[Arquivado] "prdMgr.exe" não encontrado

Sidney_RJ · Outubro 4, 2008

Amigos,

Após entrada de arquivo infectado chamado "photo_13301.zip" pelo MSN, no meu PC do trabalho, passei antivírus AVIRA, aí então me apareceu este caso : O Windows não consegue encontrar 'c:\windows\system32\drivers\prdMgr.exe' Certifique-se de que o nome foi digitado corretamente e tente de novo." Então passei SDFix o qual removeu o vírus e a seguir HijackThis, o Windows XP não emite mais a mensagem de falta do "prdMgr.exe", contudo nem o IE nem MSN funcionam via ADSL (placa de rede) somente por fax modem. Estou quase formatando meu PC, seria essa a solução?

Abs,

Sidney

Mário Monteiro · Outubro 4, 2008

POost um log conforme o topico

http://forum.imasters.com.br/index.php?showtopic=165906

Sidney_RJ · Outubro 4, 2008

POost um log conforme o topico

http://forum.imasters.com.br/index.php?showtopic=165906

ESTE É O LOG DO SDFIX : E DEPOIS O DO HIJACKTHIS

SDFix: Version 1.230

Run by Carlos on qui 02/10/2008 at 12:36

Microsoft Windows XP [versÆo 5.1.2600]

Running From: C:\SDFix

Checking Services :

C:\WINDOWS\system32\Microsoft\backup.ftp Found

C:\WINDOWS\system32\Microsoft\backup.tftp Found

Checking files:

Genuine:

C:\WINDOWS\system32\Microsoft\backup.ftp

C:\WINDOWS\system32\Microsoft\backup.tftp

Dummy:

C:\WINDOWS\system32\dllcache\tftp.exe

Files copied to SDFix\Backups

Restoring files if backups are found

Final Check:

Genuine:

C:\WINDOWS\system32\Microsoft\backup.ftp

C:\WINDOWS\system32\Microsoft\backup.tftp

C:\WINDOWS\system32\ftp.exe

C:\WINDOWS\system32\tftp.exe

C:\WINDOWS\system32\dllcache\ftp.exe

C:\WINDOWS\system32\dllcache\tftp.exe

Restoring Default Security Values

Restoring Default Hosts File

Rebooting

Checking Files :

Trojan Files Found:

C:\DOCUME~1\Carlos\CONFIG~1\Temp\tmp56.tmp - Deleted

C:\DOCUME~1\Carlos\CONFIG~1\Temp\tmp59.tmp - Deleted

C:\DOCUME~1\Carlos\CONFIG~1\Temp\tmp5C.tmp - Deleted

C:\DOCUME~1\Carlos\CONFIG~1\Temp\tmp5F.tmp - Deleted

C:\DOCUME~1\Carlos\CONFIG~1\Temp\tmp62.tmp - Deleted

C:\DOCUME~1\Carlos\CONFIG~1\Temp\tmp65.tmp - Deleted

C:\DOCUME~1\Carlos\CONFIG~1\Temp\tmp68.tmp - Deleted

C:\DOCUME~1\Carlos\CONFIG~1\Temp\tmp6B.tmp - Deleted

C:\DOCUME~1\Carlos\CONFIG~1\Temp\tmp6E.tmp - Deleted

C:\DOCUME~1\Carlos\CONFIG~1\Temp\tmp71.tmp - Deleted

C:\DOCUME~1\Carlos\CONFIG~1\Temp\tmp74.tmp - Deleted

C:\DOCUME~1\Carlos\CONFIG~1\Temp\tmp77.tmp - Deleted

C:\DOCUME~1\Carlos\CONFIG~1\Temp\tmp7A.tmp - Deleted

C:\DOCUME~1\Carlos\CONFIG~1\Temp\tmp7D.tmp - Deleted

C:\DOCUME~1\Carlos\CONFIG~1\Temp\tmp80.tmp - Deleted

C:\DOCUME~1\Carlos\CONFIG~1\Temp\tmp87.tmp - Deleted

C:\DOCUME~1\Carlos\CONFIG~1\Temp\tmp88.tmp - Deleted

C:\DOCUME~1\Carlos\CONFIG~1\Temp\tmp8C.tmp - Deleted

C:\WINDOWS\Photo_13301.zip - Deleted

C:\WINDOWS\system32\Microsoft\backup.ftp - Deleted

C:\WINDOWS\system32\Microsoft\backup.tftp - Deleted

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-02 12:50:54

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"

"C:\\Arquivos de programas\\Alwil Software\\Avast4\\ashAvast.exe"="C:\\Arquivos de programas\\Alwil Software\\Avast4\\ashAvast.exe:*:Disabled:avast! Antivirus"

"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"="C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe:*:Disabled:@xpsp3res.dll,-20000"

"C:\\Arquivos de programas\\eMule\\emule.exe"="C:\\Arquivos de programas\\eMule\\emule.exe:*:Disabled:eMule"

"C:\\WINDOWS\\system32\\ACER.exe"="C:\\WINDOWS\\system32\\ACER.exe:*:Disabled:Ftp.."

"C:\\Arquivos de programas\\IncrediMail\\bin\\IncMail.exe"="C:\\Arquivos de programas\\IncrediMail\\bin\\IncMail.exe:*:Disabled:IncrediMail"

"C:\\Arquivos de programas\\IncrediMail\\bin\\ImSc.exe"="C:\\Arquivos de programas\\IncrediMail\\bin\\ImSc.exe:*:Disabled:IncrediMail"

"C:\\Arquivos de programas\\IncrediMail\\bin\\ImpCnt.exe"="C:\\Arquivos de programas\\IncrediMail\\bin\\ImpCnt.exe:*:Disabled:IncrediMail"

"C:\\Arquivos de programas\\IncrediMail\\bin\\IMApp.exe"="C:\\Arquivos de programas\\IncrediMail\\bin\\IMApp.exe:*:Disabled:IncrediMail"

"C:\\Arquivos de programas\\Magentic\\bin\\MgImp.exe"="C:\\Arquivos de programas\\Magentic\\bin\\MgImp.exe:*:Disabled:Magentic"

"C:\\Arquivos de programas\\Magentic\\bin\\MgApp.exe"="C:\\Arquivos de programas\\Magentic\\bin\\MgApp.exe:*:Disabled:Magentic"

"C:\\Arquivos de programas\\Magentic\\bin\\Magentic.exe"="C:\\Arquivos de programas\\Magentic\\bin\\Magentic.exe:*:Disabled:Magentic"

"C:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe"="C:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe:*:Disabled:Windows Live Messenger 8.1"

"C:\\Arquivos de programas\\MSN Messenger\\livecall.exe"="C:\\Arquivos de programas\\MSN Messenger\\livecall.exe:*:Disabled:Windows Live Messenger 8.1 (Phone)"

"C:\\Arquivos de programas\\Messenger\\msmsgs.exe"="C:\\Arquivos de programas\\Messenger\\msmsgs.exe:*:Disabled:Windows Messenger"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe"="C:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Arquivos de programas\\MSN Messenger\\livecall.exe"="C:\\Arquivos de programas\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files :

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Wed 13 Oct 2004 1,694,208 ..SH. --- "C:\Arquivos de programas\Messenger\msmsgs.exe"

Fri 22 Dec 2000 28,738 A..H. --- "C:\celso\OFFICE10 (D)\MSDE2000\SQLRESLD.DLL"

Tue 18 Mar 2008 354,304 A..H. --- "C:\Documents and Settings\Carlos\Desktop\~WRL0002.tmp"

Wed 1 Oct 2008 76,288 ..SHR --- "C:\WINDOWS\system32\drivers\FmMgr.exe"

Sat 23 Dec 2006 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

Tue 30 Sep 2008 59,904 ..SHR --- "C:\WINDOWS\PCHealth\HelpCtr\Binaries\svchost.exe"

Finished!

----------------------------------------------------------------------------------------------------------

E ESTE ABAIXO DO HIJACKTHIS :

Logfile of HijackThis v1.99.1

Scan saved at 11:29:15, on 4/10/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Arquivos de programas\Java\jre1.6.0_05\bin\jusched.exe

C:\WINDOWS\system32\wfxsnt40.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\system32\WFXSVC.EXE

D:\Arquivos de programas\Symantec\WFXMOD32.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\DOCUME~1\Carlos\CONFIG~1\Temp\Diretório temporário 2 para hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.srbrasil.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [WindowsUpdate] C:\Arquivos de programas\WindowsUpdate.scr

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - C:\WINDOWS\system32\WFXSVC.EXE

Sidney_RJ · Outubro 4, 2008

Esqueci de informar que o PC demora muito para carregar a barra de tarefa, como se estivesse buscando carregar algo que foi removido. A placa recebe as informações de que o cabo está conectado, a opção STATUS na guia Geral diz CONECTADO, mas na guia SUPORTE as informações de IP, máscara de rede, gateway não aparecem.

Sidney_RJ · Outubro 4, 2008

Já tentei também no XP a função TAREFAS DE REDE o item "Reparar esta conexão", o Windows diz que não é possível.

Sidney_RJ · Outubro 4, 2008

Hoje vim ao escritório especificamente para formatar meu PC, mas resolvi tentar ajuda nesse forum. Você acha que esta ocorrência ainda é porque posso estar infectado? Ou simplesmente a tentativa de extração do TROJAN pelo antivirus culminou no dano em algum arquivo? O problema é que o CD do Windows que tenho é uma versão inferior a instalada no PC e o Windows informa que perderei arquivos e configurações se tentar reinstalar.

PedroN · Outubro 4, 2008

- Faça o download do Bankerfix

Importante: A ferramenta irá finalizar o Internet Explorer. Salve qualquer link que você precisa acessar depois antes de executá-la.

Clique em OK na primeira e na segunda vez que aparecerem caixas de mensagem. Se você estiver executando o BankerFix pela segunda vez, ele irá pedir para verificar por uma atualização. Diga que Sim e depois clique em OK.

Quando ele executar, aparecerá uma tela preta pedindo para que aperte qualquer tecla. Tecle Enter e espere ele terminar. Pode levar algum tempo.

Ao terminar, leia a mensagem na tela e aperte Enter novamente. Quando ele terminar, poste o arquivo C:\LinhaDefensiva\relatorio.txt na sua resposta

- Apague a pasta:

C:\LinhaDefensiva

Sidney_RJ · Outubro 4, 2008

Caro Sr. Perfect, obrigado pelo contato, fiz conforme orientado, mas continuo sem conexão, o log está abaixo :

BankerFix 3.0 VALKYRIE - Removedor de Bankers

Linha Defensiva | http://www.linhadefensiva.org

http://www.linhadefensiva.org/bankerfix/

-------------------------------------------------------

Data: 2008-10-04 - 13:05

-------------------------------------------------------

Lista de Definição: 2008-09-15-1 | CORE: 2008-09-30-2

=======================================================

Arquivo infectado detectado: C:\WINDOWS\PP.reg

Arquivo infectado removido com sucesso!

----- Fim -------------------------

PedroN · Outubro 4, 2008

- Baixe: < ComboFix.exe >

- Salve-o no Desktop!

- Desabilite as proteções residente de: antivírus,antispywares e firewall. ( Menos o do Windows! )

- Feche todas as janelas e execute a ferramenta!

Caso aconteça a notificação de: Aplicativo Win32 inválido,delete a ferramenta e faça,novamente,o download.
Salve-a no desktop,renomeada como: Kombo.exe

Ps: Nomeie durante o salvamento,e não após salvá-la!

Ps: Caso ocorra alguma mensagem de erro,rode o ComboFix.exe em Modo de Segurança.

Ps: Evite executar,voluntariamente,esta ferramenta!Siga,àcima,todas as recomendações propostas.

- Abrirá a janela Auto Scan. Aguarde!

- Digite a opção para continuar! >> Enter

- Aguarde a conclusão!

- Durante o scan,evite manusear o mouse ou teclado! <-- Importante!

- Para parar ou sair do ComboFix,tecle "N".

----------------------

- Terminando,poste o relatório: C:\ComboFix.txt

Sidney_RJ · Outubro 6, 2008

Amigo, também rodei o Combofix exatamente como informara e continuo com o problema, postei o log baixo, mas como tenho muita urgência na resolução estou preparando os backups para formatar este PC. Obrigado pela atenção.

ComboFix 08-10-05.06 - Carlos 2008-10-06 7:11:34.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.320 [GMT -3:00]

Executando de: C:\Documents and Settings\Carlos\Desktop\Kombo.exe

* Criado um novo ponto de restauro

ATENÇAO - ESTA MAQUINA NAO TEM A CONSOLE DE RECUPERAÇÃO INSTALADA !!

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Arquivos de programas\FunWebProducts

C:\WINDOWS\system32\Microsoft\backup.ftp

F:\autorun.inf

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_IPRIP

-------\Service_Iprip

((((((((((((((((((((((( Ficheiros criados de 2008-09-06 to 2008-10-06 ))))))))))))))))))))))))))))))))

.

2008-10-04 12:45 . 2008-10-04 12:45 224 --a------ C:\WINDOWS\system32\cool.rsp

2008-10-03 08:48 . 2001-10-28 15:07 19,456 --a------ C:\WINDOWS\system32\simptcp.dll

2008-10-03 08:48 . 2001-10-28 15:07 19,456 --a--c--- C:\WINDOWS\system32\dllcache\simptcp.dll

2008-10-02 13:31 . 2008-10-02 12:39 212,849 --a------ C:\hijackthis.zip

2008-10-02 12:35 . 2008-10-02 13:07 45,056 --a--c--- C:\WINDOWS\system32\dllcache\ftp.VIR

2008-10-02 12:35 . 2001-10-28 15:07 17,408 --a------ C:\WINDOWS\system32\tftp.exe

2008-10-02 12:30 . 2008-10-02 12:31 <DIR> d-------- C:\WINDOWS\ERUNT

2008-10-02 12:24 . 2008-10-02 13:34 <DIR> d-------- C:\SDFix

2008-10-02 12:24 . 2008-10-02 12:14 1,429,069 --a------ C:\SDFix.exe

2008-10-02 09:22 . 2008-10-06 06:58 2,184 --a------ C:\WINDOWS\system32\wpa.dbl

2008-10-01 14:35 . 2008-10-01 14:35 76,288 -r-hs---- C:\WINDOWS\system32\drivers\FmMgr.exe

2008-09-30 12:42 . 2008-10-01 09:46 89,600 --a------ C:\8b4l8r9h1v9.exe

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-02 16:15 360,320 ------w C:\WINDOWS\system32\drivers\tcpip.sys

2008-09-30 18:27 59,904 --sh--r C:\WINDOWS\PCHealth\HelpCtr\Binaries\svchost.exe

2007-05-16 18:39 23,960 ----a-w C:\Documents and Settings\Carlos\Dados de aplicativos\GDIPFONTCACHEV1.DAT

2004-01-31 22:54 331,776 ----a-w C:\WINDOWS\inf\pdfinst2.exe

.

------- Sigcheck -------

2008-06-20 07:44 360960 744e57c99232201ae98c49168b918f48 C:\WINDOWS\$hf_mig$\KB951748\SP2QFE\tcpip.sys

2008-06-20 08:51 361600 9aefa14bd6b182d61e3119fa5f436d3d C:\WINDOWS\$hf_mig$\KB951748\SP3GDR\tcpip.sys

2008-06-20 08:59 361600 ad978a1b783b5719720cff204b666c8e C:\WINDOWS\$hf_mig$\KB951748\SP3QFE\tcpip.sys

2007-10-30 14:20 360064 90caff4b094573449a0872a0f919b178 C:\WINDOWS\$NtUninstallKB951748$\tcpip.sys

2004-08-03 23:14 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\ServicePackFiles\i386\tcpip.sys

2008-10-02 13:15 360320 841a641c665d3e24504463d3c2163f92 C:\WINDOWS\system32\dllcache\tcpip.sys

2008-10-02 13:15 360320 841a641c665d3e24504463d3c2163f92 C:\WINDOWS\system32\drivers\tcpip.sys

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2001-12-31 3756032]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{A213B520-C6C2-11d0-AF9D-008029E1027E}"= "d:\arquivos de programas\symantec\WfxSeh32.Dll" [1998-07-27 38400]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Adobe Reader Speed Launch.lnk]

path=C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\Adobe Reader Speed Launch.lnk

backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^AudioDeck.lnk]

path=C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\AudioDeck.lnk

backup=C:\WINDOWS\pss\AudioDeck.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Microsoft Office.lnk]

path=C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\Microsoft Office.lnk

backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Carlos^Menu Iniciar^Programas^Inicializar^reminder-Registro do produto ScanSoft.lnk]

path=C:\Documents and Settings\Carlos\Menu Iniciar\Programas\Inicializar\reminder-Registro do produto ScanSoft.lnk

backup=C:\WINDOWS\pss\reminder-Registro do produto ScanSoft.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]

C:\WINDOWS\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]

--a------ 2005-07-14 15:09 57344 C:\Arquivos de programas\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CoolPDF]

--a------ 2005-05-25 18:29 945152 C:\Arquivos de programas\CoolPDF\coolpdf.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]

--a------ 2004-08-04 00:45 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DeviceDiscovery]

--a------ 2002-12-02 19:56 40960 C:\Arquivos de programas\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

-ra------ 2002-12-17 10:40 49152 C:\Arquivos de programas\Hewlett-Packard\HP Software Update\hpwuSchd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]

--a------ 2003-03-11 07:08 172032 C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InstantAccess]

--a------ 1998-07-07 16:04 37376 d:\ARQUIV~1\TEXTBR~1.0\Bin\INSTAN~1.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load]

--a------ 1998-08-05 17:35 35328 D:\TBRIDGE\FLATBED.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]

-ra------ 2001-12-31 13:04 3756032 C:\WINDOWS\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]

-ra------ 2001-12-31 13:04 46080 C:\WINDOWS\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RegisterDropHandler]

--a------ 1998-07-07 16:20 22528 d:\ARQUIV~1\TEXTBR~1.0\Bin\REGIST~1.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2008-02-22 04:25 144784 C:\Arquivos de programas\Java\jre1.6.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]

-ra------ 2006-03-30 16:45 313472 C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

--a------ 2001-12-31 13:04 831488 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinFaxAppPortStarter]

--a------ 2000-02-14 16:36 43008 C:\WINDOWS\system32\WFXSNT40.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"C:\\WINDOWS\\system32\\sessmgr.exe"=

"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Arquivos de programas\\IncrediMail\\bin\\ImpCnt.exe"=

"C:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe"=

"C:\\Arquivos de programas\\MSN Messenger\\livecall.exe"=

"C:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3587:TCP"= 3587:TCP:Agrupamento de Mesmo Nível do Windows

"3540:UDP"= 3540:UDP:Protocolo PNRP (Peer Name Resolution Protocol)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]

"AllowInboundEchoRequest"= 1 (0x1)

R2 wfxsvc;WinFax PRO;C:\WINDOWS\system32\WFXSVC.EXE [2000-02-14 129536]

R3 wdm_au8830;Aureal Vortex 8830 Audio Driver (WDM);C:\WINDOWS\system32\drivers\adm8830.sys [2001-08-17 747392]

S0 Partizan;Partizan;C:\WINDOWS\system32\drivers\Partizan.sys [2007-12-13 17926]

S3 p2pgasvc;Autenticação de grupo de rede ponto-a-ponto;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]

S3 p2pimsvc;Gerenciador de identidades ponto-a-ponto da Microsoft;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]

S3 p2psvc;Configuração de rede ponto-a-ponto;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]

S3 PNRPSvc;Protocolo de resolução de nomes ponto-a-ponto;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]

S3 SetupNTGLM7X;SetupNTGLM7X;D:\NTGLM7X.sys [ ]

S3 Vsp;Vsp;C:\WINDOWS\system32\drivers\Vsp.sys [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc

.

- - - - ORFAOS REMOVIDOS - - - -

Notify-WgaLogon - (no file)

MSConfigStartUp-Magentic - C:\ARQUIV~1\Magentic\bin\Magentic.exe

MSConfigStartUp-WindowsUpdate - C:\Arquivos de programas\WindowsUpdate.scr

.

------- Ccan Suplementar -------

.

R0 -: HKCU-Main,Start Page = hxxp://www.srbrasil.com/

R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

O17 -: HKLM\CCS\Interface\{CECFE03A-A52F-4612-9F1D-6DEFEB00D125}: NameServer = 200.196.48.20,200.196.48.21

O16 -: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab

C:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab

C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-06 07:20:23

Windows 5.1.2600 Service Pack 2 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros ocultos ...

**************************************************************************

.

------------------------ Outros Processos em Execução ------------------------

.

C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\tcpsvcs.exe

D:\Arquivos de programas\Symantec\WFXMOD32.EXE

C:\WINDOWS\system32\verclsid.exe

C:\WINDOWS\system32\imapi.exe

.

**************************************************************************

.

Tempo para conclusão: 2008-10-06 7:28:34 - Maquina reiniciou

ComboFix-quarantined-files.txt 2008-10-06 10:27:29

Pre-Run: 10 pasta(s) 18.971.369.472 bytes disponíveis

Post-Run: 12 pasta(s) 19,476,811,776 bytes disponíveis

176 --- E O F --- 2008-09-10 20:43:16

Sidney_RJ · Outubro 6, 2008

Não sei, mas estou totalmente desnorteado, acho que talvez possa não se tratar mais de um vírus, acho que o antivirus corrompeu algum arquivo de rede.

PedroN · Outubro 6, 2008

Visite o site Virus Total

Envie o arquivo abaixo para uma análise:

C:\WINDOWS\PCHealth\HelpCtr\Binaries\svchost.exe

Depois de terminado poste os resultados.

- Faça o mesmo com o arquivo abaixo:

C:\8b4l8r9h1v9.exe

Mário Monteiro · Novembro 7, 2008

Tópico Arquivado

Como o autor não respondeu por mais de 30 dias, o tópico foi arquivado.

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.

Arquivado

[Arquivado] "prdMgr.exe" não encontrado

Recommended Posts

Sidney_RJ 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

Mário Monteiro 179

Compartilhar este post

Link para o post

Compartilhar em outros sites

Sidney_RJ 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

Sidney_RJ 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

Sidney_RJ 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

Sidney_RJ 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

PedroN 1

Compartilhar este post

Link para o post

Compartilhar em outros sites

Sidney_RJ 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

PedroN 1

Compartilhar este post

Link para o post

Compartilhar em outros sites

Sidney_RJ 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

Sidney_RJ 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

PedroN 1

Compartilhar este post

Link para o post

Compartilhar em outros sites

Mário Monteiro 179

Compartilhar este post

Link para o post

Compartilhar em outros sites

recuperando parametros simplexml_load_file

PHP+Codeigniter - Adicionar Registro Plano de Contas

Javascript - Passar Parâmetros para uma Função.

Fóruns

Tempo Real

Informação importante