[Resolvido!]Vírus no MSN Messenger

[andre campores 0]

oi galera tudo bom? eu to com um problema muito chato no meu msn. toda vez que alguem me chama no msn, ele automaticamente manda umas mensagens contendo um link, que deve ser virus. antivirus nao adiantou galera. espero q vcs possam me ajudar por favor. segue o anexo do log aíLogfile of HijackThis v1.99.1Scan saved at 14:16:03, on 7/7/2007Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exeC:\Arquivos de programas\Alwil Software\Avast4\ashServ.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\cmpe.exeC:\Documents and Settings\andre\Dados de aplicativos\tmp6.tmp.exeC:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exeC:\WINDOWS\AGRSMMSG.exeC:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exeC:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exeC:\WINDOWS\system32\imglog.scrC:\WINDOWS\system32\nostd.scrC:\WINDOWS\system32\klpp.exeC:\WINDOWS\system32\ctfmon.exeC:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exeC:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exeC:\WINDOWS\system32\wscntfy.exeC:\Arquivos de programas\Internet Explorer\iexplore.exeC:\Arquivos de programas\MSN Messenger\msnmsgr.exeC:\hijackthis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.aspO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {1F6581D5-AA53-4b73-A6F9-41420C6B61F1} - C:\WINDOWS\system32\tmp5.tmp.dllO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dllO2 - BHO: (no name) - {b7ce3406-03cb-4e8f-988e-3ccd92b93a0f} - C:\WINDOWS\system32\c_9ewm.dllO4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exeO4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exeO4 - HKLM\..\Run: [imglog] C:\WINDOWS\system32\imglog.scrO4 - HKLM\..\Run: [nostd] C:\WINDOWS\system32\nostd.scrO4 - HKLM\..\Run: [klpp] C:\WINDOWS\system32\klpp.exeO4 - HKLM\..\Run: [winehq.org] rundll32.exe "C:\WINDOWS\iifeby.dll",realsetO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - Global Startup: klpp.exeO8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dllO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exeO14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.aspO17 - HKLM\System\CCS\Services\Tcpip\..\{A235B036-4FE5-4EDD-BEEC-A00FD7F49C31}: NameServer = 200.165.132.148 200.165.132.155O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)O20 - AppInit_DLLs: c:\windows\system32\geeddax.dllO20 - Winlogon Notify: c_9ewm - C:\WINDOWS\SYSTEM32\c_9ewm.dllO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: Context Manager Process Extension (cmpe) - LightComm - C:\WINDOWS\system32\cmpe.exeO23 - Service: DomainService - Unknown owner - C:\Documents and Settings\andre\Dados de aplicativos\tmp6.tmp.exe

[DigRam 144]

Boa Tarde andre campores!

 

>@< Faça o download do VundoFix.

>@< Salve-o no Desktop!

>@< Execute o VundoFix.exe

>@< Quando o VundoFix abrir,novamente, clique em Scan for Vundo.

>@< Quando ele terminar, clique em Remove Vundo.

>@< Você receberá um prompt perguntando se quer remover os arquivos. Confirme!

>@< Sua área de trabalho vai desaparecer!

>@< Surgirá um aviso dizendo que seu computador deve ser desligado.

>@< Clique em OK e depois,ligue o computador novamente!

>@< É possível que o VundoFix encontre um arquivo, mas não consiga removê-lo. Se isso acontecer, a ferramenta rodará ao reiniciar.

>@< Quando o VundoFix aparecer, clique no botão Scan for Vundo para repetir o processo.

>@< Quando o VundoFix não encontrar mais nenhum arquivo,que não consiga remover,poste o seu relatório ( Log ) que se encontra em C:\Vundofix.txt

>@< Poste,também,um nôvo Log do HijackThis.

 

Abraços!

[andre campores 0]

fiz todo o procedimento, ta aí o log do vundofix:VundoFix V6.5.4Checking Java version...Sun Java not detectedScan started at 18:04:04 8/7/2007Listing files found while scanning....C:\WINDOWS\system32\tmp5.tmp.dllBeginning removal... Attempting to delete C:\WINDOWS\system32\tmp5.tmp.dllC:\WINDOWS\system32\tmp5.tmp.dll Could not be deleted.Performing Repairs to the registry.Done!VundoFix V6.5.4Checking Java version...Sun Java not detectedScan started at 18:08:02 8/7/2007Listing files found while scanning....No infected files were found.Beginning removal...ta aí tb o log do hijackthis:C:\Documents and Settings\andre\Dados de aplicativos\tmp6.tmp.exeC:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exeC:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exeC:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exeC:\WINDOWS\system32\wscntfy.exeC:\WINDOWS\AGRSMMSG.exeC:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exeC:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exeC:\WINDOWS\system32\imglog.scrC:\WINDOWS\system32\nostd.scrC:\WINDOWS\system32\klpp.exeC:\WINDOWS\system32\ctfmon.exeC:\Arquivos de programas\Internet Explorer\iexplore.exeC:\hijackthis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.aspO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dllO2 - BHO: (no name) - {b7ce3406-03cb-4e8f-988e-3ccd92b93a0f} - C:\WINDOWS\system32\c_9ewm.dllO4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exeO4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exeO4 - HKLM\..\Run: [imglog] C:\WINDOWS\system32\imglog.scrO4 - HKLM\..\Run: [nostd] C:\WINDOWS\system32\nostd.scrO4 - HKLM\..\Run: [klpp] C:\WINDOWS\system32\klpp.exeO4 - HKLM\..\Run: [winehq.org] rundll32.exe "C:\WINDOWS\iifeby.dll",realsetO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - Global Startup: klpp.exeO8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dllO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exeO14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.aspO17 - HKLM\System\CCS\Services\Tcpip\..\{A235B036-4FE5-4EDD-BEEC-A00FD7F49C31}: NameServer = 200.165.132.148 200.165.132.155O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)O20 - AppInit_DLLs: c:\windows\system32\geeddax.dllO20 - Winlogon Notify: c_9ewm - C:\WINDOWS\SYSTEM32\c_9ewm.dllO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: Context Manager Process Extension (cmpe) - LightComm - C:\WINDOWS\system32\cmpe.exeO23 - Service: DomainService - Unknown owner - C:\Documents and Settings\andre\Dados de aplicativos\tmp6.tmp.exe

[DigRam 144]

Bom Dia andre campores!

 

>@< Configure o Windows para que mostre: Ver todos os Arquivos,até os ocultos!

>@< Desabilite as proteções residentes de AntiVírus e AntiSpywares!

>@< Faça o download da EliStarA.

>@< Baixe-a para o Disco Local-C e crie uma pasta para a ferramenta,estabelecendo um caminho para o Desktop! ( Atalho. )

>@< Faça o download do ELINOTIF.DLL.Salve-o no interior da pasta criada para EliStarA!

>@< Faça o download do EliTriIP.

>@< Baixe-a para o Desktop!

>@< Ps: Ambas,as ferramentas,estarão na página descargas ( Descargas > Utilidades SATINFO ).

>@< Selecione as ferramentas ( Uma por vez! ) e clique no pé da página,no botão Descargar xxx.Onde xxx é a denominação da ferramenta escolhida!

>@< Faça o download do Clean.

>@< Salve-o no Disco Local-C e descompacte-o aí mesmo,enviando o executável para o Desktop! ( Atalho. )

>@< O executável é um ícone denominado: clean.cmd.

>@< Reinicie o computador e entre em Modo de Segurança.

>@< Execute,primeiro,a ferramenta: EliStartA.

>@< Vá ao seu ícone e execute-a!

>@< Aceite as condições propostas e aguarde o término do scan.Aguarde!Pois vai demorar um pouco para concluir a varredura do PC.

>@< Terminando,execute a ferramenta EliTriIP.

>@< O scan desta ferramenta é mais rápido!

>@< Terminando,execute o programa de limpeza profunda ( clean ) com um duplo clique no seu executável.

>@< Abrir-se-á um prompt com três opções: Escolha o dois ( 2 )!

>@< Aperte Enter! >> Aperte Enter,novamente! >> Aguarde!

>@< Aperte Enter,novamente!

>@< Surgirá um relatório ( rapport_clean ),que voçê deverá copiar e postar para análise.

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

>@< Poste o relatório infoSAT.txt que está na raíz C:\ ( Disco Local-C ) + rapport_clean.

>@< Poste,também,um nôvo Log do HijackThis,feito em Modo Normal,na sua resposta.

>@< Ps: A ferramenta EliStarA,deletará (Opcional! ) a sua página inicial!Posteriormente,voçê à configurará novamente.

 

Abraços!

[andre campores 0]

ta aí o relatório infoSAT.txt: Mon Jul 09 14:32:21 2007EliStartPage v14.37 ©2007 S.G.H. / Satinfo S.L.--------------------------------------------------Lista de Acciones (por Acción Directa):Entrada Eliminada [HKLM\...\Run] "winehq.org"="rundll32.exe "C:\WINDOWS\mlmnnn.dll",realset" (Vundo)Por favor, envienos una muestra del ficheroC:\Muestras\C_9EWM.DLL.Muestra EliStartPage v14.37 a "virus@satinfo.es". Gracias.C:\WINDOWS\SYSTEM32\C_9EWM.DLL --> Acceso Denegado.Por favor, envienos una muestra del ficheroC:\Muestras\MLMNNN.DLL.Muestra EliStartPage v14.37 a "virus@satinfo.es". Gracias.C:\WINDOWS\MLMNNN.DLL --> Renombrado a .VIRPor favor, envienos una muestra del ficheroC:\Muestras\GEEDDAX.DLL.Muestra EliStartPage v14.37 a "virus@satinfo.es". Gracias.C:\WINDOWS\SYSTEM32\GEEDDAX.DLL --> Acceso Denegado.Por favor, envienos una muestra del ficheroC:\Muestras\TMP7.TMP.DLL.Muestra EliStartPage v14.37 a "virus@satinfo.es". Gracias.C:\WINDOWS\SYSTEM32\TMP7.TMP.DLL --> Renombrado a .VIREliminada Class, "{1F6581D5-AA53-4B73-A6F9-41420C6B61F1}" -> C:\WINDOWS\system32\tmp7.tmp.dllEliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"No detectado Parche MS06-001 de Microsoft instalado. (WMF)No detectado Parche MS06-070 de Microsoft instalado. (SServidor)ALERTA. WindowsUpdate Incompleto.Eliminadas las Paginas de Inicio y de Busqueda del IEEliminados Ficheros Temporales del IE Mon Jul 09 14:35:00 2007EliStartPage v14.37 ©2007 S.G.H. / Satinfo S.L.--------------------------------------------------Lista de Acciones (por Exploración):Explorando Unidad C:\Instalada Utilidad "ELINOTIF.DLL"EliNotify v1.7.06.19 ©2007 S.G.H. / Satinfo S.L.--------------------------------------------------Lista de Acciones:Detectado DownLoader.ConHook2Elininada KEY "Winlogon\Notify\c_9ewm"Detectado SurfSideKickC:\WINDOWS\SYSTEM32\c:\windows\system32\geeddax.dll -> Acceso Denegado.Desinstalado EliNotif.dll Mon Jul 09 19:10:11 2007EliStartPage v14.37 ©2007 S.G.H. / Satinfo S.L.--------------------------------------------------Lista de Acciones (por Acción Directa):No detectado Parche MS06-001 de Microsoft instalado. (WMF)No detectado Parche MS06-070 de Microsoft instalado. (SServidor)ALERTA. WindowsUpdate Incompleto.Eliminadas las Paginas de Inicio y de Busqueda del IEEliminados Ficheros Temporales del IE Mon Jul 09 19:10:28 2007EliStartPage v14.37 ©2007 S.G.H. / Satinfo S.L.--------------------------------------------------Lista de Acciones (por Exploración):Explorando Unidad D:\ Mon Jul 09 19:10:50 2007EliStartPage v14.37 ©2007 S.G.H. / Satinfo S.L.--------------------------------------------------Lista de Acciones (por Exploración):Explorando Unidad C:\ Mon Jul 09 19:18:12 2007EliTriIP v3.75 ©2007 S.G.H. / Satinfo S.L.---------------------------------------------Lista de Acciones (por Acción Directa):No detectado Parche MS06-001 de Microsoft instalado. (WMF)No detectado Parche MS06-070 de Microsoft instalado. (SServidor)ALERTA. WindowsUpdate Incompleto. Mon Jul 09 19:19:15 2007EliTriIP v3.75 ©2007 S.G.H. / Satinfo S.L.---------------------------------------------Lista de Acciones (por Exploración):Explorando Unidad C:\ Mon Jul 09 19:24:24 2007EliTriIP v3.75 ©2007 S.G.H. / Satinfo S.L.---------------------------------------------Lista de Acciones (por Exploración):Explorando Unidad D:\segue tb o relatorio do log do HijackThis em modo normal:Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exeC:\Arquivos de programas\Alwil Software\Avast4\ashServ.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\AGRSMMSG.exeC:\WINDOWS\system32\cmpe.exeC:\WINDOWS\system32\qwerty12.exeC:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exeC:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exeC:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exeC:\WINDOWS\system32\imglog.scrC:\WINDOWS\system32\nostd.scrC:\WINDOWS\system32\klpp.exeC:\WINDOWS\system32\ctfmon.exeC:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exeC:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exeC:\WINDOWS\system32\wscntfy.exeC:\Arquivos de programas\Internet Explorer\iexplore.exeC:\hijackthis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dllO2 - BHO: (no name) - {b7ce3406-03cb-4e8f-988e-3ccd92b93a0f} - C:\WINDOWS\system32\c_9ewm.dllO4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exeO4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exeO4 - HKLM\..\Run: [imglog] C:\WINDOWS\system32\imglog.scrO4 - HKLM\..\Run: [nostd] C:\WINDOWS\system32\nostd.scrO4 - HKLM\..\Run: [klpp] C:\WINDOWS\system32\klpp.exeO4 - HKLM\..\Run: [winehq.org] rundll32.exe "C:\WINDOWS\vtrsss.dll",realsetO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - Global Startup: klpp.exeO8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dllO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exeO14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.aspO17 - HKLM\System\CCS\Services\Tcpip\..\{A235B036-4FE5-4EDD-BEEC-A00FD7F49C31}: NameServer = 200.165.132.148 200.165.132.155O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: Context Manager Process Extension (cmpe) - LightComm - C:\WINDOWS\system32\cmpe.exeO23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\qwerty12.exeo programa de limpeza profunda clean quando foi executado mas abriu esse prompt:files missed, did you unzip the whole archive?The Script can not further be executed..Pressione qualquer tecla para continuar. . . _o que devo fazer agora?fico no aguardo, valeu...

[DigRam 144]

Boa Noite andre campores!

 

>@< Faça o download do BankerFix.

>@< Baixe-o para o Desktop!

>@< Feche todas as janelas e o navegador,ao rodar o BankerFix.Desabilite,se possível,as proteções residente de AntiVírus e AntiSpywares!!

>@< Dê um duplo clique no Bankerfix.exe,depois Enter. Aguarde!Ao terminar,leia a mensagem na tela ( Dos ),e dê Enter,novamente.

>@< Poste o relatorio.txt do BankerFix que está em C:\LinhaDefensiva\relatorio.txt

>@< Poste,também,um nôvo Log do HijackThis ( Feito em Modo Normal ),na sua resposta.

 

 

 

Abraços

[andre campores 0]

acho que agora deu certo digRam. ta aí o relatótio do BankerFix:

 

 

BankerFix 2.3 - Removedor de Bankers

Linha Defensiva - http://www.linhadefensiva.org

http://www.linhadefensiva.org/bankerfix/

Data: 11/7/2007 - 13:49

-------------------------------------------------------

Lista de Definição: 2007-07-08-1

=======================================================

 

Arquivo infectado detectado: C:\WINDOWS\system32\imglog.scr

Arquivo infectado removido com sucesso!

 

Arquivo infectado detectado: C:\WINDOWS\system32\klpp.exe

Arquivo infectado removido com sucesso!

 

Arquivo infectado detectado: C:\WINDOWS\system32\nostd.scr

Arquivo infectado removido com sucesso!

 

Arquivo infectado detectado: C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\klpp.exe

Arquivo infectado removido com sucesso!

 

 

Log do FoxFix

=======================================================

Iniciando Log do PV

-----------------------------------

 

Killing '*'

 

Arquivos a remover

-----------------------------------

 

 

Arquivos ruins restantes

-----------------------------------

 

 

Reg Importado

-----------------------------------

 

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

 

 

 

 

segue o novo log do HijackThis:

 

 

Logfile of HijackThis v1.99.1

Scan saved at 13:57:16, on 11/7/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\cmpe.exe

C:\WINDOWS\system32\qwerty12.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {938A8A03-A938-4019-B764-03FF8D167D79} - C:\DOCUME~1\andre\CONFIG~1\Temp\tmp3.tmp.dll

O2 - BHO: (no name) - {b7ce3406-03cb-4e8f-988e-3ccd92b93a0f} - C:\WINDOWS\system32\c_9ewm.dll

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe

O4 - HKLM\..\Run: [winehq.org] rundll32.exe "C:\WINDOWS\khgded.dll",realset

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O17 - HKLM\System\CCS\Services\Tcpip\..\{A235B036-4FE5-4EDD-BEEC-A00FD7F49C31}: NameServer = 200.165.132.148 200.165.132.155

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Context Manager Process Extension (cmpe) - LightComm - C:\WINDOWS\system32\cmpe.exe

O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\qwerty12.exe

[DigRam 144]

Boa Noite andre campores!

 

>@< Vá em Iniciar >> Executar >> Digite: msconfig >> Ok.

>@< Abrir-se-á o: Utilitário de configuração do sistema.

>@< Desmarque a caixa referente à êste Serviço: DomainService.

>@< Clique em Aplicar >> Ok.>@< Faça o download do KillBox.

>@< Salve-o no Disco Local-C,em uma pasta própria < C:\Killbox.exe >.

>@< Abra o KillBox e marque Delete on reboot.

>@< Copie os ficheiros,logo abaixo,para a área de transferência ( Full path of file to delete ).

>@< Selecione e clique em Copiar.Ou seja,estando desconectado e com estas instruções salvas,voçê copiará os ficheiros para o Bloco de Notas e,dêste,para a área de transferência no KillBox.

 

C:\WINDOWS\SYSTEM32\C_9EWM.DLL

C:\Documents and Settings\andre\Dados de aplicativos\tmp6.tmp.exe

C:\WINDOWS\MLMNNN.DLL.VIR

C:\WINDOWS\SYSTEM32\GEEDDAX.DLL

C:\WINDOWS\SYSTEM32\TMP7.TMP.DLL.VIR

C:\WINDOWS\system32\qwerty12.exe

C:\DOCUME~1\andre\CONFIG~1\Temp\tmp3.tmp.dll

C:\WINDOWS\khgded.dll

 

>@< Volte ao KillBox e clique em File >> Past from clipboard >> All files.

>@< Clique no botão X e,na pergunta sobre o Reboot,diga Não!

>@< Reinicie o computador e entre em Modo de Segurança.

>@< Durante a reinicialização aperte,intermitentemente,a tecla F8 ou F5 e,no Menu que surgir escolha:Modo Seguro ou de Segurança.

>@< Abra o HijackThis e clique em Do a system scan only e marque as entradas,logo abaixo:

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: (no name) - {938A8A03-A938-4019-B764-03FF8D167D79} - C:\DOCUME~1\andre\CONFIG~1\Temp\tmp3.tmp.dll

O2 - BHO: (no name) - {b7ce3406-03cb-4e8f-988e-3ccd92b93a0f} - C:\WINDOWS\system32\c_9ewm.dll

O4 - HKLM\..\Run: [winehq.org] rundll32.exe "C:\WINDOWS\khgded.dll",realset

>@< Finalize-as,clicando em Fix checked!

>@< Ainda no HijackThis,clique em: Open the misc tools section.

>@< Clique em: Delete an NT Service.

>@< Coloque o nome do Serviço: DomainService,na caixa.

>@< Clique em Ok.

>@< Reinicie,normalmente,o computador!

>@< Faça e poste um novo Log do HijackThis,na sua resposta.

 

Abraços!

[andre campores 0]

Boa Tarde DigRam!Fiz todo o procedimento e segue o novo log do HijackThis:Logfile of HijackThis v1.99.1Scan saved at 13:32:00, on 12/7/2007Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exeC:\WINDOWS\Explorer.EXEC:\Arquivos de programas\Alwil Software\Avast4\ashServ.exeC:\WINDOWS\AGRSMMSG.exeC:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exeC:\WINDOWS\system32\ctfmon.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32\cmpe.exeC:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exeC:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exeC:\WINDOWS\system32\wscntfy.exeC:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exeC:\WINDOWS\system32\wuauclt.exeC:\hijackthis\HijackThis.exeO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dllO4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exeO4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exeO4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /autoO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dllO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exeO14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.aspO18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: Context Manager Process Extension (cmpe) - LightComm - C:\WINDOWS\system32\cmpe.exeAbraços!

[DigRam 144]

Boa Noite andre campores!

 

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

>@< Estão lhe faltando alguns patches,busque atualizar o computador.

>@< Apague as pastas,destacadas,em negrito:

 

C:\Muestras\C_9EWM.DLL

C:\Muestras\MLMNNN.DLL

C:\Muestras\GEEDDAX.DLL

C:\Muestras\TMP7.TMP.DLL

C:\!Killbox

 

>@< Desabilite e reabilite a Restauração do Sistema,e crie um Ponto de Restauração,Limpo!

>@< Tudo Ok,com o PC ?

>@< Pois o Log está Limpo!

 

Abraços!

[andre campores 0]

Boa Noite DigRam!Muito obrigado, a maquina esta limpa agora. Me livrei do vírus no msn e o navegador parou de travar.Criei o ponto de restauração.Valeu, Abraço!

[jgarcia 1]

PROBLEMA RESOLVIDO!

 

Caso o autor necessite que o tópico seja reaberto é necessário enviar uma Mensagem Privada para um Moderador com um link para o tópico.