[Resolvido!] rackearam tudo!

[am640 0]

Oi pessoal,

 

Ontem eu usei o meu pc e o anti virus achou um virus na memória ram. Ele iniciou a análise pelo boot e disse q tinha removido. Então, agi normalmente, entrei no e-mail joguei wow e tudo mais. Hoje minha conta do jogo foi deletada, o meu mail invadido e todos os estragos possíveis.

Assim, analisei o pc com os anti virus, spybot, cccleaner e nada do virus sair. Vi um tópico aqui falando do Hijack. Fiz o mandado no tópico e aqui está o log. Vcs poderiam analisar?

 

 

Muitíssimo agradecida! ^^

 

Logfile of HijackThis v1.99.1

Scan saved at 07:39:02, on 14/11/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\D-Link\AirPlus G\AirGCFG.exe

C:\Arquivos de programas\ANI\ANIWZCS2 Service\WZCSLDR2.exe

C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

C:\Arquivos de programas\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\Arquivos de programas\VIA\VIAudioi\HDADeck\HDeck.exe

C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe

C:\Arquivos de programas\Mouse Driver\StartAutorun.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Mouse Driver\KMConfig.exe

C:\Arquivos de programas\Arquivos comuns\Teleca Shared\CapabilityManager.exe

C:\Arquivos de programas\DAEMON Tools Lite\daemon.exe

C:\Documents and Settings\Marianaxuxu\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Mouse Driver\KMProcess.exe

C:\Arquivos de programas\Mouse Driver\KMWDSrv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Arquivos de programas\Arquivos comuns\Teleca Shared\Generic.exe

C:\Arquivos de programas\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\Windows Live\Messenger\usnsvc.exe

C:\HijackThis.exe

C:\WINDOWS\system32\wscntfy.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bsplayer-search.com/startpage

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = capes.gov.br:3128

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARQUIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\ARQUIV~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll

O3 - Toolbar: BS.Player ControlBar - {2C688203-7EB3-4327-9995-1CB417BA23F9} - C:\Arquivos de programas\BS.Player ControlBar\BSToolbar.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Arquivos de programas\D-Link\AirPlus G\AirGCFG.exe

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Arquivos de programas\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [sony Ericsson PC Suite] "C:\Arquivos de programas\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [HDAudDeck] C:\Arquivos de programas\VIA\VIAudioi\HDADeck\HDeck.exe 1

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [KMCONFIG] C:\Arquivos de programas\Mouse Driver\StartAutorun.exe KMConfig.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [systemExplorer] "C:\Arquivos de programas\System Explorer\SystemExplorer.exe" /TRAY

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Arquivos de programas\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Marianaxuxu\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\kamsoft.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0-4CBF72FAED87} - C:\WINDOWS\system32\textwareilluminatorbaseProtocol.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARQUIV~1\ARQUIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Arquivos de programas\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - C:\Arquivos de programas\Mouse Driver\KMWDSrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

[MGuitar 11]

am640, seja bem vinda ao fórum. Siga as instruções abaixo.

 

1ª Etapa

 

- Faça o download do USBFix e salve-o no desktop;

 

- Desative temporariamente seu antivírus;

- Dê dois cliques no ícone do programa e instale-o clicando em (Suivant > Aceite o contrato > Suivant > Suivant > Démarrer > Quitter);

- Dê um duplo clique no ícone do USBFix criado no desktop para executá-lo;

- Insira o pen drive, MP3, MP4, ou qualquer outra mídia removível que tenha, na porta USB do PC e clique OK;

- Será apresentado uma mensagem que seu computador será desligado. Aguarde e espere-o reiniciar;

- O PC será reiniciado. Mantenha o pen drive no local. Não remova!!

- Ao reiniciar o PC a ferramenta será executada automaticamente. Clique "Continue" e aguarde...

- Ao receber a mensagem "Nettoyage effectue!", tecle ENTER

- Será aberto o log no bloco de notas automaticamente, junto com o Meu Computador, feche-os. O log também estará em C:\UsbFix.txt.

 

Cole este log do USBFix aqui.

 

 

2ª Etapa

 

- Baixe o ComboFix e salve-o no desktop (área de trabalho);

 

- Desabilite o seu anti-vírus temporariamente;

 

- Dê um duplo-clique no combofix.exe e aguarde (o processo total demora cerca de 10 minutos);

 

- A janela de “NEGAÇÃO DE GARANTIA DO SOFTWARE” abrir-se-á. Leia atentamente o texto contido nesta janela e clique sobre “SIM” para continuar.

 

PS.: Caso não concorde com os termos clique sobre “NÃO” para sair do software, cabendo lembrar que o processo de desinfecção não será possível sem a continuidade do ComboFix.

 

- Outra janela irá abrir, caso a sua máquina não possua o CONSOLE DE RECUPERAÇÃO DO WINDOWS. É recomendável executar a instalação do console ante de dar continuidade ao processo, pois tal ação proporcionará a garantia de que o sistema poderá ser recuperado em caso de problemas durante a varredura.

 

- Clique sobre “SIM” e aguarde, pois o processo de instalação do console dar-se-á automaticamente através do próprio ComboFix. Ele poderá demorar alguns minutos (dependerá da velocidade de sua conexão), portanto seja paciente.

 

- Quando a janela “INSTALANDO O CONSOLE DE RECUPERAÇÃO” aparecer clique em “OK”, depois clique sobre “SIM” para aceitar a licença EULA.

 

- Ao término da instalação do console de recuperação abrir-se-á uma janela avisando que “O CONSOLE DE RECUPERAÇÃO FOI INSTALADA COM SUCESSO”.

 

- Clique sobre “SIM” para continuar a varredura.

 

- O ComboFix iniciará o AUTOSCAN (aguarde).

 

ATENÇÃO: Não clique na janela do ComboFix, nem termine o processo abruptamente enquanto a ferramenta estiver sendo executada, pois isto implicará na desconfiguração de seu desktop (ele ficará todo branco).

 

- Ao término do processo a máquina será reiniciada para a emissão do relatório.

 

- Ao reiniciar a máquina o ComboFix irá executar o FIND3M para a criação do relatório final da varredura. O log ficará alocado em C:\ComboFix.txt.

 

- Reabilite o seu anti-vírus;

 

OBS.1: Caso apareça uma mensagem avisando que ESTE NÃO É UM APLICATIVO WIN 32 VÁLIDO baixe o ComboFix novamente, mas salve-o em seu Desktop como KomboFix. Em último caso, tente utilizar o ComboFix em MODO SEGURO.

 

OBS.2: Caso haja um clique sobre a janela do ComboFix em execução, ela irá MAXIMIZAR, sobrepondo-se sobre as demais. Para minimizá-la novamente basta utilizar a combinação ALT + TAB.

 

Para sua próxima resposta, preciso dos logs do USBFix e ComboFix.

[am640 0]

Obrigada pela pronta resposta e pelas boas vindas!

 

Estou tendo problemas para executar o usbfix.

Eu instalo ele e aparece a telinha vermelhinha, sendo que qnd eu coloco o pendrive num aparece nada. Isto é normal? pq pela sua explicação o pc deveria ser reiniciado. Fiz algo de errado? Sou meio tapada para informática....

E eu tava fuçando este fórum antes e já tinha usado o combofix, VirtumundoBeGone.exe e VundoFix e eles num encontraram nada. Isso é estranho pq o avira encontra esse vírus : tr/crypt.xpack.gen , que eu já exclui 500 mil vezes e ele volta.

 

 

O q eu faço agora?

[am640 0]

Sim, aqui estão os logs do combofix e dos outros 2:

 

ComboFix 08-11-12.02 - Marianaxuxu 2008-11-14 14:32:07.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.566 [GMT -2:00]

Executando de: c:\documents and settings\Marianaxuxu\Desktop\ComboFix.exe

* Criado um novo ponto de restauro

.

 

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

H:\Autorun.inf

 

.

(((((((((((((((( Arquivos/Ficheiros criados de 2008-10-14 to 2008-11-14 ))))))))))))))))))))))))))))

.

 

2008-11-14 12:45 . 2008-11-14 12:49 <DIR> d-------- C:\backups

2008-11-14 08:09 . 2008-11-14 08:09 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Avira

2008-11-14 08:09 . 2008-11-14 08:09 <DIR> d-------- c:\arquivos de programas\Avira

2008-11-14 07:37 . 2005-02-16 11:06 218,112 --a------ C:\HijackThis.exe

2008-11-14 07:34 . 2008-11-14 07:34 212,849 --a------ C:\hijackthis.zip

2008-11-11 15:08 . 2008-11-11 15:08 <DIR> d-------- c:\windows\system32\Futuremark

2008-11-11 15:08 . 2008-11-11 15:08 <DIR> d-------- c:\arquivos de programas\Futuremark

2008-11-11 15:08 . 2004-10-25 20:02 21,664 --a------ c:\windows\system32\drivers\Entech.sys

2008-11-11 15:08 . 2001-11-19 18:05 3,972 --------- c:\windows\system32\drivers\PciBus.sys

2008-11-09 15:01 . 2008-11-09 15:01 268 --ah----- C:\sqmdata05.sqm

2008-11-09 15:01 . 2008-11-09 15:01 244 --ah----- C:\sqmnoopt05.sqm

2008-11-09 10:02 . 2008-11-09 10:02 268 --ah----- C:\sqmdata04.sqm

2008-11-09 10:02 . 2008-11-09 10:02 244 --ah----- C:\sqmnoopt04.sqm

2008-10-30 23:21 . 2008-10-30 23:21 <DIR> d-------- c:\arquivos de programas\Total Video Converter

2008-10-30 23:21 . 2000-05-22 22:58 608,448 --a------ c:\windows\system32\comctl32.ocx

2008-10-17 16:01 . 2008-10-17 16:02 <DIR> d-------- c:\documents and settings\Marianaxuxu\Dados de aplicativos\Ventrilo

2008-10-17 16:01 . 2008-10-17 16:01 <DIR> d-------- c:\arquivos de programas\Ventrilo

2008-10-17 16:01 . 2008-10-17 16:01 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\Wise Installation Wizard

2008-10-17 12:40 . 2008-10-17 12:40 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Blizzard

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-14 14:13 --------- d-----w c:\documents and settings\Marianaxuxu\Dados de aplicativos\uTorrent

2008-11-14 09:00 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Spybot - Search & Destroy

2008-11-11 23:10 --------- d-----w c:\arquivos de programas\World of Warcraft

2008-11-11 17:08 --------- d--h--w c:\arquivos de programas\InstallShield Installation Information

2008-10-11 20:42 --------- d-----w c:\arquivos de programas\Guitar Pro 5

2008-10-11 20:28 --------- d-----w c:\arquivos de programas\MagicISO

2008-10-10 21:09 --------- d-----w c:\documents and settings\Marianaxuxu\Dados de aplicativos\Leadertech

2008-10-10 21:00 --------- d-----w c:\arquivos de programas\EA Sports

2008-09-27 16:16 --------- d-----w c:\documents and settings\Marianaxuxu\Dados de aplicativos\BSplayer

2008-09-27 16:16 --------- d-----w c:\arquivos de programas\BS.Player ControlBar

2008-09-27 16:15 --------- d-----w c:\documents and settings\Marianaxuxu\Dados de aplicativos\BSplayer Pro

2008-09-27 16:15 --------- d-----w c:\arquivos de programas\Webteh

2008-09-24 00:46 --------- d-----w c:\documents and settings\Marianaxuxu\Dados de aplicativos\Cambridge

2008-09-24 00:45 --------- d-----w c:\arquivos de programas\TEXTware

2008-09-24 00:43 --------- d-----w c:\arquivos de programas\Cambridge

2008-09-16 22:31 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Microsoft Help

2008-09-14 13:56 --------- d-----w c:\arquivos de programas\Mouse Driver

2008-09-14 13:50 --------- d-----w c:\documents and settings\Marianaxuxu\Dados de aplicativos\LimeWire

2008-09-06 13:29 2,887,680 ----a-w c:\windows\system32\VagalumePluginWMP.dll

2008-09-06 13:05 15,600 ----a-w c:\windows\gdrv.sys

2008-08-29 00:02 253,116 ----a-w c:\windows\PDFCreator_Toolbar_Uninstaller_953.exe

2008-08-29 00:02 14,298 ----a-w c:\arquivos de programas\settings.dat

.

 

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{2C688203-7EB3-4327-9995-1CB417BA23F9}"= "c:\arquivos de programas\BS.Player ControlBar\BSToolbar.dll" [2008-08-13 757192]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

"SpybotSD TeaTimer"="c:\arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]

"MsnMsgr"="c:\arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

"DAEMON Tools Lite"="c:\arquivos de programas\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]

"MSMSGS"="c:\arquivos de programas\Messenger\msmsgs.exe" [2004-08-04 1667584]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-19 7700480]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-04-19 86016]

"avast!"="c:\arquiv~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]

"D-Link AirPlus G"="c:\arquivos de programas\D-Link\AirPlus G\AirGCFG.exe" [2005-11-23 1544192]

"ANIWZCS2Service"="c:\arquivos de programas\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2005-10-19 49152]

"GrooveMonitor"="c:\arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]

"Sony Ericsson PC Suite"="c:\arquivos de programas\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744]

"QuickTime Task"="c:\arquivos de programas\QuickTime\qttask.exe" [2008-08-30 155648]

"HDAudDeck"="c:\arquivos de programas\VIA\VIAudioi\HDADeck\HDeck.exe" [2007-05-11 790528]

"SunJavaUpdateSched"="c:\arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"KMCONFIG"="c:\arquivos de programas\Mouse Driver\StartAutorun.exe" [2007-03-06 212992]

"avgnt"="c:\arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"nwiz"="nwiz.exe" [2007-04-19 c:\windows\system32\nwiz.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

 

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

Adobe Reader Speed Launch.lnk - c:\arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Arquivos de programas\\uTorrent\\uTorrent.exe"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Arquivos de programas\\World of Warcraft\\WoW-2.4.0.8089-to-2.4.1.8125-enUS-downloader.exe"=

"c:\\Gamigo Games\\Smash Online\\SmashOnline.exe"=

"c:\\Arquivos de programas\\World of Warcraft\\BackgroundDownloader.exe"=

"c:\\Arquivos de programas\\LimeWire\\LimeWire.exe"=

"c:\\WINDOWS\\system32\\rtcshare.exe"=

"c:\\Arquivos de programas\\NetMeeting\\conf.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

 

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-07-19 78416]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]

R2 KMWDSERVICE;Keyboard And Mouse Communication Service;c:\arquivos de programas\Mouse Driver\KMWDSrv.exe [2007-04-05 208896]

S3 w200bus;Sony Ericsson W200 driver (WDM);c:\windows\system32\DRIVERS\w200bus.sys [2006-11-07 61504]

S3 w200mdfl;Sony Ericsson W200 USB WMC Modem Filter;c:\windows\system32\DRIVERS\w200mdfl.sys [2006-11-07 9328]

S3 w200mdm;Sony Ericsson W200 USB WMC Modem Driver;c:\windows\system32\DRIVERS\w200mdm.sys [2006-11-07 97056]

S3 w200mgmt;Sony Ericsson W200 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\w200mgmt.sys [2006-11-07 88560]

S3 w200obex;Sony Ericsson W200 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\w200obex.sys [2006-11-07 86368]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7654b3a8-8376-11dd-ae72-00195b8e72a5}]

\Shell\AutoRun\command - ev60a2.cmd

\Shell\explore\Command - ev60a2.cmd

\Shell\open\Command - ev60a2.cmd

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9a700fce-7ab5-11dd-ae5d-00195b8e72a5}]

\Shell\AutoRun\command - K:\lky.exe

\Shell\explore\Command - K:\lky.exe

\Shell\open\Command - K:\lky.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fbc6bd0a-79f9-11dd-ae5b-00195b8e72a5}]

\Shell\AutoRun\command - J:\ov.cmd

\Shell\explore\Command - J:\ov.cmd

\Shell\open\Command - J:\ov.cmd

 

*Newly Created Service* - PROCEXP90

.

Conteúdo da pasta 'Tarefas Agendadas'

 

2008-11-14 c:\windows\Tasks\GoogleUpdateTaskUser.job

- c:\documents and settings\Marianaxuxu\Configura []

.

.

------- Scan Suplementar -------

.

FireFox -: Profile - c:\documents and settings\Marianaxuxu\Dados de aplicativos\Mozilla\Firefox\Profiles\vy63bw5n.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.bsplayer-search.com/startpage

FF -: plugin - c:\arquivos de programas\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll

FF -: plugin - c:\arquivos de programas\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF -: plugin - c:\arquivos de programas\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

FF -: plugin - c:\documents and settings\Marianaxuxu\Configurações locais\Dados de aplicativos\Google\Update\1.2.131.25\npGoogleOneClick6.dll

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-14 14:33:13

Windows 5.1.2600 Service Pack 2 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HDAudDeck = c:\arquivos de programas\VIA\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????????????????

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

.

Tempo para conclusão: 2008-11-14 14:34:03

ComboFix-quarantined-files.txt 2008-11-14 16:33:56

 

Pré-execução: 13 pasta(s) 20.048.244.736 bytes disponíveis

Pós execução: 13 pasta(s) 20,036,825,088 bytes disponíveis

 

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

 

163 --- E O F --- 2008-09-02 09:11:58

 

 

 

 

VundoFix V7.0.5

 

Scan started at 14:54:13 14/11/2008

 

Listing files found while scanning....

 

No infected files were found.

 

 

Beginning removal...

 

 

 

[11/14/2008, 14:52:29] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Marianaxuxu\Desktop\VirtumundoBeGone.exe" )

[11/14/2008, 14:52:45] - Detected System Information:

[11/14/2008, 14:52:45] - Windows Version: 5.1.2600, Service Pack 2

[11/14/2008, 14:52:45] - Current Username: Marianaxuxu (Admin)

[11/14/2008, 14:52:45] - Windows is in NORMAL mode.

[11/14/2008, 14:52:45] - Searching for Browser Helper Objects:

[11/14/2008, 14:52:45] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)

[11/14/2008, 14:52:45] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)

[11/14/2008, 14:52:45] - BHO 3: {72853161-30C5-4D22-B7F9-0BBC1D38A37E} (Groove GFS Browser Helper)

[11/14/2008, 14:52:45] - BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)

[11/14/2008, 14:52:45] - BHO 5: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Auxiliar de Conexão do Windows Live)

[11/14/2008, 14:52:45] - BHO 6: {C08DF07A-3E49-4E25-9AB0-D3882835F153} (QUICKfind BHO Object)

[11/14/2008, 14:52:45] - Finished Searching Browser Helper Objects

[11/14/2008, 14:52:45] - Finishing up...

[11/14/2008, 14:52:45] - Nothing found! Exiting...

 

 

Logfile of HijackThis v1.99.1

Scan saved at 15:21:50, on 14/11/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\D-Link\AirPlus G\AirGCFG.exe

C:\Arquivos de programas\ANI\ANIWZCS2 Service\WZCSLDR2.exe

C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

C:\Arquivos de programas\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\Arquivos de programas\QuickTime\qttask.exe

C:\Arquivos de programas\VIA\VIAudioi\HDADeck\HDeck.exe

C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe

C:\Arquivos de programas\Mouse Driver\StartAutorun.exe

C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe

C:\Arquivos de programas\DAEMON Tools Lite\daemon.exe

C:\Arquivos de programas\Mouse Driver\KMConfig.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\Arquivos comuns\Teleca Shared\CapabilityManager.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Mouse Driver\KMProcess.exe

C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Arquivos de programas\Mouse Driver\KMWDSrv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Arquivos de programas\Arquivos comuns\Teleca Shared\Generic.exe

C:\Arquivos de programas\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bsplayer-search.com/startpage

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = capes.gov.br:3128

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARQUIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\ARQUIV~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll

O3 - Toolbar: BS.Player ControlBar - {2C688203-7EB3-4327-9995-1CB417BA23F9} - C:\Arquivos de programas\BS.Player ControlBar\BSToolbar.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Arquivos de programas\D-Link\AirPlus G\AirGCFG.exe

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Arquivos de programas\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [sony Ericsson PC Suite] "C:\Arquivos de programas\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [HDAudDeck] C:\Arquivos de programas\VIA\VIAudioi\HDADeck\HDeck.exe 1

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [KMCONFIG] C:\Arquivos de programas\Mouse Driver\StartAutorun.exe KMConfig.exe

O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Arquivos de programas\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0-4CBF72FAED87} - C:\WINDOWS\system32\textwareilluminatorbaseProtocol.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARQUIV~1\ARQUIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Arquivos de programas\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - C:\Arquivos de programas\Mouse Driver\KMWDSrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

[MGuitar 11]

Obrigada pela pronta resposta e pelas boas vindas!

 

Estou tendo problemas para executar o usbfix.

Eu instalo ele e aparece a telinha vermelhinha, sendo que qnd eu coloco o pendrive num aparece nada. Isto é normal?

É normal. Quando você instala o USBFix e executa-o, ele abre uma mensagem em francês para que você concecte suas mídias ao computador. Quando inserir o pen drive basta dar um OK e aparecerá uma janelinha que seu computador será desligado. Se quiser dar uma lida no tutorial:

http://forum.imasters.com.br/index.php...p;#entry1165285

 

E eu tava fuçando este fórum antes e já tinha usado o combofix, VirtumundoBeGone.exe e VundoFix e eles num encontraram nada. Isso é estranho pq o avira encontra esse vírus : tr/crypt.xpack.gen , que eu já exclui 500 mil vezes e ele volta.

Não rode o ComboFix sem orientação, pois pode danificar seu sistema. Não havia necessidade de rodar o VirtumundoBeGone e o VundoFix, pois você não está infectada pelo trojan vundo. Suas infecções são por pen drive.

 

Siga as instruções abaixo agora.

 

Delete a pasta C:\Qoobox e o arquivo C:\ComboFix.txt.

 

Conecte seu pen drive ou MP3 ou MP4 no PC (se tiver mais de um, tem de conectar todos). Não os tire até completar todas as instruções.

 

Selecione o texto aqui abaixo e copie-o (Ctrl + C). Depois abra o bloco de notas (Iniciar > Todos os programas > Acessórios > Bloco de Notas) e cole (Ctrl + V) este conteúdo que você copiou dentro do bloco de notas. Salve-o em sua área de trabalho com o nome de CFScript.txt

 

Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7654b3a8-8376-11dd-ae72-00195b8e72a5}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9a700fce-7ab5-11dd-ae5d-00195b8e72a5}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fbc6bd0a-79f9-11dd-ae5b-00195b8e72a5}]

 

- Arraste o CFScript para o ComboFix como mostra a imagem abaixo:

 

 

- O ComboFix será executado automaticamente. Se for solicitado à você, pressione Enter para iniciar o processo de remoção;

 

Procure não usar o mouse ou teclado quando a ferramenta estiver rodando.

 

- Quando terminar, será gerado um novo log em C:\ComboFix.txt.

 

- O ComboFix reiniciará seu computador automaticamente.

 

- Na sua próxima resposta, cole o ComboFix.txt e um novo log do HijackThis.

[am640 0]

Opa!!!

Brigada por me responder tão rápido! Vocês são muito prestativos! ^^

 

Fiz o q você mandou e aqui estão os logs:

 

 

 

 

-------------- UsbFix V2.407 ---------------

 

* User : Marianaxuxu - MARIANA

* Outils mis a jours le 14/11/2008 par Chiquitine29 et Chimay8

* Recherche effectuée à 21:51:04 le --- 14/11/2008

* Windows Xp - Internet Explorer 6.0.2900.2180

 

 

--------------- [ Processus actifs ] ----------------

 

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\logonui.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avwsc.exe

 

--------------- [ Informations lecteurs ] ----------------

 

C: - Unidade de disco fixo

 

H: - Unidade de disco fixo

 

J: - Unidade de disco remov¡vel

 

K: - Unidade de disco remov¡vel

 

 

+- Contenu de l'autorun : J:\autorun.inf

 

 

 

+- Contenu de l'autorun : K:\autorun.inf

 

 

 

--------------- [ Registre / Startup ] ----------------

 

 

! REG.EXE VERSION 3.0

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

nwiz REG_SZ nwiz.exe /install

NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

avast! REG_SZ C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

D-Link AirPlus G REG_SZ C:\Arquivos de programas\D-Link\AirPlus G\AirGCFG.exe

ANIWZCS2Service REG_SZ C:\Arquivos de programas\ANI\ANIWZCS2 Service\WZCSLDR2.exe

GrooveMonitor REG_SZ "C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe"

Sony Ericsson PC Suite REG_SZ "C:\Arquivos de programas\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

QuickTime Task REG_SZ "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

HDAudDeck REG_SZ C:\Arquivos de programas\VIA\VIAudioi\HDADeck\HDeck.exe 1

SunJavaUpdateSched REG_SZ "C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe"

KMCONFIG REG_SZ C:\Arquivos de programas\Mouse Driver\StartAutorun.exe KMConfig.exe

avgnt REG_SZ "C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

 

! REG.EXE VERSION 3.0

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe

SpybotSD TeaTimer REG_SZ C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

MsnMsgr REG_SZ "C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe" /background

DAEMON Tools Lite REG_SZ "C:\Arquivos de programas\DAEMON Tools Lite\daemon.exe" -autorun

MSMSGS REG_SZ "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

 

--------------- [ Registre / Mountpoint2 ] ----------------

 

Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7654b3a8-8376-11dd-ae72-00195b8e72a5}\Shell\AutoRun\command

Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7654b3a8-8376-11dd-ae72-00195b8e72a5}\Shell\explore\Command

Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7654b3a8-8376-11dd-ae72-00195b8e72a5}\Shell\open\Command

 

--------------- [ Nettoyage des disques ] ----------------

 

J:\autorun.inf ~> fichier appelé : "J:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\exe32.exe" ( présent ! )

supprimé ! - J:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\exe32.exe

K:\autorun.inf ~> fichier appelé : "K:\lky.exe" ( présent ! )

supprimé ! - K:\lky.exe

Supprimé ! - [13/10/2008 14:08] J:\autorun.inf

Supprimé ! - [17/09/2008 20:40] J:\1u0o8bnq.cmd

Supprimé ! - [05/10/2008 15:01] J:\vva0hc0p.cmd

Supprimé ! - [12/11/2008 08:05] K:\autorun.inf

Supprimé ! - [03/10/2008 11:45] K:\yew.bat

 

--------------- [ Listing des fichiers présents ] ----------------

 

-> /!\ Le resultat doit etre [http://www.virustotal.com/fr/ interprété] par un spécialiste /!\

 

[27/08/2008 19:24][--a------] C:\AUTOEXEC.BAT

[03/08/2004 23:38][-rahs----] C:\NTDETECT.COM

[16/02/2005 11:06][--a------] C:\HijackThis.exe

[14/11/2008 14:31][-rahs----] C:\boot.ini

[03/09/2008 15:59][-r-hs----] J:\ov.cmd

[11/12/2008 18:29][-r-hs----] K:\whi.com

[15/09/2008 19:46][--a------] K:\FileFormatConverters.exe

 

--------------- ! Fin du rapport ! ----------------

 

 

ComboFix 08-11-12.02 - Marianaxuxu 2008-11-14 21:55:47.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.627 [GMT -2:00]

Executando de: c:\documents and settings\Marianaxuxu\Desktop\ComboFix.exe

Comandos utilizados :: c:\documents and settings\Marianaxuxu\Desktop\CFScript.txt

* Criado um novo ponto de restauro

.

 

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

J:\ov.cmd

 

.

(((((((((((((((( Arquivos/Ficheiros criados de 2008-10-14 to 2008-11-14 ))))))))))))))))))))))))))))

.

 

2008-11-14 21:48 . 2008-11-14 21:51 <DIR> d-------- c:\arquivos de programas\UsbFix

2008-11-14 08:09 . 2008-11-14 08:09 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Avira

2008-11-14 08:09 . 2008-11-14 08:09 <DIR> d-------- c:\arquivos de programas\Avira

2008-11-14 07:37 . 2005-02-16 11:06 218,112 --a------ C:\HijackThis.exe

2008-11-14 07:34 . 2008-11-14 07:34 212,849 --a------ C:\hijackthis.zip

2008-11-11 15:08 . 2008-11-11 15:08 <DIR> d-------- c:\windows\system32\Futuremark

2008-11-11 15:08 . 2008-11-11 15:08 <DIR> d-------- c:\arquivos de programas\Futuremark

2008-11-11 15:08 . 2004-10-25 20:02 21,664 --a------ c:\windows\system32\drivers\Entech.sys

2008-11-11 15:08 . 2001-11-19 18:05 3,972 --------- c:\windows\system32\drivers\PciBus.sys

2008-11-09 15:01 . 2008-11-09 15:01 268 --ah----- C:\sqmdata05.sqm

2008-11-09 15:01 . 2008-11-09 15:01 244 --ah----- C:\sqmnoopt05.sqm

2008-11-09 10:02 . 2008-11-09 10:02 268 --ah----- C:\sqmdata04.sqm

2008-11-09 10:02 . 2008-11-09 10:02 244 --ah----- C:\sqmnoopt04.sqm

2008-10-30 23:21 . 2008-10-30 23:21 <DIR> d-------- c:\arquivos de programas\Total Video Converter

2008-10-30 23:21 . 2000-05-22 22:58 608,448 --a------ c:\windows\system32\comctl32.ocx

2008-10-17 16:01 . 2008-10-17 16:02 <DIR> d-------- c:\documents and settings\Marianaxuxu\Dados de aplicativos\Ventrilo

2008-10-17 16:01 . 2008-10-17 16:01 <DIR> d-------- c:\arquivos de programas\Ventrilo

2008-10-17 16:01 . 2008-10-17 16:01 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\Wise Installation Wizard

2008-10-17 12:40 . 2008-10-17 12:40 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Blizzard

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-14 14:13 --------- d-----w c:\documents and settings\Marianaxuxu\Dados de aplicativos\uTorrent

2008-11-14 09:00 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Spybot - Search & Destroy

2008-11-11 23:10 --------- d-----w c:\arquivos de programas\World of Warcraft

2008-11-11 17:08 --------- d--h--w c:\arquivos de programas\InstallShield Installation Information

2008-10-11 20:42 --------- d-----w c:\arquivos de programas\Guitar Pro 5

2008-10-11 20:28 --------- d-----w c:\arquivos de programas\MagicISO

2008-10-10 21:09 --------- d-----w c:\documents and settings\Marianaxuxu\Dados de aplicativos\Leadertech

2008-10-10 21:00 --------- d-----w c:\arquivos de programas\EA Sports

2008-09-27 16:16 --------- d-----w c:\documents and settings\Marianaxuxu\Dados de aplicativos\BSplayer

2008-09-27 16:16 --------- d-----w c:\arquivos de programas\BS.Player ControlBar

2008-09-27 16:15 --------- d-----w c:\documents and settings\Marianaxuxu\Dados de aplicativos\BSplayer Pro

2008-09-27 16:15 --------- d-----w c:\arquivos de programas\Webteh

2008-09-24 00:46 --------- d-----w c:\documents and settings\Marianaxuxu\Dados de aplicativos\Cambridge

2008-09-24 00:45 --------- d-----w c:\arquivos de programas\TEXTware

2008-09-24 00:43 --------- d-----w c:\arquivos de programas\Cambridge

2008-09-16 22:31 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Microsoft Help

2008-09-14 13:56 --------- d-----w c:\arquivos de programas\Mouse Driver

2008-09-14 13:50 --------- d-----w c:\documents and settings\Marianaxuxu\Dados de aplicativos\LimeWire

2008-09-06 13:29 2,887,680 ----a-w c:\windows\system32\VagalumePluginWMP.dll

2008-09-06 13:05 15,600 ----a-w c:\windows\gdrv.sys

2008-08-29 00:02 253,116 ----a-w c:\windows\PDFCreator_Toolbar_Uninstaller_953.exe

2008-08-29 00:02 14,298 ----a-w c:\arquivos de programas\settings.dat

.

 

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{2C688203-7EB3-4327-9995-1CB417BA23F9}"= "c:\arquivos de programas\BS.Player ControlBar\BSToolbar.dll" [2008-08-13 757192]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

"SpybotSD TeaTimer"="c:\arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]

"MsnMsgr"="c:\arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

"DAEMON Tools Lite"="c:\arquivos de programas\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]

"MSMSGS"="c:\arquivos de programas\Messenger\msmsgs.exe" [2004-08-04 1667584]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-19 7700480]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-04-19 86016]

"avast!"="c:\arquiv~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]

"D-Link AirPlus G"="c:\arquivos de programas\D-Link\AirPlus G\AirGCFG.exe" [2005-11-23 1544192]

"ANIWZCS2Service"="c:\arquivos de programas\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2005-10-19 49152]

"GrooveMonitor"="c:\arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]

"Sony Ericsson PC Suite"="c:\arquivos de programas\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744]

"QuickTime Task"="c:\arquivos de programas\QuickTime\qttask.exe" [2008-08-30 155648]

"HDAudDeck"="c:\arquivos de programas\VIA\VIAudioi\HDADeck\HDeck.exe" [2007-05-11 790528]

"SunJavaUpdateSched"="c:\arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"KMCONFIG"="c:\arquivos de programas\Mouse Driver\StartAutorun.exe" [2007-03-06 212992]

"avgnt"="c:\arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"nwiz"="nwiz.exe" [2007-04-19 c:\windows\system32\nwiz.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

 

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

Adobe Reader Speed Launch.lnk - c:\arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Arquivos de programas\\uTorrent\\uTorrent.exe"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Arquivos de programas\\World of Warcraft\\WoW-2.4.0.8089-to-2.4.1.8125-enUS-downloader.exe"=

"c:\\Gamigo Games\\Smash Online\\SmashOnline.exe"=

 

"c:\\Arquivos de programas\\World of Warcraft\\BackgroundDownloader.exe"=

"c:\\Arquivos de programas\\LimeWire\\LimeWire.exe"=

"c:\\WINDOWS\\system32\\rtcshare.exe"=

"c:\\Arquivos de programas\\NetMeeting\\conf.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

 

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-07-19 78416]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]

R2 KMWDSERVICE;Keyboard And Mouse Communication Service;c:\arquivos de programas\Mouse Driver\KMWDSrv.exe [2007-04-05 208896]

S3 w200bus;Sony Ericsson W200 driver (WDM);c:\windows\system32\DRIVERS\w200bus.sys [2006-11-07 61504]

S3 w200mdfl;Sony Ericsson W200 USB WMC Modem Filter;c:\windows\system32\DRIVERS\w200mdfl.sys [2006-11-07 9328]

S3 w200mdm;Sony Ericsson W200 USB WMC Modem Driver;c:\windows\system32\DRIVERS\w200mdm.sys [2006-11-07 97056]

S3 w200mgmt;Sony Ericsson W200 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\w200mgmt.sys [2006-11-07 88560]

S3 w200obex;Sony Ericsson W200 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\w200obex.sys [2006-11-07 86368]

.

Conteúdo da pasta 'Tarefas Agendadas'

 

2008-11-14 c:\windows\Tasks\GoogleUpdateTaskUser.job

- c:\documents and settings\Marianaxuxu\Configura []

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-14 21:57:30

Windows 5.1.2600 Service Pack 2 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HDAudDeck = c:\arquivos de programas\VIA\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????????????????

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

.

Tempo para conclusão: 2008-11-14 21:58:13

ComboFix-quarantined-files.txt 2008-11-14 23:58:07

 

Pré-execução: 12 pasta(s) 20.073.603.072 bytes disponíveis

Pós execução: 12 pasta(s) 20,062,519,296 bytes disponíveis

 

134 --- E O F --- 2008-09-02 09:11:58

 

 

e ae? tou livre dessa encosto?

 

Beijos

[MGuitar 11]

Vá em Meu Computador e clique no menu Ferramentas > Opções de pasta > Modo de exibição. Marque a opção Mostrar pastas e arquivos ocultos e dê um Aplicar > OK. Vá em seu Disco Local C: e delete os arquivos com extensão .sqm: sqmdata05.sqm, sqmnoopt05.sqm, sqmdata04.sqm e sqmnoopt04.sqm.

 

Depois vá em Iniciar > Executar, digite: combofix /u e dê um Enter para remover o ComboFix. Remova também sua pasta C:\Qoobox e o arquivo C:\ComboFix.txt. Desinstale o programa USBFix em Painel de Controle > Adicionar ou Remover Programas. E remova a pasta dele em C:\arquivos de programas\UsbFix e o arquivo C:\UsbFix.txt.

 

Clique com o botão direito do mouse sobre Meu Computador e selecione Propriedades. Clique na aba Restauração do Sistema e marque a opção Desativar restauração do sistema > OK. Logo após isto, volte neste mesmo local e desmarque esta opção.

 

Vi em seu log que está com dois antivirus em seu computador - Avast e Avira Antivir. Sugiro que remova um e fique com apenas o outro na máquina. Pois não é aconselhável ter dois ao mesmo tempo. Minha opinião, recomendo que deixe apenas o Avira Antivir.

 

Os logs estão limpos.

 

Há algum problema na máquina ainda am640?

[am640 0]

Os anti virus não acharam mais nada!!!

 

 

Muitísssimo obrigada!^^

 

 

Até mais

[MGuitar 11]

PROBLEMA RESOLVIDO!

 

Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico.