[Arquivado] Análise de log - Vários itens no Gerenciador de Taref

[EngPiRRa 0]

Olá,

 

Estou preocupado com estes processos rodando no meu micro. Formatei há pouco tempo (1 semana), mas como o computador também é utilizado por um primo que instala muitas coisas, gostaria de saber como consertar esses mal-wares (se é que são).

 

Vale salientar que após finalizar tarefa (iexplore.exe, por exemplo), ele reabre sozinho automaticamente. Outra coisa incomum foi que eu desabilitei tudo no msconfig (exceto o panda) e, após reiniciar, um tal de curb_memo volta a ser inicializado com o windows.

 

 

 

 

Segue o log anexado:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:20:33, on 2/11/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Panda Security\Panda Antivirus 2008\pavsrv51.exe

C:\Arquivos de programas\Panda Security\Panda Antivirus 2008\AVENGINE.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Panda Security\Panda Antivirus 2008\APVXDWIN.EXE

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Arquivos de programas\Arquivos comuns\Panda Software\PavShld\pavprsrv.exe

C:\Arquivos de programas\Panda Security\Panda Antivirus 2008\PsImSvc.exe

C:\Arquivos de programas\Panda Security\Panda Antivirus 2008\PsCtrls.exe

C:\Arquivos de programas\Panda Security\Panda Antivirus 2008\WebProxy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\Windows Live\installer\WLSetupSvc.exe

C:\Arquivos de programas\Windows Live\Messenger\usnsvc.exe

C:\Hijack\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {6EF05952-B48D-4944-AA91-57A6A1A48EF8} - C:\Arquivos de programas\Puxa Rápido\IEBHO.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [APVXDWIN] "C:\Arquivos de programas\Panda Security\Panda Antivirus 2008\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [DeafBait] C:\DOCUME~1\USUARI~1\DADOSD~1\IDLETH~1\curb memo.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-21-1454471165-776561741-725345543-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'postgres')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Arquivos de programas\PokerStars\PokerStarsUpdate.exe

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/PT-BR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1224089749181

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwa...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C308B029-4871-4FAE-BD40-B4A57B9E4DB7}: NameServer = 200.165.132.155 200.165.132.148

O23 - Service: Panda Software Controller - Panda Software International - C:\Arquivos de programas\Panda Security\Panda Antivirus 2008\PsCtrls.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Arquivos de programas\Arquivos comuns\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Arquivos de programas\Panda Security\Panda Antivirus 2008\pavsrv51.exe

O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - C:\Arquivos de programas\PostgreSQL\8.3\bin\pg_ctl.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Arquivos de programas\Panda Security\Panda Antivirus 2008\PsImSvc.exe

 

--

End of file - 5520 bytes

 

 

 

Agradeço desde já a colaboração

[jgarcia 1]

Opa EngPiRRa,

 

Baixe o ComboFix em:

ComboFix

 

1) Desabilite o seu anti-vírus temporariamente;

 

2) Dê um duplo-clique no combofix.exe e aguarde (o processo total demora cerca de 10 minutos);

 

3) A janela de “NEGAÇÃO DE GARANTIA DO SOFTWARE” abrir-se-á. Leia atentamente o texto contido nesta janela e clique sobre “SIM” para continuar.

 

PS.: Caso não concorde com os termos clique sobre “NÃO” para sair do software, cabendo lembrar que o processo de desinfecção não será possível sem a continuidade do ComboFix.

 

4) Outra janela irá abrir, caso a sua máquina não possua o CONSOLE DE RECUPERAÇÃO DO WINDOWS. É recomendável executar a instalação do console ante de dar continuidade ao processo, pois tal ação proporcionará a garantia de que o sistema poderá ser recuperado em caso de problemas durante a varredura.

 

Clique sobre “SIM” e aguarde, pois o processo de instalação do console dar-se-á automaticamente através do próprio ComboFix. Ele poderá demorar alguns minutos (dependerá da velocidade de sua conexão), portanto seja paciente.

 

Quando a janela “INSTALANDO O CONSOLE DE RECUPERAÇÃO” aparecer clique em “OK”, depois clique sobre “SIM” para aceitar a licença EULA.

 

Ao término da instalação do console de recuperação abrir-se-á uma janela avisando que “O CONSOLE DE RECUPERAÇÃO FOI INSTALADA COM SUCESSO”.

 

Clique sobre “SIM” para continuar a varredura.

 

5) O ComboFix iniciará o AUTOSCAN (aguarde).

 

ATENÇÃO: Não clique na janela do ComboFix, nem termine o processo abruptamente enquanto a ferramenta estiver sendo executada, pois isto implicará na desconfiguração de seu desktop (ele ficará todo branco).

 

Ao término do processo a máquina será reiniciada para a emissão do relatório.

 

6) Ao reiniciar a máquina o ComboFix irá executar o FIND3M para a criação do relatório final da varredura. O log ficará alocado em C:\ComboFix.txt.

 

7) Reabilite o seu anti-vírus;

 

8) Preciso que você cole o conteúdo do ComboFix.txt em sua próxima resposta.

 

OBS.1: Caso apareça uma mensagem avisando que ESTE NÃO É UM APLICATIVO WIN 32 VÁLIDO baixe o ComboFix novamente, mas salve-o em seu Desktop como KomboFix. Em último caso, tente utilizar o ComboFix em MODO SEGURO.

 

OBS.2: Caso haja um clique sobre a janela do ComboFix em execução, ela irá MAXIMIZAR, sobrepondo-se sobre as demais. Para minimizá-la novamente basta utilizar a combinação ALT + TAB.

 

Abraços.

[EngPiRRa 0]

Garcia, desde já, obrigado pela atenção. :thumbsup:

 

Segue o log do combofix. :wacko:

 

-----------------------------------------------

 

 

ComboFix 08-11-03.03 - Usuario Principal 2008-11-03 23:57:50.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.1031 [GMT -3:00]

Executando de: c:\documents and settings\Usuario Principal\Desktop\ComboFix.exe

* Criado um novo ponto de restauro

.

 

(((((((((((((((( Arquivos/Ficheiros criados de 2008-10-04 to 2008-11-04 ))))))))))))))))))))))))))))

.

 

2008-11-03 23:22 . 2008-11-03 23:22 48 --a------ c:\windows\devcap.ini

2008-11-03 23:20 . 2008-11-03 23:20 <DIR> d-------- c:\windows\MyInstall

2008-11-03 23:20 . 2006-04-25 07:20 401,408 --a------ c:\windows\713xRMT.exe

2008-11-03 23:20 . 2006-04-25 07:20 352,256 --a------ c:\windows\713xRMTMon.exe

2008-11-03 23:20 . 2005-08-10 12:00 204,800 --a------ c:\windows\system32\713xTTXDecoder.ax

2008-11-03 23:10 . 2008-11-03 23:11 <DIR> d-------- c:\windows\LastGood

2008-11-03 22:40 . 2008-11-03 22:40 <DIR> d-------- c:\documents and settings\Usuario Principal\WINDOWS

2008-11-03 22:23 . 2008-11-03 22:23 <DIR> d-------- c:\arquivos de programas\directx

2008-11-03 21:43 . 2008-11-03 21:43 <DIR> d-------- c:\arquivos de programas\TVR

2008-11-03 21:40 . 2004-10-20 03:54 308,096 -ra------ c:\windows\system32\drivers\lvcap138.sys

2008-11-02 16:10 . 2008-11-02 16:20 <DIR> d-------- C:\Hijack

2008-11-02 15:29 . 2008-11-02 15:48 <DIR> d-------- c:\arquivos de programas\Marcos Velasco Security

2008-11-02 14:19 . 2008-11-03 12:15 <DIR> d-------- c:\documents and settings\Usuario Principal\Dados de aplicativos\uTorrent

2008-11-02 14:19 . 2008-11-02 14:19 <DIR> d-------- c:\arquivos de programas\uTorrent

2008-11-01 17:39 . 2008-11-01 17:40 10 --a------ c:\windows\WININIT.INI

2008-11-01 14:22 . 2008-11-02 00:47 <DIR> d-------- c:\windows\system32\CatRoot_bak

2008-11-01 13:43 . 2008-08-14 10:45 2,184,576 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe

2008-11-01 13:43 . 2008-08-14 10:45 2,140,160 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe

2008-11-01 13:43 . 2008-08-14 10:45 2,061,952 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe

2008-11-01 13:42 . 2008-08-14 10:45 2,019,840 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe

2008-11-01 13:29 . 2008-06-14 14:59 272,384 --------- c:\windows\system32\drivers\bthport.sys

2008-11-01 13:29 . 2008-06-14 14:59 272,384 -----c--- c:\windows\system32\dllcache\bthport.sys

2008-10-31 21:52 . 2008-10-31 21:53 <DIR> d-------- c:\documents and settings\Usuario Principal\Dados de aplicativos\Tibia

2008-10-31 21:51 . 2008-10-31 21:51 <DIR> d-------- c:\arquivos de programas\Tibia

2008-10-31 17:16 . 2007-08-21 18:56 266,240 --a------ c:\windows\system32\s3iset32.dll

2008-10-31 17:16 . 2007-08-21 18:56 200,704 --a------ c:\windows\system32\s3minset.exe

2008-10-30 19:37 . 2006-02-21 22:05 140,307 --a------ c:\windows\system32\atmptbxx.hlp

2008-10-30 19:37 . 2006-02-21 22:05 45,352 --a------ c:\windows\system32\attptbxx.hlp

2008-10-30 19:37 . 2006-02-21 22:05 24,712 --a------ c:\windows\system32\atfptbxx.hlp

2008-10-30 19:30 . 2008-10-30 19:30 <DIR> d-------- c:\arquivos de programas\MultiRes

2008-10-30 19:29 . 2008-10-30 19:29 <DIR> d-------- c:\arquivos de programas\Radeon Omega Drivers

2008-10-30 19:29 . 2008-10-30 19:29 472,576 --a------ c:\windows\Radeon Omega Drivers v4.8.442 Uninstall.exe

2008-10-30 19:17 . 2008-10-31 16:30 <DIR> d-------- c:\arquivos de programas\Puxa Rápido

2008-10-30 19:11 . 2004-08-04 00:45 1,888,992 --a--c--- c:\windows\system32\dllcache\ati3duag.dll

2008-10-30 19:11 . 2004-08-04 00:45 1,888,992 --a------ c:\windows\system32\ati3duag.dll

2008-10-30 19:11 . 2004-08-04 00:45 870,784 --a--c--- c:\windows\system32\dllcache\ati3d1ag.dll

2008-10-30 19:11 . 2004-08-04 00:45 870,784 --a------ c:\windows\system32\ati3d1ag.dll

2008-10-30 19:11 . 2004-08-04 00:36 701,440 --a------ c:\windows\system32\drivers\ati2mtag.sys

2008-10-30 19:11 . 2004-08-04 00:36 701,440 --a--c--- c:\windows\system32\dllcache\ati2mtag.sys

2008-10-30 19:11 . 2004-08-04 00:45 516,768 --a--c--- c:\windows\system32\dllcache\ativvaxx.dll

2008-10-30 19:11 . 2004-08-04 00:45 516,768 --a------ c:\windows\system32\ativvaxx.dll

2008-10-30 19:11 . 2004-08-04 00:45 229,376 --a--c--- c:\windows\system32\dllcache\ati2cqag.dll

2008-10-30 19:11 . 2004-08-04 00:45 229,376 --a------ c:\windows\system32\ati2cqag.dll

2008-10-30 19:11 . 2004-08-04 00:45 201,728 --a--c--- c:\windows\system32\dllcache\ati2dvag.dll

2008-10-30 19:11 . 2004-08-04 00:45 201,728 --a------ c:\windows\system32\ati2dvag.dll

2008-10-29 15:05 . 2008-10-29 15:05 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Messenger Plus!

2008-10-28 22:07 . 2008-10-28 22:07 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Ping Sign Byte Tool

2008-10-28 22:06 . 2008-10-28 22:07 <DIR> d-------- c:\documents and settings\Usuario Principal\Dados de aplicativos\idle this sect

2008-10-28 22:06 . 2008-10-28 22:06 <DIR> d-------- c:\arquivos de programas\idle this sect

2008-10-28 22:05 . 2008-10-28 22:05 <DIR> d-------- c:\arquivos de programas\Messenger Plus! Live

2008-10-28 22:05 . 2008-10-28 22:05 <DIR> d-------- c:\arquivos de programas\Circle Developement

2008-10-25 00:16 . 2008-11-02 14:07 <DIR> d-------- c:\arquivos de programas\PokerStars

2008-10-23 16:42 . 2008-10-23 16:42 <DIR> d-------- c:\arquivos de programas\ParadisePoker

2008-10-23 12:07 . 2008-10-23 12:07 <DIR> d-------- c:\documents and settings\Usuario Principal\Dados de aplicativos\Media Player Classic

2008-10-23 12:06 . 2008-10-23 12:06 <DIR> d-------- c:\arquivos de programas\K-Lite Codec Pack

2008-10-21 13:35 . 2008-10-21 13:35 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\GbPlugin

2008-10-20 13:13 . 2008-10-20 13:13 <DIR> d-------- c:\windows\Sun

2008-10-20 11:00 . 2008-10-15 13:23 <DIR> d--h----- c:\documents and settings\postgres\Modelos

2008-10-20 11:00 . 2008-10-15 10:05 <DIR> d-------- c:\documents and settings\postgres\Meus documentos

2008-10-20 11:00 . 2008-10-15 10:05 <DIR> dr------- c:\documents and settings\postgres\Menu Iniciar

2008-10-20 11:00 . 2008-10-15 10:05 <DIR> d-------- c:\documents and settings\postgres\Favoritos

2008-10-20 11:00 . 2008-10-15 10:05 <DIR> dr-h----- c:\documents and settings\postgres\Dados de aplicativos

2008-10-20 11:00 . 2008-11-04 00:02 <DIR> d--h----- c:\documents and settings\postgres\Configurações locais

2008-10-20 11:00 . 2008-10-15 10:05 <DIR> d--h----- c:\documents and settings\postgres\Ambiente de rede

2008-10-20 11:00 . 2008-10-15 10:05 <DIR> d--h----- c:\documents and settings\postgres\Ambiente de impressão

2008-10-20 11:00 . 2008-11-03 23:10 <DIR> d-------- c:\documents and settings\postgres

2008-10-20 10:55 . 2008-10-20 10:55 <DIR> d-------- c:\arquivos de programas\PostgreSQL

2008-10-20 10:52 . 2008-11-02 14:12 <DIR> d-a------ c:\documents and settings\All Users\Dados de aplicativos\TEMP

2008-10-20 10:48 . 2008-10-20 11:44 <DIR> d-------- c:\arquivos de programas\PokerTracker 3

2008-10-17 19:01 . 2008-10-31 23:54 <DIR> d-------- c:\arquivos de programas\Steam

2008-10-16 21:09 . 2004-08-04 00:45 221,184 --a------ c:\windows\system32\wmpns.dll

2008-10-15 21:59 . 2008-10-15 22:00 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\Adobe

2008-10-15 21:02 . 2007-04-09 13:23 28,040 --a------ c:\windows\system32\mdimon.dll

2008-10-15 21:02 . 2008-10-15 21:02 421 --a------ c:\windows\ODBC.INI

2008-10-15 21:01 . 2008-10-15 21:01 <DIR> d-------- c:\windows\SHELLNEW

2008-10-15 20:58 . 2008-10-15 20:58 <DIR> dr-h----- C:\MSOCache

2008-10-15 20:22 . 2008-11-01 17:41 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\eboostr

2008-10-15 19:52 . 2004-08-03 23:08 26,496 --a--c--- c:\windows\system32\dllcache\usbstor.sys

2008-10-15 19:51 . 2008-10-15 19:51 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\Panda Software

2008-10-15 19:51 . 2008-10-15 19:32 178,872 --a------ c:\windows\system32\drivers\PavProc.sys

2008-10-15 19:51 . 2008-10-15 19:32 38,968 --a------ c:\windows\system32\drivers\ShlDrv51.sys

2008-10-15 19:32 . 2008-10-15 19:32 <DIR> d-------- c:\documents and settings\LocalService\Menu Iniciar

2008-10-15 18:49 . 2007-07-30 19:19 271,224 --a------ c:\windows\system32\mucltui.dll

2008-10-15 18:49 . 2007-07-30 19:19 207,736 --a------ c:\windows\system32\muweb.dll

2008-10-15 18:49 . 2007-07-30 19:18 30,072 --a------ c:\windows\system32\mucltui.dll.mui

2008-10-15 14:47 . 2008-10-15 14:47 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\sentinel

2008-10-15 14:46 . 2008-10-15 18:51 <DIR> d-------- c:\windows\system32\PAV

2008-10-15 14:46 . 2008-10-15 14:46 <DIR> d-------- c:\arquivos de programas\Panda Security

2008-10-15 14:46 . 2003-03-18 19:14 499,712 --a------ c:\windows\system32\MSVCP71.DLL

2008-10-15 14:46 . 2003-02-21 03:42 348,160 --------- c:\windows\system32\MSVCR71.DLL

2008-10-15 14:46 . 2007-09-28 13:24 83,896 --a------ c:\windows\system32\drivers\pavdrv51.sys

2008-10-15 14:46 . 2007-03-15 18:38 54,832 --a------ c:\windows\system32\pavcpl.cpl

2008-10-15 14:46 . 2007-02-15 20:02 50,736 --a------ c:\windows\system32\avldr.dll

2008-10-15 14:46 . 2008-10-15 14:46 264 --a------ c:\windows\system32\PavCPL.dat

2008-10-15 14:40 . 2008-10-15 14:40 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\T6

2008-10-15 14:40 . 2008-10-15 14:40 <DIR> d-------- c:\arquivos de programas\T6

2008-10-15 14:35 . 2008-10-15 14:35 <DIR> d-------- C:\Poker

2008-10-15 14:29 . 2008-10-15 14:29 0 --a------ c:\windows\nsreg.dat

2008-10-15 14:28 . 2008-11-01 17:42 <DIR> d-------- c:\arquivos de programas\Google

2008-10-15 14:28 . 2008-06-10 02:32 73,728 --a------ c:\windows\system32\javacpl.cpl

2008-10-15 14:27 . 2008-10-15 14:28 <DIR> d-------- c:\arquivos de programas\Java

2008-10-15 14:25 . 2008-10-15 14:25 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\Java

2008-10-15 14:13 . 2008-10-15 14:13 <DIR> d-------- c:\documents and settings\Usuario Principal\Contacts

2008-10-15 14:12 . 2008-10-15 14:12 <DIR> d----c--- c:\windows\system32\DRVSTORE

2008-10-15 14:04 . 2008-11-02 15:49 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\WLInstaller

2008-10-15 14:04 . 2008-10-15 14:12 <DIR> d-------- c:\arquivos de programas\Windows Live

2008-10-15 14:04 . 2008-10-15 14:12 <DIR> d--hsc--- c:\arquivos de programas\Arquivos comuns\WindowsLiveInstaller

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-01 21:41 --------- d--h--w c:\arquivos de programas\InstallShield Installation Information

2008-10-30 22:30 --------- d-----w c:\arquivos de programas\Arquivos comuns\InstallShield

2008-10-15 16:45 --------- d-----w c:\arquivos de programas\S3

2008-10-15 16:45 --------- d-----w c:\arquivos de programas\Realtek Sound Manager

2008-10-15 16:45 --------- d-----w c:\arquivos de programas\Realtek AC97

2008-10-15 16:45 --------- d-----w c:\arquivos de programas\AvRack

2008-10-15 16:29 --------- d-----w c:\arquivos de programas\microsoft frontpage

2008-10-15 16:25 --------- d-----w c:\arquivos de programas\Serviços on-line

2008-10-15 16:25 --------- d-----w c:\arquivos de programas\Arquivos comuns\Serviços

2008-09-15 15:40 1,846,144 ----a-w c:\windows\system32\win32k.sys

2008-08-20 05:37 661,504 ----a-w c:\windows\system32\wininet.dll

2008-08-14 13:45 2,184,576 ----a-w c:\windows\system32\ntoskrnl.exe

2008-08-14 13:45 2,061,952 ----a-w c:\windows\system32\ntkrnlpa.exe

.

 

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MsnMsgr"="c:\arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

"DeafBait"="c:\docume~1\USUARI~1\DADOSD~1\IDLETH~1\curb memo.exe" [2008-10-28 585728]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"APVXDWIN"="c:\arquivos de programas\Panda Security\Panda Antivirus 2008\APVXDWIN.EXE" [2007-10-04 455984]

"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-04 159744]

"TV Card Remote Control Device Monitor"="c:\windows\713xRMTMon.exe" [2006-04-25 352256]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"LvHidSvc"="c:\windows\system32\lvhidsvc.exe" [2004-10-10 33280]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

 

c:\documents and settings\Usuario Principal\Menu Iniciar\Programas\Inicializar\

TVR Schedule.lnk - c:\documents and settings\Usuario Principal\Dados de aplicativos\Microsoft\Installer\{E4C3B10E-E277-4458-8440-DAE332D50BF3}\_4ae13d6c.exe [2008-11-03 1078]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]

2007-02-15 20:02 50736 c:\windows\system32\avldr.dll

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^eBoostr Control Panel.lnk]

backup=c:\windows\pss\eBoostr Control Panel.lnkCommon Startup

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

--a------ 2008-06-12 02:38 34672 c:\arquivos de programas\Adobe\Reader 9.0\Reader\reader_sl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Atualizador - Puxa Rápido]

--a------ 2006-06-23 10:53 73216 c:\arquivos de programas\Puxa Rápido\Atualiza.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Byte Tool Tons Mail]

--a------ 2008-11-03 23:58 1445888 c:\documents and settings\All Users\Dados de aplicativos\Ping Sign Byte Tool\new bend.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

--a------ 2004-08-04 00:45 15360 c:\windows\system32\ctfmon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DeafBait]

--a------ 2008-10-28 22:06 585728 c:\docume~1\USUARI~1\DADOSD~1\IDLETH~1\curb memo.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--------- 2004-08-04 00:56 1667584 c:\arquivos de programas\Messenger\msmsgs.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]

--a------ 2007-10-18 11:34 5724184 c:\arquivos de programas\Windows Live\Messenger\msnmsgr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]

--a------ 2008-10-17 19:07 1410296 c:\arquivos de programas\Steam\Steam.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2008-06-10 04:27 144784 c:\arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]

-ra------ 2005-08-17 07:39 90112 c:\windows\SOUNDMAN.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]

-ra------ 2005-03-07 16:33 53248 c:\windows\system32\VTTimer.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTrayp]

-ra------ 2005-03-11 06:33 147456 c:\windows\system32\VTTrayp.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Steam\\SteamApps\\ckna@bol.com.br\\counter-strike\\hl.exe"=

"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

"c:\\Arquivos de programas\\Puxa Rápido\\PuxaRapido.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Arquivos de programas\\uTorrent\\uTorrent.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\livecall.exe"=

 

R0 ALLOW-IO;ALLOW-IO;c:\windows\system32\Drivers\ALLOW-IO.sys [2005-06-22 6016]

R1 ShldDrv;Panda File Shield Driver;c:\windows\system32\DRIVERS\ShlDrv51.sys [2008-10-15 38968]

R2 PavProc;Panda Process Protection Driver;c:\windows\system32\DRIVERS\PavProc.sys [2008-10-15 178872]

S2 pgsql-8.3;PostgreSQL Database Server 8.3;c:\arquivos de programas\PostgreSQL\8.3\bin\pg_ctl.exe runservice -w -N pgsql-8.3 -D c:\arquivos de programas\PostgreSQL\8.3\data\ [ ]

S3 {DEF85C80-216A-43ab-AF70-1665EDBE2780};{DEF85C80-216A-43ab-AF70-1665EDBE2780};c:\windows\TEMP\113.tmp [ ]

 

*Newly Created Service* - CATCHME

*Newly Created Service* - LVHIDSVC

*Newly Created Service* - PROCEXP90

.

Conteúdo da pasta 'Tarefas Agendadas'

 

2008-11-04 c:\windows\Tasks\B0123C88913DBB7C.job

- c:\docume~1\usuari~1\dadosd~1\idleth~1\HoldWindowBurn.exe [2008-10-28 22:07]

.

- - - - ORFÃOS REMOVIDOS - - - -

 

Notify-AtiExtEvent - (no file)

 

 

.

------- Scan Suplementar -------

.

FireFox -: Profile - c:\documents and settings\Usuario Principal\Dados de aplicativos\Mozilla\Firefox\Profiles\apgos3ml.default\

FF -: plugin - c:\arquivos de programas\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF -: plugin - c:\arquivos de programas\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-04 00:02:21

Windows 5.1.2600 Service Pack 2 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

TV Card Remote Control Device Monitor = c:\windows\713xRMTMon.exe??? q??????????T?a??A2?x???????Hq??????????????x???????????x?2?????????????????????????????????x?2??????A2?????????T?a?x?2?m?a?x??????????????|dA2? q?????????????? q???????????????????????????????????q??h????????????q??(??? q????A????

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\system\ControlSet002\Services\{DEF85C80-216A-43ab-AF70-1665EDBE2780}]

"ImagePath"="\??\c:\windows\TEMP\113.tmp"

.

Tempo para conclusão: 2008-11-04 0:03:29

ComboFix-quarantined-files.txt 2008-11-04 03:03:19

 

Pré-execução: 11 pasta(s) 35.273.089.024 bytes disponíveis

Pós execução: 11 pasta(s) 35,321,434,112 bytes disponíveis

 

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

 

235 --- E O F --- 2008-11-03 20:03:28

 

-------------------------------------------------

 

Outra coisa que eu não disse é que tbm tá abrindo a janela do CiD. :blink:

 

 

 

Abraço

[EngPiRRa 0]

Ah! Garcia, agora eu descobri o que é o postgres.exe, é de um programinha que eu uso pra jogar poker =p

 

Abraço

[jgarcia 1]

Opa EngPiRRa,

 

Poste um novo log do ComboFix.

 

Abraços.

 

PS.: Desculpe a demora, pois o tempo anda curto. :(

[Mário Monteiro 179]

Tópico Arquivado

 

Como o autor não respondeu por mais de 30 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.