32\zbdondnd.dll"

.

--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

Tempo para conclusão: 2011-04-28 22:32:45

ComboFix-quarantined-files.txt 2011-04-29 01:32

.

Pré-execução: 5 pasta(s) 31.742.373.888 bytes disponíveis

Pós execução: 8 pasta(s) 31.834.918.912 bytes disponíveis

.

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

.

• - End Of File - - 2FFF761052EEB5D099EBE8165396BA4E

Reativei o antivirus.

*Abra o bloco de notas e cole nele o código abaixo:

>
File::

c:\windows\system32\zbdondnd.dll

Registry::

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\

GloballyOpenPorts\List]

"1466:TCP"=-

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\izeupq]

NetSvc::

izeupq

Driver::

izeupq

*Salve o arquivo no desktop como CFScript.txt

*Arraste-o para o Combofix conforme ilustração abaixo:

/applications/core/interface/imageproxy/imageproxy.php?img=http://www.brimg.com/uploads/3/b2ea2c6367.gif&key=451782690bde92be5957ddd7161af4ef06e56dabefbde6c5a8b434dca7137738" alt="b2ea2c6367.gif" />

*Enquanto o combofix estiver em execução, não use o mouse nem o teclado!!

*Cole o relatório apresentado

Ele perguntou se era pra atualizar, mas nao atualizei.

Depois de fazer o scan ele reiniciou a maquina. Isso é normal?

Ai esta o relatorio:

ComboFix 11-04-28.01 - Mary 29/04/2011 18:18:40.2.1 - x86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.239.94 [GMT -3:00]

Executando de: c:\documents and settings\Mary\Desktop\ComboFix.exe

Comandos utilizados :: c:\documents and settings\Mary\Desktop\CFScript.txt

AV: AntiVir Desktop Disabled/Outdated {AD166499-45F9-482A-A743-FDD3350758C7}

* Criado um novo ponto de restauração

.

FILE ::

"c:\windows\system32\zbdondnd.dll"

.

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

.

((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Legacy_IZEUPQ

-------\Service_izeupq

.

.

(((((((((((((((( Arquivos/Ficheiros criados de 2011-03-28 to 2011-04-29 ))))))))))))))))))))))))))))

.

.

2011-04-29 19:07 . 2009-08-06 22:23 274288 ----a-w- c:\windows\system32\mucltui.dll

2011-04-29 19:07 . 2009-08-06 22:23 215920 ----a-w- c:\windows\system32\muweb.dll

2011-04-29 19:07 . 2011-04-29 19:07 -------- d-----w- c:\windows\LastGood.Tmp

2011-04-23 13:42 . 2011-04-23 13:42 -------- d-----w- c:\documents and settings\Mary\Dados de aplicativos\Malwarebytes

2011-04-23 13:41 . 2010-04-29 18:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2011-04-23 13:41 . 2011-04-23 13:41 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

2011-04-23 13:40 . 2010-04-29 18:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-04-23 13:40 . 2011-04-23 13:42 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware

2011-04-03 23:38 . 2011-04-03 23:51 -------- d-----w- c:\documents and settings\Mary\Configurações locais\Dados de aplicativos\Deployment

2011-04-02 22:08 . 2011-04-02 22:08 -------- d-----w- c:\arquivos de programas\Windows Live SkyDrive

2011-04-02 22:07 . 2011-04-02 22:09 -------- d-----w- c:\arquivos de programas\Windows Live

2011-04-02 16:35 . 2011-04-29 01:29 -------- d-----w- C:\HiJackThis

2011-04-02 01:25 . 2011-04-02 01:25 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Windows Live

2011-04-01 23:38 . 2011-04-01 23:38 -------- d-----r- c:\documents and settings\LocalService\Favoritos

2011-04-01 21:58 . 2011-04-27 02:03 -------- d-----w- c:\windows\system32\NtmsData

2011-04-01 21:16 . 2011-04-01 21:16 -------- d-----w- c:\documents and settings\Mary\Dados de aplicativos\Avira

2011-04-01 21:12 . 2011-03-04 19:11 137656 ----a-w- c:\windows\system32\drivers\avipbb.sys

2011-04-01 21:12 . 2011-03-04 17:42 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2011-04-01 21:12 . 2010-06-17 17:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2011-04-01 21:12 . 2010-06-17 17:29 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2011-04-01 21:12 . 2011-04-01 21:12 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Avira

2011-04-01 21:12 . 2011-04-01 21:12 -------- d-----w- c:\arquivos de programas\Avira

2011-03-31 21:08 . 2011-03-31 21:08 -------- d-----w- c:\documents and settings\Mary\Configurações locais\Dados de aplicativos\HP

.

.

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-03-18 18:04 . 2011-04-05 19:18 142296 ----a-w- c:\arquivos de programas\mozilla firefox\components\browsercomps.dll

.

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

Nota entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"VTTimer"="VTTimer.exe" [2005-03-07 53248]

"VTTrayp"="VTtrayp.exe" [2005-03-11 147456]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-01-30 35736]

"Adobe ARM"="c:\arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]

"GrooveMonitor"="c:\arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"HP Software Update"="c:\arquivos de programas\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]

"avgnt"="c:\arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" [2011-03-04 281768]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

.

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

AudioDeck.lnk - c:\arquivos de programas\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe [2011-1-17 581632]

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcstart.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"1466:TCP"= 1466:TCP:uzxda

.

R2 AntiVirSchedulerService;Avira AntiVir Agendamento;c:\arquivos de programas\Avira\AntiVir Desktop\sched.exe [1/4/2011 18:12 135336]

S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]

S3 Vsp;Vsp;c:\windows\system32\drivers\vsp.sys [17/1/2011 21:20 3351]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

.

Conteúdo da pasta 'Tarefas Agendadas'

.

2011-04-23 c:\windows\Tasks\WebReg HP Photosmart C4400 series.job

• c:\arquivos de programas\HP\Digital Imaging\bin\hpqwrg.exe [2007-10-14 22:40]

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.google.com.br/

uInternet Connection Wizard,ShellNext = iexplore

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MI1933~1\Office12\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\arquivos de programas\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html

FF - ProfilePath - c:\documents and settings\Mary\Dados de aplicativos\Mozilla\Firefox\Profiles\l0azv6o9.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.com.br/

FF - prefs.js: network.proxy.type - 0

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2011-04-29 18:29

Windows 5.1.2600 Service Pack 2 NTFS

.

Procurando processos ocultos ...

.

Procurando entradas auto inicializáveis ocultas ...

.

Procurando ficheiros/arquivos ocultos ...

.

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

.

**************************************************************************

.

--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

.

• - - - - - - > 'explorer.exe'(3180)

c:\windows\system32\ieframe.dll

c:\windows\system32\webcheck.dll

.

------------------------ Outros Processos em Execução ------------------------

.

c:\arquivos de programas\Avira\AntiVir Desktop\avguard.exe

c:\arquivos de programas\Avira\AntiVir Desktop\avshadow.exe

c:\windows\system32\VTTimer.exe

c:\windows\system32\VTtrayp.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Tempo para conclusão: 2011-04-29 18:32:54 - Máquina reiniciou

ComboFix-quarantined-files.txt 2011-04-29 21:32

ComboFix2.txt 2011-04-29 01:32

.

Pré-execução: 7 pasta(s) 31.834.341.376 bytes disponíveis

Pós execução: 8 pasta(s) 31.772.839.936 bytes disponíveis

.

• - End Of File - - 2710FE810ED7D9D82D17EB6C5BDEEC31

1.

*Desative a Restauração do Sistema

Clique com o botão direito do mouse em Meu Computador e selecione PropriedadesClique em Restauração do Sistema

*Selecione a opção:

[X] Desativar Restauração do Sistema

*Clique [Aplicar] > [sim] > [OK]

2.

*Baixe a atualização KB958644 e salve-a no desktop

*Instale-a. Caso seja informado(a) que a versão presente no seu PC é mais atual, cancele a instalação e siga para o passo seguinte.

3.

*Baixe o KidoKiller e salve-o no desktop

*Extraia o seu conteúdo para C:\

*Clique [iniciar] > [Executar] > copie e cole: C:\kk.exe -x -y -l conficker.txt -v

*Clique [OK]

*Ao término, o programa será fechado automaticamente.

*Cole o resumo localizado no final do relatório C:\conficker.txt

Exemplo:

>
15:25:43:548 1868 scanning Flash drives ...

15:25:43:638 1868

completed

15:25:43:638 1868 Infected jobs: 0

15:25:43:638 1868 Infected files: 1

15:25:43:638 1868 Infected threads: 7

15:25:43:638 1868 Spliced functions: 7

15:25:43:638 1868 Cured files: 1

15:25:43:638 1868 Fixed registry keys: 6

15:25:43:638 1868

Boa tarde, wings!!

Desativei a restauração do sistema.

Mas nao consigo baixar o KB958644, abre a seguinte página:

=> http://error404.000webhost.com/?

E aí, o q fazer?

Tente por este link.

Consegui baixar KB958644 pelo site da microsoft.

Instalei o KidoKiller.

O relatório foi :

13:36:1:937 3124 scanning Flash drives ...

13:36:2:93 3124

completed

13:36:2:93 3124 Infected jobs: 0

13:36:2:328 3124 Infected files: 0

13:36:2:343 3124 Infected threads: 0

13:36:2:343 3124 Spliced functions: 0

13:36:2:343 3124 Cured files: 0

13:36:2:343 3124 Fixed registry keys: 0

13:36:2:343 3124

1.

*Ative a Restauração do sistema

2.

*Delete os arquivos C:\conficker.txt e C:\KK.exe

3.

*Abra o bloco de notas e cole nele o código abaixo:

>
Registry::

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"1466:TCP"=-

*Salve o arquivo no desktop como CFScript.txt

*Arraste-o para o Combofix conforme ilustração abaixo:

/applications/core/interface/imageproxy/imageproxy.php?img=http://www.brimg.com/uploads/3/b2ea2c6367.gif&key=451782690bde92be5957ddd7161af4ef06e56dabefbde6c5a8b434dca7137738" alt="b2ea2c6367.gif" />

*Enquanto o combofix estiver em execução, não use o mouse nem o teclado!!

*Cole o relatório apresentado

Atualizei o combofix.

Segue o log:

ComboFix 11-04-30.06 - Mary 01/05/2011 14:43:45.3.1 - x86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.239.116 [GMT -3:00]

Executando de: c:\documents and settings\Mary\Desktop\ComboFix.exe

Comandos utilizados :: c:\documents and settings\Mary\Desktop\CFScript.txt

AV: AntiVir Desktop Disabled/Outdated {AD166499-45F9-482A-A743-FDD3350758C7}

.

.

(((((((((((((((( Arquivos/Ficheiros criados de 2011-04-01 to 2011-05-01 ))))))))))))))))))))))))))))

.

.

2011-05-01 16:25 . 2011-05-01 16:25 -------- d-----w- c:\windows\LastGood

2011-05-01 03:41 . 2011-05-01 03:41 -------- d-----w- c:\windows\ie8updates

2011-04-29 19:07 . 2009-08-06 22:23 274288 ----a-w- c:\windows\system32\mucltui.dll

2011-04-29 19:07 . 2009-08-06 22:23 215920 ----a-w- c:\windows\system32\muweb.dll

2011-04-23 13:42 . 2011-04-23 13:42 -------- d-----w- c:\documents and settings\Mary\Dados de aplicativos\Malwarebytes

2011-04-23 13:41 . 2010-04-29 18:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2011-04-23 13:41 . 2011-04-23 13:41 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

2011-04-23 13:40 . 2010-04-29 18:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-04-23 13:40 . 2011-04-23 13:42 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware

2011-04-03 23:38 . 2011-04-03 23:51 -------- d-----w- c:\documents and settings\Mary\Configurações locais\Dados de aplicativos\Deployment

2011-04-02 22:08 . 2011-04-02 22:08 -------- d-----w- c:\arquivos de programas\Windows Live SkyDrive

2011-04-02 22:07 . 2011-04-02 22:09 -------- d-----w- c:\arquivos de programas\Windows Live

2011-04-02 16:35 . 2011-04-29 01:29 -------- d-----w- C:\HiJackThis

2011-04-02 01:25 . 2011-04-02 01:25 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Windows Live

2011-04-01 23:38 . 2011-04-01 23:38 -------- d-----r- c:\documents and settings\LocalService\Favoritos

2011-04-01 21:58 . 2011-04-27 02:03 -------- d-----w- c:\windows\system32\NtmsData

2011-04-01 21:16 . 2011-04-01 21:16 -------- d-----w- c:\documents and settings\Mary\Dados de aplicativos\Avira

2011-04-01 21:12 . 2011-03-04 19:11 137656 ----a-w- c:\windows\system32\drivers\avipbb.sys

2011-04-01 21:12 . 2011-03-04 17:42 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2011-04-01 21:12 . 2010-06-17 17:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2011-04-01 21:12 . 2010-06-17 17:29 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2011-04-01 21:12 . 2011-04-01 21:12 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Avira

2011-04-01 21:12 . 2011-04-01 21:12 -------- d-----w- c:\arquivos de programas\Avira

.

.

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-03-18 18:04 . 2011-04-05 19:18 142296 ----a-w- c:\arquivos de programas\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((( SnapShot@2011-04-29_01.30.23 )))))))))))))))))))))))))))))))))))))))))

.

+ 2004-08-04 03:45 . 2009-06-25 08:46 59392 c:\windows\system32\wdigest.dll

+ 2004-08-04 03:45 . 2009-06-25 08:46 56320 c:\windows\system32\secur32.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 48640 c:\windows\system32\mqupgrd.dll

• 2004-08-04 03:45 . 2004-08-04 03:45 48640 c:\windows\system32\mqupgrd.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 95744 c:\windows\system32\mqsec.dll

• 2004-08-04 03:45 . 2004-08-04 03:45 95744 c:\windows\system32\mqsec.dll
• 2004-08-04 03:45 . 2004-08-04 03:45 16896 c:\windows\system32\mqise.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 16896 c:\windows\system32\mqise.dll

• 2004-08-04 03:45 . 2004-08-04 03:45 47104 c:\windows\system32\mqdscli.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 47104 c:\windows\system32\mqdscli.dll

• 2004-08-04 03:45 . 2004-08-04 03:45 19968 c:\windows\system32\mqbkup.exe

+ 2004-08-04 03:45 . 2009-06-22 11:49 19968 c:\windows\system32\mqbkup.exe

+ 2004-08-04 01:58 . 2009-06-22 11:48 91776 c:\windows\system32\drivers\mqac.sys

+ 2004-08-04 01:59 . 2009-06-22 11:34 92544 c:\windows\system32\drivers\ksecdd.sys

+ 2004-08-04 03:45 . 2009-06-25 08:46 59392 c:\windows\system32\dllcache\wdigest.dll

+ 2004-08-04 03:45 . 2009-06-25 08:46 56320 c:\windows\system32\dllcache\secur32.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 48640 c:\windows\system32\dllcache\mqupgrd.dll

• 2004-08-04 03:45 . 2004-08-04 03:45 48640 c:\windows\system32\dllcache\mqupgrd.dll
• 2004-08-04 03:45 . 2004-08-04 03:45 95744 c:\windows\system32\dllcache\mqsec.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 95744 c:\windows\system32\dllcache\mqsec.dll

• 2004-08-04 03:45 . 2004-08-04 03:45 16896 c:\windows\system32\dllcache\mqise.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 16896 c:\windows\system32\dllcache\mqise.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 47104 c:\windows\system32\dllcache\mqdscli.dll

• 2004-08-04 03:45 . 2004-08-04 03:45 47104 c:\windows\system32\dllcache\mqdscli.dll
• 2004-08-04 03:45 . 2004-08-04 03:45 19968 c:\windows\system32\dllcache\mqbkup.exe

+ 2004-08-04 03:45 . 2009-06-22 11:49 19968 c:\windows\system32\dllcache\mqbkup.exe

+ 2004-08-04 01:58 . 2009-06-22 11:48 91776 c:\windows\system32\dllcache\mqac.sys

+ 2004-08-04 01:59 . 2009-06-22 11:34 92544 c:\windows\system32\dllcache\ksecdd.sys

+ 2011-05-01 03:41 . 2009-05-26 11:40 26488 c:\windows\$hf_mig$\KB978706\update\spcustom.dll

+ 2011-05-01 03:41 . 2009-05-26 11:40 18296 c:\windows\$hf_mig$\KB978706\spmsg.dll

+ 2011-05-01 03:41 . 2008-07-08 12:58 26488 c:\windows\$hf_mig$\KB975562\update\spcustom.dll

+ 2011-05-01 03:41 . 2008-07-08 12:58 18296 c:\windows\$hf_mig$\KB975562\spmsg.dll

+ 2011-05-01 03:40 . 2008-07-08 12:58 26488 c:\windows\$hf_mig$\KB975467\update\spcustom.dll

+ 2011-05-01 03:40 . 2008-07-08 12:58 18296 c:\windows\$hf_mig$\KB975467\spmsg.dll

+ 2011-05-01 03:39 . 2008-07-08 12:58 26488 c:\windows\$hf_mig$\KB968389\update\spcustom.dll

+ 2011-05-01 03:39 . 2008-07-08 12:58 18296 c:\windows\$hf_mig$\KB968389\spmsg.dll

+ 2009-06-25 08:41 . 2009-06-25 08:41 54272 c:\windows\$hf_mig$\KB968389\SP3QFE\wdigest.dll

+ 2009-06-25 08:41 . 2009-06-25 08:41 56832 c:\windows\$hf_mig$\KB968389\SP3QFE\secur32.dll

+ 2009-06-24 10:28 . 2009-06-24 10:28 92928 c:\windows\$hf_mig$\KB968389\SP3QFE\ksecdd.sys

+ 2009-06-25 08:27 . 2009-06-25 08:27 54272 c:\windows\$hf_mig$\KB968389\SP3GDR\wdigest.dll

+ 2009-06-25 08:27 . 2009-06-25 08:27 56832 c:\windows\$hf_mig$\KB968389\SP3GDR\secur32.dll

+ 2009-06-24 11:18 . 2009-06-24 11:18 92928 c:\windows\$hf_mig$\KB968389\SP3GDR\ksecdd.sys

+ 2009-06-25 08:18 . 2009-06-25 08:18 59392 c:\windows\$hf_mig$\KB968389\SP2QFE\wdigest.dll

+ 2009-06-25 08:18 . 2009-06-25 08:18 56320 c:\windows\$hf_mig$\KB968389\SP2QFE\secur32.dll

+ 2009-06-22 11:35 . 2009-06-22 11:35 92544 c:\windows\$hf_mig$\KB968389\SP2QFE\ksecdd.sys

+ 2011-05-01 03:41 . 2007-11-30 12:39 26488 c:\windows\$hf_mig$\KB960803\update\spcustom.dll

+ 2011-05-01 03:41 . 2007-11-30 12:39 18296 c:\windows\$hf_mig$\KB960803\spmsg.dll

+ 2004-08-04 03:45 . 2009-06-22 11:49 4608 c:\windows\system32\mqsvc.exe

• 2004-08-04 03:45 . 2004-08-04 03:45 4608 c:\windows\system32\mqsvc.exe
• 2004-08-04 03:45 . 2004-08-04 03:45 4608 c:\windows\system32\dllcache\mqsvc.exe

+ 2004-08-04 03:45 . 2009-06-22 11:49 4608 c:\windows\system32\dllcache\mqsvc.exe

+ 2004-08-04 03:45 . 2008-12-16 12:50 351232 c:\windows\system32\winhttp.dll

• 2004-08-04 03:45 . 2004-08-04 03:45 351232 c:\windows\system32\winhttp.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 169472 c:\windows\system32\Setup\msmqocm.dll

+ 2004-08-04 03:45 . 2009-06-25 08:46 168448 c:\windows\system32\schannel.dll

+ 2004-08-04 03:45 . 2009-08-05 09:06 205312 c:\windows\system32\mswebdvd.dll

+ 2004-08-04 03:45 . 2009-09-11 14:35 133632 c:\windows\system32\msv1_0.dll

+ 2011-01-17 21:27 . 2009-12-17 07:59 345600 c:\windows\system32\mspaint.exe

• 2011-01-17 21:27 . 2004-08-04 03:45 345600 c:\windows\system32\mspaint.exe
• 2004-08-04 03:45 . 2004-08-04 03:45 523776 c:\windows\system32\mqutil.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 523776 c:\windows\system32\mqutil.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 186880 c:\windows\system32\mqtrig.dll

• 2004-08-04 03:45 . 2004-08-04 03:45 186880 c:\windows\system32\mqtrig.dll
• 2004-08-04 03:45 . 2004-08-04 03:45 117248 c:\windows\system32\mqtgsvc.exe

+ 2004-08-04 03:45 . 2009-06-22 11:49 117248 c:\windows\system32\mqtgsvc.exe

+ 2004-08-04 03:45 . 2009-06-25 18:36 517120 c:\windows\system32\mqsnap.dll

• 2004-08-04 03:45 . 2004-08-04 03:45 123392 c:\windows\system32\mqrtdep.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 123392 c:\windows\system32\mqrtdep.dll

• 2004-08-04 03:45 . 2004-08-04 03:45 177152 c:\windows\system32\mqrt.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 177152 c:\windows\system32\mqrt.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 661504 c:\windows\system32\mqqm.dll

• 2004-08-04 03:45 . 2004-08-04 03:45 225280 c:\windows\system32\mqoa.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 225280 c:\windows\system32\mqoa.dll

• 2004-08-04 03:45 . 2004-08-04 03:45 138240 c:\windows\system32\mqad.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 138240 c:\windows\system32\mqad.dll

+ 2004-08-04 03:45 . 2009-06-25 08:46 727040 c:\windows\system32\lsasrv.dll

+ 2004-08-04 03:45 . 2009-06-25 08:46 298496 c:\windows\system32\kerberos.dll

+ 2004-08-04 03:45 . 2009-06-22 06:48 726528 c:\windows\system32\jscript.dll

• 2004-08-04 03:45 . 2009-03-08 06:33 726528 c:\windows\system32\jscript.dll

+ 2004-08-04 03:45 . 2008-10-23 13:00 283648 c:\windows\system32\gdi32.dll

• 2004-08-04 03:45 . 2004-08-04 03:45 351232 c:\windows\system32\dllcache\winhttp.dll

+ 2004-08-04 03:45 . 2008-12-16 12:50 351232 c:\windows\system32\dllcache\winhttp.dll

+ 2004-08-04 03:45 . 2009-06-25 08:46 168448 c:\windows\system32\dllcache\schannel.dll

+ 2004-08-04 03:45 . 2009-08-05 09:06 205312 c:\windows\system32\dllcache\mswebdvd.dll

+ 2004-08-04 03:45 . 2009-09-11 14:35 133632 c:\windows\system32\dllcache\msv1_0.dll

+ 2011-01-17 21:27 . 2009-12-17 07:59 345600 c:\windows\system32\dllcache\mspaint.exe

• 2011-01-17 21:27 . 2004-08-04 03:45 345600 c:\windows\system32\dllcache\mspaint.exe

+ 2004-08-04 03:45 . 2009-06-25 18:36 169472 c:\windows\system32\dllcache\msmqocm.dll

• 2004-08-04 03:45 . 2004-08-04 03:45 523776 c:\windows\system32\dllcache\mqutil.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 523776 c:\windows\system32\dllcache\mqutil.dll

• 2004-08-04 03:45 . 2004-08-04 03:45 186880 c:\windows\system32\dllcache\mqtrig.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 186880 c:\windows\system32\dllcache\mqtrig.dll

• 2004-08-04 03:45 . 2004-08-04 03:45 117248 c:\windows\system32\dllcache\mqtgsvc.exe

+ 2004-08-04 03:45 . 2009-06-22 11:49 117248 c:\windows\system32\dllcache\mqtgsvc.exe

+ 2004-08-04 03:45 . 2009-06-25 18:36 517120 c:\windows\system32\dllcache\mqsnap.dll

• 2004-08-04 03:45 . 2004-08-04 03:45 123392 c:\windows\system32\dllcache\mqrtdep.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 123392 c:\windows\system32\dllcache\mqrtdep.dll

• 2004-08-04 03:45 . 2004-08-04 03:45 177152 c:\windows\system32\dllcache\mqrt.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 177152 c:\windows\system32\dllcache\mqrt.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 661504 c:\windows\system32\dllcache\mqqm.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 225280 c:\windows\system32\dllcache\mqoa.dll

• 2004-08-04 03:45 . 2004-08-04 03:45 225280 c:\windows\system32\dllcache\mqoa.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 138240 c:\windows\system32\dllcache\mqad.dll

• 2004-08-04 03:45 . 2004-08-04 03:45 138240 c:\windows\system32\dllcache\mqad.dll

+ 2004-08-04 03:45 . 2009-06-25 08:46 727040 c:\windows\system32\dllcache\lsasrv.dll

+ 2004-08-04 03:45 . 2009-06-25 08:46 298496 c:\windows\system32\dllcache\kerberos.dll

+ 2004-08-04 03:45 . 2009-06-22 06:48 726528 c:\windows\system32\dllcache\jscript.dll

• 2004-08-04 03:45 . 2009-03-08 06:33 726528 c:\windows\system32\dllcache\jscript.dll

+ 2004-08-04 03:45 . 2008-10-23 13:00 283648 c:\windows\system32\dllcache\gdi32.dll

+ 2011-05-01 03:41 . 2008-07-08 12:58 395128 c:\windows\ie8updates\KB971961-IE8\spuninst\updspapi.dll

+ 2011-05-01 03:41 . 2008-07-08 12:58 233336 c:\windows\ie8updates\KB971961-IE8\spuninst\spuninst.exe

+ 2011-05-01 03:41 . 2009-03-08 06:33 726528 c:\windows\ie8updates\KB971961-IE8\jscript.dll

+ 2007-02-23 02:41 . 2007-02-23 02:41 304544 c:\windows\Downloaded Program Files\MessengerStatsPAClient.dll

+ 2011-05-01 03:41 . 2009-05-26 11:40	395128 c:\windows\$hf_mig$\KB978706\update\updspapi.dll

+ 2011-05-01 03:41 . 2009-05-26 11:40	760696 c:\windows\$hf_mig$\KB978706\update\update.exe

+ 2011-05-01 03:41 . 2009-05-26 11:40 233336 c:\windows\$hf_mig$\KB978706\spuninst.exe

+ 2009-12-17 07:38 . 2009-12-17 07:38 345600 c:\windows\$hf_mig$\KB978706\SP3QFE\mspaint.exe

+ 2009-12-17 07:41 . 2009-12-17 07:41 345600 c:\windows\$hf_mig$\KB978706\SP3GDR\mspaint.exe

+ 2009-12-17 07:52 . 2009-12-17 07:52 345600 c:\windows\$hf_mig$\KB978706\SP2QFE\mspaint.exe

+ 2011-05-01 03:41 . 2009-05-26 11:40	395128 c:\windows\$hf_mig$\KB975562\update\updspapi.dll

+ 2011-05-01 03:41 . 2009-05-26 11:40	760696 c:\windows\$hf_mig$\KB975562\update\update.exe

+ 2011-05-01 03:41 . 2008-07-08 12:58 233336 c:\windows\$hf_mig$\KB975562\spuninst.exe

+ 2011-05-01 03:40 . 2009-05-26 11:40	395128 c:\windows\$hf_mig$\KB975467\update\updspapi.dll

+ 2011-05-01 03:40 . 2009-05-26 11:40	760696 c:\windows\$hf_mig$\KB975467\update\update.exe

+ 2011-05-01 03:40 . 2008-07-08 12:58 233336 c:\windows\$hf_mig$\KB975467\spuninst.exe

+ 2009-09-11 14:15 . 2009-09-11 14:15 136704 c:\windows\$hf_mig$\KB975467\SP3QFE\msv1_0.dll

+ 2009-09-11 14:19 . 2009-09-11 14:19 136192 c:\windows\$hf_mig$\KB975467\SP3GDR\msv1_0.dll

+ 2009-02-06 18:46 . 2009-02-06 18:46 408064 c:\windows\$hf_mig$\KB975467\SP2QFE\netlogon.dll

+ 2009-09-11 14:13 . 2009-09-11 14:13 136192 c:\windows\$hf_mig$\KB975467\SP2QFE\msv1_0.dll

+ 2011-05-01 03:39 . 2009-05-26 11:40	395128 c:\windows\$hf_mig$\KB968389\update\updspapi.dll

+ 2011-05-01 03:39 . 2009-05-26 11:40	760696 c:\windows\$hf_mig$\KB968389\update\update.exe

+ 2011-05-01 03:39 . 2008-07-08 12:58 233336 c:\windows\$hf_mig$\KB968389\spuninst.exe

+ 2009-06-25 08:41 . 2009-06-25 08:41 147456 c:\windows\$hf_mig$\KB968389\SP3QFE\schannel.dll

+ 2009-06-25 08:41 . 2009-06-25 08:41 136704 c:\windows\$hf_mig$\KB968389\SP3QFE\msv1_0.dll

+ 2009-06-26 09:41 . 2009-06-26 09:41 732672 c:\windows\$hf_mig$\KB968389\SP3QFE\lsasrv.dll

+ 2009-06-25 08:41 . 2009-06-25 08:41 301568 c:\windows\$hf_mig$\KB968389\SP3QFE\kerberos.dll

+ 2009-06-25 08:27 . 2009-06-25 08:27 147456 c:\windows\$hf_mig$\KB968389\SP3GDR\schannel.dll

+ 2009-06-25 08:27 . 2009-06-25 08:27 136192 c:\windows\$hf_mig$\KB968389\SP3GDR\msv1_0.dll

+ 2009-06-25 08:27 . 2009-06-25 08:27 732672 c:\windows\$hf_mig$\KB968389\SP3GDR\lsasrv.dll

+ 2009-06-25 08:27 . 2009-06-25 08:27 301568 c:\windows\$hf_mig$\KB968389\SP3GDR\kerberos.dll

+ 2009-06-25 08:18 . 2009-06-25 08:18 168448 c:\windows\$hf_mig$\KB968389\SP2QFE\schannel.dll

+ 2009-02-06 18:46 . 2009-02-06 18:46 408064 c:\windows\$hf_mig$\KB968389\SP2QFE\netlogon.dll

+ 2009-06-25 08:18 . 2009-06-25 08:18 136192 c:\windows\$hf_mig$\KB968389\SP2QFE\msv1_0.dll

+ 2009-06-25 08:18 . 2009-06-25 08:18 732160 c:\windows\$hf_mig$\KB968389\SP2QFE\lsasrv.dll

+ 2009-06-25 08:18 . 2009-06-25 08:18 301568 c:\windows\$hf_mig$\KB968389\SP2QFE\kerberos.dll

+ 2011-05-01 03:41 . 2007-11-30 12:39	395128 c:\windows\$hf_mig$\KB960803\update\updspapi.dll

+ 2011-05-01 03:41 . 2007-11-30 12:39	760696 c:\windows\$hf_mig$\KB960803\update\update.exe

+ 2011-05-01 03:41 . 2007-11-30 12:39 233336 c:\windows\$hf_mig$\KB960803\spuninst.exe

+ 2008-12-16 12:23 . 2008-12-16 12:23 354304 c:\windows\$hf_mig$\KB960803\SP3QFE\winhttp.dll

+ 2008-12-16 12:31 . 2008-12-16 12:31 354304 c:\windows\$hf_mig$\KB960803\SP3GDR\winhttp.dll

+ 2008-12-16 12:39 . 2008-12-16 12:39 354304 c:\windows\$hf_mig$\KB960803\SP2QFE\winhttp.dll

+ 2004-08-04 03:45 . 2010-02-16 09:27 4734976 c:\windows\system32\wmp.dll

+ 2004-08-04 03:45 . 2010-02-05 18:40 1295872 c:\windows\system32\quartz.dll

+ 2004-08-04 03:45 . 2010-02-16 09:27 4734976 c:\windows\system32\dllcache\wmp.dll

+ 2004-08-04 03:45 . 2010-02-05 18:40 1295872 c:\windows\system32\dllcache\quartz.dll

+ 2010-02-05 18:28 . 2010-02-05 18:28 1296384 c:\windows\$hf_mig$\KB975562\SP3QFE\quartz.dll

+ 2010-02-05 18:26 . 2010-02-05 18:26 1296384 c:\windows\$hf_mig$\KB975562\SP3GDR\quartz.dll

+ 2010-02-05 18:24 . 2010-02-05 18:24 1296384 c:\windows\$hf_mig$\KB975562\SP2QFE\quartz.dll

.

-- Snapshot resetado para data atual --

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

Nota entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"VTTimer"="VTTimer.exe" [2005-03-07 53248]

"VTTrayp"="VTtrayp.exe" [2005-03-11 147456]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-01-30 35736]

"Adobe ARM"="c:\arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]

"GrooveMonitor"="c:\arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"HP Software Update"="c:\arquivos de programas\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]

"avgnt"="c:\arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" [2011-03-04 281768]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

.

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

AudioDeck.lnk - c:\arquivos de programas\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe [2011-1-17 581632]

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcstart.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

.

R2 AntiVirSchedulerService;Avira AntiVir Agendamento;c:\arquivos de programas\Avira\AntiVir Desktop\sched.exe [1/4/2011 18:12 135336]

S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]

S3 Vsp;Vsp;c:\windows\system32\drivers\vsp.sys [17/1/2011 21:20 3351]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

.

Conteúdo da pasta 'Tarefas Agendadas'

.

2011-04-30 c:\windows\Tasks\WebReg HP Photosmart C4400 series.job

• c:\arquivos de programas\HP\Digital Imaging\bin\hpqwrg.exe [2007-10-14 22:40]

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.google.com.br/

uInternet Connection Wizard,ShellNext = iexplore

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MI1933~1\Office12\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\arquivos de programas\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html

TCP: {56F8B7A6-EB07-40AC-B7AC-71CFFB9A6A32} = 200.222.0.34 200.202.193.75

FF - ProfilePath - c:\documents and settings\Mary\Dados de aplicativos\Mozilla\Firefox\Profiles\l0azv6o9.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.com.br/

FF - prefs.js: network.proxy.type - 0

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2011-05-01 14:50

Windows 5.1.2600 Service Pack 2 NTFS

.

Procurando processos ocultos ...

.

Procurando entradas auto inicializáveis ocultas ...

.

Procurando ficheiros/arquivos ocultos ...

.

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

.

**************************************************************************

.

--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

.

• - - - - - - > 'explorer.exe'(1100)

c:\windows\system32\ieframe.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\msi.dll

.

Tempo para conclusão: 2011-05-01 14:53:42

ComboFix-quarantined-files.txt 2011-05-01 17:53

ComboFix2.txt 2011-04-29 21:32

ComboFix3.txt 2011-04-29 01:32

.

Pré-execução: 7 pasta(s) 33.604.603.904 bytes disponíveis

Pós execução: 8 pasta(s) 33.625.395.200 bytes disponíveis

.

• - End Of File - - CE459E1CC568798B17C18C3C559999C0

OK...log limpo. :)

*Renomei o Combofix para Uninstall

*Execute-o

*Aguarde a mensagem: "ComboFix está desinstalado" e clique [OK]

Um abraço.

OK!

Desinstalei o ComboFix.

Obrigado pela ajuda.

Qualquer coisa te perturbo de novo. rs

Um abraço!

PROBLEMA RESOLVIDO

Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico.