[Resolvido!]Virus Trojan.Vundo

[OverChronoslife 0]

Olá.. meu primeiro post... :thumbsup: ... pena q eu ja comece aki pedindo ajuda... :mellow:

 

Bom eh o seguinte: a alguns dias atrás fiz o que nao me acontecia a muitos anos... abrir um arquivo sem passar o antivirus antes, logo depois disso vieram muitos problemas, peguei um trojan do winantivirus que deu muito trabalho pra tirar, por ler muitos topicos e seguir varios procedimentos o bixo nao faz mais efeito.. mas meu antivirus ta sempre pegando dll's com o tal Troja.Vundo... alem do mais toda vez q eu reinicio a minha maquina eu confiro o nivel de privacidade do IE.. e tava sempre no ultimo (Aceitar todos os cookies), porem depois de colocar no (media-alta) ele volta pro ultimo somente se eu reiniciar... enfim.. eis o que eu ja fiz...

 

>passei o antivirus (diz q ta atualizado) >> Norton Antivirus 2004 (autoprotect ativado)

>passei os fixers:(nao sabia direito qual era ainda...)

FixAdix.exe

FixJFI.exe

FxSpANDM.exe

FixSchoeb-Haxdoor.exe

FxVundo.exe

FixSpybot.exe

FxVundoB.exe

>passei os programas:

Spybot - Seach and Destroy

CCleaner

SUPERantispyware

show-vundo.vbs

HijackThis.exe

>instalei tb o windows defender.

 

 

ai enfim pareceu q sumiu.. mas agora o norton fica dando uns avisos de vez em quando q tem o tal virus Trojan.Vundo (pelo menos sumiu aquela porcaria do winantivirus)

 

bom.. como eh regra postar o log do HijackThis... ai vai..

 

==============================

Logfile of HijackThis v1.99.1

Scan saved at 17:52:12, on 25/7/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\DAEMON Tools\daemon.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe

C:\Arquivos de programas\Windows Defender\MSASCui.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Arquivos de programas\Unlocker\UnlockerAssistant.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\Arquivos de programas\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Arquivos de programas\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\HijackThis\HijackThis.exe

 

O2 - BHO: (no name) - {0c701f4d-7ae2-4dc4-a548-3a0630d4beb8} - C:\WINDOWS\system32\ipsifs.dll (file missing)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {c64c1391-5019-4d72-a709-dc1f8cd64e4d} - (no file)

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Arquivos de programas\Unlocker\UnlockerAssistant.exe"

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\ipsifs.dll (file missing)

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\ipsifs.dll (file missing)

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\WINDOWS\system32\ipsifs.dll (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/...ro.cab56649.cab

O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - https://my.levelupgames.ph/keycrypt/npkcx.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{AC9E067F-B1A7-4651-B248-8F8ADAB655FC}: NameServer = 200.204.0.10 200.204.0.138

O20 - Winlogon Notify: !SASWinLogon - C:\Arquivos de programas\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: cmmuth - cmmuth.dll (file missing)

O20 - Winlogon Notify: ipsifs - ipsifs.dll (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

=======================================

 

 

O20 - Winlogon Notify: cmmuth - cmmuth.dll (file missing)

O20 - Winlogon Notify: ipsifs - ipsifs.dll (file missing)

( no caso dessas 02 dll's o norton nao tava conseguindo tirar .. nem mesmo em modo de segurança.. [dava sempre que ele tava sendo usado e nao podia ser deletado ] intaum eu baixei o Unlocker e ele monstrou q essas dll fica compartilhada com os processos do IE, Explorer, e o Winlogon, parando esses processos o sistema praticamente trava.. mas o norton remove ai foi soh reiniciar...)

=======================================

 

no meu historico do IE aparece isso toda vez q eu acesso o shareazza... (nao posso acreditar q o sharezza seja o causador ja que eh um compartilhador tao bom....)

 

 

http://br.winantivirus.com/download/2006/?...ess_check%20rn_[system%20process]%20rn_shareaza.exe%20rn_winamp.exe%20rn_iexplore.exe%20rn_msnmsgr.exe%20rn_usnsvc.exe%20rn_alg.exe%20rn_symwsc.exe%20rn_savscan.exe%20rn_nvsvc32.exe%20rn_navapsvc.exe%20rn_mdm.exe%20rn_ctfmon.exe%20rn_rundll32.exe%20rn_msascui.exe%20rn_ccapp.exe%20rn_daemon.exe%20rn_spoolsv.exe%20rn_ccevtmgr.exe%20rn_explorer.exe%20rn_ccsetmgr.exe%20rn_msmpeng.exe%20rn_svchost.exe%20rn_lsass.exe%20rn_services.exe%20rn_winlogon.exe%20rn_csrss.exe%20rn_smss.exe%20rn_system

 

========================================

 

enfim eh isso ae.. gostaria de saber se existe alguma maneira de bloquear esse trem... vlw... espero nao incomodar...

 

 

 

OverChronosLife == Helton K.

[jgarcia 1]

Opa OverChronoslife,

 

Vamos lá.

 

* Baixe o VundoFix.

 

* Dê duplo-clique sobre VundoFix.exe para iniciá-lo;

 

* Quando o VundoFix abrir clique em Scan for Vundo. Aguarde o término do scan que pode demorar algum tempo. Seja paciente;

 

* Terminado o scan clique em Remove Vundo;

 

* Você receberá um alerta perguntando se deseja remover os arquivos. Clique em YES. O seu desktop irá apagar (isto é normal);

 

* Para completar o scan será necessário reinicializar a máquina. Clique em OK;

 

* Favor postar o log do VundoFix (C:\vundofix.txt) em sua próxima resposta, juntamente com um novo do HijackThis.

 

Abraços.

[OverChronoslife 0]

bom.. vamos la... eu passei o vundofix.exe novamente porem... ele axou o arquivo.. mas nao conseguiu deleta-lo e pediu pra reiniciar o sistema... assim o fiz... e novamente ele nao conseguiu remover.. ai reiniciei em modo de segurança.. novamente ele nao conseguiu remover.. portanto ele nao criou o log... ///

 

sendo assim nao a razao de postar o log do Hjackthis... ja que o pc ta do mesmo jeito..

 

c:/windows/system32/ddabbcc.dll

 

esse ai eh o tal que se executa junto com arquivos do sistema... por isso ele nao pode ser deletado... (diz que ele esta em uso...)

 

eu uso o unlocker e aparece no q exatamente ele esta ligado... essa praga antes tava presa soh no IE... explorer.. e no winlogon... mas agora ela ta presa num monte de trem.... inclusive no unlocker e no executavel do antivirus... pode isso? :upset:

 

segue aki as imagens do vundo e do unlocker....

 

tipo.. com o unlocker.. eh possivel liberar esse arquivo.. e assim consigo deleta-lo... mas ai fica o problema dele ficar voltando...

[jgarcia 1]

Opa OverChronoslife,

 

Baixe o ComboFix em:

ComboFix

 

1) Dê um duplo-clique no combofix.exe e tecle "Y" para prosseguir. O processo vai durar, em média, 10 minutos;

2) O ComboFix reiniciará o PC automaticamente, a fim de que o processo de remoção seja finalizado (somente se houver infecção);

3) Quando a varredura acabar, será gerado um log, que estará em C:\ComboFix.txt;

4) Não clique na janela do ComboFix, nem feche clicando no X, enquanto a ferramenta estiver sendo executada, pois isto implicará na desconfiguração de seu desktop (ele ficará todo branco);

5) Para parar ou sair do ComboFix, tecle "N";

6) Preciso que você cole o conteúdo do ComboFix.txt em sua próxima resposta.

 

Abraços.

[OverChronoslife 0]

Rapaiz.. nervoso esse negocio huahuahauhauhauhau...!!!! bom.. esse log mostra ate a alma do pc .. mas vamos lá....

 

======================================================

"Administrador" - 2007-07-26 11:25:54 [GMT -3:00] - ComboFix 07-07-24 - Service Pack 2 NTFS

 

 

(((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))

 

 

C:\WINDOWS\system32\ddabbcc.dll

 

 

* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

 

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

 

 

C:\DOCUME~1\ADMINI~1\DADOSD~1\tmp1.tmp.exe

C:\DOCUME~1\ADMINI~1\DADOSD~1\tmp6.tmp.exe

C:\DOCUME~1\ADMINI~1\DADOSD~1\tmp9.tmp.exe

C:\DOCUME~1\ADMINI~1\DADOSD~1\tmpD.tmp.exe

C:\WINDOWS\system32\Cfx32.lic

C:\WINDOWS\system32\cfx32.ocx

 

 

((((((((((((((((((((((((( Files Created from 2007-06-26 to 2007-07-26 )))))))))))))))))))))))))))))))

 

 

2007-07-26 11:25 51,200 --a------ C:\WINDOWS\nircmd.exe

2007-07-26 08:44 <DIR> d-------- C:\VundoFix Backups

2007-07-25 17:48 <DIR> d-------- C:\HijackThis

2007-07-24 22:55 <DIR> d-------- C:\Arquivos de programas\thriXXX

2007-07-24 21:51 <DIR> d--hs---- C:\WINDOWS\ftpcache

2007-07-20 09:16 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DADOSD~1\nView_Profiles

2007-07-16 15:43 <DIR> d-------- C:\Arquivos de programas\CABAL Online(BRAZIL)

2007-07-16 09:24 299,520 --a------ C:\WINDOWS\uninst.exe

2007-07-02 15:30 <DIR> d-------- C:\Arquivos de programas\Gravity

 

 

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

 

2007-07-16 17:48:52 -------- d-----w C:\Arquivos de programas\MSN Messenger

2007-07-14 13:50:55 -------- d-----w C:\Arquivos de programas\Diablo II

2007-07-11 13:27:40 75,230 ----a-w C:\WINDOWS\system32\perfc016.dat

2007-07-11 13:27:40 460,722 ----a-w C:\WINDOWS\system32\perfh016.dat

2007-07-02 18:30:11 -------- d--h--w C:\Arquivos de programas\InstallShield Installation Information

2007-06-30 14:52:16 47,528 ----a-w C:\DOCUME~1\ADMINI~1\DADOSD~1\GDIPFONTCACHEV1.DAT

2007-06-30 13:22:34 971,262 ----a-w C:\Arquivos de programas\Messenger.rar

2007-06-27 01:50:53 -------- d-----w C:\Arquivos de programas\Shareaza

2007-06-27 01:50:49 -------- d-----w C:\DOCUME~1\ADMINI~1\DADOSD~1\Shareaza

2007-06-26 16:57:28 -------- d-----w C:\Arquivos de programas\eMule

2007-06-21 16:54:49 -------- d-----w C:\Arquivos de programas\LevelUpGames

2007-06-12 20:14:06 -------- d-----w C:\DOCUME~1\ADMINI~1\DADOSD~1\Real

2007-06-12 18:41:39 -------- d-----w C:\Arquivos de programas\Ahead

2007-06-12 18:40:23 -------- d-----w C:\Arquivos de programas\Arquivos comuns\Nero

2007-06-12 18:37:38 -------- d-----w C:\Arquivos de programas\Arquivos comuns\Ahead

2007-06-10 17:46:00 -------- d-----w C:\Arquivos de programas\Arquivos comuns\Wise Installation Wizard

2007-06-10 17:45:45 -------- d-----w C:\Arquivos de programas\CCleaner

2007-06-08 19:55:27 -------- d-----w C:\Arquivos de programas\SUPERAntiSpyware

2007-06-08 19:04:10 -------- d-----w C:\DOCUME~1\ADMINI~1\DADOSD~1\SUPERAntiSpyware.com

2007-06-08 18:26:53 -------- d-----w C:\Arquivos de programas\Windows Defender

2007-06-08 12:25:53 -------- d-----w C:\Arquivos de programas\DAP

2007-06-08 02:07:25 -------- d-----w C:\Arquivos de programas\Warcraft III

2007-06-04 12:32:07 -------- d-----w C:\Arquivos de programas\Enterbrain

2007-06-01 21:07:30 -------- d-----w C:\DOCUME~1\ADMINI~1\DADOSD~1\Hamachi

2007-06-01 17:18:57 -------- d-----w C:\Arquivos de programas\Hamachi

2007-06-01 17:18:16 17,480 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys

2007-05-30 20:50:19 -------- d-----w C:\DOCUME~1\ADMINI~1\DADOSD~1\Skype

2007-05-29 19:12:16 22,768 ----a-w C:\WINDOWS\system32\drivers\usbsermpt.sys

2007-05-28 18:00:17 -------- d-----w C:\Arquivos de programas\Google

2007-05-20 21:10:19 40,509 ----a-w C:\WINDOWS\DIIUnin.dat

2007-05-20 02:10:41 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll

2007-05-20 02:10:41 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll

2007-05-20 02:10:41 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll

2007-05-19 21:03:15 94,208 ----a-w C:\WINDOWS\DIIUnin.exe

2007-05-19 21:03:15 2,829 ----a-w C:\WINDOWS\DIIUnin.pif

2007-05-16 15:13:54 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll

2007-05-13 00:16:18 50,688 ----a-w C:\WINDOWS\system32\wbhelp2.dll

2007-05-08 12:19:03 230,400 ----a-w C:\WINDOWS\wmasf.dll

2007-05-02 18:04:23 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe

2007-05-02 18:04:19 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll

2007-05-02 18:04:14 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe

2007-05-02 18:04:14 116,472 ------w C:\WINDOWS\system32\pxcpyi64.exe

2007-05-02 18:04:06 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll

2007-05-02 18:04:05 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll

2007-05-02 18:02:06 73,728 ----a-w C:\WINDOWS\system32\dpl100.dll

2007-05-02 18:02:06 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll

2007-05-02 18:02:04 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll

2007-05-02 18:02:02 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll

2007-05-02 18:02:02 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll

2007-05-02 18:02:02 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll

2007-05-02 18:02:02 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll

2007-05-02 18:02:02 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll

2007-05-02 18:01:56 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll

2007-05-02 18:01:56 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll

2007-05-02 18:01:56 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll

2007-05-02 18:01:56 740,442 ----a-w C:\WINDOWS\system32\DivX.dll

2007-05-02 02:33:57 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll

2007-05-02 02:33:56 124,472 ----a-w C:\WINDOWS\system32\DivXCodecUpdateChecker.exe

2007-04-30 00:00:00 10,752 ----a-w C:\WINDOWS\system32\ff_vfw.dll

 

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

 

 

*Note* empty entries & legit default entries are not shown

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0c701f4d-7ae2-4dc4-a548-3a0630d4beb8}]

C:\WINDOWS\system32\ipsifs.dll

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{c64c1391-5019-4d72-a709-dc1f8cd64e4d}]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"DAEMON Tools"="C:\Arquivos de programas\DAEMON Tools\daemon.exe" [2005-12-10 11:57]

"ccApp"="C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe" [2006-03-30 15:59]

"Windows Defender"="C:\Arquivos de programas\Windows Defender\MSASCui.exe" [2006-11-03 19:20]

"UnlockerAssistant"="C:\Arquivos de programas\Unlocker\UnlockerAssistant.exe" [2006-09-07 14:19]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 01:22]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:45]

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]

"DWQueuedReporting"="C:\ARQUIV~1\ARQUIV~1\MICROS~1\DW\dwtrig20.exe" -t

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Arquivos de programas\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

C:\Arquivos de programas\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Arquivos de programas\SUPERAntiSpyware\SASWINLO.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cmmuth]

cmmuth.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ipsifs]

ipsifs.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"appinit_dlls"=c:\windows\system32\ddabbcc.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Administrador^Menu Iniciar^Programas^Inicializar^Webshots.lnk]

path=C:\Documents and Settings\Administrador\Menu Iniciar\Programas\Inicializar\Webshots.lnk

backup=C:\WINDOWS\pss\Webshots.lnkStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Assistente Tecnico Speedy.lnk]

path=C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\Assistente Tecnico Speedy.lnk

backup=C:\WINDOWS\pss\Assistente Tecnico Speedy.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^HP Digital Imaging Monitor.lnk]

path=C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\HP Digital Imaging Monitor.lnk

backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cmaudio]

RunDll32 cmicnfg.cpl,CMICtrlWnd

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]

C:\WINDOWS\system32\ctfmon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]

"C:\Arquivos de programas\DAEMON Tools\daemon.exe" -lang 1033

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]

%systemroot%\system32\dumprep 0 -k

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Motive SmartBridge]

"C:\ARQUIV~1\ASSIST~1\SMARTB~1\MotiveSB.exe" /restart

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

"C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\setup]

rundll32.exe "C:\WINDOWS\ljgffg.dll",realset

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

"C:\Arquivos de programas\Java\jre1.5.0_10\bin\jusched.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Symantec NetDriver Monitor]

C:\ARQUIV~1\SYMNET~1\SNDMon.exe /Consumer

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnlockerAssistant]

"C:\Arquivos de programas\Unlocker\UnlockerAssistant.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]

VTTimer.exe

 

R0 uagp35;Filtro Microsoft AGPv3.5;C:\WINDOWS\system32\DRIVERS\uagp35.sys

R1 SASDIFSV;SASDIFSV;\??\C:\Arquivos de programas\SUPERAntiSpyware\SASDIFSV.SYS

R1 SASKUTIL;SASKUTIL;\??\C:\Arquivos de programas\SUPERAntiSpyware\SASKUTIL.sys

R3 cmuda;C-Media WDM Audio Interface;C:\WINDOWS\system32\drivers\cmuda.sys

R3 dtscsi;dtscsi;C:\WINDOWS\system32\Drivers\dtscsi.sys

R3 FET5X86V;VIA Rhine-Family Fast-Ethernet Adapter Driver Service;C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys

R3 ltmodem5;LT Modem Driver;C:\WINDOWS\system32\DRIVERS\ltmdmnt.sys

R3 padenum;Enumerador de dispositivos de NTPAD;C:\WINDOWS\system32\DRIVERS\padenum.sys

R3 ROOTMODEM;Microsoft Legacy Modem Driver;C:\WINDOWS\system32\Drivers\RootMdm.sys

S3 FETNDIS;VIA PCI 10/100Mb Fast Ethernet Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\fetnd5.sys

S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0;c:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe

S3 idsvc;Windows CardSpace;"C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe"

S3 MRENDIS5;MRENDIS5 NDIS Protocol Driver;\??\C:\ARQUIV~1\COMMON~1\Motive\MRENDIS5.SYS

S3 SASENUM;SASENUM;\??\C:\Arquivos de programas\SUPERAntiSpyware\SASENUM.SYS

S3 usbsermpt;Motorola USB Modem Driver for MPT;C:\WINDOWS\system32\DRIVERS\usbsermpt.sys

S3 VendorJoystickEnabler;Driver para joystick paralelo de consola;C:\WINDOWS\system32\drivers\ntpad.sys

S3 viagfx;viagfx;C:\WINDOWS\system32\DRIVERS\vtmini.sys

S3 XDva009;XDva009;\??\C:\WINDOWS\system32\XDva009.sys

S3 XDva016;XDva016;\??\C:\WINDOWS\system32\XDva016.sys

S4 NetTcpPortSharing;Net.Tcp Port Sharing Service;"C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe"

 

 

Contents of the 'Scheduled Tasks' folder

2007-07-26 12:08:33 C:\WINDOWS\tasks\MP Scheduled Scan.job

2007-07-21 03:05:32 C:\WINDOWS\tasks\Norton AntiVirus - Verificar o meu computador.job

2007-07-20 20:30:04 C:\WINDOWS\tasks\One Button Checkup do Norton SystemWorks.job

2007-07-25 03:00:05 C:\WINDOWS\tasks\Symantec Drmc.job

2007-07-26 14:31:20 C:\WINDOWS\tasks\Symantec NetDetect.job

 

**************************************************************************

 

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-07-26 11:31:06

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden registry entries ...

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]

"TracesProcessed"=dword:00000182

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

 

Completion time: 2007-07-26 11:33:55 - machine was rebooted

C:\ComboFix-quarantined-files.txt ... 2007-07-26 11:33

 

--- E O F ---

============================================================

 

O norton parou de dar os avisos... e o IE nao voltou com a privacidade em nivel baixo... !!! aparentemente foi resolvido.. vou aproveitar e postar um novo log do Hijackthis:

 

======================

Logfile of HijackThis v1.99.1

Scan saved at 11:47:42, on 26/7/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\Arquivos de programas\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Arquivos de programas\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\Security Center\SymWSC.exe

C:\Arquivos de programas\DAEMON Tools\daemon.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe

C:\Arquivos de programas\Windows Defender\MSASCui.exe

C:\Arquivos de programas\Unlocker\UnlockerAssistant.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\HijackThis\HijackThis.exe

 

O2 - BHO: (no name) - {0c701f4d-7ae2-4dc4-a548-3a0630d4beb8} - C:\WINDOWS\system32\ipsifs.dll (file missing)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {c64c1391-5019-4d72-a709-dc1f8cd64e4d} - (no file)

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Arquivos de programas\Unlocker\UnlockerAssistant.exe"

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/...ro.cab56649.cab

O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - https://my.levelupgames.ph/keycrypt/npkcx.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{AC9E067F-B1A7-4651-B248-8F8ADAB655FC}: NameServer = 200.204.0.10 200.204.0.138

O20 - Winlogon Notify: !SASWinLogon - C:\Arquivos de programas\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: cmmuth - cmmuth.dll (file missing)

O20 - Winlogon Notify: ipsifs - ipsifs.dll (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

=====================================

 

será q ta limpin??? :mellow:

[jgarcia 1]

Opa OverChronoslife,

 

Vamos lá.

 

Habilite o Windows para mostrar todos os arquivos (até ocultos).

 

1ª Etapa

 

Baixe o Killbox em:

Killbox

 

1. Execute o Killbox, clique em Delete on Reboot.

 

2. Copie a lista abaixo em negrito para a área de transferência. Selecione tudo com o auxílio do mouse --> vá até a aba Editar na barra do navegador --> clique em Copiar.

 

C:\WINDOWS\system32\ddabbcc.dll

C:\WINDOWS\system32\ipsifs.dll

C:\WINDOWS\system32\cmmuth.dll

C:\WINDOWS\ljgffg.dll

 

3. Retorne ao Killbox. Clique em File > Paste from clipboard. Clique em All Files.

 

4. Aperte em "X". Responda "não" à pergunta.

 

É prudente que você faça a impressão deste documento ou salve-o em um lugar de fácil acesso, pois na próxima etapa entraremos em Modo de Seguro e a conexão à internet não será possível.

 

2ª Etapa

 

Reinicie o computador em Modo Seguro (ao reiniciar aperte a tecla F8 repetidamente até que apareça uma tela preta em DOS e escolha a opção Modo Seguro).

 

Execute o HijackThis, clique em Do a system scan only e marque:

O2 - BHO: (no name) - {0c701f4d-7ae2-4dc4-a548-3a0630d4beb8} - C:\WINDOWS\system32\ipsifs.dll (file missing)

O2 - BHO: (no name) - {c64c1391-5019-4d72-a709-dc1f8cd64e4d} - (no file)

O20 - Winlogon Notify: cmmuth - cmmuth.dll (file missing)

O20 - Winlogon Notify: ipsifs - ipsifs.dll (file missing)

Clique em Fix Checked.

 

Agora vá em Iniciar -> Executar -> digite regedit -> dê Ok.

 

Navegue até a seguinte sub-chave:

 

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify

 

Localize e delete as seguintes pastas:

 

cmmuth

ipsifs

 

Navegue até a seguinte sub-chave:

 

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows

 

Na janela à direita localize e delete:

 

"appinit_dlls"=c:\windows\system32\ddabbcc.dll

 

Navegue até a seguinte sub-chave:

 

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg

 

Localize e delete a seguinte pasta:

 

setup

 

Saia do Editor do Registro.

 

3ª Etapa

 

Reinicie em Modo Normal.

 

Delete o conteúdo da pasta C:\!Killbox.

 

Poste novos logs do HijackThis e ComboFix.

 

Aguardo retorno.

 

Um abraço.

[OverChronoslife 0]

Como pedido .. ta ae..!! :thumbsup:

 

===============================================

Logfile of HijackThis v1.99.1

Scan saved at 17:39:43, on 26/7/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\DAEMON Tools\daemon.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe

C:\Arquivos de programas\Windows Defender\MSASCui.exe

C:\Arquivos de programas\Unlocker\UnlockerAssistant.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\Arquivos de programas\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Arquivos de programas\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\HijackThis\HijackThis.exe

 

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Arquivos de programas\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/...ro.cab56649.cab

O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - https://my.levelupgames.ph/keycrypt/npkcx.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{AC9E067F-B1A7-4651-B248-8F8ADAB655FC}: NameServer = 200.204.0.10 200.204.0.138

O20 - Winlogon Notify: !SASWinLogon - C:\Arquivos de programas\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

===================================================================

 

1995-12-22 06:16	  432	--a------	C:\Qoobox\Quarantine\C\WINDOWS\system32\CFX32.LIC.vir1996-06-10 10:24	  307200	--a------	C:\Qoobox\Quarantine\C\WINDOWS\system32\CFX32.OCX.vir2007-06-06 22:43	  12494	--a------	C:\Qoobox\Quarantine\C\WINDOWS\system32\ddabbcc.dll.vir2007-06-10 14:26	  50970	--a------	C:\Qoobox\Quarantine\C\DOCUME~1\ADMINI~1\DADOSD~1\tmpD.tmp.exe.vir2007-06-10 17:03	  50970	--a------	C:\Qoobox\Quarantine\C\DOCUME~1\ADMINI~1\DADOSD~1\tmp1.tmp.exe.vir2007-07-19 21:41	  128231	--a------	C:\Qoobox\Quarantine\C\DOCUME~1\ADMINI~1\DADOSD~1\tmp6.tmp.exe.vir2007-07-19 21:44	  58798	--a------	C:\Qoobox\Quarantine\C\DOCUME~1\ADMINI~1\DADOSD~1\tmp9.tmp.exe.virListagem de caminhos de pastaO n£mero de s‚rie do volume ‚ 1C0D-EA3AC:\QOOBOX\---Quarantine	+---C	|   +---DOCUME~1	|   |   \---ADMINI~1	|   |	   \---DADOSD~1	|   |			   tmp1.tmp.exe.vir	|   |			   tmp6.tmp.exe.vir	|   |			   tmp9.tmp.exe.vir	|   |			   tmpD.tmp.exe.vir	|   |			   	|   \---WINDOWS	|	   \---system32	|			   CFX32.LIC.vir	|			   CFX32.OCX.vir	|			   ddabbcc.dll.vir	|			   	\---Registry_backups

[jgarcia 1]

Opa OverChronoslife,

 

Beleza!!! O seu log está LIMPO. :thumbsup:

 

Para finalizar:

 

1. Delete o conteúdo da pasta C:\Qoobox\Quarantine;

 

2. Desabilite e Reabilite a função de Restauração Automática do XP. Clique aqui para ver como;

 

3. Leia o artigo Cuidados ao navegar na net e saiba como evitar novas infecções.

 

Abraços.

[OverChronoslife 0]

Muitissimo Obrigado... pela ajuda.. !!!! você foi muito eficiente.. e bem rapido..!!!! mesmo nao tendo nenhuma obrigaçao de atender com essa eficiencia...!!! vlw mesmo e mais uma vez obrigado..!!! :thumbsup: :thumbsup: :thumbsup:

[jgarcia 1]

PROBLEMA RESOLVIDO!

 

Caso o autor necessite que o tópico seja reaberto é necessário enviar uma Mensagem Privada para um Moderador com um link para o tópico.