[Resolvido!]Trojan.vundo Como Remover!

[fomatos 0]

Meu computador foi infectado pelo trojan.vundo. O norton acusou o virus mas não removeu. Executei o hijackthis, combofix, vundofix e killbox baseado em outras dicas mas o problema piorou. Desinstalei o norton completamente mas na função Adicionar/remover programas (Painel de controle) continua aparecendo vários itens do norton que não podem ser removidos, inclusive itens desinstalados há muito tempo. Tento executar o regcleaner ou o registry mechanic e o compuatdor reinicia repentinamente. Me ajudem por favor!!! Esclareço que não possuo mais o norton em minha máquina. Segue abaixo log do hijackthis:

 

Logfile of HijackThis v1.99.1

Scan saved at 16:47:32, on 11/9/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\locator.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\WINDOWS\SYSTEM32\USRmlnkA.exe

C:\WINDOWS\SYSTEM32\USRshutA.exe

C:\WINDOWS\SYSTEM32\USRmlnkA.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\WINDOWS\System32\devldr32.exe

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

C:\Arquivos de programas\WinRAR\WinRAR.exe

C:\WINDOWS\system32\rundll32.exe

C:\ARQUIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\Fabrini Matos\Configurações locais\Temp\HijackThis.exe

 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\WINDOWS\System32\scpsssh2.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\arquivos de programas\google\googletoolbar1.dll

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar1.dll

O4 - HKLM\..\Run: [uSRpdA] C:\WINDOWS\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA

O4 - HKCU\..\Run: [skype] "C:\Arquivos de programas\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [swg] C:\Arquivos de programas\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\MSMSGS.EXE (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\MSMSGS.EXE (file missing)

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {2E3C3651-B19C-4DD9-A979-901EC3E930AF} (ssh2 Class) - https://wwwss.bradesco.com.br/ib2k1/scpsssh2.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399F83} - https://www14.bancobrasil.com.br/plugin/GbPluginBb.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3A33C815-13A0-4F31-AC91-7DC00F9A228D}: NameServer = 200.202.193.76 200.222.0.35

O17 - HKLM\System\CCS\Services\Tcpip\..\{831C2BF6-7754-42B5-9231-3C914DDA6FED}: NameServer = 200.165.132.155,200.165.132.148

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSvcHst.exe" /h cltCommon (file missing)

O23 - Service: COM Host (comHost) - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\VAScanner\comHost.exe (file missing)

O23 - Service: Gbp Service (GbpSv) - Unknown owner - C:\Arquivos de programas\GbPlugin\GbpSv.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Unknown owner - C:\Arquivos de programas\Norton Internet Security\isPwdSvc.exe (file missing)

[jgarcia 1]

Opa fomatos,

 

Poste os logs do ComboFix e VundoFix.

 

Abraços.

[fomatos 0]

Opa fomatos,

 

Poste os logs do ComboFix e VundoFix.

 

Abraços.

 

Seguem os logs:

 

ComboFix 07-09-12.2 - 2007-09-11 18:58:15.4 - FAT32x86

Microsoft Windows XP Professional 5.1.2600.1.1252.1.1046.18.143 [GMT -3:00]

* Created a new restore point

.

 

((((((((((((((((((((((((( Files Created from 2007-08-12 to 2007-09-12 )))))))))))))))))))))))))))))))

.

 

2007-09-11 13:26 <DIR> d--hs---- C:\FOUND.002

2007-09-11 13:12 <DIR> d-------- C:\Arquivos de programas\Yahoo!

2007-09-11 13:12 <DIR> d-------- C:\Arquivos de programas\CCleaner

2007-09-11 13:10 <DIR> d--hs---- C:\FOUND.001

2007-09-04 17:00 <DIR> d-------- C:\Arquivos de programas\Innovatools

2007-09-04 14:33 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DADOSD~1\Symantec

2007-09-03 20:37 51,200 --a------ C:\WINDOWS\nircmd.exe

2007-09-01 17:32 139,129 --a------ C:\WINDOWS\system32\nnnki.dll

2007-09-01 15:38 <DIR> d--hs---- C:\FOUND.000

2007-08-31 16:38 <DIR> d-------- C:\Arquivos de programas\Arquivos comuns\Roxio Shared

2007-08-28 20:37 <DIR> d-------- C:\Arquivos de programas\Skype

2007-08-28 20:36 <DIR> d-------- C:\Arquivos de programas\Arquivos comuns\Skype

2007-08-28 20:34 293,260 --a------ C:\WINDOWS\system32\ursst.dll

2007-08-28 19:54 <DIR> d-------- C:\WINDOWS\ShellNew

2007-08-28 16:25 12,800 --a------ C:\WINDOWS\system\wing32.dll

2007-08-28 16:00 <DIR> d-------- C:\DOCUME~1\FABRIN~1\DADOSD~1\WinRAR

2007-08-28 16:00 <DIR> d-------- C:\DOCUME~1\FABRIN~1\Contacts

2007-08-28 15:58 <DIR> d-------- C:\WINDOWS\system32\DRVSTORE

2007-08-21 16:29 676,224 --a------ C:\WINDOWS\system32\ogacheckcontrol.dll

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-08-31 20:36 806 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.INF

2007-08-31 20:36 8014 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.CAT

2007-08-31 20:36 48776 --a------ C:\WINDOWS\system32\S32EVNT1.DLL

2007-08-31 20:36 115000 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS

2006-03-07 18:58 747 --a------ C:\Arquivos de programas\PTWIN.CFG

2005-11-01 22:25 6144 --a------ C:\Arquivos de programas\PEUSER.CDS

2005-11-01 22:25 6144 --a------ C:\Arquivos de programas\EPUSER.CDS

2005-11-01 22:25 1906834 --a------ C:\Arquivos de programas\EPGEN.RUL

2005-11-01 22:25 1494294 --a------ C:\Arquivos de programas\PEGEN.RUL

2005-11-01 22:24 16 --ah----- C:\Arquivos de programas\GNKINFO

2004-10-01 15:00 40960 --a------ C:\Arquivos de programas\Uninstall_CDS.exe

1998-08-14 12:00 9879 --a------ C:\Arquivos de programas\CONVERSE.HLP

1998-08-14 12:00 92624 --a------ C:\Arquivos de programas\INSTALL.HLP

1998-08-14 12:00 913583 --a------ C:\Arquivos de programas\PTWIN.HLP

1998-08-14 12:00 7926724 --a------ C:\Arquivos de programas\EP.LEX

1998-08-14 12:00 7438 --a------ C:\Arquivos de programas\PTWIN.CNT

1998-08-14 12:00 669184 --a------ C:\Arquivos de programas\SV221MN.DLL

1998-08-14 12:00 55296 --a------ C:\Arquivos de programas\Mdfslt32.dll

1998-08-14 12:00 546816 --a------ C:\Arquivos de programas\Dsetup.exe

1998-08-14 12:00 472761 --a------ C:\Arquivos de programas\DICTEDIT.HLP

1998-08-14 12:00 38053 --a------ C:\Arquivos de programas\DCONVERT.HLP

1998-08-14 12:00 356352 --a------ C:\Arquivos de programas\WT32p.exe

1998-08-14 12:00 3435 --a------ C:\Arquivos de programas\MTAPISRV.tlb

1998-08-14 12:00 341504 --a------ C:\Arquivos de programas\Dexport.exe

1998-08-14 12:00 2883584 --a------ C:\Arquivos de programas\Ptpro.exe

1998-08-14 12:00 25474 --a------ C:\Arquivos de programas\LEIAME.HLP

1998-08-14 12:00 251904 --a------ C:\Arquivos de programas\webpor.dll

1998-08-14 12:00 2271744 --a------ C:\Arquivos de programas\DiceditP.exe

1998-08-14 12:00 226816 --a------ C:\Arquivos de programas\Converse.exe

1998-08-14 12:00 226304 --a------ C:\Arquivos de programas\TL221MN.DLL

1998-08-14 12:00 22179 --a------ C:\Arquivos de programas\trnutil.hlp

1998-08-14 12:00 20860 --a------ C:\Arquivos de programas\PHRASES.DAT

1998-08-14 12:00 198144 --a------ C:\Arquivos de programas\VerViewer.exe

1998-08-14 12:00 193024 --a------ C:\Arquivos de programas\Mdfrtf32.dll

1998-08-14 12:00 192000 --a------ C:\Arquivos de programas\WebIEp.dll

1998-08-14 12:00 186592 --a------ C:\Arquivos de programas\PTWP16.DLL

1998-08-14 12:00 179152 --a------ C:\Arquivos de programas\PTWRD16.WLL

1998-08-14 12:00 175616 --a------ C:\Arquivos de programas\WebNNp.dll

1998-08-14 12:00 174592 --a------ C:\Arquivos de programas\PTWRD32.wll

1998-08-14 12:00 170496 --a------ C:\Arquivos de programas\OutlookCom.dll

1998-08-14 12:00 169984 --a------ C:\Arquivos de programas\Ptwp32.dll

1998-08-14 12:00 161280 --a------ C:\Arquivos de programas\OfficeCom.dll

1998-08-14 12:00 150528 --a------ C:\Arquivos de programas\Mdfhtm32.dll

1998-08-14 12:00 1368576 --a------ C:\Arquivos de programas\Barcsrv.exe

1998-08-14 12:00 12845 --a------ C:\Arquivos de programas\WTHELPP.HLP

1998-08-14 12:00 118784 --a------ C:\Arquivos de programas\Mdfasc32.dll

1998-08-14 12:00 1185280 --a------ C:\Arquivos de programas\Dimport.exe

1998-08-14 12:00 114688 --a------ C:\Arquivos de programas\Laconv.exe

1998-08-14 12:00 104960 --a------ C:\Arquivos de programas\TrnsUtil.exe

1998-08-14 12:00 1010 --a------ C:\Arquivos de programas\DictEdit.CNT

.

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

*Note* empty entries & legit default entries are not shown

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"USRpdA"="C:\WINDOWS\SYSTEM32\USRmlnkA.exe" [2001-10-28 18:06]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Skype"="C:\Arquivos de programas\Skype\Phone\Skype.exe" [2007-07-02 17:10]

"swg"="C:\Arquivos de programas\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-03-14 22:40]

 

*Newly Created Service* - COMHOST

.

Contents of the 'Scheduled Tasks' folder

"2007-09-12 21:59:02 C:\WINDOWS\Tasks\Symantec NetDetect.job"

- C:\Arquivos de programas\Symantec\LiveUpdate\NDETECT.EXE

.

**************************************************************************

 

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-09-12 18:59:58

Windows 5.1.2600 Service Pack 1 FAT NTAPI

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\system\ControlSet003\Services\asc3550p]

 

.

Completion time: 2007-09-12 19:01:12

.

--- E O F ---

 

 

 

VundoFix V6.5.7

 

Checking Java version...

 

Sun Java not detected

Scan started at 18:38:48 11/9/2007

 

Listing files found while scanning....

 

No infected files were found.

 

Aguardo retorno.

[jgarcia 1]

Opa fomatos,

 

Vamos lá.

 

Habilite o Windows para mostrar todos os arquivos (até ocultos).

 

1ª Etapa

 

Baixe o Killbox em:

Killbox

 

1. Execute o Killbox, clique em Delete on Reboot.

 

2. Copie a lista abaixo em negrito para a área de transferência. Selecione tudo com o auxílio do mouse --> vá até a aba Editar na barra do navegador --> clique em Copiar.

 

C:\FOUND.000

C:\FOUND.001

C:\FOUND.002

C:\WINDOWS\system32\nnnki.dll

C:\WINDOWS\system32\ursst.dll

 

3. Retorne ao Killbox. Clique em File > Paste from clipboard. Clique em All Files.

 

4. Aperte em "X". Responda "não" à pergunta.

 

2ª Etapa

 

Reinicie em Modo Normal.

 

Delete o conteúdo da seguinte pasta:

 

C:\!Killbox

 

Retorne com um novo log do ComboFix.

 

Aguardo retorno.

 

Um abraço.

[fomatos 0]

Executei o killbox, conforme orientado e depois rodei o combofix. Tenho algumas dúvidas em relação ao combofix:

você comenta que demora em média 10 min para executar o combofix, no meu pc está levando apenas 3min. Quando o combofix está preparando o relatório aparece a seguinte janela: cscript.exe - Este aplicativo não pôde ser iniciado porque não foi encontrado ScrRun.dll. A reinstalação do aplicativo pode corrigir o problema. Além disso observo nos logs vários componentes do Norton, sendo que não possuo mais o Norton no meu PC, inclusive quando vou ao painel de controle/ Adicionar e Remover programas aparece os seguintes programas que não possuo e não consigo desinstlar:Norton Confidencial Browser Component; Norton Web Protection Component; aparece 4 vezes Norton Internet security; Norton Protection Center, além de outros programas que não sei para que servem e não consigo desinstalá-los: Symnet; ccCommon; MSRedist; ScanSoftReal Speak. Aguardo sua ajuda, segue abaixo outro log do combofix:

 

 

 

ComboFix 07-09-12.2 - 2007-09-13 18:51:52.6 - FAT32x86

Microsoft Windows XP Professional 5.1.2600.1.1252.1.1046.18.183 [GMT -3:00]

.

 

((((((((((((((((((((((( Ficheiros criados de 2007-08-13 to 2007-09-13 ))))))))))))))))))))))))))))))))

.

 

2007-09-11 13:26 <DIR> d-------- C:\FOUND.002

2007-09-11 13:12 <DIR> d-------- C:\Arquivos de programas\Yahoo!

2007-09-11 13:12 <DIR> d-------- C:\Arquivos de programas\CCleaner

2007-09-11 13:10 <DIR> d-------- C:\FOUND.001

2007-09-04 17:00 <DIR> d-------- C:\Arquivos de programas\Innovatools

2007-09-04 14:33 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DADOSD~1\Symantec

2007-09-03 20:37 51,200 --a------ C:\WINDOWS\nircmd.exe

2007-09-01 15:38 <DIR> d-------- C:\FOUND.000

2007-08-31 16:38 <DIR> d-------- C:\Arquivos de programas\Arquivos comuns\Roxio Shared

2007-08-28 20:37 <DIR> d-------- C:\Arquivos de programas\Skype

2007-08-28 20:36 <DIR> d-------- C:\Arquivos de programas\Arquivos comuns\Skype

2007-08-28 19:54 <DIR> d-------- C:\WINDOWS\ShellNew

2007-08-28 16:25 12,800 --a------ C:\WINDOWS\system\wing32.dll

2007-08-28 16:00 <DIR> d-------- C:\DOCUME~1\FABRIN~1\DADOSD~1\WinRAR

2007-08-28 16:00 <DIR> d-------- C:\DOCUME~1\FABRIN~1\Contacts

2007-08-28 15:58 <DIR> d-------- C:\WINDOWS\system32\DRVSTORE

2007-08-21 16:29 676,224 --a------ C:\WINDOWS\system32\ogacheckcontrol.dll

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-08-31 20:36 806 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.INF

2007-08-31 20:36 8014 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.CAT

2007-08-31 20:36 48776 --a------ C:\WINDOWS\system32\S32EVNT1.DLL

2007-08-31 20:36 115000 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS

2006-03-07 18:58 747 --a------ C:\Arquivos de programas\PTWIN.CFG

2005-11-01 22:25 6144 --a------ C:\Arquivos de programas\PEUSER.CDS

2005-11-01 22:25 6144 --a------ C:\Arquivos de programas\EPUSER.CDS

2005-11-01 22:25 1906834 --a------ C:\Arquivos de programas\EPGEN.RUL

2005-11-01 22:25 1494294 --a------ C:\Arquivos de programas\PEGEN.RUL

2005-11-01 22:24 16 --ah----- C:\Arquivos de programas\GNKINFO

2004-10-01 15:00 40960 --a------ C:\Arquivos de programas\Uninstall_CDS.exe

1998-08-14 12:00 9879 --a------ C:\Arquivos de programas\CONVERSE.HLP

1998-08-14 12:00 92624 --a------ C:\Arquivos de programas\INSTALL.HLP

1998-08-14 12:00 913583 --a------ C:\Arquivos de programas\PTWIN.HLP

1998-08-14 12:00 7926724 --a------ C:\Arquivos de programas\EP.LEX

1998-08-14 12:00 7438 --a------ C:\Arquivos de programas\PTWIN.CNT

1998-08-14 12:00 669184 --a------ C:\Arquivos de programas\SV221MN.DLL

1998-08-14 12:00 55296 --a------ C:\Arquivos de programas\Mdfslt32.dll

1998-08-14 12:00 546816 --a------ C:\Arquivos de programas\Dsetup.exe

1998-08-14 12:00 472761 --a------ C:\Arquivos de programas\DICTEDIT.HLP

1998-08-14 12:00 38053 --a------ C:\Arquivos de programas\DCONVERT.HLP

1998-08-14 12:00 356352 --a------ C:\Arquivos de programas\WT32p.exe

1998-08-14 12:00 3435 --a------ C:\Arquivos de programas\MTAPISRV.tlb

1998-08-14 12:00 341504 --a------ C:\Arquivos de programas\Dexport.exe

1998-08-14 12:00 2883584 --a------ C:\Arquivos de programas\Ptpro.exe

1998-08-14 12:00 25474 --a------ C:\Arquivos de programas\LEIAME.HLP

1998-08-14 12:00 251904 --a------ C:\Arquivos de programas\webpor.dll

1998-08-14 12:00 2271744 --a------ C:\Arquivos de programas\DiceditP.exe

1998-08-14 12:00 226816 --a------ C:\Arquivos de programas\Converse.exe

1998-08-14 12:00 226304 --a------ C:\Arquivos de programas\TL221MN.DLL

1998-08-14 12:00 22179 --a------ C:\Arquivos de programas\trnutil.hlp

1998-08-14 12:00 20860 --a------ C:\Arquivos de programas\PHRASES.DAT

1998-08-14 12:00 198144 --a------ C:\Arquivos de programas\VerViewer.exe

1998-08-14 12:00 193024 --a------ C:\Arquivos de programas\Mdfrtf32.dll

1998-08-14 12:00 192000 --a------ C:\Arquivos de programas\WebIEp.dll

1998-08-14 12:00 186592 --a------ C:\Arquivos de programas\PTWP16.DLL

1998-08-14 12:00 179152 --a------ C:\Arquivos de programas\PTWRD16.WLL

1998-08-14 12:00 175616 --a------ C:\Arquivos de programas\WebNNp.dll

1998-08-14 12:00 174592 --a------ C:\Arquivos de programas\PTWRD32.wll

1998-08-14 12:00 170496 --a------ C:\Arquivos de programas\OutlookCom.dll

1998-08-14 12:00 169984 --a------ C:\Arquivos de programas\Ptwp32.dll

1998-08-14 12:00 161280 --a------ C:\Arquivos de programas\OfficeCom.dll

1998-08-14 12:00 150528 --a------ C:\Arquivos de programas\Mdfhtm32.dll

1998-08-14 12:00 1368576 --a------ C:\Arquivos de programas\Barcsrv.exe

1998-08-14 12:00 12845 --a------ C:\Arquivos de programas\WTHELPP.HLP

1998-08-14 12:00 118784 --a------ C:\Arquivos de programas\Mdfasc32.dll

1998-08-14 12:00 1185280 --a------ C:\Arquivos de programas\Dimport.exe

1998-08-14 12:00 114688 --a------ C:\Arquivos de programas\Laconv.exe

1998-08-14 12:00 104960 --a------ C:\Arquivos de programas\TrnsUtil.exe

1998-08-14 12:00 1010 --a------ C:\Arquivos de programas\DictEdit.CNT

.

 

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

 

*Nota* entradas vazias & legítimas por defeito não são mostradas.

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"USRpdA"="C:\WINDOWS\SYSTEM32\USRmlnkA.exe" [2001-10-28 18:06]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Skype"="C:\Arquivos de programas\Skype\Phone\Skype.exe" [2007-07-02 17:10]

"swg"="C:\Arquivos de programas\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-03-14 22:40]

 

*Newly Created Service* - COMHOST

.

Conteúdo da pasta 'Tarefas Agendadas'

"2007-09-13 21:54:02 C:\WINDOWS\Tasks\Symantec NetDetect.job"

- C:\Arquivos de programas\Symantec\LiveUpdate\NDETECT.EXE

.

**************************************************************************

 

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-09-13 18:53:27

Windows 5.1.2600 Service Pack 1 FAT NTAPI

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\system\ControlSet003\Services\asc3550p]

 

.

Completion time: 2007-09-13 18:54:34

.

--- E O F ---

[jgarcia 1]

Opa fomatos,

 

Execute o Active Scan da Panda, observando os seguintes procedimentos:

 

1) Alguns anti-vírus, tal como o AVAST, podem exibir um alerta de detecção durante a execução do scan, porém tal alerta deve ser ignorado. O aviso não passa de um falso-positivo. Sugiro que o AV seja desabilitado, temporariamente, a fim de que o scan ocorra sem problemas;

 

2) Para iniciar o processo, clique sobre o botão ;

 

3) Informe os dados solicitados no formulário;

 

4) Clique sobre o botão "Pesquise agora sem custos";

 

5) Siga todas as instruções que lhe serão passadas e aguarde o fim da varredura;

 

6) Ao término do scan, clique em visualizar o log. Salve-o em seu Desktop;

 

7) Poste o conteúdo do log em sua próxima resposta.

 

Abraços.

[fomatos 0]

Segue log do Panda conforme solicitado:Incidência Estado Localização Ferramenta potencialmente indesejada:Application/NirCmd.A Não desinfectado C:\WINDOWS\NIRCMD.EXE Ferramenta potencialmente indesejada:Application/NirCmd.A Não desinfectado C:\Documents and Settings\Fabrini Matos\Configurações locais\Temporary Internet Files\Content.IE5\QE2BM84F\ComboFix[1].exe[nircmd.exe] Spyware:Cookie/Atlas DMT Não desinfectado C:\Documents and Settings\Fabrini Matos\Cookies\fabrini matos@atdmt[1].txt Spyware:Cookie/Advertising Não desinfectado C:\Documents and Settings\Fabrini Matos\Cookies\fabrini matos@advertising[2].txt Spyware:Cookie/Com.com Não desinfectado C:\Documents and Settings\Fabrini Matos\Cookies\fabrini matos@uol.com[2].txt Spyware:Cookie/Com.com Não desinfectado C:\Documents and Settings\Fabrini Matos\Cookies\fabrini matos@acesso.uol.com[2].txt Spyware:Cookie/Com.com Não desinfectado C:\Documents and Settings\Jacqueline Matos\Cookies\jacqueline matos@ig.com[1].txt Spyware:Cookie/Com.com Não desinfectado C:\Documents and Settings\Jacqueline Matos\Cookies\jacqueline matos@terra.com[1].txt Spyware:Cookie/Com.com Não desinfectado C:\Documents and Settings\Jacqueline Matos\Cookies\jacqueline matos@de.uol.com[2].txt Spyware:Cookie/Belnk Não desinfectado C:\Documents and Settings\Jacqueline Matos\Cookies\jacqueline matos@belnk[1].txt Spyware:Cookie/Belnk Não desinfectado C:\Documents and Settings\Jacqueline Matos\Cookies\jacqueline matos@dist.belnk[2].txt Spyware:Cookie/Com.com Não desinfectado C:\Documents and Settings\Jacqueline Matos\Cookies\jacqueline matos@uol.com[1].txt Spyware:Cookie/Com.com Não desinfectado C:\Documents and Settings\Administrador\Cookies\administrador@ig.com[2].txt Security Risk:HackTool/Gendel.A Não desinfectado C:\Arquivos de programas\AltoQi\AltoQi Lumine\Setup\GENDEL32.EX_ Ferramenta potencialmente indesejada:Application/NirCmd.A Não desinfectado D:\Meus documentos\Programas\Virus\ComboFix.exe[nircmd.exe]

[jgarcia 1]

Opa fomatos,

 

Vamos lá.

 

1ª Etapa

 

Baixe o CCleaner em:

CCleaner

 

Baixe, mas não o execute ainda.

 

1. Execute o Killbox, clique em Delete on Reboot.

 

2. Copie a lista abaixo em negrito para a área de transferência. Selecione tudo com o auxílio do mouse --> vá até a aba Editar na barra do navegador --> clique em Copiar.

 

C:\Arquivos de programas\AltoQi\AltoQi Lumine\Setup\GENDEL32.EX_

 

3. Retorne ao Killbox. Clique em File > Paste from clipboard. Clique em All Files.

 

4. Aperte em "X". Responda "não" à pergunta.

 

2ª Etapa

 

Reinicie em Modo Normal.

 

Delete o conteúdo da seguinte pasta:

 

C:\!Killbox

 

Execute o CCleaner e clique em Executar Limpeza.

 

Verifique se o Active Scan da Panda ainda detecta algo.

 

Um abraço.

[fomatos 0]

Executei o killbox, conforme orientado e depois rodei o CCleaner. Quando rodo o regclean o pc reinicia repentinamente sem concluir o scan porque isto ocorre?

Continuo observando nos logs vários componentes do Norton, sendo que não possuo mais o Norton no meu PC, inclusive quando vou ao painel de controle/ Adicionar e Remover programas aparece os seguintes programas que não possuo e não consigo desinstalar:Norton Confidencial Browser Component; Norton Web Protection Component; aparece 4 vezes Norton Internet security; Norton Protection Center, além de outros programas que não sei para que servem e não consigo desinstalá-los: Symnet; ccCommon; MSRedist; ScanSoftReal Speak.

 

Aguardo sua ajuda, segue abaixo outro log do activescan da panda e do hijackthis:

 

Incidência Estado Localização

 

Ferramenta potencialmente indesejada:Application/NirCmd.A Não desinfectado C:\WINDOWS\NIRCMD.EXE

Spyware:Cookie/Com.com Não desinfectado C:\Documents and Settings\Jacqueline Matos\Cookies\jacqueline matos@ig.com[1].txt

Spyware:Cookie/Com.com Não desinfectado C:\Documents and Settings\Jacqueline Matos\Cookies\jacqueline matos@terra.com[1].txt

Spyware:Cookie/Com.com Não desinfectado C:\Documents and Settings\Jacqueline Matos\Cookies\jacqueline matos@de.uol.com[2].txt

Spyware:Cookie/Belnk Não desinfectado C:\Documents and Settings\Jacqueline Matos\Cookies\jacqueline matos@belnk[1].txt

Spyware:Cookie/Belnk Não desinfectado C:\Documents and Settings\Jacqueline Matos\Cookies\jacqueline matos@dist.belnk[2].txt

Spyware:Cookie/Com.com Não desinfectado C:\Documents and Settings\Jacqueline Matos\Cookies\jacqueline matos@uol.com[1].txt

Spyware:Cookie/Com.com Não desinfectado C:\Documents and Settings\Administrador\Cookies\administrador@ig.com[2].txt

Ferramenta potencialmente indesejada:Application/NirCmd.A Não desinfectado D:\Meus documentos\Programas\Virus\ComboFix.exe[nircmd.exe]

 

Logfile of HijackThis v1.99.1

Scan saved at 14:25:43, on 20/9/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\locator.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SYSTEM32\USRmlnkA.exe

C:\Arquivos de programas\Skype\Phone\Skype.exe

C:\WINDOWS\SYSTEM32\USRshutA.exe

C:\WINDOWS\SYSTEM32\USRmlnkA.exe

C:\Arquivos de programas\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\WINDOWS\System32\devldr32.exe

C:\Arquivos de programas\Skype\Plugin Manager\skypePM.exe

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

C:\Arquivos de programas\Microsoft Office\Office10\WINWORD.EXE

C:\WINDOWS\msagent\AgentSvr.exe

C:\ARQUIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\Fabrini Matos\Configurações locais\Temp\HijackThis.exe

 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\WINDOWS\System32\scpsssh2.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\arquivos de programas\google\googletoolbar1.dll

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar1.dll

O4 - HKLM\..\Run: [uSRpdA] C:\WINDOWS\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA

O4 - HKCU\..\Run: [skype] "C:\Arquivos de programas\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [swg] C:\Arquivos de programas\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\MSMSGS.EXE (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\MSMSGS.EXE (file missing)

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {2E3C3651-B19C-4DD9-A979-901EC3E930AF} (ssh2 Class) - https://wwwss.bradesco.com.br/ib2k1/scpsssh2.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399F83} - https://www14.bancobrasil.com.br/plugin/GbPluginBb.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3A33C815-13A0-4F31-AC91-7DC00F9A228D}: NameServer = 200.202.193.76 200.222.0.35

O17 - HKLM\System\CCS\Services\Tcpip\..\{831C2BF6-7754-42B5-9231-3C914DDA6FED}: NameServer = 200.165.132.155,200.165.132.148

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSvcHst.exe" /h cltCommon (file missing)

O23 - Service: COM Host (comHost) - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\VAScanner\comHost.exe (file missing)

O23 - Service: Gbp Service (GbpSv) - Unknown owner - C:\Arquivos de programas\GbPlugin\GbpSv.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Unknown owner - C:\Arquivos de programas\Norton Internet Security\isPwdSvc.exe (file missing)

[fomatos 0]

Prezado jgarcia,

 

Complementando minha resposta eu acessei o site: http://www.altoqi.com.br/Suporte/Qicad/duv.../info_virus.htm, e nele consta que o programa Gendel32.exe, não se trata de vírus mas faz parte do programa da Alto qi, que trata de instalações elétricas. Sendo assim, meu problema permanece.

Att,

fomatos.

[jgarcia 1]

Opa fomatos,

 

Vamos tentar desinstalar o Norton e seus componentes manualmente, já que, segundo suas informações, não há como fazê-lo por meio de Adicionar / Remover programas.

 

Siga as instruções abaixo:

 

1. Clique em Iniciar e em Executar.

 

2. Na caixa Abrir, digite regedt32 e clique em OK.

 

3. No Editor do Registro, localize a seguinte chave do Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

 

4. No painel à esquerda, clique na chave do Registro Uninstall e clique em Exportar no menu Arquivo.

 

5. Na caixa de diálogo Exportar arquivo do Registro que aparece, clique em Desktop na lista Salvar em, digite uninstall na caixa Nome do arquivo e clique em Salvar.

 

6. Cada chave listada em Uninstall no painel à esquerda no Editor do Registro representa um programa que é exibido na lista Programas instalados da ferramenta Adicionar ou remover programas. Para determinar qual programa cada chave representa, clique na chave e visualize os seguintes valores no painel de detalhes à direita:

 

DisplayName: O dado do valor para a chave DisplayName é o nome listado em Adicionar ou remover programas.

 

-e-

 

UninstallString: O dado do valor para a chave UninstallString é o programa usado para desinstalar o programa.

 

7. Após identificar a chave do Registro que representa o programa removido, mas que ainda é exibido na lista Programas instalados do Adicionar ou remover programas, clique com o botão direito do mouse na chave no painel à esquerda da janela Editor do Registro e clique em Excluir. Clique em Sim em resposta à mensagem "Tem certeza de que deseja excluir esta chave e todas as suas subchaves?".

 

8. No menu Arquivo, clique em Sair para fechar o Editor do Registro.

 

9. Clique em Iniciar, em Painel de controle e em Adicionar ou remover programas. Na lista Programas instalados, verifique se o programa do qual a chave do Registro você excluiu não está mais na lista.

 

10. Execute um dos seguintes procedimentos:

 

Se a lista de programas não estiver correta em Adicionar ou remover programas, clique duas vezes no arquivo Uninstall.reg salvo na sua Área de trabalho da etapa 5 para restaurar a lista de programas original no Registro.

 

-ou-

 

Se lista de programas estiver correta em Adicionar ou remover programas, clique com o botão direito do mouse no arquivo Uninstall.reg na sua Área de trabalho e clique em Excluir.

 

Retorne informando se o problema foi ou não resolvido.

 

Abraços.

[fomatos 0]

Prezado jgarcia,Segui suas instruções mas não encontrei nenhum arquivo no registro citado com os nomes que estão aparecendo no Adicionar/remover programas. Todos os programas que aparecem no Adicionar/remover programas eu já tive instalados no meu PC mas não os possuo mais, mas eles não estão aparecendo nos registros que você orientou para apagar através do regdt32. Eu já havia navegado pelas chaves descritas na sua orientação anteriormente, em outra ocasião, e apaguei tudo que se referia a symantec, mas os nomes não somem do Adicionar/remover programas. Aparecem 4 vezes o Norton Internet Protect, NSW e vários outros conforme descrito por mim num post anterior.Outro problema é que toda vez que rodo o regcleaner meu computador reinicia sem terminar o scan, é como se encontrasse com algum arquivo que reiniciasse o computador sozinho. Observo que se encontram várias chaves do norton neste scan, mas como o mesmo não é concluído não consigo apagá-las. Inclusive a lixeira do meu PC aparece como lixeira protegida do norton, sendo que não tenho mais o norton.Ressalto que o problema apareceu após a infecção pelo trojan.vundo, que acredito ter pego ao navegar em sites atrás de uma serial para o norton internet protect que obtive baixado da internet.Grato.

[jgarcia 1]

Opa fomatos,

 

Quais são os atuais problemas em sua máquina?

[fomatos 0]

Prezado jgarcia os problemas e dúvidas são os seguintes:

1)O Pc foi infectado pelo trojan.vundo, em relação ao log abaixo o PC está limpo?

2)Por que após a infecção qdo executo o regcleaner o pc reinicia sozinho repentinamente sem concluir o scan?

3)Porque na pasta Adicionar e remover programas aparece os seguintes componentes que não possuo e não consigo desinstalar:Norton Confidencial Browser Component; Norton Web Protection Component; aparece 4 vezes Norton Internet security; Norton Protection Center, Symnet; ccCommon; MSRedist; ScanSoftReal Speak?

4)Acessei o site: http://www.altoqi.com.br/Suporte/Qicad/duv.../info_virus.htm, e nele consta que o programa Gendel32.exe, não se trata de vírus mas faz parte do programa da Alto qi, que trata de instalações elétricas, e que possuo em meu PC. A exclusão deste programa orientado por você pode prejudicar o funcionamento do programa?

 

Aguardo sua ajuda, segue log do activescan da panda e do hijackthis:

 

Incidência Estado Localização

 

Ferramenta potencialmente indesejada:Application/NirCmd.A Não desinfectado C:\WINDOWS\NIRCMD.EXE

Spyware:Cookie/Com.com Não desinfectado C:\Documents and Settings\Jacqueline Matos\Cookies\jacqueline matos@ig.com[1].txt

Spyware:Cookie/Com.com Não desinfectado C:\Documents and Settings\Jacqueline Matos\Cookies\jacqueline matos@terra.com[1].txt

Spyware:Cookie/Com.com Não desinfectado C:\Documents and Settings\Jacqueline Matos\Cookies\jacqueline matos@de.uol.com[2].txt

Spyware:Cookie/Belnk Não desinfectado C:\Documents and Settings\Jacqueline Matos\Cookies\jacqueline matos@belnk[1].txt

Spyware:Cookie/Belnk Não desinfectado C:\Documents and Settings\Jacqueline Matos\Cookies\jacqueline matos@dist.belnk[2].txt

Spyware:Cookie/Com.com Não desinfectado C:\Documents and Settings\Jacqueline Matos\Cookies\jacqueline matos@uol.com[1].txt

Spyware:Cookie/Com.com Não desinfectado C:\Documents and Settings\Administrador\Cookies\administrador@ig.com[2].txt

Ferramenta potencialmente indesejada:Application/NirCmd.A Não desinfectado D:\Meus documentos\Programas\Virus\ComboFix.exe[nircmd.exe]

 

Logfile of HijackThis v1.99.1

Scan saved at 14:25:43, on 20/9/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\locator.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SYSTEM32\USRmlnkA.exe

C:\Arquivos de programas\Skype\Phone\Skype.exe

C:\WINDOWS\SYSTEM32\USRshutA.exe

C:\WINDOWS\SYSTEM32\USRmlnkA.exe

C:\Arquivos de programas\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\WINDOWS\System32\devldr32.exe

C:\Arquivos de programas\Skype\Plugin Manager\skypePM.exe

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

C:\Arquivos de programas\Microsoft Office\Office10\WINWORD.EXE

C:\WINDOWS\msagent\AgentSvr.exe

C:\ARQUIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\Fabrini Matos\Configurações locais\Temp\HijackThis.exe

 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\WINDOWS\System32\scpsssh2.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\arquivos de programas\google\googletoolbar1.dll

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar1.dll

O4 - HKLM\..\Run: [uSRpdA] C:\WINDOWS\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA

O4 - HKCU\..\Run: [skype] "C:\Arquivos de programas\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [swg] C:\Arquivos de programas\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\MSMSGS.EXE (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\MSMSGS.EXE (file missing)

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {2E3C3651-B19C-4DD9-A979-901EC3E930AF} (ssh2 Class) - https://wwwss.bradesco.com.br/ib2k1/scpsssh2.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399F83} - https://www14.bancobrasil.com.br/plugin/GbPluginBb.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3A33C815-13A0-4F31-AC91-7DC00F9A228D}: NameServer = 200.202.193.76 200.222.0.35

O17 - HKLM\System\CCS\Services\Tcpip\..\{831C2BF6-7754-42B5-9231-3C914DDA6FED}: NameServer = 200.165.132.155,200.165.132.148

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSvcHst.exe" /h cltCommon (file missing)

O23 - Service: COM Host (comHost) - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\VAScanner\comHost.exe (file missing)

O23 - Service: Gbp Service (GbpSv) - Unknown owner - C:\Arquivos de programas\GbPlugin\GbpSv.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Unknown owner - C:\Arquivos de programas\Norton Internet Security\isPwdSvc.exe (file missing)

 

Att,

fomatos.

[jgarcia 1]

1)O Pc foi infectado pelo trojan.vundo, em relação ao log abaixo o PC está limpo?

Sim.

 

2)Por que após a infecção qdo executo o regcleaner o pc reinicia sozinho repentinamente sem concluir o scan?

É difícil precisar a causa deste problema. Você já tentou utilizar o CCleaner para corrigir as falhas no registro?

 

3)Porque na pasta Adicionar e remover programas aparece os seguintes componentes que não possuo e não consigo desinstalar:Norton Confidencial Browser Component; Norton Web Protection Component; aparece 4 vezes Norton Internet security; Norton Protection Center, Symnet; ccCommon; MSRedist; ScanSoftRealSpeak?

Por algum motivo, a desinstalação não se deu por completo e isto ocasionou danos em arquivos do Norton. Somente a reinstalação, com a posterior desinstalação, poderá resolver o problema.

 

4)Acessei o site: http://www.altoqi.com.br/Suporte/Qicad/duv.../info_virus.htm, e nele consta que o programa Gendel32.exe, não se trata de vírus mas faz parte do programa da Alto qi, que trata de instalações elétricas, e que possuo em meu PC. A exclusão deste programa orientado por você pode prejudicar o funcionamento do programa?

Não, pois no caso em questão o arquivo pertence ao pacote de instalação do software, não ao seu sistema propriamente dito.

[fomatos 0]

Prezado jgarcia, Já que por sua análise o log está limpo, acredito que o problema esteja resolvido. Em relação ao ccleaner eu o executei para limpar o registro e o Pc não reiniciou, isto só acontece com o regcleaner. Mas acredito também que a limpeza pelo ccleaner tenha sido eficiente. Favor me confirmar se estou correto.Assim, agradeço muito por todas informações, e por sua atenção prestada por todo este tempo visando resolver este problema.Muito grato.fomatos.

[jgarcia 1]

Opa fomatos,

 

Fico feliz por saber que o problema foi resolvido. :thumbsup:

 

Para finalizar:

 

1. Desabilite e Reabilite a função de Restauração Automática do XP. Clique aqui para ver como;

 

2. Atualize o seu Sistema Operacional urgentemente.

 

Para que tenha uma idéia, já foram lançados 02 (dois) grandes pacotes de atualização (SP1 e SP2) e você só possui o primeiro deles instalado. Utilize o Windows UpDate contido no menu Iniciar ou solicite o CD SP2 a um amigo (melhor opção);

 

3. Leia o artigo Cuidados ao navegar na net e saiba como evitar novas infecções.

 

... quanto à sua dúvida:

Em relação ao ccleaner eu o executei para limpar o registro e o Pc não reiniciou, isto só acontece com o regcleaner. Mas acredito também que a limpeza pelo ccleaner tenha sido eficiente. Favor me confirmar se estou correto.

Sim, o seu entendimento está correto.

 

Abraços.

[Sam Spade 2]

PROBLEMA RESOLVIDO!

 

Caso o autor necessite que o tópico seja reaberto é necessário enviar uma Mensagem Privada para um Moderador com um link para o tópico.