Ir para conteúdo

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

Betone

[Arquivado]Problemas com virus!

Recommended Posts

Há mais ou menos uma semana estou tentando acabar com uma verdadeira infestação de virus na minha máquina, no começo o AVAST detectou 26000 virus e conseguiu excluir 14000, agora só faltam 12000 e o pior é que não consigo instalar nenhum outro antivirus! O que fazer???

 

Logfile of HijackThis v1.99.1

Scan saved at 19:39:21, on 22/8/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\cmd.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Java\jre1.5.0_10\bin\jusched.exe

C:\WINDOWS\verify.exe

C:\STARR1\wsys.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\Uniblue\RegistryBooster 2\RegistryBooster.exe

C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\Wapp.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\DOCUME~1\ALLUSE~1\DADOSD~1\Yahoo!\MESSEN~1\ymsgr_tray.exe

C:\Hijack\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://br.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://br.yahoo.com

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Documents and Settings\All Users\Dados de aplicativos\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Documents and Settings\All Users\Dados de aplicativos\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll (file missing)

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Documents and Settings\All Users\Dados de aplicativos\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [win] C:\WINDOWS\verify.exe

O4 - HKLM\..\Run: [winlogon] C:\WINDOWS\csrss.exe

O4 - HKLM\..\Run: [settings] C:\Arquivos de programas\System\Prefetch.exe

O4 - HKLM\..\Run: [windll] C:\STARR1\wsys.exe

O4 - HKLM\..\Run: [Wapp] C:\Arquivos de programas\Wapp.exe

O4 - HKLM\..\Run: [synchronization Agent] C:\Arquivos de programas\Sync Manager\agent\syncagent.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\DOCUME~1\ALLUSE~1\DADOSD~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

O4 - HKCU\..\Run: [swg] C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe

O4 - HKCU\..\Run: [uniblue RegistryBooster 2] C:\Arquivos de programas\Uniblue\RegistryBooster 2\RegistryBooster.exe/S /S

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Wapp.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: sfklg.dll

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll

O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - (no file)

 

Desde já muito obrigado!!! :!:

Compartilhar este post


Link para o post
Compartilhar em outros sites

Opa Betone,

 

1. Baixe o BankerFix.

 

2. Desative o seu anti-vírus temporariamente.

 

3. Dê um duplo-clique sobre o bankerfix.exe. Uma mensagem aparecerá avisando que o mesmo será baixado via internet. Clique em Ok -> Ok. Aperte Enter e aguarde o término do scan.

 

4. Terminado o scan, leia a mensagem na tela e aperte Enter novamente.

 

5. Habilite o seu anti-vírus.

 

6. Retorne com um novo log do HijackThis, juntamente com o relatorio.txt do BankerFix (ele estará em C:\LinhaDefensiva\).

 

7. Depois de postar a sua resposta você poderá deletar a pasta LinhaDefensiva contida no C.

 

Abraços.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá JGarcia!

 

Você pediu para desabilitar meu antivirus, na verdade como já não serviam para nada mesmo eu resolvi desinstalar todos! Mas o problema não é esse!

 

Após baixar o BankerFix, deparei-me com a seguinte mensagem!

 

"O BankerFix será agora baixado da internet certifique-se de que sua conexão está funcionando completamente e clique em OK!"

 

"O BankerFix não conseguiu baixar as informações da nova versão. Verifique sua conexão com a internet"

 

"Não foi possível baixar a atualização. Verifique sua conexão com a internet"

 

Resumindo, não conseguí executar o BankerFix, apesar de que ele criou a pasta linha defensiva no C: e copiou alguns programas para lá, por exemplo:

 

Dowload

Iniciar BankerFix

Md5

Pv

Unzip

Version

 

Perdoe-me a ignorância, mas aonde foi que eu errei??? :upset:

Compartilhar este post


Link para o post
Compartilhar em outros sites

Opa Betone,

 

Rapaz, quanta praga! :skull:

 

Bem, vamos lá.

 

Habilite o Windows para mostrar todos os arquivos (até ocultos).

 

1ª Etapa

 

Baixe o Killbox em:

Killbox

 

Baixe, mas não execute ainda.

 

Baixe a ferramenta de correção da Symantec.

 

Baixe -> vá em Arquivo -> Salvar como em seu desktop, mas não a execute ainda.

 

Baixe o CCleaner em:

CCleaner

 

Baixe, mas não execute ainda.

 

2ª Etapa

 

1. Execute o Killbox, clique em Delete on Reboot.

 

2. Copie a lista abaixo em negrito para a área de transferência. Selecione tudo com o auxílio do mouse --> vá até a aba Editar na barra do navegador --> clique em Copiar.

 

C:\DOCUMENTS AND SETTINGS\ADMINISTRA\DADOS DE APLICATIVOS\HIDIRES\HIDR.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRA\DADOS DE APLICATIVOS\HIDIRES\ROSA.SYS

C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\Wapp.exe

C:\Arquivos de programas\System\Prefetch.exe

C:\Arquivos de programas\Wapp.exe

C:\WINDOWS\system32\28463\AKV.exe

C:\WINDOWS\system32\28463\UAEY.003

C:\WINDOWS\system32\28463\UAEY.004

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT

C:\WINDOWS\pss\Wapp.exe

C:\WINDOWS\verify.exe

C:\WINDOWS\csrss.exe

C:\WINDOWS\9129837.exe

C:\WINDOWS\systeo1.exe

C:\STARR1\wsys.exe

C:\Downloads\Driver-dm[1].exe

 

3. Retorne ao Killbox. Clique em File > Paste from clipboard. Clique em All Files.

 

4. Aperte em "X". Responda "não" à pergunta.

 

3ª Etapa

 

Reinicie o computador em Modo Normal.

 

Execute a ferramenta de correção. Para isto dê um clique-direito sobre UnHookExec.inf contido em seu desktop e depois clique em instalar.

 

Vá em Iniciar -> Executar -> digite regedit -> dê Ok.

 

Navegue e delete as seguintes subchaves, se houver:

 

HKEY_CURRENT_USER\Software\FirstRRRun

HKEY_CURRENT_USER\Software\FIRSTRUXZX

 

Navegue até a seguinte subchave:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 

No painel à direita, delete os seguintes valores, se houver:

 

"drvsyskit" = "%Userprofiles%\Application Data\hidires\hidr.exe"

"drvsyskit" = "%Userprofiles%\Application Data\hidires\m_hook.sys"

"drvsyskit" = "%Userprofiles%\Application Data\hidires\rosa.sys"

"drvsyskit" = "%Userprofiles%\Application Data\hidn\hidn2.exe"

"german.exe" = "%System%\wintems.exe"

"hldrrr" = "%System%\hldrrr.exe"

 

Navegue até a seguinte subchave:

 

HKEY_CURRENT_USER\Software\DateTime4

 

No painel à direita, restaure os seguintes valores originais, se necessário:

 

"port" = "0x5B7E"

"uid" = "[RANDOM]"

"wdrn" = "0x00000001"

 

Navegue até a seguinte subchave:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

 

Selecione a pasta (Control) -> dê um clique-direito -> Novo -> Chave -> coloque o nome de Safeboot.

 

Criada a pasta Safeboot, a selecione -> dê um clique-direito -> Novo -> Valor da sequência -> dê o nome de AlternateShell.

 

No painel à direita selecione AlternateShell -> dê um clique-direito -> Modificar -> no local destinado ao valor coloque cmd.exe.

 

Saia do Editor do Registro.

 

Localize e delete:

 

C:\DOCUMENTS AND SETTINGS\ADMINISTRA\DADOS DE APLICATIVOS\HIDIRES <- a pasta

C:\WINDOWS\exefld <- a pasta

C:\WINDOWS\system32\28463 <- a pasta

 

Vá até a pasta C:\!Killbox e delete o conteúdo.

 

4ª Etapa

 

Execute o HijackThis, clique em Do a system scan only e marque:

O4 - HKLM\..\Run: [win] C:\WINDOWS\verify.exe

O4 - HKLM\..\Run: [winlogon] C:\WINDOWS\csrss.exe

O4 - HKLM\..\Run: [settings] C:\Arquivos de programas\System\Prefetch.exe

O4 - HKLM\..\Run: [windll] C:\STARR1\wsys.exe

O4 - HKLM\..\Run: [Wapp] C:\Arquivos de programas\Wapp.exe

O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe

O4 - Global Startup: Wapp.exe

O20 - AppInit_DLLs: sfklg.dll

Clique em Fix Checked.

 

5ª Etapa

 

Reinicie em Modo Normal novamente.

 

Execute o CCleaner e clique em Executar Cleaner.

 

Retorne com um novo log do HijackThis e verifique se a máquina já está reiniciando em Modo Seguro.

 

Aguardo retorno.

 

Um abraço.

Compartilhar este post


Link para o post
Compartilhar em outros sites

:thumbsup: Caro JGarcia.

 

Aqui está o log como solicitado!

 

Logfile of HijackThis v1.99.1

Scan saved at 19:37:16, on 30/8/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\cmd.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Java\jre1.5.0_10\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://br.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://br.yahoo.com

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Documents and Settings\All Users\Dados de aplicativos\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Documents and Settings\All Users\Dados de aplicativos\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll (file missing)

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Documents and Settings\All Users\Dados de aplicativos\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [synchronization Agent] C:\Arquivos de programas\Sync Manager\agent\syncagent.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\DOCUME~1\ALLUSE~1\DADOSD~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

O4 - HKCU\..\Run: [swg] C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [uniblue RegistryBooster 2] C:\Arquivos de programas\Uniblue\RegistryBooster 2\RegistryBooster.exe/S /S

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll

O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - (no file)

Compartilhar este post


Link para o post
Compartilhar em outros sites

Opa Betone,

 

A situação está bem melhor, mas ainda há o que fazer. ;)

 

1. Baixe o BankerFix.

 

2. Desative o seu anti-vírus temporariamente.

 

3. Dê um duplo-clique sobre o bankerfix.exe. Uma mensagem aparecerá avisando que o mesmo será baixado via internet. Clique em Ok -> Ok. Aperte Enter e aguarde o término do scan.

 

4. Terminado o scan, leia a mensagem na tela e aperte Enter novamente.

 

5. Habilite o seu anti-vírus.

 

6. Retorne com um novo log do HijackThis, juntamente com o relatorio.txt do BankerFix (ele estará em C:\LinhaDefensiva\).

 

7. Depois de postar a sua resposta você poderá deletar a pasta LinhaDefensiva contida no C.

 

Abraços.

 

PS.: Você já consegue reiniciar em Modo Seguro? Conseguiu reinstalar o anti-vírus?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro JGarcia!

 

As resposta para ambas perguntas ainda é não.

 

Logfile of HijackThis v1.99.1

Scan saved at 15:10:42, on 31/8/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\cmd.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Java\jre1.5.0_10\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://br.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://br.yahoo.com

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Documents and Settings\All Users\Dados de aplicativos\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Documents and Settings\All Users\Dados de aplicativos\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARQUIV~1\MEGAUP~1\MEGAUP~1.DLL (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll (file missing)

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Documents and Settings\All Users\Dados de aplicativos\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARQUIV~1\MEGAUP~1\MEGAUP~1.DLL (file missing)

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [synchronization Agent] C:\Arquivos de programas\Sync Manager\agent\syncagent.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\DOCUME~1\ALLUSE~1\DADOSD~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

O4 - HKCU\..\Run: [swg] C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [uniblue RegistryBooster 2] C:\Arquivos de programas\Uniblue\RegistryBooster 2\RegistryBooster.exe/S /S

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll

O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - (no file)

 

 

 

 

BankerFix 2.4 - Removedor de Bankers

Linha Defensiva - http://www.linhadefensiva.org

http://www.linhadefensiva.org/bankerfix/

Data: 31/8/2007 - 15:9

-------------------------------------------------------

Lista de Definição: 2007-08-18-1

=======================================================

 

Arquivo infectado detectado: C:\WINDOWS\bmp2jpeg.dll

Arquivo infectado removido com sucesso!

 

Arquivo infectado detectado: C:\Arquivos de programas\Wapp.exe

Arquivo infectado removido com sucesso!

 

Arquivo infectado detectado: C:\WINDOWS\Tasks\startt.job

Arquivo infectado removido com sucesso!

 

 

Killando arquivos em Help

-----------------------------------

 

Killing '*'

 

Removendo Arquivos em Help

-----------------------------------

 

 

Arquivos ruins restantes

-----------------------------------

 

 

----- Fim -------------------------

 

 

:upset:

Compartilhar este post


Link para o post
Compartilhar em outros sites

Opa Betone,

 

Baixe o F-Secure Blacklight em:

F-Secure Blacklight

 

Salve-o em sua área de trabalho (desktop) e o execute. Aceite o acordo. Clique em Scan e aguarde.

 

Se ele encontrar algum arquivo, ignore, pois quero apenas o log.

 

Ao final do scan será gerado o arquivo fsbl-xxxxx.log (onde xxx são números). Preciso que você copie o log e poste em sua próxima resposta.

 

Abraços.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro JGarcia!Aqui está o log solicitado!09/06/07 13:17:35 [info]: BlackLight Engine 1.0.64 initialized09/06/07 13:17:35 [info]: OS: 5.1 build 2600 (Service Pack 2)09/06/07 13:17:36 [Note]: 7019 409/06/07 13:17:36 [Note]: 7005 009/06/07 13:17:52 [Note]: 7006 009/06/07 13:17:52 [Note]: 7011 180009/06/07 13:17:52 [Note]: 7026 009/06/07 13:17:52 [Note]: 7026 009/06/07 13:17:55 [Note]: FSRAW library version 1.7.102209/06/07 13:21:46 [Note]: 7007 0 :hehehe:

Compartilhar este post


Link para o post
Compartilhar em outros sites

Opa Betone,

 

Baixe o ComboFix em:

ComboFix

 

1) Dê um duplo-clique no combofix.exe e tecle "Y" para prosseguir. O processo vai durar, em média, 10 minutos;

2) O ComboFix reiniciará o PC automaticamente, a fim de que o processo de remoção seja finalizado (somente se houver infecção);

3) Quando a varredura acabar, será gerado um log, que estará em C:\ComboFix.txt;

4) Não clique na janela do ComboFix, nem feche clicando no X, enquanto a ferramenta estiver sendo executada, pois isto implicará na desconfiguração de seu desktop (ele ficará todo branco);

5) Para parar ou sair do ComboFix, tecle "N";

6) Preciso que você cole o conteúdo do ComboFix.txt em sua próxima resposta, juntamente com um novo log do HijackThis.

 

Abraços.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro JGarcia, aquí está como solicitado os log's do ComboFix e do Hijack This!

 

ComboFix 07-09-10.6 - "Administra" 2007-09-10 18:53:01.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.231 [GMT -3:00]

* Created a new restore point

.

 

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\DOCUME~1\ADMINI~2\DADOSD~1\smss.exe

C:\DOCUME~1\ADMINI~2\Desktop\internet.lnk

C:\DOCUME~1\Arenales\DADOSD~1\hidires

C:\DOCUME~1\Arenales\DADOSD~1\hidires\hidr.exe

C:\DOCUME~1\Arenales\DADOSD~1\hidires\rosa.sys

C:\DOCUME~1\Arenales\DADOSD~1\smss.exe

C:\DOCUME~1\CONVID~1\DADOSD~1\smss.exe

C:\toolbar.exe

C:\WINDOWS\3985609.exe

C:\WINDOWS\5188781.exe

C:\WINDOWS\6391515.exe

C:\WINDOWS\7593906.exe

C:\WINDOWS\system\smss.exe

 

 

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

 

 

-------\LEGACY_NEW_DRV

-------\LEGACY_ROSA

-------\new_drv

-------\rosa

 

 

((((((((((((((((((((((( Ficheiros criados de 2007-08-10 to 2007-09-10 ))))))))))))))))))))))))))))))))

.

 

2007-09-10 18:51 51,200 --a------ C:\WINDOWS\NirCmd.exe

2007-09-10 18:51 1,485,491 --a------ C:\ComboFix.exe

2007-09-06 17:59 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DADOSD~1\sentinel

2007-08-31 09:44 23,649,352 --a------ C:\avg75free_476a1048.exe

2007-08-31 09:08 <DIR> d-------- C:\DOCUME~1\Arenales\DADOSD~1\MegauploadToolbar

2007-08-31 09:08 <DIR> d-------- C:\Arquivos de programas\MegauploadToolbar

2007-08-30 19:22 <DIR> d-------- C:\backups

2007-08-30 19:17 218,112 --a------ C:\HijackThis.exe

2007-08-30 18:39 2,720,456 --a------ C:\ccsetup141.exe

2007-08-30 18:20 92,672 --a------ C:\KillBox.exe

2007-08-28 20:03 42,523,872 --a------ C:\Arquivos de programas\T08promo.exe

2007-08-27 10:07 <DIR> d-------- C:\LinhaDefensiva

2007-08-27 09:44 180,719 --a------ C:\bankerfix.exe

2007-08-22 19:06 <DIR> d-------- C:\DOCUME~1\ADMINI~2\DADOSD~1\Help

2007-08-22 19:04 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DADOSD~1\SecTaskMan

2007-08-22 16:43 <DIR> d-------- C:\DOCUME~1\ADMINI~2\DADOSD~1\Uniblue

2007-08-21 16:33 664 --a------ C:\WINDOWS\system32\d3d9caps.dat

2007-08-21 16:27 <DIR> d-------- C:\WINDOWS\system32\NtmsData

2007-08-21 10:12 131,072 --a------ C:\WINDOWS\msfont.exe

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-09-06 18:03 --------- d--h----- C:\Arquivos de programas\InstallShield Installation Information

2007-08-29 08:43 --------- d--h----- C:\DOCUME~1\Arenales\DADOSD~1\m

2007-08-28 20:08 222 --a------ C:\Arquivos de programas\T08promo_Nosso_error.log

2007-08-28 19:18 --------- d-------- C:\Arquivos de programas\Password Spectator

2007-08-28 15:53 1060352 --a------ C:\Arquivos de programas\DigitalLockerAssistant_pt.msi

2007-08-24 12:37 --------- d-------- C:\Arquivos de programas\MSN Messenger

2007-08-22 10:27 --------- d-------- C:\Arquivos de programas\GbPlugin

2007-08-21 18:49 1446 --a------ C:\Arquivos de programas\aswclnr.log

2007-08-21 09:49 122880 --a------ C:\WINDOWS\msimn32.exe

2007-08-09 17:52 --------- d-------- C:\DOCUME~1\ALLUSE~1\DADOSD~1\Spybot - Search & Destroy

2007-08-09 17:00 --------- d-------- C:\Arquivos de programas\Google

2007-08-09 11:41 --------- d-------- C:\DOCUME~1\ALLUSE~1\DADOSD~1\Google

2007-08-07 16:59 16133352 --a------ C:\Arquivos de programas\setuppor.exe

2007-08-07 16:31 407680 --a------ C:\Arquivos de programas\aswclnr.exe

2007-08-07 16:23 8455744 --a------ C:\Arquivos de programas\vpsupd.exe

2007-08-07 15:41 --------- d-------- C:\Arquivos de programas\Arquivos comuns\Symantec Shared

2007-08-06 09:48 --------- d-------- C:\DOCUME~1\ALLUSE~1\DADOSD~1\GbPlugin

2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll

2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll

2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe

2007-07-30 19:19 43352 --a--c--- C:\WINDOWS\system32\wups2.dll

2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll

2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll

2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll

2007-07-30 19:18 33624 --a--c--- C:\WINDOWS\system32\wups.dll

2007-07-27 19:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe

2007-07-27 19:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys

2007-07-25 12:11 --------- d-------- C:\DOCUME~1\ALLUSE~1\DADOSD~1\a32w

2007-07-19 12:18 673280 --a------ C:\WINDOWS\is-V2VH3.exe

2007-07-18 11:02 4268592 --a------ C:\PandoSetup.exe

2007-07-17 14:35 --------- d-------- C:\DOCUME~1\CONVID~1\DADOSD~1\uTorrent

2007-07-17 14:14 --------- d-------- C:\Arquivos de programas\uTorrent

2007-07-10 09:53 --------- d-------- C:\DOCUME~1\CONVID~1\DADOSD~1\U3

2006-09-25 16:57 11825664 --a--c--- C:\Arquivos de programas\babylon50_por_eng_por.exe

.

 

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

 

*Nota* entradas vazias & legítimas por defeito não são mostradas.

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="C:\Arquivos de programas\Java\jre1.5.0_10\bin\jusched.exe" [2006-11-09 15:07]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-02-23 20:32]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-02-23 20:32]

"Synchronization Agent"="C:\Arquivos de programas\Sync Manager\agent\syncagent.exe" []

"AVG7_CC"="C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe" [2007-09-10 18:42]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:45]

"MSMSGS"="C:\Arquivos de programas\Messenger\msmsgs.exe" [2004-10-13 13:24]

"Yahoo! Pager"="C:\DOCUME~1\ALLUSE~1\DADOSD~1\Yahoo!\MESSEN~1\YAHOOM~1.exe" [2007-01-19 12:49]

"swg"="C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" []

"Uniblue RegistryBooster 2"="C:\Arquivos de programas\Uniblue\RegistryBooster 2\RegistryBooster.exe/S /S" []

"msnmsgr"="C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" [2006-01-24 20:31]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{E37CB5F0-51F5-4395-A808-5FA49E399F83}"= C:\WINDOWS\Downloaded Program Files\gbieh.dll [ ]

 

SafeBoot registry key needs repairs. This machine cannot enter Safe Mode.

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]

@="Driver Group"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]

@="DiskDrive"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]

@="Hdc"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]

@="Keyboard"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]

@="Mouse"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]

@="System"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]

@="Volume"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Microsoft Office.lnk]

backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Settings.exe]

path=C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\Settings.exe

backup=C:\WINDOWS\pss\Settings.exeCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Wapp.exe]

path=C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\Wapp.exe

backup=C:\WINDOWS\pss\Wapp.exeCommon Startup

 

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Babylon Client]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]

C:\WINDOWS\system32\ctfmon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

"C:\Arquivos de programas\Messenger\msmsgs.exe" /background

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]

C:\WINDOWS\system32\\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]

RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

nwiz.exe /install

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCTVOICE]

pctspk.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]

SOUNDMAN.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]

"C:\DOCUME~1\ALLUSE~1\DADOSD~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"gusvc"=3 (0x3)

"GbpSv"=2 (0x2)

 

S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys

S4 GbpSv;Gbp Service;C:\Arquivos de programas\GbPlugin\GbpSv.exe

 

.

**************************************************************************

 

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-09-10 18:55:58

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2007-09-10 18:57:13 - machine was rebooted

C:\ComboFix-quarantined-files.txt ... 2007-09-10 18:57

.

--- E O F ---

 

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 19:07:41, on 10/9/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\ARQUIV~1\Grisoft\AVG7\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVG7\avgupsvc.exe

C:\ARQUIV~1\Grisoft\AVG7\avgemc.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\Arquivos de programas\Java\jre1.5.0_10\bin\jusched.exe

C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\notepad.exe

C:\Arquivos de programas\internet explorer\iexplore.exe

C:\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://br.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://br.yahoo.com

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Documents and Settings\All Users\Dados de aplicativos\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Documents and Settings\All Users\Dados de aplicativos\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARQUIV~1\MEGAUP~1\MEGAUP~1.DLL (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll (file missing)

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Documents and Settings\All Users\Dados de aplicativos\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARQUIV~1\MEGAUP~1\MEGAUP~1.DLL (file missing)

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [synchronization Agent] C:\Arquivos de programas\Sync Manager\agent\syncagent.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\DOCUME~1\ALLUSE~1\DADOSD~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

O4 - HKCU\..\Run: [swg] C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [uniblue RegistryBooster 2] C:\Arquivos de programas\Uniblue\RegistryBooster 2\RegistryBooster.exe/S /S

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll

O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgemc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

:thumbsup:

Compartilhar este post


Link para o post
Compartilhar em outros sites

Opa Betone,

 

Vamos lá.

 

1ª Etapa

 

1. Execute o Killbox, clique em Delete on Reboot.

 

2. Copie a lista abaixo em negrito para a área de transferência. Selecione tudo com o auxílio do mouse --> vá até a aba Editar na barra do navegador --> clique em Copiar.

 

C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\Settings.exe

C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\Wapp.exe

C:\Arquivos de programas\T08promo.exe

C:\Arquivos de programas\T08promo_Nosso_error.log

C:\Arquivos de programas\DigitalLockerAssistant_pt.msi

C:\Arquivos de programas\babylon50_por_eng_por.exe

C:\WINDOWS\pss\Settings.exe

C:\WINDOWS\pss\Wapp.exe

C:\WINDOWS\msfont.exe

C:\WINDOWS\msimn32.exe

C:\WINDOWS\is-V2VH3.exe

 

3. Retorne ao Killbox. Clique em File > Paste from clipboard. Clique em All Files.

 

4. Aperte em "X". Responda "não" à pergunta.

 

2ª Etapa

 

Reinicie em Modo Normal.

 

Vá até a pasta C:\!Killbox e delete o conteúdo.

 

Retorne com um novo log do ComboFix.

 

Um abraço.

 

PS.: Já conseguiu reinstalar os sistemas de segurança? E o Modo Seguro, já funciona?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ola JGarcia! :thumbsup:

 

Aqui está como solicitado!

 

ComboFix 07-09-10.6 - "Administra" 2007-09-11 13:18:20.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.211 [GMT -3:00]

.

 

((((((((((((((((((((((( Ficheiros criados de 2007-08-11 to 2007-09-11 ))))))))))))))))))))))))))))))))

.

 

2007-09-11 13:07 <DIR> d-------- C:\!KillBox

2007-09-10 18:51 51,200 --a------ C:\WINDOWS\NirCmd.exe

2007-09-10 18:51 1,485,491 --a------ C:\ComboFix.exe

2007-09-06 17:59 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DADOSD~1\sentinel

2007-08-31 09:44 23,649,352 --a------ C:\avg75free_476a1048.exe

2007-08-31 09:08 <DIR> d-------- C:\DOCUME~1\Arenales\DADOSD~1\MegauploadToolbar

2007-08-31 09:08 <DIR> d-------- C:\Arquivos de programas\MegauploadToolbar

2007-08-30 19:22 <DIR> d-------- C:\backups

2007-08-30 19:17 218,112 --a------ C:\HijackThis.exe

2007-08-30 18:39 2,720,456 --a------ C:\ccsetup141.exe

2007-08-30 18:20 92,672 --a------ C:\KillBox.exe

2007-08-27 10:07 <DIR> d-------- C:\LinhaDefensiva

2007-08-27 09:44 180,719 --a------ C:\bankerfix.exe

2007-08-22 19:06 <DIR> d-------- C:\DOCUME~1\ADMINI~2\DADOSD~1\Help

2007-08-22 19:04 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DADOSD~1\SecTaskMan

2007-08-22 16:43 <DIR> d-------- C:\DOCUME~1\ADMINI~2\DADOSD~1\Uniblue

2007-08-21 16:33 664 --a------ C:\WINDOWS\system32\d3d9caps.dat

2007-08-21 16:27 <DIR> d-------- C:\WINDOWS\system32\NtmsData

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-09-11 13:03 --------- d--h----- C:\DOCUME~1\Arenales\DADOSD~1\m

2007-09-06 18:03 --------- d--h----- C:\Arquivos de programas\InstallShield Installation Information

2007-08-28 19:18 --------- d-------- C:\Arquivos de programas\Password Spectator

2007-08-24 12:37 --------- d-------- C:\Arquivos de programas\MSN Messenger

2007-08-22 10:27 --------- d-------- C:\Arquivos de programas\GbPlugin

2007-08-21 18:49 1446 --a------ C:\Arquivos de programas\aswclnr.log

2007-08-09 17:52 --------- d-------- C:\DOCUME~1\ALLUSE~1\DADOSD~1\Spybot - Search & Destroy

2007-08-09 17:00 --------- d-------- C:\Arquivos de programas\Google

2007-08-09 11:41 --------- d-------- C:\DOCUME~1\ALLUSE~1\DADOSD~1\Google

2007-08-07 16:59 16133352 --a------ C:\Arquivos de programas\setuppor.exe

2007-08-07 16:31 407680 --a------ C:\Arquivos de programas\aswclnr.exe

2007-08-07 16:23 8455744 --a------ C:\Arquivos de programas\vpsupd.exe

2007-08-07 15:41 --------- d-------- C:\Arquivos de programas\Arquivos comuns\Symantec Shared

2007-08-06 09:48 --------- d-------- C:\DOCUME~1\ALLUSE~1\DADOSD~1\GbPlugin

2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll

2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll

2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe

2007-07-30 19:19 43352 --a--c--- C:\WINDOWS\system32\wups2.dll

2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll

2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll

2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll

2007-07-30 19:18 33624 --a--c--- C:\WINDOWS\system32\wups.dll

2007-07-27 19:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe

2007-07-27 19:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys

2007-07-25 12:11 --------- d-------- C:\DOCUME~1\ALLUSE~1\DADOSD~1\a32w

2007-07-18 11:02 4268592 --a------ C:\PandoSetup.exe

2007-07-17 14:35 --------- d-------- C:\DOCUME~1\CONVID~1\DADOSD~1\uTorrent

2007-07-17 14:14 --------- d-------- C:\Arquivos de programas\uTorrent

.

 

((((((((((((((((((((((((((((( snapshot_2007-09-10_185635.18 )))))))))))))))))))))))))))))))))))))))))

.

----a-w 39,992 2007-09-10 21:59:40 C:\WINDOWS\system32\perfc009.dat

----a-w 48,628 2007-09-10 21:59:40 C:\WINDOWS\system32\perfc016.dat

----a-w 311,604 2007-09-10 21:59:40 C:\WINDOWS\system32\perfh009.dat

----a-w 344,380 2007-09-10 21:59:40 C:\WINDOWS\system32\perfh016.dat

.

----a-w 39,992 2007-09-06 21:00:44 C:\WINDOWS\system32\perfc009.dat

----a-w 48,628 2007-09-06 21:00:44 C:\WINDOWS\system32\perfc016.dat

----a-w 311,604 2007-09-06 21:00:44 C:\WINDOWS\system32\perfh009.dat

----a-w 344,380 2007-09-06 21:00:44 C:\WINDOWS\system32\perfh016.dat

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

 

*Nota* entradas vazias & legítimas por defeito não são mostradas.

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="C:\Arquivos de programas\Java\jre1.5.0_10\bin\jusched.exe" [2006-11-09 15:07]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-02-23 20:32]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-02-23 20:32]

"Synchronization Agent"="C:\Arquivos de programas\Sync Manager\agent\syncagent.exe" []

"AVG7_CC"="C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe" [2007-09-10 18:42]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:45]

"MSMSGS"="C:\Arquivos de programas\Messenger\msmsgs.exe" [2004-10-13 13:24]

"Yahoo! Pager"="C:\DOCUME~1\ALLUSE~1\DADOSD~1\Yahoo!\MESSEN~1\YAHOOM~1.exe" [2007-01-19 12:49]

"swg"="C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" []

"Uniblue RegistryBooster 2"="C:\Arquivos de programas\Uniblue\RegistryBooster 2\RegistryBooster.exe/S /S" []

"msnmsgr"="C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" [2006-01-24 20:31]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{E37CB5F0-51F5-4395-A808-5FA49E399F83}"= C:\WINDOWS\Downloaded Program Files\gbieh.dll [ ]

 

SafeBoot registry key needs repairs. This machine cannot enter Safe Mode.

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]

@="Driver Group"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]

@="DiskDrive"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]

@="Hdc"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]

@="Keyboard"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]

@="Mouse"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]

@="System"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]

@="Volume"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Microsoft Office.lnk]

backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Settings.exe]

path=C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\Settings.exe

backup=C:\WINDOWS\pss\Settings.exeCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Wapp.exe]

path=C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\Wapp.exe

backup=C:\WINDOWS\pss\Wapp.exeCommon Startup

 

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Babylon Client]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]

C:\WINDOWS\system32\ctfmon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

"C:\Arquivos de programas\Messenger\msmsgs.exe" /background

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]

C:\WINDOWS\system32\\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]

RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

nwiz.exe /install

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCTVOICE]

pctspk.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]

SOUNDMAN.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]

"C:\DOCUME~1\ALLUSE~1\DADOSD~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"gusvc"=3 (0x3)

"GbpSv"=2 (0x2)

 

S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys

S4 GbpSv;Gbp Service;C:\Arquivos de programas\GbPlugin\GbpSv.exe

 

.

**************************************************************************

 

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-09-11 13:19:30

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2007-09-11 13:20:20

C:\ComboFix-quarantined-files.txt ... 2007-09-11 13:20

C:\ComboFix2.txt ... 2007-09-10 18:57

.

--- E O F ---

 

 

Hoje o AVG detectou 202 cavalos de tróia e deletou 6.

 

Ainda não consigo iniciar em modo de segurança.

 

Também não consigo acessar determinadas pastas de outros usuários. Por exemplo: o usuário B baixa o programa UTorrent na pasta arquivos de programa, quando o usuário A através do Windows Explorer tenta acessar a pasta do UTorrent. O WE exibe uma mensagem de acesso negado. uTorrent não está acessível.

 

Como podes me ajudar?

:mellow:

Compartilhar este post


Link para o post
Compartilhar em outros sites

Tópico Arquivado

 

Como o autor não respondeu por mais de 20 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.

Compartilhar este post


Link para o post
Compartilhar em outros sites

×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.