[Arquivado] Vários Malwares

[Bela Pri 0]

Pessoal,

 

Estou com uma "porrada" de malware aqui, já tentei Adware, Avast Spyware, enfim...milhares e não consigo matar

Meu micro, lento é apelido para o que ele está....

 

Não sei usar direito o HijackThis mas consegui um relatorio, vejam se com esses dados conseguem me ajudar!!!

 

Valeu!!!

 

 

Logfile of HijackThis v1.99.1

Scan saved at 23:31:54, on 15/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Ahead\InCD\InCD.exe

C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Windows Media Player\wmplayer.exe

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

C:\Arquivos de programas\MSN Messenger\usnsvc.exe

C:\Arquivos de programas\Skype\Phone\Skype.exe

C:\Arquivos de programas\Skype\Plugin Manager\skypePM.exe

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\ARQUIV~1\WinZip\winzip32.exe

C:\DOCUME~1\Pri\CONFIG~1\Temp\HijackThis.exe

 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: ssh2 Class - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\Arquivos de programas\Scpad\scpsssh2.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [inCD] C:\Arquivos de programas\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\MSMSGS.EXE

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://img2.orkut.com/activex/10035/photouploader.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: LMIinit - C:\WINDOWS\SYSTEM32\LMIinit.dll

O21 - SSODL: CompIBBrd - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Arquivos de programas\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

[jgarcia 1]

Opa Bela Pri,

 

Baixe o ComboFix em:

ComboFix

 

1) Desabilite o seu anti-vírus temporariamente;

2) Dê um duplo-clique no combofix.exe e tecle "1" para prosseguir. O processo vai durar, em média, 10 minutos;

3) O ComboFix reiniciará o PC automaticamente, a fim de que o processo de remoção seja finalizado (somente se houver infecção);

4) Quando a varredura acabar, será gerado um log, que estará em C:\ComboFix.txt;

5) Não clique na janela do ComboFix, nem feche clicando no X, enquanto a ferramenta estiver sendo executada, pois isto implicará na desconfiguração de seu desktop (ele ficará todo branco);

6) Para parar ou sair do ComboFix, tecle "N";

7) Reabilite o seu anti-vírus;

8) Preciso que você cole o conteúdo do ComboFix.txt em sua próxima resposta, juntamente com um novo log do HijackThis.

 

Abraços.

[Bela Pri 0]

Olá JGarcia tudo bem? Então, acho que resolveu hein, meu pc ficou muito mais rápido, até me assustei com o relatório rsrsrsr..

 

Vou postar os relatórios aqui, vai se ainda sobrou algum malware teimoso rs..

 

De qualquer forma agradeço muito!!! Vejo que este fórum é sério e está com uma gama enorme de pessoas capacitadas e dispostas a ajudar.

 

Ele já está em 1º lugar em meus favoritos!

 

 

Relatório ComboFix

 

ComboFix 08-02-17.2 - Pri 2008-02-17 18:16:29.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.218 [GMT -3:00]

Executando de: C:\Documents and Settings\Pri\Desktop\ComboFix.exe

* Criado um novo ponto de restauro

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

 

((((((((((((((((((((((((((((((((((((( Outras Exclusäes )))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\12.exe

C:\WINDOWS\350.exe

C:\WINDOWS\51.exe

C:\WINDOWS\543.exe

C:\WINDOWS\637.exe

C:\WINDOWS\660.exe

C:\WINDOWS\661.exe

C:\WINDOWS\669.exe

C:\WINDOWS\726.exe

C:\WINDOWS\748.exe

C:\WINDOWS\75976MM.DLL

C:\WINDOWS\840.exe

C:\WINDOWS\msettings.ini

C:\WINDOWS\recover.reg

C:\WINDOWS\rising11.exe

C:\WINDOWS\rising118.exe

C:\WINDOWS\rising12.exe

C:\WINDOWS\rising134.exe

C:\WINDOWS\rising145.exe

C:\WINDOWS\rising148.exe

C:\WINDOWS\rising219.exe

C:\WINDOWS\rising224.exe

C:\WINDOWS\rising283.exe

C:\WINDOWS\rising300.exe

C:\WINDOWS\rising305.exe

C:\WINDOWS\rising338.exe

C:\WINDOWS\rising350.exe

C:\WINDOWS\rising390.exe

C:\WINDOWS\rising404.exe

C:\WINDOWS\rising43.exe

C:\WINDOWS\rising484.exe

C:\WINDOWS\rising51.exe

C:\WINDOWS\rising526.exe

C:\WINDOWS\rising529.exe

C:\WINDOWS\rising543.exe

C:\WINDOWS\rising55.exe

C:\WINDOWS\rising564.exe

C:\WINDOWS\rising660.exe

C:\WINDOWS\rising661.exe

C:\WINDOWS\rising669.exe

C:\WINDOWS\rising720.exe

C:\WINDOWS\rising726.exe

C:\WINDOWS\rising746.exe

C:\WINDOWS\rising748.exe

C:\WINDOWS\rising770.exe

C:\WINDOWS\rising819.exe

C:\WINDOWS\rising82.exe

C:\WINDOWS\rising840.exe

C:\WINDOWS\rising851.exe

C:\WINDOWS\rising857.exe

C:\WINDOWS\rising916.exe

C:\WINDOWS\system32\drivers\cdralw.sys

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

 

.

-------\LEGACY_CDRALW

-------\cdralw

 

 

((((((((((((((((((((((( Ficheiros criados de 2008-01-17 to 2008-02-17 ))))))))))))))))))))))))))))))))

.

 

2008-02-14 21:23 . 2008-02-14 21:23 <DIR> d-------- C:\Documents and Settings\Pri\Dados de aplicativos\Grisoft

2008-02-14 21:19 . 2008-02-14 21:19 <DIR> d-------- C:\Documents and Settings\Administrador\Dados de aplicativos\Grisoft

2008-02-14 19:26 . 2008-02-14 19:26 <DIR> d-------- C:\Documents and Settings\mauricio\Dados de aplicativos\Grisoft

2008-02-14 19:24 . 2008-02-14 19:24 <DIR> d-------- C:\Documents and Settings\All Users\Dados de aplicativos\Grisoft

2008-02-14 19:24 . 2007-05-30 09:10 10,872 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\AvgAsCln.sys

2008-02-07 17:02 . 2008-02-07 17:02 166 --a------ C:\key.shm

2008-02-07 17:01 . 2008-02-07 17:01 28,224 --a------ C:\WINDOWS\SYSTEM32\045Xbqy3.exe

 

.

((((((((((((((((((((((((((((((((((((( Relat¢rio Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-02-17 21:13 --------- d-----w C:\Documents and Settings\Pri\Dados de aplicativos\Skype

2008-02-17 06:52 18,048 ----a-w C:\WINDOWS\system32\drivers\eth8023.sys

2008-02-15 00:22 44,337 ------w C:\WINDOWS\75976WL.DLL

2008-02-14 21:25 102,930 ------w C:\WINDOWS\75976WO.DLL

2008-02-11 13:52 --------- d-----w C:\Arquivos de programas\K-LiteNitro

2008-01-19 11:39 52,529 --sh--w C:\WINDOWS\75976L.exe

2008-01-13 02:02 --------- d-----w C:\Arquivos de programas\Windows Media Connect 2

2008-01-10 22:41 --------- d-----w C:\Documents and Settings\All Users\Dados de aplicativos\Lavasoft

2008-01-05 01:52 --------- d-----w C:\Documents and Settings\Pri\Dados de aplicativos\Helios

2008-01-05 01:45 --------- d-----w C:\Arquivos de programas\TextPad 5

2007-12-27 04:12 --------- d-----w C:\Documents and Settings\mauricio\Dados de aplicativos\Skype

2007-12-26 00:16 --------- d-----w C:\Documents and Settings\Pri\Dados de aplicativos\Media Player Classic

2007-12-22 19:46 29,537 --sh--w C:\WINDOWS\75976M.exe

2007-12-19 19:54 --------- d-----w C:\Documents and Settings\mauricio\Dados de aplicativos\Ahead

2007-12-18 14:57 43,825 --sh--w C:\WINDOWS\75976W.exe

2007-12-17 20:12 --------- d-----w C:\Arquivos de programas\Messenger Plus! Live

2007-08-27 04:56 266 --sh--w C:\Arquivos de programas\desktop.ini

2007-08-27 04:56 11,280 ---ha-w C:\Arquivos de programas\folder.htt

2005-04-01 00:17 40,960 ----a-w C:\Arquivos de programas\Uninstall_CDS.exe

2000-09-26 20:06 63,488 ----a-w C:\Arquivos de programas\JetComp.doc

1999-08-11 11:13 65,536 ----a-w C:\Arquivos de programas\JETCOMP.exe

2007-11-11 18:08 43,313 --sh--w C:\WINDOWS\IGW.exe

2007-11-11 18:07 52,689 --sh--w C:\WINDOWS\swchost.exe

.

 

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Nota* entradas vazias & leg¡timas por defeito nÆo sÆo mostradas.

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:45 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"InCD"="C:\Arquivos de programas\Ahead\InCD\InCD.exe" [2005-06-10 11:20 1397760]

"!AVG Anti-Spyware"="C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 06:25 6731312]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:45 15360]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"DisableRegistryTools"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]

"{A3717295-941D-416F-9384-ED1736729F1C}"= C:\Arquivos de programas\Scpad\scpLIB.dll [2007-03-27 00:29 128512]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"CompIBBrd"= {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll [2007-03-27 00:29 128512]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]

LMIinit.dll 2007-05-25 15:22 63040 C:\WINDOWS\SYSTEM32\LMIinit.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"wuauserv"=2 (0x2)

 

R2 ASTRA32;ASTRA32 Kernel Driver 5.2.1.0;C:\Arquivos de programas\ASTRA32\ASTRA32.sys [2007-02-22 10:28]

R2 LMIInfo;LogMeIn Kernel Information Provider;C:\Arquivos de programas\LogMeIn\x86\RaInfo.sys [2007-04-17 14:00]

R2 LMIRfsDriver;LogMeIn Remote File System Driver;C:\WINDOWS\System32\drivers\LMIRfsDriver.sys [2007-04-05 11:55]

S3 eth8023;eth8023;C:\WINDOWS\system32\drivers\eth8023.sys [2008-02-17 03:52]

S3 SNCT511;PC Camera (6005 CIF);C:\WINDOWS\system32\DRIVERS\snct511.sys [2002-11-26 18:16]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{870c0afe-7076-11dc-8bf0-000b6a083683}]

\Shell\auto\command - E:\Knight.exe open

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Knight.exe open

\Shell\explore\command - E:\Knight.exe open

\Shell\find\command - E:\Knight.exe open

\Shell\install\command - E:\Knight.exe open

\Shell\open\command - E:\Knight.exe open

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{de3e861b-af50-11dc-8ce7-000b6a083683}]

\Shell\auto\command - E:\Knight.exe open

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Knight.exe open

\Shell\explore\command - E:\Knight.exe open

\Shell\find\command - E:\Knight.exe open

\Shell\install\command - E:\Knight.exe open

\Shell\open\command - E:\Knight.exe open

 

.

Conte£do da pasta 'Tarefas Agendadas'

"2008-02-16 12:00:15 C:\WINDOWS\Tasks\At10.job"

- C:\WINDOWS\system32\045Xbqy3.exe

"2008-02-16 13:00:07 C:\WINDOWS\Tasks\At11.job"

- C:\WINDOWS\system32\045Xbqy3.exe

"2008-02-16 14:00:06 C:\WINDOWS\Tasks\At12.job"

- C:\WINDOWS\system32\045Xbqy3.exe

"2008-02-16 15:00:06 C:\WINDOWS\Tasks\At13.job"

- C:\WINDOWS\system32\045Xbqy3.exe

"2008-02-16 16:00:06 C:\WINDOWS\Tasks\At14.job"

- C:\WINDOWS\system32\045Xbqy3.exe

"2008-02-15 17:00:02 C:\WINDOWS\Tasks\At15.job"

- C:\WINDOWS\system32\045Xbqy3.exe

"2008-02-15 18:00:06 C:\WINDOWS\Tasks\At16.job"

- C:\WINDOWS\system32\045Xbqy3.exe

"2008-02-15 19:00:03 C:\WINDOWS\Tasks\At17.job"

- C:\WINDOWS\system32\045Xbqy3.exe

"2008-02-16 20:00:04 C:\WINDOWS\Tasks\At18.job"

- C:\WINDOWS\system32\045Xbqy3.exe

"2008-02-17 21:00:02 C:\WINDOWS\Tasks\At19.job"

- C:\WINDOWS\system32\045Xbqy3.exe

"2008-02-17 04:00:06 C:\WINDOWS\Tasks\At2.job"

- C:\WINDOWS\system32\045Xbqy3.exe

"2008-02-15 22:00:02 C:\WINDOWS\Tasks\At20.job"

- C:\WINDOWS\system32\045Xbqy3.exe

"2008-02-15 23:00:02 C:\WINDOWS\Tasks\At21.job"

- C:\WINDOWS\system32\045Xbqy3.exe

"2008-02-17 00:00:03 C:\WINDOWS\Tasks\At22.job"

- C:\WINDOWS\system32\045Xbqy3.exe

"2008-02-17 01:00:02 C:\WINDOWS\Tasks\At23.job"

- C:\WINDOWS\system32\045Xbqy3.exe

"2008-02-17 02:00:05 C:\WINDOWS\Tasks\At24.job"

- C:\WINDOWS\system32\045Xbqy3.exe

"2008-02-17 05:00:05 C:\WINDOWS\Tasks\At3.job"

- C:\WINDOWS\system32\045Xbqy3.exe

"2008-02-17 06:00:03 C:\WINDOWS\Tasks\At4.job"

- C:\WINDOWS\system32\045Xbqy3.exe

"2008-02-16 07:00:07 C:\WINDOWS\Tasks\At5.job"

- C:\WINDOWS\system32\045Xbqy3.exe

"2008-02-16 08:00:10 C:\WINDOWS\Tasks\At6.job"

- C:\WINDOWS\system32\045Xbqy3.exe

"2008-02-16 09:00:18 C:\WINDOWS\Tasks\At7.job"

- C:\WINDOWS\system32\045Xbqy3.exe

"2008-02-16 10:00:20 C:\WINDOWS\Tasks\At8.job"

- C:\WINDOWS\system32\045Xbqy3.exe

"2008-02-16 11:00:18 C:\WINDOWS\Tasks\At9.job"

- C:\WINDOWS\system32\045Xbqy3.exe

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-17 18:28:01

Windows 5.1.2600 Service Pack 2 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializ veis ocultas ...

 

Procurando ficheiros ocultos ...

 

Varredura completada com sucesso

Ficheiros ocultos: 0

 

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

 

PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.2527]

-> C:\Arquivos de programas\WinRAR\rarext.dll

.

------------------------ Other Running Processes ------------------------

.

C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

C:\Arquivos de programas\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Arquivos de programas\TextPad 5\TextPad.exe

.

**************************************************************************

.

Tempo para conclusÆo: 2008-02-17 18:34:45 - machine was rebooted

ComboFix-quarantined-files.txt 2008-02-17 21:34:37

 

 

Relatório do HijackThis

 

Logfile of HijackThis v1.99.1

Scan saved at 18:48:00, on 17/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

C:\Arquivos de programas\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Ahead\InCD\InCD.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\explorer.exe

C:\Arquivos de programas\Microsoft Office\OFFICE11\OUTLOOK.EXE

C:\Arquivos de programas\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

C:\Arquivos de programas\MSN Messenger\usnsvc.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\system32\notepad.exe

C:\ARQUIV~1\WinZip\winzip32.exe

C:\DOCUME~1\Pri\CONFIG~1\Temp\HijackThis.exe

 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: ssh2 Class - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\Arquivos de programas\Scpad\scpsssh2.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [inCD] C:\Arquivos de programas\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\MSMSGS.EXE

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://img2.orkut.com/activex/10035/photouploader.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: LMIinit - C:\WINDOWS\SYSTEM32\LMIinit.dll

O21 - SSODL: CompIBBrd - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Arquivos de programas\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

[jgarcia 1]

Opa Bela Pri,

 

Siga as instruções:

 

1. Abra o Bloco de Notas -> Copie (Control + C) e Cole (Control + V) todo o texto incluído no "Quote":

File::

C:\WINDOWS\Tasks\At2.job

C:\WINDOWS\Tasks\At3.job

C:\WINDOWS\Tasks\At4.job

C:\WINDOWS\Tasks\At5.job

C:\WINDOWS\Tasks\At6.job

C:\WINDOWS\Tasks\At7.job

C:\WINDOWS\Tasks\At8.job

C:\WINDOWS\Tasks\At9.job

C:\WINDOWS\Tasks\At10.job

C:\WINDOWS\Tasks\At11.job

C:\WINDOWS\Tasks\At12.job

C:\WINDOWS\Tasks\At13.job

C:\WINDOWS\Tasks\At14.job

C:\WINDOWS\Tasks\At15.job

C:\WINDOWS\Tasks\At16.job

C:\WINDOWS\Tasks\At17.job

C:\WINDOWS\Tasks\At18.job

C:\WINDOWS\Tasks\At19.job

C:\WINDOWS\Tasks\At20.job

C:\WINDOWS\Tasks\At21.job

C:\WINDOWS\Tasks\At22.job

C:\WINDOWS\Tasks\At23.job

C:\WINDOWS\Tasks\At24.job

C:\WINDOWS\SYSTEM32\045Xbqy3.exe

C:\Arquivos de programas\desktop.ini

C:\Arquivos de programas\folder.htt

C:\WINDOWS\75976WL.DLL

C:\WINDOWS\75976WO.DLL

C:\WINDOWS\75976L.exe

C:\WINDOWS\75976M.exe

C:\WINDOWS\75976W.exe

C:\WINDOWS\IGW.exe

C:\WINDOWS\swchost.exe

C:\key.shm

E:\Knight.exe

Registry::

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{870c0afe-7076-11dc-8bf0-000b6a083683}]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{de3e861b-af50-11dc-8ce7-000b6a083683}]

ATENÇÃO: O script acima foi elaborado especificamente para a infecção contida neste computador. Utilizá-lo em outra máquina poderá originar graves problemas ao usuário.

• 2. Salve o arquivo como CFScript.txt;
   
  3. Tal como exemplificado na foto abaixo, arraste o arquivo CFScript.txt para o ComboFix.exe.
  
   
  4. Ao término do processo a ferramenta irá gerar um log. Poste-o (C:\ComboFix.txt) em sua próxima resposta.
  

Abraços.

[Bela Pri 0]

Oi José...

 

Desculpe a demora na postagem, sabe como é Facul começou só na correria rs...

Tentei fazer este processo mas ele abre o prompt do dos, porém diz que está iniciando, depois fecha e o relatorio na raiz do c: não é "alterado" ou criado, está com a ultima data de modificação, que foi a primeira vez q passei o combofix.

 

A tela é muito rapida, nao sei se deu erro, porém so consegui ler "O sistema" .... acho q não ajuda muito né? rsrsrs

Ah, e mais uma coisa, toda vez q rodo esse combofix minha data fica no formato: 2008-03-02

 

O que pode estar acontecendo?

 

Obrigada!!!

[jgarcia 1]

4. Ao término do processo a ferramenta irá gerar um log. Poste-o (C:\ComboFix.txt) em sua próxima resposta.

Não houve a geração do log (C:\ComboFix.txt)?

 

Ah, isto é normal:

.... toda vez q rodo esse combofix minha data fica no formato: 2008-03-02

[Bela Pri 0]

Olá,

 

Então, não gerou. Verifiquei a data de modificação e é a mesma.

Será que ocorreu algum erro no bat? Pois ele abre diz que está iniciando o processo, e fecha rapidamente.

[Bela Pri 0]

Mais uma coisa...vou postar aqui um print do gerenciador de tarefas, onde ele cria um iexplorer que consome quase toda memoria do meu computador.

 

Veja no proprio print que eu não estou com nenhum I.E aberto. Meu pc voltou a ficar lento.....

 

Como faço para postar a imagem? Não achei o local.

 

Obrigada!!!

[jgarcia 1]

Mais uma coisa...vou postar aqui um print do gerenciador de tarefas, onde ele cria um iexplorer que consome quase toda memoria do meu computador.

 

Veja no proprio print que eu não estou com nenhum I.E aberto. Meu pc voltou a ficar lento.....

 

Como faço para postar a imagem? Não achei o local.

 

Obrigada!!!

Utilize um serviço gratuito de upload, tal como o Imageshack e poste o link ou inclua a imagem utilizando a TAG inserir imagem .

 

Abraços.

[Bela Pri 0]

Segue imagem de consumo. Ele cria um novo Iexplorer que fica mais de 100mb consumindo, sou obrigada a fechar tudo!!!

 

[jgarcia 1]

Opa Bela Pri,

 

1. Baixe o BankerFix.

 

2. Desative o seu anti-vírus temporariamente.

 

3. Dê um duplo-clique sobre o bankerfix.exe. Uma mensagem aparecerá avisando que o mesmo será baixado via internet. Clique em Ok -> Ok. Aperte Enter e aguarde o término do scan.

 

4. Terminado o scan, leia a mensagem na tela e aperte Enter novamente.

 

5. Habilite o seu anti-vírus.

 

6. Retorne com um novo log do HijackThis, juntamente com o relatorio.txt do BankerFix (ele estará em C:\LinhaDefensiva\).

 

7. Depois de postar a sua resposta você poderá deletar a pasta LinhaDefensiva contida no C.

 

Abraços.

[Bela Pri 0]

Vamos lá....

 

Relatorio.txt

 

CODE

BankerFix 2.5b - Removedor de Bankers

Linha Defensiva - http://www.linhadefensiva.org

http://www.linhadefensiva.org/bankerfix/

Data: 2008-03-16 - 21:44

-------------------------------------------------------

Lista de Definição: 2008-02-22-1

=======================================================

 

 

Killando arquivos em Help

-----------------------------------

 

Killing '*'

 

Removendo Arquivos em Help

-----------------------------------

 

 

 

----- Fim -------------------------

Agora o do HijackThis

 

CODE

Logfile of HijackThis v1.99.1

Scan saved at 21:56, on 2008-03-16

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Ahead\InCD\InCD.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Skype\Phone\Skype.exe

C:\Arquivos de programas\Skype\Plugin Manager\skypePM.exe

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

C:\Arquivos de programas\MSN Messenger\usnsvc.exe

C:\Arquivos de programas\Microsoft Office\OFFICE11\OUTLOOK.EXE

C:\Arquivos de programas\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

C:\ARQUIV~1\WinZip\winzip32.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\ARQUIV~1\WinZip\winzip32.exe

C:\DOCUME~1\Pri\CONFIG~1\Temp\HijackThis.exe

 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: ssh2 Class - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\Arquivos de programas\Scpad\scpsssh2.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [inCD] C:\Arquivos de programas\Ahead\InCD\InCD.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\MSMSGS.EXE

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://img2.orkut.com/activex/10035/photouploader.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: LMIinit - C:\WINDOWS\SYSTEM32\LMIinit.dll

O21 - SSODL: CompIBBrd - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Arquivos de programas\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

 

[jgarcia 1]

Opa Bela Pri,

 

Execute o Active Scan da Panda, observando os seguintes procedimentos:

 

1) Alguns anti-vírus, tal como o AVAST, podem exibir um alerta de detecção durante a execução do scan, porém tal alerta deve ser ignorado. O aviso não passa de um falso-positivo. Sugiro que o AV seja desabilitado, temporariamente, a fim de que o scan ocorra sem problemas;

 

2) Para iniciar o processo, clique sobre o botão ;

 

3) Informe os dados solicitados no formulário;

 

4) Clique sobre o botão "Pesquise agora sem custos";

 

5) Siga todas as instruções que lhe serão passadas e aguarde o fim da varredura;

 

6) Ao término do scan, clique em visualizar o log. Salve-o em seu Desktop;

 

7) Poste o conteúdo do log em sua próxima resposta.

 

Abraços.

[Mário Monteiro 179]

Tópico Arquivado

 

Como o autor não respondeu por mais de 20 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.