[Arquivado] Virus Bagle

[super@nova 0]

:unsure: Será que alguém pode me ajudar??!! É a segunda vez que pego esse vírus Bagle no Emule, ele desativa o antivirus e não deixa instalar qualquer outro, o metodo que usei da primeira vez não está funcionando agora.O que faço?????

[DigRam 144]

:unsure: Será que alguém pode me ajudar??!! É a segunda vez que pego esse vírus Bagle no Emule, ele desativa o antivirus e não deixa instalar qualquer outro, o metodo que usei da primeira vez não está funcionando agora.O que faço?????

----------------------------

Opa! super@nova

Boa Noite!

 

<@> Faça o download do EliBagla.

<@> Salve-o no Desktop!

<@> Agora,vá ao seu ícone e execute a ferramenta!

<@> Terminando,reinicie o computador em Modo de Segurança. <-- Importante!

<@> Execute,novamente,o EliBagla!

<@> Reinicie em Modo Normal,e baixe:

 

< HijackThis >

 

<@> Salve-o em uma pasta própria,no Disco Local-C.

<@> Faça um scan com a ferramenta,clicando em Do a system scan and save a logfile.

---------------------------

<@> Poste os relatórios:

 

<!> infoSAT.txt + HijackThis.txt

 

Abraços!

[super@nova 0]

:unsure: Será que alguém pode me ajudar??!! É a segunda vez que pego esse vírus Bagle no Emule, ele desativa o antivirus e não deixa instalar qualquer outro, o metodo que usei da primeira vez não está funcionando agora.O que faço?????

----------------------------

Opa! super@nova

Boa Noite!

 

<@> Faça o download do EliBagla.

<@> Salve-o no Desktop!

<@> Agora,vá ao seu ícone e execute a ferramenta!

<@> Terminando,reinicie o computador em Modo de Segurança. <-- Importante!

<@> Execute,novamente,o EliBagla!

<@> Reinicie em Modo Normal,e baixe:

 

< HijackThis >

 

<@> Salve-o em uma pasta própria,no Disco Local-C.

<@> Faça um scan com a ferramenta,clicando em Do a system scan and save a logfile.

---------------------------

<@> Poste os relatórios:

 

<!> infoSAT.txt + HijackThis.txt

 

Abraços!

 

 

 

Olá Quote, boa noite e desculpe a demora pra responder!! Fiz o que você me passou e segue o log...

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:28:40, on 11/7/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\ARQUIV~1\ASSIST~1\SMARTB~1\MotiveSB.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\Smax4.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Documents and Settings\usuario\Desktop\tranqueiras\hijack\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.globo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60337

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60337

R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\ARQUIV~1\Crawler\Toolbar\ctbr.dll

(file missing)

R3 - URLSearchHook: torrent_search Toolbar - {f14b0ccd-aa41-4406-ab68-c5de9d85b4a3} - C:\Arquivos de

programas\torrent_search\tbtor1.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\ARQUIV~1\Crawler\Toolbar\ctbr.dll (file missing)

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Arquivos de programas\AVG\AVG8\avgssie.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARQUIV~1\AVG\AVG8\AVGTOO~1.DLL (file missing)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\arquivos de

programas\google\googletoolbar1.dll

O2 - BHO: torrent_search Toolbar - {f14b0ccd-aa41-4406-ab68-c5de9d85b4a3} - C:\Arquivos de

programas\torrent_search\tbtor1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de

programas\google\googletoolbar1.dll

O3 - Toolbar: Barra de Ferramentas &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\ARQUIV~1\Crawler\Toolbar\ctbr.dll (file missing)

O3 - Toolbar: torrent_search Toolbar - {f14b0ccd-aa41-4406-ab68-c5de9d85b4a3} - C:\Arquivos de

programas\torrent_search\tbtor1.dll

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARQUIV~1\AVG\AVG8\AVGTOO~1.DLL (file missing)

O4 - HKLM\..\Run: [Motive SmartBridge] "C:\ARQUIV~1\ASSIST~1\SMARTB~1\MotiveSB.exe" /restart

O4 - HKLM\..\Run: [soundMAX] "C:\Arquivos de programas\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.6.0_03\bin\jusched.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ares] "C:\Arquivos de programas\Ares\Ares.exe" -h

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Crawler Search - tbr:iemenu

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de

programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Arquivos de programas\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -

http://www.kaspersky.com/kos/eng/partner/d...can_unicode.cab%5b/url%5dO16%20-%20DPF:%20{41ACD49D-1974-791A-0981-AA9872721044}%20(Ganymede%20Board%20Games)%20-%20%5burl="http://200.212.184.212/g_bin/eng/boards_2_0_0_34.cab'>http://200.212.184.212/g_bin/eng/boards_2_0_0_34.ca

O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://img2.orkut.com/activex/10035/photouploader.cab

O16 - DPF: {60541D7A-4EF1-4117-9607-7C1B0EEAAD18} (Image Uploader Control) -

http://iu.ak.sonico.com//ImageUploader.cab

O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) -

http://www.atrativa.com.br/games/applets/g...mjolauncher.cab

O16 - DPF: {87056D28-9730-4A47-B9F9-7E890B62C58A} (WildfireActiveXHost Class) -

http://www.atrativa.com.br/games/applets/g...bugs/axhost.cab

O16 - DPF: {A7196C8E-35A5-4FF0-9E46-E28918B5CAF6} (GameDesire Domino) -

http://200.212.184.212/g_bin/eng/domino_2_0_0_33.cab

O16 - DPF: {AD7013FF-1D9A-4F36-94A6-3CD408A663F9} (GameDesire BreakOut) -

http://200.212.184.212/g_bin/eng/breakout_2_0_0_29.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) -

http://game09.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} - http://a532.g.akamai.net/f/532/6712/5m/vir...install/installer.exe

O16 - DPF: {D54160C3-DB7B-4534-9B65-190EE4A9C7F7} (SproutLauncherCtrl Class) -

http://www.atrativa.com.br/games/swf/feedi...outLauncher.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.atrativa.com.br/games/applets/p...opcaploader.cab

O16 - DPF: {FC4CAF5F-91BD-4DD9-ADC1-F3C737E37BC4} (CPlayFirstSweetopiaControl Object) -

http://www.atrativa.com.br/Sweetopia.1.0.0.20.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) -

http://200.212.184.212/g_bin/eng/billard8_2_0_0_35.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C4} (GameDesire Pool Training) -

http://200.212.184.212/g_bin/eng/billardt_2_0_0_35.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{FEC360F5-4560-4FDD-AB74-15DC7E3918BA}: NameServer =200.204.0.10 200.204.0.138

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Arquivos de programas\AVG\AVG

\avgpp.dll (file missing)

O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\ARQUIV~1\Crawler\Toolbar\ctbr.dll (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

--

End of file - 7764 bytes

[DigRam 144]

Boa Noite! super@nova

 

<!> Edite o post anterior e inclua o relatório infoSat.txt,que está faltando.

 

Abraços!

[super@nova 0]

Boa Noite! super@nova

 

<!> Edite o post anterior e inclua o relatório infoSat.txt,que está faltando.

 

Abraços!

 

 

Opa, boa noite... então eu tinha usado ontem o elibagla e mostrou 2 ficheiros infectados, hoje porém, fiz como foi pedido e não foi identificado o vírus. O problema é que não abriu o log da do infosat entendeu? E eu ainda não consegui instalar o antivirus!!!! :mellow: Outra coisa DigRam, não sei se tem a ver, mas essa página "somente essa" está dando erro no meu IE. Aparece (concluido mas contém erro na página)....

Achei o Log..... segue aí

 

 

 

 

Wed Feb 27 15:02:26 2008

EliBagle v10.88 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\WINTEMS.EXE.Muestra EliBagle v10.88

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\SROSA.SYS.Muestra EliBagle v10.88

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.88

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

 

Wed Feb 27 21:12:25 2008

EliBagle v11.07 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.

 

Wed Feb 27 21:12:59 2008

EliBagle v11.07 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\usuario\HDASHCUT.EXE --> Eliminado Bagle.dldr

C:\Documents and Settings\usuario\Desktop\professional\ZUMA PRO 4.EXE --> Eliminado Bagle.dldr

C:\Documents and Settings\usuario\Desktop\professional\ZUMA PROFESSIONAL EDITION 4.0 [KEY+SERIAL].EXE --> Eliminado Bagle.dldr

C:\Documents and Settings\usuario\Desktop\zuma\HDASHCUT.EXE --> Eliminado Bagle.dldr

C:\Documents and Settings\usuario\Desktop\zuma\ZUMA PROFESSIONAL EDITION 4.0 [KEY+SERIAL].EXE --> Eliminado Bagle.dldr

C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

 

Nº Total de Directorios: 2655

Nº Total de Ficheros: 32535

Nº de Ficheros Analizados: 7361

Nº de Ficheros Infectados: 6

Nº de Ficheros Limpiados: 6

 

Wed Feb 27 21:19:43 2008

EliBagle v11.07 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.

 

Wed Feb 27 21:20:18 2008

EliBagle v11.07 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

 

Nº Total de Directorios: 2655

Nº Total de Ficheros: 32530

Nº de Ficheros Analizados: 7356

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

 

Wed Feb 27 21:25:44 2008

EliBagle v11.07 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.

 

Wed Feb 27 21:25:47 2008

EliBagle v11.07 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

 

Nº Total de Directorios: 2655

Nº Total de Ficheros: 32531

Nº de Ficheros Analizados: 7356

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

 

Wed Feb 27 21:30:36 2008

EliBagle v11.07 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.

 

Wed Feb 27 21:30:39 2008

EliBagle v11.07 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\usuario\HDASHCUT.EXE --> Eliminado Bagle.dldr

C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

 

Nº Total de Directorios: 2655

Nº Total de Ficheros: 32536

Nº de Ficheros Analizados: 7357

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

 

Wed Feb 27 21:32:35 2008

EliBagle v11.07 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.

 

Wed Feb 27 21:32:40 2008

EliBagle v11.07 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\usuario\HDASHCUT.EXE --> Eliminado Bagle.dldr

C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

 

Nº Total de Directorios: 2655

Nº Total de Ficheros: 32536

Nº de Ficheros Analizados: 7357

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

 

Wed Feb 27 22:13:13 2008

EliBagle v11.07 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.

 

Wed Feb 27 22:15:09 2008

EliBagle v11.07 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.

 

Wed Feb 27 22:15:12 2008

EliBagle v11.07 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\usuario\HDASHCUT.EXE --> Eliminado Bagle.dldr

C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

 

Nº Total de Directorios: 2655

Nº Total de Ficheros: 32136

Nº de Ficheros Analizados: 7359

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

 

Wed Feb 27 22:20:50 2008

EliBagle v11.07 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.

 

Wed Feb 27 22:20:52 2008

EliBagle v11.07 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\usuario\HDASHCUT.EXE --> Eliminado Bagle.dldr

C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

 

Nº Total de Directorios: 2655

Nº Total de Ficheros: 32137

Nº de Ficheros Analizados: 7359

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

 

Wed Feb 27 22:37:42 2008

EliBagle v11.07 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.

 

Wed Feb 27 22:37:44 2008

EliBagle v11.07 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\usuario\HDASHCUT.EXE --> Eliminado Bagle.dldr

C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

 

Nº Total de Directorios: 2655

Nº Total de Ficheros: 32138

Nº de Ficheros Analizados: 7359

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

 

Thu Feb 28 12:42:21 2008

EliBagle v11.07 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.

 

Thu Feb 28 12:42:38 2008

EliBagle v11.07 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\usuario\HDASHCUT.EXE --> Eliminado Bagle.dldr

C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

C:\WINDOWS\system32\WINTEMS.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

 

Nº Total de Directorios: 2659

Nº Total de Ficheros: 33455

Nº de Ficheros Analizados: 7361

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3

 

Thu Feb 28 12:52:07 2008

EliBagle v11.07 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.

 

Thu Feb 28 12:52:10 2008

EliBagle v11.07 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

C:\WINDOWS\system32\WINTEMS.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

 

Nº Total de Directorios: 2656

Nº Total de Ficheros: 33443

Nº de Ficheros Analizados: 7360

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

 

Thu Feb 28 12:58:07 2008

EliBagle v11.07 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.

 

Thu Feb 28 12:58:10 2008

EliBagle v11.07 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\usuario\HDASHCUT.EXE --> Eliminado Bagle.dldr

C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

C:\WINDOWS\system32\WINTEMS.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

 

Nº Total de Directorios: 2656

Nº Total de Ficheros: 33445

Nº de Ficheros Analizados: 7361

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3

 

Thu Feb 28 13:04:22 2008

EliBagle v11.07 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.

 

Thu Feb 28 13:04:28 2008

EliBagle v11.07 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\usuario\HDASHCUT.EXE --> Eliminado Bagle.dldr

C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

C:\WINDOWS\system32\WINTEMS.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

 

Nº Total de Directorios: 2656

Nº Total de Ficheros: 33446

Nº de Ficheros Analizados: 7361

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3

 

Thu Jul 10 18:47:03 2008

EliBagle v11.59 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.

 

Thu Jul 10 18:48:59 2008

EliBagle v11.59 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

 

Nº Total de Directorios: 4089

Nº Total de Ficheros: 142288

Nº de Ficheros Analizados: 7754

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

 

Thu Jul 10 19:08:00 2008

EliBagle v11.59 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

 

Nº Total de Directorios: 46

Nº Total de Ficheros: 329

Nº de Ficheros Analizados: 25

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.

 

Thu Jul 10 19:15:27 2008

EliBagle v11.59 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr

 

Thu Jul 10 19:15:34 2008

EliBagle v11.59 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\All Users\Dados de aplicativos\Avg8\update\backup\AVGTRAY.EXE --> Eliminado Bagle.dldr

C:\WINDOWS\system32\drivers\MDELK.EXE --> Eliminado Bagle.dldr

 

Nº Total de Directorios: 4086

Nº Total de Ficheros: 142267

Nº de Ficheros Analizados: 7708

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

 

Fri Jul 11 15:24:30 2008

EliBagle v11.59 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

 

Fri Jul 11 15:24:36 2008

EliBagle v11.59 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

 

Nº Total de Directorios: 4092

Nº Total de Ficheros: 143706

Nº de Ficheros Analizados: 7700

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

 

Fri Jul 11 15:56:22 2008

EliBagle v11.59 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

 

Nº Total de Directorios: 4093

Nº Total de Ficheros: 143713

Nº de Ficheros Analizados: 7700

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

 

Fri Jul 11 18:30:16 2008

EliBagle v11.59 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

 

Fri Jul 11 18:30:21 2008

EliBagle v11.59 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

 

Nº Total de Directorios: 4127

Nº Total de Ficheros: 144509

Nº de Ficheros Analizados: 7705

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

 

Fri Jul 11 18:44:33 2008

EliBagle v11.59 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

 

Nº Total de Directorios: 759

Nº Total de Ficheros: 7431

Nº de Ficheros Analizados: 450

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.

 

Fri Jul 11 18:48:46 2008

EliBagle v11.59 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

 

Fri Jul 11 18:48:51 2008

EliBagle v11.59 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

 

Nº Total de Directorios: 4127

Nº Total de Ficheros: 144509

Nº de Ficheros Analizados: 7705

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

 

Fri Jul 11 19:00:05 2008

EliBagle v11.59 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

 

Fri Jul 11 19:00:10 2008

EliBagle v11.59 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

 

Nº Total de Directorios: 4127

Nº Total de Ficheros: 144509

Nº de Ficheros Analizados: 7705

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

 

Fri Jul 11 19:52:57 2008

EliBagle v11.59 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

 

Fri Jul 11 19:52:59 2008

EliBagle v11.59 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

 

Nº Total de Directorios: 4128

Nº Total de Ficheros: 144679

Nº de Ficheros Analizados: 7706

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

 

Fri Jul 11 20:57:12 2008

EliBagle v11.59 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

 

Fri Jul 11 20:57:27 2008

EliBagle v11.59 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Julio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

 

Nº Total de Directorios: 4128

Nº Total de Ficheros: 145222

Nº de Ficheros Analizados: 7707

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

 

 

Este é o log do Combofix

ComboFix 08-07-11.1 - usuario 2008-07-11 22:19:41.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.288 [GMT -3:00]

Executando de: C:\Documents and Settings\usuario\Desktop\tranqueiras\hijack\kombo.exe

* Criado um novo ponto de restauro

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

 

((((((((((((((((((((((((((((((((((((( Outras Exclusäes )))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\BM4bee6f57.txt

C:\WINDOWS\pskt.ini

C:\WINDOWS\system32\drivers\downld

C:\WINDOWS\system32\drivers\downld\221390.exe

C:\WINDOWS\system32\drivers\downld\330218.exe

C:\WINDOWS\system32\drivers\downld\551500.exe

C:\WINDOWS\system32\drivers\downld\556750.exe

C:\WINDOWS\system32\drivers\downld\607562.exe

C:\WINDOWS\system32\drivers\downld\635625.exe

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_ASC3550P

-------\Legacy_SROSA

-------\Service_asc3550p

 

 

((((((((((((((((((((((( Ficheiros criados de 2008-06-12 to 2008-07-12 ))))))))))))))))))))))))))))))))

.

 

2008-07-11 17:14 . 2007-01-07 18:44 802,816 --a------ C:\WINDOWS\FeedingFrenzy.scr

2008-07-11 17:06 . 2008-07-11 17:14 <DIR> d-------- C:\Arquivos de programas\GameHouse

2008-07-10 19:53 . 2008-07-10 19:53 <DIR> d-------- C:\Documents and Settings\usuario\Dados de aplicativos\AVGTOOLBAR

2008-07-05 17:54 . 2008-07-05 17:54 <DIR> d-------- C:\Arquivos de programas\Arquivos comuns\Adobe AIR

2008-07-04 17:03 . 2008-07-10 18:22 <DIR> d-------- C:\Arquivos de programas\torrent_search

2008-07-01 14:41 . 2008-07-04 17:04 <DIR> d-------- C:\Arquivos de programas\Windows Media Connect 2

2008-07-01 14:39 . 2008-07-04 17:04 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF

2008-06-28 18:46 . 2008-07-04 17:03 <DIR> d-------- C:\Arquivos de programas\Insaniquarium Deluxe

2008-06-28 18:40 . 2008-07-10 18:16 <DIR> d-------- C:\Arquivos de programas\Astraware

2008-06-28 18:21 . 2008-07-02 20:43 <DIR> d-------- C:\Documents and Settings\usuario\.scorched3d

2008-06-28 17:01 . 2008-06-28 17:01 <DIR> d-------- C:\games

2008-06-28 16:54 . 2008-07-04 17:03 <DIR> d-------- C:\Arquivos de programas\Scorched3D

2008-06-28 16:48 . 2008-06-28 16:48 258,048 --------- C:\WINDOWS\Setup1.exe

2008-06-28 16:48 . 2008-06-28 16:48 73,216 --a------ C:\WINDOWS\ST6UNST.EXE

2008-06-27 14:02 . 2008-06-27 14:02 <DIR> d-------- C:\Documents and Settings\All Users\Dados de aplicativos\Escape From Paradise

2008-06-25 17:24 . 2008-07-04 17:03 <DIR> d-------- C:\Arquivos de programas\Alawar

2008-06-23 18:43 . 2008-07-10 18:16 <DIR> d-------- C:\Arquivos de programas\Funny Chewer

2008-06-22 17:10 . 2008-06-22 17:10 <DIR> d-------- C:\Arquivos de programas\arcadestudio.com

2008-06-21 12:52 . 2008-06-21 12:52 <DIR> d-------- C:\Documents and Settings\usuario\Dados de aplicativos\Playrix Entertainment

2008-06-20 21:07 . 2008-06-22 16:32 <DIR> d-------- C:\Arquivos de programas\3D Arctic Bear Advanced

2008-06-20 21:07 . 2006-12-08 14:19 626,688 --a------ C:\WINDOWS\system32\arctic.scr

2008-06-20 19:27 . 2008-06-20 19:27 <DIR> d-------- C:\Arquivos de programas\Arcade Classic Pack

2008-06-19 17:15 . 2008-06-19 17:15 <DIR> d-------- C:\Arquivos de programas\3D Arctic Bear

2008-06-19 17:15 . 2007-05-09 17:19 581,632 --a------ C:\WINDOWS\system32\arcticfr.scr

2008-06-16 15:10 . 2008-06-16 15:11 <DIR> d-------- C:\Virtual

2008-06-16 15:08 . 2008-06-16 15:08 <DIR> d-------- C:\WINDOWS\E4153266612C460FAB94C9DB6802459A.TMP

2008-06-16 15:08 . 2008-06-16 15:08 <DIR> d-------- C:\Documents and Settings\All Users\Dados de aplicativos\BufferZone

2008-06-16 15:08 . 2008-07-02 20:42 <DIR> d-------- C:\Arquivos de programas\securedie

2008-06-16 15:08 . 2008-07-04 17:03 <DIR> d-------- C:\Arquivos de programas\Secured IE

2008-06-15 22:46 . 2008-06-15 22:46 <DIR> d--h----- C:\WINDOWS\$hf_mig$

2008-06-15 16:29 . 2008-06-15 16:29 <DIR> d-------- C:\Arquivos de programas\ReflexiveArcade

2008-06-13 15:29 . 2008-06-14 12:47 <DIR> d-------- C:\Arquivos de programas\Farm Frenzy

2008-06-13 12:48 . 2008-06-13 12:48 <DIR> d-------- C:\Documents and Settings\All Users\Dados de aplicativos\Farm Frenzy

 

.

((((((((((((((((((((((((((((((((((((( Relat¢rio Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-07-11 23:13 --------- d---a-w C:\Documents and Settings\All Users\Dados de aplicativos\Avg8

2008-07-11 20:14 --------- d-----w C:\Documents and Settings\usuario\Dados de aplicativos\GameHouse

2008-07-11 01:24 --------- d-----w C:\Documents and Settings\usuario\Dados de aplicativos\Wildfire

2008-07-10 21:17 --------- d-----w C:\Arquivos de programas\Java

2008-07-10 20:54 --------- d-----w C:\Arquivos de programas\eMule

2008-07-06 16:37 --------- d-----w C:\Documents and Settings\usuario\Dados de aplicativos\LimeWire

2008-07-04 23:30 --------- d-----w C:\Arquivos de programas\Atrativa Games

2008-07-04 20:03 --------- d-----w C:\Arquivos de programas\Microsoft Silverlight

2008-07-04 20:03 --------- d-----w C:\Arquivos de programas\Conduit

2008-06-28 21:46 737,280 ----a-w C:\WINDOWS\iun6002.exe

2008-06-21 14:36 --------- d---a-w C:\Documents and Settings\All Users\Dados de aplicativos\TEMP

2008-06-19 18:12 --------- d-----w C:\Arquivos de programas\Arquivos comuns\Adobe

2008-06-16 17:40 --------- d-----w C:\Documents and Settings\All Users\Dados de aplicativos\JollyBear

2008-06-15 14:47 --------- d-----w C:\Documents and Settings\All Users\Dados de aplicativos\MumboJumbo

2008-06-15 13:23 --------- d-----w C:\Documents and Settings\usuario\Dados de aplicativos\PlayFirst

2008-06-15 13:23 --------- d-----w C:\Documents and Settings\All Users\Dados de aplicativos\PlayFirst

2008-06-14 17:19 --------- d-----w C:\Arquivos de programas\MSN Messenger

2008-06-11 18:32 --------- d-----w C:\Documents and Settings\All Users\Dados de aplicativos\IM

2008-06-11 18:30 --------- d-----w C:\Documents and Settings\All Users\Dados de aplicativos\IncrediMail

2008-06-08 22:12 --------- d-----w C:\Documents and Settings\usuario\Dados de aplicativos\Talkback

2008-06-08 22:12 --------- d-----w C:\Documents and Settings\All Users\Dados de aplicativos\n7-89-o9-3r-4t-r9

2008-06-08 00:00 --------- d-----w C:\Documents and Settings\usuario\Dados de aplicativos\Super-Cow

2008-06-07 23:45 --------- d-----w C:\Documents and Settings\usuario\Dados de aplicativos\RM Royal Media Ltd

2008-06-06 11:34 98,304 ----a-w C:\WINDOWS\DUMP4083.tmp

2008-06-01 22:30 --------- d-----w C:\Arquivos de programas\AVG

2008-06-01 22:22 --------- d-----w C:\Documents and Settings\All Users\Dados de aplicativos\Spybot - Search & Destroy

2008-05-09 14:05 98,304 ----a-w C:\WINDOWS\DUMP3671.tmp

2008-05-09 14:03 98,304 ----a-w C:\WINDOWS\DUMP36a0.tmp

2008-01-30 22:53 32 ----a-w C:\Documents and Settings\All Users\Dados de aplicativos\ezsid.dat

.

 

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Nota* entradas vazias & leg¡timas por defeito nÆo sÆo mostradas.

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:45 15360]

"MsnMsgr"="C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" [2007-01-19 11:54 5674352]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Motive SmartBridge"="C:\ARQUIV~1\ASSIST~1\SMARTB~1\MotiveSB.exe" [2005-04-15 15:46 397312]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016]

"Adobe Reader Speed Launcher"="C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:45 15360]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys]

@="Driver"

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe"=

"C:\\Arquivos de programas\\MSN Messenger\\livecall.exe"=

"C:\\Arquivos de programas\\eMule\\emule.exe"=

"C:\\Arquivos de programas\\LimeWire\\LimeWire.exe"=

 

S3 Asushwio;Asushwio;C:\WINDOWS\system32\drivers\Asushwio.sys [2004-04-26 12:26]

 

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{43564368-4375-8601-4371-458454791235}]

C:\WINDOWS\system32\tcpdiss.exe /r

.

- - - - ORPHANS REMOVED - - - -

 

HKCU-Run-ares - C:\Arquivos de programas\Ares\Ares.exe

HKLM-Run-SunJavaUpdateSched - C:\Arquivos de programas\Java\jre1.6.0_03\bin\jusched.exe

 

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-07-11 22:30:26

Windows 5.1.2600 Service Pack 2 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializ veis ocultas ...

 

Procurando ficheiros ocultos ...

 

 

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\wscntfy.exe

.

**************************************************************************

.

Tempo para conclusÆo: 2008-07-11 22:40:20 - machine was rebooted

ComboFix-quarantined-files.txt 2008-07-12 01:39:16

ComboFix2.txt 2008-06-01 22:04:19

ComboFix3.txt 2008-02-29 15:59:43

 

Pre-Run: 38,135,574,528 bytes disponíveis

Post-Run: 40,984,731,648 bytes dispon¡veis

 

153 --- E O F --- 2008-06-16 01:47:10

 

 

Esse do HJK

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:46:23, on 11/7/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\ARQUIV~1\ASSIST~1\SMARTB~1\MotiveSB.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\notepad.exe

C:\Arquivos de programas\internet explorer\iexplore.exe

C:\Documents and Settings\usuario\Desktop\tranqueiras\hijack\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.globo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60337

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60337

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\ARQUIV~1\Crawler\Toolbar\ctbr.dll (file missing)

R3 - URLSearchHook: torrent_search Toolbar - {f14b0ccd-aa41-4406-ab68-c5de9d85b4a3} - C:\Arquivos de programas\torrent_search\tbtor1.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\ARQUIV~1\Crawler\Toolbar\ctbr.dll (file missing)

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Arquivos de programas\AVG\AVG8\avgssie.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARQUIV~1\AVG\AVG8\AVGTOO~1.DLL (file missing)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\arquivos de programas\google\googletoolbar1.dll

O2 - BHO: torrent_search Toolbar - {f14b0ccd-aa41-4406-ab68-c5de9d85b4a3} - C:\Arquivos de programas\torrent_search\tbtor1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar1.dll

O3 - Toolbar: Barra de Ferramentas &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\ARQUIV~1\Crawler\Toolbar\ctbr.dll (file missing)

O3 - Toolbar: torrent_search Toolbar - {f14b0ccd-aa41-4406-ab68-c5de9d85b4a3} - C:\Arquivos de programas\torrent_search\tbtor1.dll

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARQUIV~1\AVG\AVG8\AVGTOO~1.DLL (file missing)

O4 - HKLM\..\Run: [Motive SmartBridge] "C:\ARQUIV~1\ASSIST~1\SMARTB~1\MotiveSB.exe" /restart

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Crawler Search - tbr:iemenu

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Arquivos de programas\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...can_unicode.cab

O16 - DPF: {41ACD49D-1974-791A-0981-AA9872721044} (Ganymede Board Games) - http://200.212.184.212/g_bin/eng/boards_2_0_0_34.cab

O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://img2.orkut.com/activex/10035/photouploader.cab

O16 - DPF: {60541D7A-4EF1-4117-9607-7C1B0EEAAD18} (Image Uploader Control) - http://iu.ak.sonico.com//ImageUploader.cab

O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://www.atrativa.com.br/games/applets/g...mjolauncher.cab

O16 - DPF: {87056D28-9730-4A47-B9F9-7E890B62C58A} (WildfireActiveXHost Class) - http://www.atrativa.com.br/games/applets/g...bugs/axhost.cab

O16 - DPF: {A7196C8E-35A5-4FF0-9E46-E28918B5CAF6} (GameDesire Domino) - http://200.212.184.212/g_bin/eng/domino_2_0_0_33.cab

O16 - DPF: {AD7013FF-1D9A-4F36-94A6-3CD408A663F9} (GameDesire BreakOut) - http://200.212.184.212/g_bin/eng/breakout_2_0_0_29.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game09.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} - http://a532.g.akamai.net/f/532/6712/5m/vir...l/installer.exe

O16 - DPF: {D54160C3-DB7B-4534-9B65-190EE4A9C7F7} (SproutLauncherCtrl Class) - http://www.atrativa.com.br/games/swf/feedi...outLauncher.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.atrativa.com.br/games/applets/p...opcaploader.cab

O16 - DPF: {FC4CAF5F-91BD-4DD9-ADC1-F3C737E37BC4} (CPlayFirstSweetopiaControl Object) - http://www.atrativa.com.br/Sweetopia.1.0.0.20.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://200.212.184.212/g_bin/eng/billard8_2_0_0_35.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C4} (GameDesire Pool Training) - http://200.212.184.212/g_bin/eng/billardt_2_0_0_35.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{FEC360F5-4560-4FDD-AB74-15DC7E3918BA}: NameServer = 200.204.0.10 200.204.0.138

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Arquivos de programas\AVG\AVG8\avgpp.dll (file missing)

O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\ARQUIV~1\Crawler\Toolbar\ctbr.dll (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

--

End of file - 7780 bytes

 

 

Bom dia DigRam... tenho problemas... acho que não vou poder fazer o que você me passou!!! teria um outro jeito?

[DigRam 144]

Bom Dia! super@nova

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

<!> Vamos,então,providenciar a instalação do RC!

------------------------

<!> Vá ao site da Microsoft: < Link >

 

<!> Selecione o download,que seja adequado,ao seu Sistema Operacional!

 

 

<!> Faça o download,do arquivo,e salve-o no seu desktop.

<!> Feche todos os programas,que estejam abertos!

<!> Feche,também,seus programas de proteção! ( Antivírus,Antispywares e Firewall )

<!> Arraste o setup,baixado do site da Microsoft,para o interior do ComboFix.exe

<!> Veja,abaixo,a demonstração!

 

 

<!> Siga as mensagens que aparecem na tela,para iniciar o ComboFix.

<!> Aceite o contrato da Microsoft,para instalar o "Console de Recuperação da Microsoft".

<!> Na próxima mensagem,clique em "Yes",para realizar um scan com o ComboFix.

 

 

<!> Terminando,poste os relatórios:

 

<!> C:\ComboFix.txt + HijackThis,atualizado.

 

Abraços!

[super@nova 0]

Boa noite DigRam. Valeu a ajuda, consegui remover o vírus do computador e reinstalar o antivirus. Obrigada.

 

Olá DigRam, desculpe... hj que vi sua resposta! Segue o que você me pediu.

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:22:55, on 21/7/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\ARQUIV~1\ASSIST~1\SMARTB~1\MotiveSB.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe

C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\MSN Messenger\usnsvc.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Documents and Settings\usuario\Desktop\tranqueiras\hijack\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.globo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60337

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60337

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\ARQUIV~1\Crawler\Toolbar\ctbr.dll (file missing)

R3 - URLSearchHook: torrent_search Toolbar - {f14b0ccd-aa41-4406-ab68-c5de9d85b4a3} - C:\Arquivos de programas\torrent_search\tbtor1.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\ARQUIV~1\Crawler\Toolbar\ctbr.dll (file missing)

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Arquivos de programas\AVG\AVG8\avgssie.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARQUIV~1\AVG\AVG8\AVGTOO~1.DLL (file missing)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\arquivos de programas\google\googletoolbar1.dll

O2 - BHO: torrent_search Toolbar - {f14b0ccd-aa41-4406-ab68-c5de9d85b4a3} - C:\Arquivos de programas\torrent_search\tbtor1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar1.dll

O3 - Toolbar: Barra de Ferramentas &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\ARQUIV~1\Crawler\Toolbar\ctbr.dll (file missing)

O3 - Toolbar: torrent_search Toolbar - {f14b0ccd-aa41-4406-ab68-c5de9d85b4a3} - C:\Arquivos de programas\torrent_search\tbtor1.dll

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARQUIV~1\AVG\AVG8\AVGTOO~1.DLL (file missing)

O4 - HKLM\..\Run: [Motive SmartBridge] "C:\ARQUIV~1\ASSIST~1\SMARTB~1\MotiveSB.exe" /restart

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [AVP] "C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Crawler Search - tbr:iemenu

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra button: Estatísticas do Antivírus da Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Arquivos de programas\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...can_unicode.cab

O16 - DPF: {41ACD49D-1974-791A-0981-AA9872721044} (Ganymede Board Games) - http://200.212.184.212/g_bin/eng/boards_2_0_0_34.cab

O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://img2.orkut.com/activex/10035/photouploader.cab

O16 - DPF: {60541D7A-4EF1-4117-9607-7C1B0EEAAD18} (Image Uploader Control) - http://iu.ak.sonico.com//ImageUploader.cab

O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://www.atrativa.com.br/games/applets/g...mjolauncher.cab

O16 - DPF: {87056D28-9730-4A47-B9F9-7E890B62C58A} (WildfireActiveXHost Class) - http://www.atrativa.com.br/games/applets/g...bugs/axhost.cab

O16 - DPF: {A7196C8E-35A5-4FF0-9E46-E28918B5CAF6} (GameDesire Domino) - http://200.212.184.212/g_bin/eng/domino_2_0_0_33.cab

O16 - DPF: {AD7013FF-1D9A-4F36-94A6-3CD408A663F9} (GameDesire BreakOut) - http://200.212.184.212/g_bin/eng/breakout_2_0_0_29.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game09.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} - http://a532.g.akamai.net/f/532/6712/5m/vir...l/installer.exe

O16 - DPF: {D54160C3-DB7B-4534-9B65-190EE4A9C7F7} (SproutLauncherCtrl Class) - http://www.atrativa.com.br/games/swf/feedi...outLauncher.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.atrativa.com.br/games/applets/p...opcaploader.cab

O16 - DPF: {FC4CAF5F-91BD-4DD9-ADC1-F3C737E37BC4} (CPlayFirstSweetopiaControl Object) - http://www.atrativa.com.br/Sweetopia.1.0.0.20.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://200.212.184.212/g_bin/eng/billard8_2_0_0_35.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C4} (GameDesire Pool Training) - http://200.212.184.212/g_bin/eng/billardt_2_0_0_35.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{FEC360F5-4560-4FDD-AB74-15DC7E3918BA}: NameServer = 200.204.0.10 200.204.0.138

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Arquivos de programas\AVG\AVG8\avgpp.dll (file missing)

O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\ARQUIV~1\Crawler\Toolbar\ctbr.dll (file missing)

O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

--

End of file - 8393 bytes

 

ComboFix 08-07-11.1 - usuario 2008-07-21 19:27:54.3 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.247 [GMT -3:00]

Executando de: C:\Documents and Settings\usuario\Desktop\tranqueiras\hijack\kombo.exe

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

 

((((((((((((((((((((((( Ficheiros criados de 2008-06-21 to 2008-07-21 ))))))))))))))))))))))))))))))))

.

 

2008-07-21 19:26 . 2008-07-21 19:46 <DIR> d-------- C:\kombo

2008-07-16 09:36 . 2008-07-16 09:36 1,192 --a------ C:\WINDOWS\mozver.dat

2008-07-14 19:12 . 2008-07-14 19:12 <DIR> d-------- C:\Documents and Settings\All Users\Dados de aplicativos\Google Updater

2008-07-13 21:01 . 2008-07-18 10:41 <DIR> d-------- C:\Arquivos de programas\Ganymede

2008-07-12 12:40 . 2008-07-12 12:52 96,966 --a------ C:\WINDOWS\system32\drivers\klin.dat

2008-07-12 12:40 . 2008-07-12 12:52 88,774 --a------ C:\WINDOWS\system32\drivers\klick.dat

2008-07-12 12:39 . 2008-07-12 12:39 <DIR> d-------- C:\Arquivos de programas\Kaspersky Lab

2008-07-12 12:39 . 2008-03-03 09:39 31,896,064 --a------ C:\kav.br.msi

2008-07-12 12:39 . 2007-09-05 13:56 2,684,884 --a------ C:\kav7.0pb.pdf

2008-07-12 12:39 . 2008-07-21 19:46 1,847,584 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat

2008-07-12 12:39 . 2008-07-21 19:44 36,640 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat

2008-07-12 12:39 . 2008-07-20 21:21 23,300 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx

2008-07-12 12:39 . 2008-07-20 21:21 3,932 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx

2008-07-12 12:39 . 2008-07-03 12:07 646 --a------ C:\setup.reg

2008-07-12 12:39 . 2008-07-03 12:07 646 --a------ C:\setup.reg

2008-07-12 12:09 . 2008-07-12 12:09 <DIR> d--hs---- C:\RECYCLER

2008-07-11 17:14 . 2007-01-07 18:44 802,816 --a------ C:\WINDOWS\FeedingFrenzy.scr

2008-07-11 17:06 . 2008-07-11 17:14 <DIR> d-------- C:\Arquivos de programas\GameHouse

2008-07-10 19:53 . 2008-07-12 12:06 <DIR> d-------- C:\Documents and Settings\usuario\Dados de aplicativos\AVGTOOLBAR

2008-07-05 17:54 . 2008-07-05 17:54 <DIR> d-------- C:\Arquivos de programas\Arquivos comuns\Adobe AIR

2008-07-04 17:03 . 2008-07-10 18:22 <DIR> d-------- C:\Arquivos de programas\torrent_search

2008-07-01 14:41 . 2008-07-04 17:04 <DIR> d-------- C:\Arquivos de programas\Windows Media Connect 2

2008-07-01 14:39 . 2008-07-04 17:04 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF

2008-06-28 18:46 . 2008-07-04 17:03 <DIR> d-------- C:\Arquivos de programas\Insaniquarium Deluxe

2008-06-28 18:40 . 2008-07-10 18:16 <DIR> d-------- C:\Arquivos de programas\Astraware

2008-06-28 18:21 . 2008-07-02 20:43 <DIR> d-------- C:\Documents and Settings\usuario\.scorched3d

2008-06-28 17:01 . 2008-06-28 17:01 <DIR> d-------- C:\games

2008-06-28 17:01 . 2008-06-28 17:01 <DIR> d-------- C:\games

2008-06-28 16:54 . 2008-07-04 17:03 <DIR> d-------- C:\Arquivos de programas\Scorched3D

2008-06-28 16:48 . 2008-06-28 16:48 258,048 --------- C:\WINDOWS\Setup1.exe

2008-06-28 16:48 . 2008-06-28 16:48 73,216 --a------ C:\WINDOWS\ST6UNST.EXE

2008-06-27 14:02 . 2008-06-27 14:02 <DIR> d-------- C:\Documents and Settings\All Users\Dados de aplicativos\Escape From Paradise

2008-06-25 17:24 . 2008-07-04 17:03 <DIR> d-------- C:\Arquivos de programas\Alawar

2008-06-23 18:43 . 2008-07-10 18:16 <DIR> d-------- C:\Arquivos de programas\Funny Chewer

2008-06-22 17:10 . 2008-06-22 17:10 <DIR> d-------- C:\Arquivos de programas\arcadestudio.com

2008-06-21 12:52 . 2008-06-21 12:52 <DIR> d-------- C:\Documents and Settings\usuario\Dados de aplicativos\Playrix Entertainment

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-07-21 21:26 --------- d-----w C:\Documents and Settings\usuario\Dados de aplicativos\Wildfire

2008-07-21 14:37 --------- d-----w C:\Documents and Settings\All Users\Dados de aplicativos\Kaspersky Lab

2008-07-18 13:48 --------- d-----w C:\Documents and Settings\usuario\Dados de aplicativos\GanymedeNet

2008-07-18 12:32 --------- d-----w C:\Documents and Settings\usuario\Dados de aplicativos\LimeWire

2008-07-14 22:12 --------- d-----w C:\Arquivos de programas\Google

2008-07-12 15:53 112,144 ----a-w C:\WINDOWS\system32\drivers\kl1.sys

2008-07-12 15:07 --------- d---a-w C:\Documents and Settings\All Users\Dados de aplicativos\Avg8

2008-07-11 20:14 --------- d-----w C:\Documents and Settings\usuario\Dados de aplicativos\GameHouse

2008-07-10 21:17 --------- d-----w C:\Arquivos de programas\Java

2008-07-10 20:54 --------- d-----w C:\Arquivos de programas\eMule

2008-07-04 23:30 --------- d-----w C:\Arquivos de programas\Atrativa Games

2008-07-04 20:03 --------- d-----w C:\Arquivos de programas\Secured IE

2008-07-04 20:03 --------- d-----w C:\Arquivos de programas\Microsoft Silverlight

2008-07-04 20:03 --------- d-----w C:\Arquivos de programas\Conduit

2008-07-02 23:42 --------- d-----w C:\Arquivos de programas\securedie

2008-06-28 21:46 737,280 ----a-w C:\WINDOWS\iun6002.exe

2008-06-22 19:32 --------- d-----w C:\Arquivos de programas\3D Arctic Bear Advanced

2008-06-21 14:36 --------- d---a-w C:\Documents and Settings\All Users\Dados de aplicativos\TEMP

2008-06-20 22:27 --------- d-----w C:\Arquivos de programas\Arcade Classic Pack

2008-06-19 20:15 --------- d-----w C:\Arquivos de programas\3D Arctic Bear

2008-06-19 18:12 --------- d-----w C:\Arquivos de programas\Arquivos comuns\Adobe

2008-06-16 18:08 --------- d-----w C:\Documents and Settings\All Users\Dados de aplicativos\BufferZone

2008-06-16 17:40 --------- d-----w C:\Documents and Settings\All Users\Dados de aplicativos\JollyBear

2008-06-15 19:29 --------- d-----w C:\Arquivos de programas\ReflexiveArcade

2008-06-15 14:47 --------- d-----w C:\Documents and Settings\All Users\Dados de aplicativos\MumboJumbo

2008-06-15 13:23 --------- d-----w C:\Documents and Settings\usuario\Dados de aplicativos\PlayFirst

2008-06-15 13:23 --------- d-----w C:\Documents and Settings\All Users\Dados de aplicativos\PlayFirst

2008-06-14 17:19 --------- d-----w C:\Arquivos de programas\MSN Messenger

2008-06-14 15:47 --------- d-----w C:\Arquivos de programas\Farm Frenzy

2008-06-13 15:48 --------- d-----w C:\Documents and Settings\All Users\Dados de aplicativos\Farm Frenzy

2008-06-11 18:32 --------- d-----w C:\Documents and Settings\All Users\Dados de aplicativos\IM

2008-06-11 18:30 --------- d-----w C:\Documents and Settings\All Users\Dados de aplicativos\IncrediMail

2008-06-08 22:12 --------- d-----w C:\Documents and Settings\usuario\Dados de aplicativos\Talkback

2008-06-08 22:12 --------- d-----w C:\Documents and Settings\All Users\Dados de aplicativos\n7-89-o9-3r-4t-r9

2008-06-08 00:00 --------- d-----w C:\Documents and Settings\usuario\Dados de aplicativos\Super-Cow

2008-06-07 23:45 --------- d-----w C:\Documents and Settings\usuario\Dados de aplicativos\RM Royal Media Ltd

2008-06-06 11:34 98,304 ----a-w C:\WINDOWS\DUMP4083.tmp

2008-06-01 22:30 --------- d-----w C:\Arquivos de programas\AVG

2008-06-01 22:22 --------- d-----w C:\Documents and Settings\All Users\Dados de aplicativos\Spybot - Search & Destroy

2008-05-09 14:05 98,304 ----a-w C:\WINDOWS\DUMP3671.tmp

2008-05-09 14:03 98,304 ----a-w C:\WINDOWS\DUMP36a0.tmp

2008-01-30 22:53 32 ----a-w C:\Documents and Settings\All Users\Dados de aplicativos\ezsid.dat

.

 

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Nota* entradas vazias & legítimas por defeito não são mostradas.

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:45 15360]

"MsnMsgr"="C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" [2007-01-19 11:54 5674352]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Motive SmartBridge"="C:\ARQUIV~1\ASSIST~1\SMARTB~1\MotiveSB.exe" [2005-04-15 15:46 397312]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016]

"Adobe Reader Speed Launcher"="C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:45 15360]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe"=

"C:\\Arquivos de programas\\MSN Messenger\\livecall.exe"=

"C:\\Arquivos de programas\\eMule\\emule.exe"=

"C:\\Arquivos de programas\\LimeWire\\LimeWire.exe"=

"C:\\Arquivos de programas\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"2342:UDP"= 2342:UDP:Windows Media Format SDK (iexplore.exe)

"2343:UDP"= 2343:UDP:Windows Media Format SDK (iexplore.exe)

 

R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28]

S3 Asushwio;Asushwio;C:\WINDOWS\system32\drivers\Asushwio.sys [2004-04-26 12:26]

 

*Newly Created Service* - CATCHME

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{43564368-4375-8601-4371-458454791235}]

C:\WINDOWS\system32\tcpdiss.exe /r

.

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-07-21 19:44:55

Windows 5.1.2600 Service Pack 2 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros ocultos ...

 

Varredura completada com sucesso

Ficheiros ocultos: 0

 

**************************************************************************

.

Tempo para conclusão: 2008-07-21 19:53:46

ComboFix-quarantined-files.txt 2008-07-21 22:53:39

ComboFix2.txt 2008-07-12 01:40:20

ComboFix3.txt 2008-06-01 22:04:19

ComboFix4.txt 2008-02-29 15:59:43

 

Pre-Run: 39,744,589,824 bytes disponíveis

Post-Run: 40,360,321,024 bytes disponíveis

 

150 --- E O F --- 2008-06-16 01:47:10

[DigRam 144]

Boa noite DigRam. Valeu a ajuda, consegui remover o vírus do computador e reinstalar o antivirus. Obrigada.

-------------------------

Opa! super@nova

Boa Noite!

 

<@> Poste,na sua resposta: ComboFix.txt + HijackThis,atualizado.

 

Abraços!

[Mário Monteiro 179]

Tópico Arquivado

 

Como o autor não respondeu por mais de 30 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.