MMQ 0 Denunciar post Postado Julho 25, 2008 Prezados, Tenho um máquina que passou a travar com frequência quando utilizo o Windows Explorer ou mesmo navegando com o IE. Colo abaixo o log de Hijackthis para que um dos especialistas possa verificar se há alguma infecção. Muito grato. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:43:20, on 23/07/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Arquivos de programas\Arquivos comuns\Maxtor\Schedule2\schedul2.exe C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\System32\svchost.exe C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe C:\Arquivos de programas\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\Arquivos de programas\Windows Live\Messenger\usnsvc.exe C:\Arquivos de programas\Internet Explorer\iexplore.exe C:\Arquivos de programas\Internet Explorer\iexplore.exe C:\Arquivos de programas\Internet Explorer\iexplore.exe C:\Arquivos de programas\Internet Explorer\iexplore.exe C:\Arquivos de programas\Internet Explorer\iexplore.exe C:\Arquivos de programas\Internet Explorer\iexplore.exe C:\Arquivos de programas\Internet Explorer\iexplore.exe C:\Arquivos de programas\Internet Explorer\iexplore.exe C:\Arquivos de programas\Internet Explorer\iexplore.exe C:\Arquivos de programas\Internet Explorer\iexplore.exe C:\Arquivos de programas\Internet Explorer\iexplore.exe C:\Arquivos de programas\Internet Explorer\iexplore.exe C:\Arquivos de programas\Internet Explorer\iexplore.exe C:\Arquivos de programas\Internet Explorer\iexplore.exe C:\Arquivos de programas\Internet Explorer\iexplore.exe C:\Arquivos de programas\Internet Explorer\iexplore.exe C:\Arquivos de programas\Internet Explorer\iexplore.exe C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Arquivos de programas\Internet Explorer\iexplore.exe C:\Arquivos de programas\Internet Explorer\iexplore.exe C:\Arquivos de programas\Internet Explorer\iexplore.exe C:\Arquivos de programas\Internet Explorer\iexplore.exe C:\Arquivos de programas\Internet Explorer\iexplore.exe C:\Arquivos de programas\Internet Explorer\iexplore.exe C:\Arquivos de programas\Internet Explorer\iexplore.exe C:\Arquivos de programas\Internet Explorer\iexplore.exe C:\Arquivos de programas\Internet Explorer\iexplore.exe C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://login.yahoo.com/config/login_verify...=br&.src=ym R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://br.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://br.yahoo.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.veloxzone.com.br/ O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Windows Live OneCare Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Arquivos de programas\Windows Live\Proteção para a Família\fssbho.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\arquivos de programas\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Arquivos de programas\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Arquivos de programas\ZoneAlarmSB\bar\2.bin\SPYBLOCK.DLL O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Arquivos de programas\ZoneAlarmSB\bar\2.bin\SPYBLOCK.DLL O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar1.dll O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [s3Trayp] S3trayp.exe O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [HDAudDeck] C:\Arquivos de programas\VIA\VIAudioi\HDADeck\HDeck.exe 1 O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [inCD] C:\Arquivos de programas\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [winpos] C:\WINDOWS\winpos.exe O4 - HKLM\..\Run: [MaxBlastMonitor.exe] C:\Arquivos de programas\Maxtor\MaxBlast\MaxBlastMonitor.exe O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Arquivos de programas\Maxtor\MaxBlast\TimounterMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Arquivos de programas\Arquivos comuns\Maxtor\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Arquivos de programas\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [barbieGirlsTray] C:\Arquivos de programas\Mattel\Barbie Girls\Mattel.BarbieGirls.Tray.exe O4 - HKLM\..\Run: [fssui] "C:\Arquivos de programas\Windows Live\Proteção para a Família\fssui.exe" -autorun O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Google Updater.lnk = C:\Arquivos de programas\Google\Google Updater\GoogleUpdater.exe O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe O12 - Plugin for .pdf: C:\Arquivos de programas\Internet Explorer\PLUGINS\nppdf32.dll O12 - Plugin for .spop: C:\Arquivos de programas\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab O16 - DPF: {31CB2F01-72C2-4CF4-B265-450E8817B039} (Toontown IE Helper Portuguese) - http://idownload.br.toontown.com/sv1.4.14....-portuguese.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1213747238750 O17 - HKLM\System\CCS\Services\Tcpip\..\{EEE2FBDC-4DFA-4D65-A934-5EEC16C6B6BB}: NameServer = 200.165.132.154 200.165.132.148 O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Arquivos de programas\Arquivos comuns\Maxtor\Schedule2\schedul2.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 9495 bytes Compartilhar este post Link para o post Compartilhar em outros sites
DigRam 144 Denunciar post Postado Julho 25, 2008 Bom Dia! MMQ <@> Abra o Spybot Search & Destroy! <@> No menu superior,vá em Modo e selecione a opção Avançado. Confirme! <@> Clique no botão Ferramentas e depois em Residente. <@> Desmarque a opção: Ativar "TeaTimer" do Residente. ( Proteção geral das configurações de sistema ) -------------------------- <@> Faça o download do ComboFix. <@> Baixe-o para o Desktop! <@> Desabilite as proteções residente de: antivírus,antispywares e Firewall.( Menos o do Windows! ) <@> Feche todas as janelas e execute a ferramenta! Caso aconteça a notificação de: Aplicativo Win32 inválido,delete a ferramenta e faça,novamente,o download.Salve-a no Desktop,renomeada como: Kombo.exe Ps: Nomeie durante o salvamento,e não após salvá-la! Ps: Caso ocorra alguma mensagem de erro,rode o ComboFix em Modo de Segurança. <@> Abrirá a janela Auto Scan. Aguarde! <@> Digite a opção para continuar e < Enter > <@> Aguarde a conclusão! Durante o scan,evite tocar no mouse ou teclado! <@> Para parar ou sair do ComboFix,tecle "N". ------------------------- <@> Poste os relatórios: C:\ComboFix.txt + Log do HJT,atualizado. Abraços! Compartilhar este post Link para o post Compartilhar em outros sites
MMQ 0 Denunciar post Postado Julho 26, 2008 Prezado, Seguem os logs. Grato. ComboFix 08-07-24.6 - Márcio 2008-07-25 21:28:44.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.633 [GMT -3:00] Executando de: C:\Documents and Settings\Márcio.HOME-WM3EDQAY3Y\Desktop\ComboFix.exe * Criado um novo ponto de restauro ATENÇAO - ESTA MAQUINA NAO TEM A CONSOLE DE RECUPERAÇÃO INSTALADA !! . ((((((((((((((((((((((((((((((((((((( Outras Exclusões ))))))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\Márcio.HOME-WM3EDQAY3Y\Dados de aplicativos\macromedia\Flash Player\#SharedObjects\KGRQT8KJ\iforex.com C:\Documents and Settings\Márcio.HOME-WM3EDQAY3Y\Dados de aplicativos\macromedia\Flash Player\#SharedObjects\KGRQT8KJ\iforex.com\Emerp\Events\flash_object.swf\user_data.sol C:\Documents and Settings\Márcio.HOME-WM3EDQAY3Y\Dados de aplicativos\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#iforex.com C:\Documents and Settings\Márcio.HOME-WM3EDQAY3Y\Dados de aplicativos\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#iforex.com\settings.sol . ((((((((((((((((((((((( Ficheiros criados de 2008-06-26 to 2008-07-26 )))))))))))))))))))))))))))))))) . 2008-07-23 22:31 . 2008-07-23 22:31 <DIR> d-------- C:\Documents and Settings\Márcio.HOME-WM3EDQAY3Y\Dados de aplicativos\Leadertech 2008-07-21 13:02 . 2008-07-21 13:02 <DIR> d--h----- C:\WINDOWS\PIF 2008-07-21 02:28 . 2008-07-21 02:49 <DIR> d-------- C:\Documents and Settings\All Users.WINDOWS\Dados de aplicativos\Spybot - Search & Destroy 2008-07-21 01:39 . 2008-07-21 01:40 <DIR> d-------- C:\HIJACKTHIS 2008-07-17 21:47 . 2008-07-17 21:47 37 --a------ C:\WINDOWS\ipixActivex.ini . ((((((((((((((((((((((((((((((((((((( Relatório Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-26 00:20 2,693,120 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp 2008-07-26 00:19 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Dados de aplicativos\Google Updater 2008-07-26 00:16 12,705,824 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-07-25 21:17 150,884 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-07-24 02:51 --------- d-----w C:\Arquivos de programas\Arquivos comuns\Maxtor 2008-07-24 02:48 --------- d--h--w C:\Arquivos de programas\InstallShield Installation Information 2008-07-24 01:32 --------- d-----w C:\Arquivos de programas\Documents To Go 2008-07-24 00:42 --------- d-----w C:\Arquivos de programas\Trend Micro 2008-07-21 05:28 --------- d-----w C:\Arquivos de programas\Spybot - Search & Destroy 2008-06-23 16:27 --------- d-----w C:\Arquivos de programas\Disney 2008-06-18 00:51 --------- dcsh--w C:\Arquivos de programas\Arquivos comuns\WindowsLiveInstaller 2008-06-18 00:51 --------- d-----w C:\Arquivos de programas\Windows Live 2008-06-18 00:40 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Dados de aplicativos\WLInstaller 2008-05-30 02:09 --------- d-----w C:\Arquivos de programas\Programas RFB 2006-04-16 01:06 284 ----a-w C:\Documents and Settings\Márcio\Dados de aplicativos\ViewerApp.dat 2006-04-14 13:06 5,568 ----a-w C:\Arquivos de programas\Uninstp1.isu 2004-12-18 19:41 72,555 ----a-w C:\Documents and Settings\Márcio\mvi14.zip 2004-10-01 18:00 40,960 ----a-w C:\Arquivos de programas\Uninstall_CDS.exe . (((((((((((((((((((((((((( Pontos de Carregamento do Registro ))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Nota* entradas vazias & legítimas por defeito não são mostradas. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:45 15360] "swg"="C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-16 00:36 68856] "msnmsgr"="C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avast!"="C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-15 20:19 79224] "HDAudDeck"="C:\Arquivos de programas\VIA\VIAudioi\HDADeck\HDeck.exe" [2007-05-11 04:47 790528] "InCD"="C:\Arquivos de programas\Ahead\InCD\InCD.exe" [2005-07-08 11:25 1397760] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648] "winpos"="C:\WINDOWS\winpos.exe" [2004-08-28 03:41 110592] "Acronis Scheduler2 Service"="C:\Arquivos de programas\Arquivos comuns\Maxtor\Schedule2\schedhlp.exe" [2007-08-08 17:31 148760] "ZoneAlarm Client"="C:\Arquivos de programas\Zone Labs\ZoneAlarm\zlclient.exe" [2007-11-14 16:05 919016] "BarbieGirlsTray"="C:\Arquivos de programas\Mattel\Barbie Girls\Mattel.BarbieGirls.Tray.exe" [2007-03-14 23:59 24576] "fssui"="C:\Arquivos de programas\Windows Live\Proteção para a Família\fssui.exe" [2007-10-17 13:53 243240] "VTTimer"="VTTimer.exe" [2006-09-21 05:36 53248 C:\WINDOWS\system32\VTTimer.exe] "S3Trayp"="S3trayp.exe" [2007-02-05 20:30 176128 C:\WINDOWS\system32\S3Trayp.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:45 15360] C:\Documents and Settings\All Users.WINDOWS\Menu Iniciar\Programas\Inicializar\ Adobe Gamma Loader.lnk - C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe [2004-08-30 22:59:57 113664] Google Updater.lnk - C:\Arquivos de programas\Google\Google Updater\GoogleUpdater.exe [2008-03-16 00:36:43 125624] Microsoft Office.lnk - C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE [1999-02-17 19:05:56 65588] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UpdatesDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Arquivos de programas\\Messenger\\msmsgs.exe"= "C:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Arquivos de programas\\Windows Live\\Messenger\\livecall.exe"= R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-15 20:20] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-15 20:16] R2 fssfltr;FssFltr;C:\WINDOWS\system32\DRIVERS\fssfltr.sys [2007-10-17 13:53] R2 fsssvc;Windows Live OneCare Proteção para a Família;C:\Arquivos de programas\Windows Live\Proteção para a Família\fsssvc.exe [2007-10-17 13:53] R3 FET5X86V;VIA Rhine-Family Fast-Ethernet Adapter Driver Service;C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys [2007-04-17 00:58] R3 RMSPPPOE;WAN Miniport (PPP over Ethernet Protocol);C:\WINDOWS\system32\DRIVERS\RMSPPPOE.SYS [2002-06-10 00:09] R3 S3GIGP;S3GIGP;C:\WINDOWS\system32\DRIVERS\S3gIGPm.sys [2007-03-04 22:54] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f8bcbb87-1785-11dd-baaa-000b23b3cd96}] \Shell\Auto\command - MicrosoftPowerPoint.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL MicrosoftPowerPoint.exe *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . . ------- Ccan Suplementar ------- . R0 -: HKCU-Main,Start Page = https://login.yahoo.com/config/login_verify...=br&.src=ym R0 -: HKCU-Main,Search Page = hxxp://www.google.com R0 -: HKCU-Main,Search Bar = hxxp://www.google.com/ie R0 -: HKLM-Main,Start Page = hxxp://br.yahoo.com R1 -: HKCU-Internet Connection Wizard,ShellNext = hxxp://www.veloxzone.com.br/ R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s O17 -: HKLM\CCS\Interface\{EEE2FBDC-4DFA-4D65-A934-5EEC16C6B6BB}: NameServer = 200.165.132.154 200.165.132.148 O16 -: {31CB2F01-72C2-4CF4-B265-450E8817B039} - hxxp://idownload.br.toontown.com/sv1.4.14.8/ttinst-portuguese.cab C:\WINDOWS\Downloaded Program Files\ttinst-portuguese.inf C:\WINDOWS\Downloaded Program Files\ttinst-portuguese.dll ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-25 21:31:31 Windows 5.1.2600 Service Pack 2 NTFS Procurando processos ocultos ... Procurando entradas auto inicializáveis ocultas ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run HDAudDeck = C:\Arquivos de programas\VIA\VIAudioi\HDADeck\HDeck.exe 1???????????????????????????????????????????????????????? Procurando ficheiros ocultos ... Varredura completada com sucesso Ficheiros ocultos: 0 ************************************************************************** . Tempo para conclusão: 2008-07-25 21:33:21 ComboFix-quarantined-files.txt 2008-07-26 00:33:17 Pre-Run: 1,771,122,688 bytes disponíveis Post-Run: 1,995,661,312 bytes disponíveis 123 Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:36:14, on 25/07/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\VTTimer.exe C:\WINDOWS\system32\S3trayp.exe C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe C:\Arquivos de programas\VIA\VIAudioi\HDADeck\HDeck.exe C:\Arquivos de programas\Ahead\InCD\InCD.exe C:\WINDOWS\winpos.exe C:\Arquivos de programas\Arquivos comuns\Maxtor\Schedule2\schedhlp.exe C:\Arquivos de programas\Mattel\Barbie Girls\Mattel.BarbieGirls.Tray.exe C:\Arquivos de programas\Windows Live\Proteção para a Família\fssui.exe C:\WINDOWS\system32\ctfmon.exe C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe C:\Arquivos de programas\Google\Google Updater\GoogleUpdater.exe C:\Arquivos de programas\Arquivos comuns\Maxtor\Schedule2\schedul2.exe C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Arquivos de programas\Velox\Discador\discador.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\explorer.exe C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://login.yahoo.com/config/login_verify...=br&.src=ym R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://br.yahoo.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.veloxzone.com.br/ O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Windows Live OneCare Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Arquivos de programas\Windows Live\Proteção para a Família\fssbho.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\arquivos de programas\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Arquivos de programas\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Arquivos de programas\ZoneAlarmSB\bar\2.bin\SPYBLOCK.DLL O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Arquivos de programas\ZoneAlarmSB\bar\2.bin\SPYBLOCK.DLL O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar1.dll O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [s3Trayp] S3trayp.exe O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [HDAudDeck] C:\Arquivos de programas\VIA\VIAudioi\HDADeck\HDeck.exe 1 O4 - HKLM\..\Run: [inCD] C:\Arquivos de programas\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [winpos] C:\WINDOWS\winpos.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Arquivos de programas\Arquivos comuns\Maxtor\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Arquivos de programas\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [barbieGirlsTray] C:\Arquivos de programas\Mattel\Barbie Girls\Mattel.BarbieGirls.Tray.exe O4 - HKLM\..\Run: [fssui] "C:\Arquivos de programas\Windows Live\Proteção para a Família\fssui.exe" -autorun O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Google Updater.lnk = C:\Arquivos de programas\Google\Google Updater\GoogleUpdater.exe O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe O12 - Plugin for .pdf: C:\Arquivos de programas\Internet Explorer\PLUGINS\nppdf32.dll O12 - Plugin for .spop: C:\Arquivos de programas\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab O16 - DPF: {31CB2F01-72C2-4CF4-B265-450E8817B039} (Toontown IE Helper Portuguese) - http://idownload.br.toontown.com/sv1.4.14....-portuguese.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1213747238750 O17 - HKLM\System\CCS\Services\Tcpip\..\{EEE2FBDC-4DFA-4D65-A934-5EEC16C6B6BB}: NameServer = 200.165.132.154 200.165.132.148 O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Arquivos de programas\Arquivos comuns\Maxtor\Schedule2\schedul2.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 7779 bytes Compartilhar este post Link para o post Compartilhar em outros sites
DigRam 144 Denunciar post Postado Julho 26, 2008 Boa Noite! MMQ <@> Vá a este Link,e baixe: < Malwarebytes > <@> Salve-o em Arquivos de Programa. <@> Atualize o Malwarebytes! <@> Escolha o escaneamento Rápido! <@> Desabilite programas de proteção,ao executar o malwarebytes. <!> Para maiores detalhes,leia o Tutorial: < Link > <@> Terminando,procure enviar os ficheiros detectados para a quarentena. --------------------------- <@> Poste,os relatórios: <!> mbam.(..).txt + HijackThis,atualizado. Abraços! Compartilhar este post Link para o post Compartilhar em outros sites
MMQ 0 Denunciar post Postado Julho 26, 2008 DigRam, Seguem os Logs. Será que o problema não é virus? O Combofix excluiu alguns ficheiros. Havia infecção? Grato mais uma vez. Malwarebytes' Anti-Malware 1.23 Versão do banco de dados: 993 Windows 5.1.2600 Service Pack 2 09:42:49 26/07/2008 mbam-log-7-26-2008 (09-42-49).txt Tipo de Verificação: Completa (C:\|D:\|E:\|) Objetos verificados: 119861 Tempo decorrido: 49 minute(s), 53 second(s) Processos da Memória infectados: 0 Módulos de Memória Infectados: 0 Chaves do Registro infectadas: 0 Valores do Registro infectados: 0 Ítens do Registro infectados: 0 Pastas infectadas: 0 Arquivos infectados: 0 Processos da Memória infectados: (Nenhum ítem malicioso foi detectado) Módulos de Memória Infectados: (Nenhum ítem malicioso foi detectado) Chaves do Registro infectadas: (Nenhum ítem malicioso foi detectado) Valores do Registro infectados: (Nenhum ítem malicioso foi detectado) Ítens do Registro infectados: (Nenhum ítem malicioso foi detectado) Pastas infectadas: (Nenhum ítem malicioso foi detectado) Arquivos infectados: (Nenhum ítem malicioso foi detectado) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:46:00, on 26/07/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Arquivos de programas\Arquivos comuns\Maxtor\Schedule2\schedul2.exe C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\VTTimer.exe C:\WINDOWS\system32\S3trayp.exe C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe C:\Arquivos de programas\VIA\VIAudioi\HDADeck\HDeck.exe C:\Arquivos de programas\Ahead\InCD\InCD.exe C:\WINDOWS\winpos.exe C:\Arquivos de programas\Arquivos comuns\Maxtor\Schedule2\schedhlp.exe C:\Arquivos de programas\Mattel\Barbie Girls\Mattel.BarbieGirls.Tray.exe C:\Arquivos de programas\Windows Live\Proteção para a Família\fssui.exe C:\WINDOWS\system32\ctfmon.exe C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe C:\Arquivos de programas\Google\Google Updater\GoogleUpdater.exe C:\Arquivos de programas\Velox\Discador\discador.exe C:\Arquivos de programas\Internet Explorer\iexplore.exe C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Arquivos de programas\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://login.yahoo.com/config/login_verify...=br&.src=ym R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://br.yahoo.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.veloxzone.com.br/ O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Windows Live OneCare Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Arquivos de programas\Windows Live\Proteção para a Família\fssbho.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\arquivos de programas\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Arquivos de programas\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Arquivos de programas\ZoneAlarmSB\bar\2.bin\SPYBLOCK.DLL O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Arquivos de programas\ZoneAlarmSB\bar\2.bin\SPYBLOCK.DLL O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar1.dll O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [s3Trayp] S3trayp.exe O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [HDAudDeck] C:\Arquivos de programas\VIA\VIAudioi\HDADeck\HDeck.exe 1 O4 - HKLM\..\Run: [inCD] C:\Arquivos de programas\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [winpos] C:\WINDOWS\winpos.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Arquivos de programas\Arquivos comuns\Maxtor\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Arquivos de programas\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [barbieGirlsTray] C:\Arquivos de programas\Mattel\Barbie Girls\Mattel.BarbieGirls.Tray.exe O4 - HKLM\..\Run: [fssui] "C:\Arquivos de programas\Windows Live\Proteção para a Família\fssui.exe" -autorun O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Google Updater.lnk = C:\Arquivos de programas\Google\Google Updater\GoogleUpdater.exe O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe O12 - Plugin for .pdf: C:\Arquivos de programas\Internet Explorer\PLUGINS\nppdf32.dll O12 - Plugin for .spop: C:\Arquivos de programas\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab O16 - DPF: {31CB2F01-72C2-4CF4-B265-450E8817B039} (Toontown IE Helper Portuguese) - http://idownload.br.toontown.com/sv1.4.14....-portuguese.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1213747238750 O17 - HKLM\System\CCS\Services\Tcpip\..\{EEE2FBDC-4DFA-4D65-A934-5EEC16C6B6BB}: NameServer = 200.165.132.154 200.165.132.148 O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Arquivos de programas\Arquivos comuns\Maxtor\Schedule2\schedul2.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 7994 bytes Compartilhar este post Link para o post Compartilhar em outros sites
DigRam 144 Denunciar post Postado Julho 26, 2008 Bom Dia! MMQ Seguem os Logs. Será que o problema não é virus? <!> Os problemas detectados pelo ComboFix,não eram vírus...especificamente! O Combofix excluiu alguns ficheiros. Havia infecção? <!> Apenas a remoção do iforex.com,considerado site malicioso pela ferramenta. <!> Veja aqui,um comentário que confirma o fato: < http://www.mcafeespamexperiment.com/br/?p=25 > Os próximos sites que visitei e fiz o cadastro estão hospedado em www.iforex.com e www.negocioglobal.com.br.Esses são sites que realmente atraem usuarios, afinal, quem não quer comodidade, e ganhos altos! Da mesma forma, fiz o cadastro e não ví nada de ganhos altos apenas mais spams… <@> Vá em Iniciar >> Executar >> Digite: cleanmgr >> Ok. <@> Aguarde!No Utilitário de limpeza de disco,marque todas as caixas e confirme! <@> Aguarde a conclusão da limpeza! -------------------------- ATENÇAO - ESTA MAQUINA NAO TEM A CONSOLE DE RECUPERAÇÃO INSTALADA !! <!> Para a segurança do PC,vamos providenciar a instalação do Console de Recuperação. -------------------------- <!> Vá ao site da Microsoft: < Link > <!> Selecione o download,que seja adequado,ao seu Sistema Operacional! <!> Faça o download,do arquivo,e salve-o no seu desktop. <!> Feche todos os programas,que estejam abertos! <!> Feche,também,seus programas de proteção! ( Antivírus,Antispywares e Firewall ) <!> Arraste o setup,baixado do site da Microsoft,para o interior do ComboFix.exe <!> Veja,abaixo,a demonstração! <!> Siga as mensagens que aparecem na tela,para iniciar o ComboFix. <!> Aceite o contrato da Microsoft,para instalar o "Console de Recuperação da Microsoft". <!> Na próxima mensagem,clique em "Yes",para realizar um scan com o ComboFix. <!> Terminando,poste: C:\ComboFix.txt Abraços! Compartilhar este post Link para o post Compartilhar em outros sites
MMQ 0 Denunciar post Postado Julho 26, 2008 DigRam, O procedimento falhou. O combofix foi parado com o mesmo erro que aconteceu na minha outra máquina. Rodei em modo de segurança porém o problema se repetiu. Não foi gerado log. Você recomendou atualizar o SP3. Tentarei. Algo mais a fazer? Rodo o combofix sem o setup da microsoft? Grato. Compartilhar este post Link para o post Compartilhar em outros sites
DigRam 144 Denunciar post Postado Julho 27, 2008 DigRam, O procedimento falhou. O combofix foi parado com o mesmo erro que aconteceu na minha outra máquina. Rodei em modo de segurança porém o problema se repetiu. Não foi gerado log. Você recomendou atualizar o SP3. Tentarei. Algo mais a fazer? Rodo o combofix sem o setup da microsoft? Grato. ----------------------- Opa! MMQ Você recomendou atualizar o SP3. Tentarei. <!> Se o SO for legítimo,com certeza terás êxito ao instalar o pacote. ----------------------- Algo mais a fazer? Rodo o combofix sem o setup da microsoft? <!> Não! Faça primeiro o scandisk,e depois tente arrastar o setup para o ComboFix. ----------------------- <@> Agende,para o próximo boot,o scandisk. ----------------------- <@> No Executar,digite: cmd --> Clique: OK <@> Na janela DOS,digite: chkdsk /f --> Aperte Enter <@> Aguarde! <@> Nas informações que surgirem,escolha o scandisk para o próximo boot. <@> Para sair,digite exit --> Aperte Enter. <@> Poste: ComboFix.txt Abraços! Compartilhar este post Link para o post Compartilhar em outros sites
MMQ 0 Denunciar post Postado Julho 28, 2008 DigRam, Passei o scandisk. O erro persiste. Não pude atualizar o SP3. Houve melhora desde que iniciamos o tópico. Os travamentos praticamente não ocorrem mais. Alguma outra recomendação? Grato. Compartilhar este post Link para o post Compartilhar em outros sites
DigRam 144 Denunciar post Postado Julho 28, 2008 Bom Dia! MMQ Houve melhora desde que iniciamos o tópico. Os travamentos praticamente não ocorrem mais.Alguma outra recomendação? <!> Apenas na remoção de um worm,que infecta unidades removíveis: < W32/AHKHeap.inf > -------------------------- >@< Baixe o: < W32.USBWorm Blocker Worm Fix > >@< Salve-o no Desktop! >@< Descompacte-o e,execute o arquivo: fix.exe Worm >@< Clique em Remove. -------------------------- >@< Abra o Editor do Registro,e navegue até a pasta em destaque: HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f8bcbb87-1785-11dd-baaa-000b23b3cd96} <-- Delete! <!> Caso encontre,pode deletar! -------------------------- >@< Poste,na sua resposta,um novo Log do ComboFix. ( ComboFix.txt ) Abraços! Compartilhar este post Link para o post Compartilhar em outros sites
MMQ 0 Denunciar post Postado Julho 29, 2008 DigRam, Removi o worm. Encontrei a chave e a removi. Segue o logo do Combofix: ComboFix 08-07-24.6 - Márcio 2008-07-28 22:17:31.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.534 [GMT -3:00] Executando de: C:\Documents and Settings\Márcio.HOME-WM3EDQAY3Y\Desktop\ComboFix.exe ATENÇAO - ESTA MAQUINA NAO TEM A CONSOLE DE RECUPERAÇÃO INSTALADA !! . ((((((((((((((((((((((( Ficheiros criados de 2008-06-28 to 2008-07-29 )))))))))))))))))))))))))))))))) . 2008-07-26 08:39 . 2008-07-26 08:39 <DIR> d-------- C:\Documents and Settings\Márcio.HOME-WM3EDQAY3Y\Dados de aplicativos\Malwarebytes 2008-07-26 08:39 . 2008-07-26 08:39 <DIR> d-------- C:\Documents and Settings\All Users.WINDOWS\Dados de aplicativos\Malwarebytes 2008-07-26 08:39 . 2008-07-26 08:39 <DIR> d-------- C:\Arquivos de programas\Malwarebytes' Anti-Malware 2008-07-26 08:39 . 2008-07-23 20:09 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-07-26 08:39 . 2008-07-23 20:09 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-07-26 08:36 . 2008-07-26 08:36 1,845,456 --a------ C:\Arquivos de programas\mbam-setup.exe 2008-07-26 08:35 . 2008-07-26 08:35 <DIR> d-------- C:\Arquivos de programas\Nova pasta 2008-07-23 22:31 . 2008-07-23 22:31 <DIR> d-------- C:\Documents and Settings\Márcio.HOME-WM3EDQAY3Y\Dados de aplicativos\Leadertech 2008-07-21 13:02 . 2008-07-21 13:02 <DIR> d--h----- C:\WINDOWS\PIF 2008-07-21 02:28 . 2008-07-21 02:49 <DIR> d-------- C:\Documents and Settings\All Users.WINDOWS\Dados de aplicativos\Spybot - Search & Destroy 2008-07-21 01:39 . 2008-07-21 01:40 <DIR> d-------- C:\HIJACKTHIS 2008-07-17 21:47 . 2008-07-17 21:47 37 --a------ C:\WINDOWS\ipixActivex.ini . ((((((((((((((((((((((((((((((((((((( Relatório Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-29 01:21 13,482,016 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-07-28 04:42 158,492 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-07-28 03:41 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Dados de aplicativos\Google Updater 2008-07-26 18:18 --------- d-----w C:\Arquivos de programas\Windows Live 2008-07-26 00:20 2,693,120 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp 2008-07-24 02:51 --------- d-----w C:\Arquivos de programas\Arquivos comuns\Maxtor 2008-07-24 02:48 --------- d--h--w C:\Arquivos de programas\InstallShield Installation Information 2008-07-24 01:32 --------- d-----w C:\Arquivos de programas\Documents To Go 2008-07-24 00:42 --------- d-----w C:\Arquivos de programas\Trend Micro 2008-07-21 05:28 --------- d-----w C:\Arquivos de programas\Spybot - Search & Destroy 2008-06-23 16:27 --------- d-----w C:\Arquivos de programas\Disney 2008-06-18 00:51 --------- dcsh--w C:\Arquivos de programas\Arquivos comuns\WindowsLiveInstaller 2008-06-18 00:40 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Dados de aplicativos\WLInstaller 2008-05-30 02:09 --------- d-----w C:\Arquivos de programas\Programas RFB 2006-04-16 01:06 284 -c--a-w C:\Documents and Settings\Márcio\Dados de aplicativos\ViewerApp.dat 2006-04-14 13:06 5,568 ----a-w C:\Arquivos de programas\Uninstp1.isu 2004-12-18 19:41 72,555 ----a-w C:\Documents and Settings\Márcio\mvi14.zip 2004-10-01 18:00 40,960 ----a-w C:\Arquivos de programas\Uninstall_CDS.exe . ((((((((((((((((((((((((((((( snapshot@2008-07-25_21.33.01.35 ))))))))))))))))))))))))))))))))))))))))) . - 2008-06-18 00:46:02 29,926 ----a-r C:\WINDOWS\Installer\{8EADB73B-026D-4978-A8F0-1EEF5E1ECEC7}\MsblIco.Exe + 2008-07-26 18:49:46 29,926 ----a-r C:\WINDOWS\Installer\{8EADB73B-026D-4978-A8F0-1EEF5E1ECEC7}\MsblIco.Exe + 2008-07-28 19:28:27 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_304.dat . (((((((((((((((((((((((((( Pontos de Carregamento do Registro ))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Nota* entradas vazias & legítimas por defeito não são mostradas. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:45 15360] "swg"="C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-16 00:36 68856] "msnmsgr"="C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avast!"="C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-15 20:19 79224] "HDAudDeck"="C:\Arquivos de programas\VIA\VIAudioi\HDADeck\HDeck.exe" [2007-05-11 04:47 790528] "InCD"="C:\Arquivos de programas\Ahead\InCD\InCD.exe" [2005-07-08 11:25 1397760] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648] "winpos"="C:\WINDOWS\winpos.exe" [2004-08-28 03:41 110592] "Acronis Scheduler2 Service"="C:\Arquivos de programas\Arquivos comuns\Maxtor\Schedule2\schedhlp.exe" [2007-08-08 17:31 148760] "ZoneAlarm Client"="C:\Arquivos de programas\Zone Labs\ZoneAlarm\zlclient.exe" [2007-11-14 16:05 919016] "BarbieGirlsTray"="C:\Arquivos de programas\Mattel\Barbie Girls\Mattel.BarbieGirls.Tray.exe" [2007-03-14 23:59 24576] "VTTimer"="VTTimer.exe" [2006-09-21 05:36 53248 C:\WINDOWS\system32\VTTimer.exe] "S3Trayp"="S3trayp.exe" [2007-02-05 20:30 176128 C:\WINDOWS\system32\S3Trayp.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:45 15360] C:\Documents and Settings\All Users.WINDOWS\Menu Iniciar\Programas\Inicializar\ Adobe Gamma Loader.lnk - C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe [2004-08-30 22:59:57 113664] Google Updater.lnk - C:\Arquivos de programas\Google\Google Updater\GoogleUpdater.exe [2008-03-16 00:36:43 125624] Microsoft Office.lnk - C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE [1999-02-17 19:05:56 65588] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UpdatesDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Arquivos de programas\\Messenger\\msmsgs.exe"= "C:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Arquivos de programas\\Windows Live\\Messenger\\livecall.exe"= R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-15 20:20] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-15 20:16] R3 FET5X86V;VIA Rhine-Family Fast-Ethernet Adapter Driver Service;C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys [2007-04-17 00:58] R3 RMSPPPOE;WAN Miniport (PPP over Ethernet Protocol);C:\WINDOWS\system32\DRIVERS\RMSPPPOE.SYS [2002-06-10 00:09] R3 S3GIGP;S3GIGP;C:\WINDOWS\system32\DRIVERS\S3gIGPm.sys [2007-03-04 22:54] . . ------- Ccan Suplementar ------- . R0 -: HKCU-Main,Start Page = https://login.yahoo.com/config/login_verify...=br&.src=ym R0 -: HKCU-Main,Search Page = hxxp://www.google.com R0 -: HKCU-Main,Search Bar = hxxp://www.google.com/ie R0 -: HKLM-Main,Start Page = hxxp://br.yahoo.com R1 -: HKCU-Internet Connection Wizard,ShellNext = hxxp://www.veloxzone.com.br/ R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s O17 -: HKLM\CCS\Interface\{EEE2FBDC-4DFA-4D65-A934-5EEC16C6B6BB}: NameServer = 200.165.132.154 200.165.132.148 O16 -: {31CB2F01-72C2-4CF4-B265-450E8817B039} - hxxp://idownload.br.toontown.com/sv1.4.14.8/ttinst-portuguese.cab C:\WINDOWS\Downloaded Program Files\ttinst-portuguese.inf C:\WINDOWS\Downloaded Program Files\ttinst-portuguese.dll ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-28 22:20:55 Windows 5.1.2600 Service Pack 2 NTFS Procurando processos ocultos ... Procurando entradas auto inicializáveis ocultas ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run HDAudDeck = C:\Arquivos de programas\VIA\VIAudioi\HDADeck\HDeck.exe 1???????????????????????????????????????????????????????? Procurando ficheiros ocultos ... Varredura completada com sucesso Ficheiros ocultos: 0 ************************************************************************** . Tempo para conclusão: 2008-07-28 22:23:06 ComboFix-quarantined-files.txt 2008-07-29 01:22:56 ComboFix2.txt 2008-07-26 00:33:22 Pre-Run: 1,982,550,016 bytes disponíveis Post-Run: 2,096,078,848 bytes disponíveis 121 Compartilhar este post Link para o post Compartilhar em outros sites
DigRam 144 Denunciar post Postado Julho 29, 2008 Bom Dia! MMQ >@< Baixe: < CCleaner > >@< Salve-o no Desktop! >@< Com a opção < Limpador >,já selecionada,clique em Analisar. >@< Aguarde o progresso! >@< Terminando,clique em Executar Cleaner. >@< Na janela que surgir,dê o Ok. >@< Aguarde o progresso! ---------------------- >@< Selecionando a opção Registro,clique em Procurar erros. >@< Terminando,clique em Corrigir erros selecionados... >@< Na pergunta,clique em Sim! >@< Nomeie os backups e clique em Salvar. >@< Na janela que aparecer,clique em: Corrigir todos os erros selecionados >@< Clique em Ok >> Fechar. ---------------------- <@> No Executar,digite: ComboFix.exe /u --> Clique: OK <@> Na solicitação,escolha o dois. ( 2 ) >> Aguarde a desinstalação! ---------------------- <@> Os logs estão limpos! :thumbsup: Abraços! Compartilhar este post Link para o post Compartilhar em outros sites
MMQ 0 Denunciar post Postado Julho 30, 2008 DigRam, Usei o cleaner e desinstalei o combo fix. Muito obrigado pela ajuda! Compartilhar este post Link para o post Compartilhar em outros sites
DigRam 144 Denunciar post Postado Julho 30, 2008 PROBLEMA RESOLVIDO! Caso o autor necessite que o Tópico seja reaberto é preciso enviar uma Mensagem Privada,para um Moderador,com um Link para o Tópico. Compartilhar este post Link para o post Compartilhar em outros sites