Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

RUY

[Resolvido!] Log para analise-

Recommended Posts

Explicação:

 

Ontem acessamos a intenet usando o firefox portavel, hoje ao acessar a internet o avast detectou um virus

 

BV:Autorun-G(Wrm), ele contaminou o arquivo autorun.ini do pen drive.

 

 

Nota:

O arquivo rundll32.exe foi apagado mas o recuperei.

 

Nota 2:

O usuário administrador, não consegue acessar o gerenciador de arquivos sendo que eu mesmo não o uso, apenas entro como usuário padrão, que tem alguns privilégios.

 

Nota 3:

Pen drive continua infectado, mas não detectei nada no micro.Gostaria de saber como posso livrar o pendrive desse arquivo.

 

Grato pela atenção.

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:15:21, on 1/12/2008

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\csrss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\Arquivos de programas\Tall Emu\Online Armor\oasrv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINNT\system32\cisvc.exe

C:\WINNT\System32\svchost.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\WINNT\system32\PnkBstrA.exe

C:\WINNT\system32\PnkBstrB.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\WINNT\Explorer.EXE

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Tall Emu\Online Armor\oaui.exe

C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

C:\WINNT\system32\cidaemon.exe

C:\Arquivos de programas\Mobile Partner\Mobile Partner.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\WINNT\system32\msiexec.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Paltalk Messenger\paltalk.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

 

F2 - REG:system.ini: Shell=Explorer.exe %windir%\system32\drivers\explore.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [OnlineArmor GUI] "C:\Arquivos de programas\Tall Emu\Online Armor\oaui.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Arquivos de programas\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')

O4 - Global Startup: BOOKcase 4.0.lnk = C:\Arquivos de programas\TEXTware\BOOKcase40\BC40CASE.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: PalTalk.lnk = C:\Arquivos de programas\Paltalk Messenger\paltalk.exe

O4 - Global Startup: Service Manager.lnk = C:\Arquivos de programas\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O12 - Plugin for .tif: C:\Arquivos de programas\Internet Explorer\PLUGINS\npqtplugin3.dll

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1205076960307

O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0) -

O17 - HKLM\System\CCS\Services\Tcpip\..\{522D9ABB-C2A0-46FB-94EC-B5E2F9BA13E3}: NameServer = 200.169.119.22 200.169.117.22

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Serviço administrativo do gerenciador de disco lógico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINNT\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINNT\system32\PnkBstrB.exe

O23 - Service: Online Armor (SvcOnlineArmor) - Unknown owner - C:\Arquivos de programas\Tall Emu\Online Armor\oasrv.exe

O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.6\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.45\bin\mysqld-nt.exe

 

--

End of file - 5287 bytes

Compartilhar este post


Link para o post
Compartilhar em outros sites

Opa RUY,

 

Baixe o ComboFix em:

ComboFix

 

1) Desabilite o seu anti-vírus temporariamente;

 

2) Dê um duplo-clique no combofix.exe e aguarde (o processo total demora cerca de 10 minutos);

 

3) A janela de “NEGAÇÃO DE GARANTIA DO SOFTWARE” abrir-se-á. Leia atentamente o texto contido nesta janela e clique sobre “SIM” para continuar.

 

PS.: Caso não concorde com os termos clique sobre “NÃO” para sair do software, cabendo lembrar que o processo de desinfecção não será possível sem a continuidade do ComboFix.

 

4) Outra janela irá abrir, caso a sua máquina não possua o CONSOLE DE RECUPERAÇÃO DO WINDOWS. É recomendável executar a instalação do console ante de dar continuidade ao processo, pois tal ação proporcionará a garantia de que o sistema poderá ser recuperado em caso de problemas durante a varredura.

 

Clique sobre “SIM” e aguarde, pois o processo de instalação do console dar-se-á automaticamente através do próprio ComboFix. Ele poderá demorar alguns minutos (dependerá da velocidade de sua conexão), portanto seja paciente.

 

Quando a janela “INSTALANDO O CONSOLE DE RECUPERAÇÃO” aparecer clique em “OK”, depois clique sobre “SIM” para aceitar a licença EULA.

 

Ao término da instalação do console de recuperação abrir-se-á uma janela avisando que “O CONSOLE DE RECUPERAÇÃO FOI INSTALADA COM SUCESSO”.

 

Clique sobre “SIM” para continuar a varredura.

 

5) O ComboFix iniciará o AUTOSCAN (aguarde).

 

ATENÇÃO: Não clique na janela do ComboFix, nem termine o processo abruptamente enquanto a ferramenta estiver sendo executada, pois isto implicará na desconfiguração de seu desktop (ele ficará todo branco).

 

Ao término do processo a máquina será reiniciada para a emissão do relatório.

 

6) Ao reiniciar a máquina o ComboFix irá executar o FIND3M para a criação do relatório final da varredura. O log ficará alocado em C:\ComboFix.txt.

 

7) Reabilite o seu anti-vírus;

 

8) Preciso que você cole o conteúdo do ComboFix.txt em sua próxima resposta.

 

OBS.1: Caso apareça uma mensagem avisando que ESTE NÃO É UM APLICATIVO WIN 32 VÁLIDO baixe o ComboFix novamente, mas salve-o em seu Desktop como KomboFix. Em último caso, tente utilizar o ComboFix em MODO SEGURO.

 

OBS.2: Caso haja um clique sobre a janela do ComboFix em execução, ela irá MAXIMIZAR, sobrepondo-se sobre as demais. Para minimizá-la novamente basta utilizar a combinação ALT + TAB.

 

Abraços.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Log do combofix

 

ComboFix 08-12-01.01 - Administrador 02/12/2008 11:21:45.1 - NTFSx86

Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1046.18.658 [GMT -3:00]

Executando de: c:\documents and settings\ivansc\Desktop\ComboFix.exe

 

ATENÇAO - ESTA MAQUINA NAO TEM O CONSOLE DE RECUPERAÇÃO INSTALADA !!

.

 

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\winnt\system32\i

c:\winnt\system32\Microsoft\backup.ftp

c:\winnt\Web\default.htt

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_NPF

 

 

(((((((((((((((( Arquivos/Ficheiros criados de 2008-11-02 to 2008-12-02 ))))))))))))))))))))))))))))

.

 

2008-12-02 11:31 . 08-12-02 11:31 16,384 --a----t- c:\winnt\system32\Perflib_Perfdata_408.dat

2008-12-02 11:29 . 08-12-02 11:29 16,384 --a----t- c:\winnt\system32\Perflib_Perfdata_318.dat

2008-12-02 11:29 . 08-12-02 11:29 16,384 --a----t- c:\winnt\system32\Perflib_Perfdata_13c.dat

2008-12-01 21:06 . 08-12-01 21:05 410,984 --a------ c:\winnt\system32\deploytk.dll

2008-12-01 21:06 . 08-12-01 21:05 73,728 --a------ c:\winnt\system32\javacpl.cpl

2008-12-01 21:04 . 08-12-01 21:04 <DIR> d-------- c:\arquivos de programas\Java

2008-12-01 16:34 . 00-01-22 23:15 10,000 --a------ c:\winnt\system32\rundll32.exe

2008-12-01 12:27 . 08-12-01 15:48 <DIR> d-------- C:\LinhaDefensiva

2008-12-01 10:24 . 08-12-01 10:24 96,560 --a------ c:\winnt\system32\sfc.dll

2008-12-01 10:23 . 08-12-01 10:23 171,520 -r-hs---- c:\winnt\system32\drivers\explore.exe

2008-11-10 22:08 . 07-08-24 19:43 101,120 -ra------ c:\winnt\system32\drivers\ewusbmdm.sys

2008-11-10 21:59 . 07-08-24 19:43 24,448 -ra------ c:\winnt\system32\drivers\ewdcsc.sys

2008-11-08 12:59 . 08-12-02 01:17 920,750 ---h----- c:\winnt\ShellIconCache

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-02 14:35 --------- d-----w c:\documents and settings\Administrador\Dados de aplicativos\OnlineArmor

2008-12-02 00:38 --------- d-----w c:\documents and settings\ivansc\Dados de aplicativos\OnlineArmor

2008-12-01 16:48 42,256 -c--a-w c:\winnt\system32\FTP.EXE

2008-11-11 01:00 --------- d-----w c:\arquivos de programas\Mobile Partner

2008-11-02 03:12 --------- d-----w c:\documents and settings\Ana\Dados de aplicativos\OnlineArmor

2008-07-24 22:30 13,097,576 ----a-w c:\arquivos de programas\MPSetup.exe

2008-03-01 23:44 9,195,208 ----a-w c:\arquivos de programas\INSTALL_MSN_MESSENGER_NT.EXE

2004-01-12 20:43 560 -c--a-w c:\arquivos de programas\Global.sw

2003-12-06 23:22 271 ---h--w c:\arquivos de programas\desktop.ini

2003-12-06 23:22 22,040 -c-h--w c:\arquivos de programas\folder.htt

2001-05-07 21:00 32,528 -c--a-w c:\winnt\inf\wbfirdma.sys

.

 

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpybotSD TeaTimer"="c:\arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe" [08-07-07 09:42 2156368]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avast!"="c:\arquiv~1\ALWILS~1\Avast4\ashDisp.exe" [08-11-18 14:39 81000]

"OnlineArmor GUI"="c:\arquivos de programas\Tall Emu\Online Armor\oaui.exe" [08-02-25 09:46 5497920]

"NeroCheck"="c:\winnt\system32\\NeroCheck.exe" [01-07-09 07:50 155648]

"SunJavaUpdateSched"="c:\arquivos de programas\Java\jre6\bin\jusched.exe" [08-12-01 21:05 136600]

"Synchronization Manager"="mobsync.exe" [03-06-19 12:05 111888 c:\winnt\system32\mobsync.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"^SetupICWDesktop"="c:\arquivos de programas\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-19 12:05 189712]

 

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

BOOKcase 4.0.lnk - c:\arquivos de programas\TEXTware\BOOKcase40\BC40CASE.exe [2005-03-31 393260]

Microsoft Office.lnk - c:\arquivos de programas\Microsoft Office\Office\OSA9.EXE [2000-01-21 65588]

PalTalk.lnk - c:\arquivos de programas\Paltalk Messenger\paltalk.exe [2008-05-08 10452992]

Service Manager.lnk - c:\arquivos de programas\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2005-05-31 69632]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"= mmdrv.dll

"vidc.ir32"= c:\winnt\System32\ir32_32.dll

"vidc.ir31"= c:\winnt\System32\ir32_32.dll

"vidc.DIV3"= DivXc32.dll

"vidc.DIV4"= DivXc32f.dll

"vidc.DIVF"= DivX412.dll

"VIDC.HFYU"= huffyuv.dll

"msacm.divxa32"= DivXa32.acm

"VIDC.ZMBV"= zmbv.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

"AntiVirusDisableNotify"=dword:00000001

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

 

R1 aswSP;avast! Self Protection;c:\winnt\system32\drivers\aswSP.sys [2008-04-04 110160]

R1 OADevice;OADriver;\??\c:\winnt\system32\drivers\OADriver.sys [2008-03-26 69120]

R1 OAmon;OAmon;\??\c:\winnt\system32\drivers\OAmon.sys [2008-03-26 25088]

R1 OAnet;OAnet;\??\c:\winnt\system32\drivers\OAnet.sys [2008-03-26 22016]

R2 aswFsBlk;aswFsBlk;c:\winnt\system32\DRIVERS\aswFsBlk.sys [2008-04-04 20560]

R2 aswMon;avast! Standard Shield Support;c:\winnt\system32\drivers\aswMon.sys [2006-12-26 93296]

R2 LMIRfsDriver;LogMeIn Remote File System Driver;\??\c:\winnt\system32\drivers\LMIRfsDriver.sys [2008-04-05 45848]

R3 usbhub20;USB 2.0 Root Hub Support;c:\winnt\system32\DRIVERS\usbhub20.sys [2005-03-22 49776]

S2 LMIInfo;LogMeIn Kernel Information Provider;\??\c:\arquivos de programas\LogMeIn\x86\RaInfo.sys []

S2 SvcOnlineArmor;Online Armor;"c:\arquivos de programas\Tall Emu\Online Armor\oasrv.exe" [2008-03-26 5384768]

S2 wampapache;wampapache;"c:\wamp\bin\apache\apache2.2.6\bin\httpd.exe" -k runservice [2008-11-04 24635]

S3 DbgProxy;Visual Studio Debugger Proxy Service;c:\arquivos de programas\Microsoft Visual Studio .NET 2003\Common7\Packages\Debugger\dbgproxy.exe [2003-03-19 53248]

S3 viafilter;VIA USB Filter;c:\winnt\system32\Drivers\viausb.sys [2003-12-06 9038]

S3 wampmysqld;wampmysqld;c:\wamp\bin\mysql\mysql5.0.45\bin\mysqld-nt.exe wampmysqld []

S4 LMIRfsClientNP;LMIRfsClientNP; []

 

*Newly Created Service* - IPNAT

*Newly Created Service* - RASAUTO

*Newly Created Service* - SHAREDACCESS

.

Conteúdo da pasta 'Tarefas Agendadas'

 

2008-11-04 c:\winnt\Tasks\Spybot - Search & Destroy - Scheduled Task.job

- c:\arquivos de programas\Spybot - Search & Destroy\SpybotSD.exe [08-07-07 09:42 ]

 

2008-10-23 c:\winnt\Tasks\Spybot - Search & Destroy Updater - Scheduled Task.job

- c:\arquivos de programas\Spybot - Search & Destroy\SDUpdate.exe [08-07-07 09:42 ]

.

.

------- Scan Suplementar -------

.

FireFox -: Profile - c:\documents and settings\Administrador\Dados de aplicativos\Mozilla\Firefox\Profiles\xx9ego3h.default\

FF -: plugin - c:\arquivos de programas\Adobe\Acrobat 6.0\Reader\browser\nppdf32.dll

FF -: plugin - c:\arquivos de programas\Java\jre6\bin\new_plugin\npdeploytk.dll

FF -: plugin - c:\arquivos de programas\Java\jre6\bin\new_plugin\npjp2.dll

FF -: plugin - c:\arquivos de programas\Mozilla Firefox\plugins\npdeploytk.dll

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-02 11:35:20

Windows 5.0.2195 Service Pack 4 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]

"ImagePath"="\??\c:\winnt\TEMP\mc21.tmp"

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

 

- - - - - - - > 'winlogon.exe'(248)

c:\winnt\system32\wzcdlg.dll

c:\winnt\system32\WZCSAPI.DLL

.

Tempo para conclusão: 2008-12-02 11:39:06 - Máquina reiniciou

ComboFix-quarantined-files.txt 2008-12-02 14:39:00

 

Pré-execução: 6.138.212.352 bytes disponíveis

Pós execução: 6,109,339,648 bytes disponíveis

 

135 --- E O F --- 2008-09-14 23:47:46

 

=================================

Log Hijackthis

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:31:02, on 2/12/2008

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\csrss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\Arquivos de programas\Tall Emu\Online Armor\oasrv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINNT\system32\cisvc.exe

C:\WINNT\System32\svchost.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\WINNT\system32\PnkBstrA.exe

C:\WINNT\system32\PnkBstrB.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\WINNT\Explorer.EXE

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Tall Emu\Online Armor\oaui.exe

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\WINNT\system32\taskmgr.exe

C:\WINNT\notepad.exe

C:\Arquivos de programas\Mobile Partner\Mobile Partner.exe

C:\WINNT\system32\cidaemon.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netvibes.com/ivansc

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [OnlineArmor GUI] "C:\Arquivos de programas\Tall Emu\Online Armor\oaui.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Arquivos de programas\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')

O4 - Global Startup: BOOKcase 4.0.lnk = C:\Arquivos de programas\TEXTware\BOOKcase40\BC40CASE.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: PalTalk.lnk = C:\Arquivos de programas\Paltalk Messenger\paltalk.exe

O4 - Global Startup: Service Manager.lnk = C:\Arquivos de programas\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O12 - Plugin for .tif: C:\Arquivos de programas\Internet Explorer\PLUGINS\npqtplugin3.dll

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1205076960307

O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0) -

O17 - HKLM\System\CCS\Services\Tcpip\..\{522D9ABB-C2A0-46FB-94EC-B5E2F9BA13E3}: NameServer = 200.169.119.22 200.169.117.22

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Serviço administrativo do gerenciador de disco lógico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINNT\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINNT\system32\PnkBstrB.exe

O23 - Service: Online Armor (SvcOnlineArmor) - Unknown owner - C:\Arquivos de programas\Tall Emu\Online Armor\oasrv.exe

O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.6\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.45\bin\mysqld-nt.exe

 

--

End of file - 5489 bytes

Compartilhar este post


Link para o post
Compartilhar em outros sites

Opa RUY,

 

Desculpe a imensa demora, pois neste fim de ano ando muito atribulado.

 

Caso ainda haja interesse de sua parte, poste uma nova resposta, a fim de que possamos dar continuidade ao tópico.

 

Abraços e desculpe mais uma vez. :thumbsup:

Compartilhar este post


Link para o post
Compartilhar em outros sites

Opa RUY,

 

Execute o ComboFix, conforme as instruções do Post # 2, mas não esqueça de conectar o Pendrive ao PC antes de fazê-lo.

 

Abraços.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Log do Combo Fix

ComboFix 08-12-26.03 - Administrador 27/12/2008 16:53:21.1 - NTFSx86

Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1046.18.991.803 [GMT -2:00]

Executando de: c:\documents and settings\Administrador\Meus documentos\Instaladores\ComboFix.exe

 

ATENÇAO - ESTA MAQUINA NAO TEM O CONSOLE DE RECUPERAÇÃO INSTALADA !!

.

 

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\winnt\Web\default.htt

g:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213

g:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\Desktop.ini

 

.

(((((((((((((((( Arquivos/Ficheiros criados de 2008-11-27 to 2008-12-27 ))))))))))))))))))))))))))))

.

 

Nenhum ficheiro/arquivo criado durante este período

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-23 18:03 --------- d-----w c:\arquivos de programas\BrOffice.org 3

2008-12-22 17:30 --------- d-----w c:\arquivos de programas\Paltalk Messenger

2008-12-20 20:33 --------- d-----w c:\arquivos de programas\Pidgin

2008-12-20 20:32 --------- d-----w c:\arquivos de programas\Arquivos comuns\GTK

2008-12-20 20:30 58,000 ----a-w c:\winnt\system32\drivers\cdr4_2K.sys

2008-12-20 20:30 57,344 ----a-w c:\winnt\uneng.exe

2008-12-20 20:30 49,152 ----a-w c:\winnt\system32\cdrtc.dll

2008-12-20 20:30 45,056 ----a-w c:\winnt\system32\cdral.dll

2008-12-20 20:30 401,462 ----a-w c:\winnt\system32\Msvcp60.dll

2008-12-20 20:30 23,420 ----a-w c:\winnt\system32\drivers\cdralw2k.sys

2008-12-20 20:30 --------- d-----w c:\arquivos de programas\Arquivos comuns\Adaptec Shared

2008-12-20 13:43 --------- d-----w c:\arquivos de programas\7-Zip

2008-12-20 13:28 --------- d-----w c:\arquivos de programas\VideoLAN

2008-12-16 23:45 --------- d-----w c:\arquivos de programas\Foxit Software

2008-12-16 23:45 --------- d-----w c:\arquivos de programas\AskBarDis

2008-12-16 23:04 --------- d-----w c:\arquivos de programas\Yahoo!

2008-12-16 23:04 --------- d-----w c:\arquivos de programas\Trend Micro

2008-12-16 23:04 --------- d-----w c:\arquivos de programas\CCleaner

2008-12-16 23:03 --------- d-----w c:\arquivos de programas\Alwil Software

2008-12-16 22:49 --------- d-----w c:\arquivos de programas\Mobile Partner

2008-12-16 22:11 --------- d-----w c:\arquivos de programas\Acessórios

2008-12-16 21:40 --------- d-----w c:\arquivos de programas\VIA Technologies, INC

2008-12-16 21:37 --------- d-----w c:\arquivos de programas\S3Inc

2008-12-16 21:27 --------- d-----w c:\arquivos de programas\Arquivos comuns\InstallShield

2008-12-16 21:14 --------- d-----w c:\arquivos de programas\microsoft frontpage

2008-12-16 21:13 558,142 ----a-w c:\winnt\java\Packages\TRNX39R5.ZIP

2008-12-16 21:13 271 ---h--w c:\arquivos de programas\desktop.ini

2008-12-16 21:13 22,040 ---h--w c:\arquivos de programas\folder.htt

2008-12-16 21:13 155,995 ----a-w c:\winnt\java\Packages\IYRZBPVD.ZIP

2008-12-16 21:12 --------- d-----w c:\arquivos de programas\Arquivos comuns\Serviços

2008-09-30 19:31 655,872 ----a-w c:\winnt\system32\msvcr90.dll

2008-09-30 19:31 568,832 ----a-w c:\winnt\system32\msvcp90.dll

2008-09-30 19:31 224,768 ----a-w c:\winnt\system32\msvcm90.dll

2001-05-08 00:00 32,528 ----a-w c:\winnt\inf\wbfirdma.sys

.

 

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]

18/11/08 12:58 333192 --a------ c:\arquivos de programas\AskBarDis\bar\bin\askBar.dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\arquivos de programas\AskBarDis\bar\bin\askBar.dll" [18/11/08 12:58 333192]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"internat.exe"="internat.exe" [07/05/01 22:00 20752 c:\winnt\system32\internat.exe]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"pccguide.exe"="c:\arquivos de programas\Trend Micro\PC-cillin 2002\pccguide.exe" [31/05/02 05:30 258048]

"PCCClient.exe"="c:\arquivos de programas\Trend Micro\PC-cillin 2002\PCCClient.exe" [31/05/02 05:20 327680]

"Pop3trap.exe"="c:\arquivos de programas\Trend Micro\PC-cillin 2002\Pop3trap.exe" [31/05/02 05:25 307266]

"avast!"="c:\arquiv~1\ALWILS~1\Avast4\ashDisp.exe" [26/11/08 15:18 81000]

"Synchronization Manager"="mobsync.exe" [19/06/03 12:05 111888 c:\winnt\system32\mobsync.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"internat.exe"="internat.exe" [07/05/01 22:00 20752 c:\winnt\system32\internat.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"^SetupICWDesktop"="c:\arquivos de programas\Internet Explorer\Connection Wizard\icwconn1.exe" [19/06/03 12:05 189712]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"= mmdrv.dll

 

R1 aswSP;avast! Self Protection;c:\winnt\system32\drivers\aswSP.sys [2008-12-16 111184]

R2 aswMon;avast! Standard Shield Support;c:\winnt\system32\drivers\aswMon.sys [2008-12-16 93296]

R2 PCC_PFW;PC-Cillin Personal Firewall;c:\winnt\system32\Drivers\PCC_PFW.sys [2002-05-31 43612]

R2 PCCPFW;PC-cillin PersonalFirewall;c:\arquivos de programas\Trend Micro\PC-cillin 2002\PCCPFW.exe [2002-05-31 155648]

R2 Tmfilter;Tmfilter;c:\winnt\system32\drivers\Tmfilter.sys [2002-03-16 168528]

R2 Tmntsrv;Trend NT Realtime Service;"c:\arquivos de programas\Trend Micro\PC-cillin 2002\Tmntsrv.exe" [2002-05-31 176128]

R3 usbhub20;USB 2.0 Root Hub Support;c:\winnt\system32\DRIVERS\usbhub20.sys [2008-12-16 49776]

S3 viafilter;VIA USB Filter;c:\winnt\system32\Drivers\viausb.sys [2008-12-16 9038]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints\F]

\Shell\AutoRun\command - F:\AutoRun.exe

 

*Newly Created Service* - CATCHME

*Newly Created Service* - PROCEXP90

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.msn.com.br

uInternet Connection Wizard,ShellNext = hxxp://www.mozilla.org/

IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm

LSP: %SystemRoot%\system32\msafd.dll

 

O16 -: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab

c:\winnt\Downloaded Program Files\DirectAnimation Java Classes.osd

 

O16 -: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab

c:\winnt\Downloaded Program Files\Microsoft XML Parser for Java.osd

FF - ProfilePath - c:\documents and settings\Administrador\Dados de aplicativos\Mozilla\Firefox\Profiles\wglcftc1.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=

FF - plugin: c:\arquivos de programas\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll

FF - plugin: c:\arquivos de programas\Yahoo!\Common\npyaxmpb.dll

 

ATTENTION: FIREFOX POLICES IS IN FORCE

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-27 16:54:55

Windows 5.0.2195 Service Pack 4 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

 

c:\winnt\system32\Perflib_Perfdata_6d4.dat 16384 bytes

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 1

 

**************************************************************************

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

 

- - - - - - - > 'winlogon.exe'(216)

c:\winnt\system32\wzcdlg.dll

c:\winnt\system32\WZCSAPI.DLL

.

Tempo para conclusão: 27/12/2008 16:55:49

ComboFix-quarantined-files.txt 2008-12-27 18:55:31

 

Pré-execução: 7 pasta(s) 20.679.720.960 bytes disponíveis

Pós execução: 7 pasta(s) 20,681,400,320 bytes disponíveis

 

128

 

==============================================================

Log Hijackthis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:01:00, on 27/12/2008

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Boot mode: Normal

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\regsvc.exe

C:\Arquivos de programas\Trend Micro\PC-cillin 2002\Tmntsrv.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\Arquivos de programas\Trend Micro\PC-cillin 2002\PCCPFW.exe

C:\Arquivos de programas\Trend Micro\PC-cillin 2002\pccguide.exe

C:\Arquivos de programas\Trend Micro\PC-cillin 2002\PCCClient.exe

C:\Arquivos de programas\Trend Micro\PC-cillin 2002\Pop3trap.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINNT\system32\internat.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\notepad.exe

C:\WINNT\explorer.exe

C:\Arquivos de programas\Mobile Partner\Mobile Partner.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.mozilla.org/

R3 - URLSearchHook: Barra de Ferramentas do Yahoo! com bloqueador de pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Arquivos de programas\AskBarDis\bar\bin\askBar.dll

O3 - Toolbar: @msdxmLC.dll,-1@1046,&Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: Barra de Ferramentas do Yahoo! com bloqueador de pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Arquivos de programas\AskBarDis\bar\bin\askBar.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [pccguide.exe] "C:\Arquivos de programas\Trend Micro\PC-cillin 2002\pccguide.exe"

O4 - HKLM\..\Run: [PCCClient.exe] "C:\Arquivos de programas\Trend Micro\PC-cillin 2002\PCCClient.exe"

O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Arquivos de programas\Trend Micro\PC-cillin 2002\Pop3trap.exe"

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Arquivos de programas\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O14 - IERESET.INF: START_PAGE_URL=http://www.msn.com.br

O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.com.br

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Arquivos de programas\Yahoo!\Common\yinsthelper.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Serviço administrativo do gerenciador de disco lógico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Arquivos de programas\Trend Micro\PC-cillin 2002\PCCPFW.exe

O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Arquivos de programas\Trend Micro\PC-cillin 2002\Tmntsrv.exe

 

--

End of file - 4714 bytes

==============================================================

Compartilhar este post


Link para o post
Compartilhar em outros sites

Opa RUY,

 

Siga as instruções:

 

1. Abra o Bloco de Notas -> Copie (Control + C) e Cole (Control + V) todo o texto incluído no "Quote":

File::

c:\arquivos de programas\AskBarDis\bar\bin\askBar.dll

c:\arquivos de programas\desktop.ini

c:\arquivos de programas\folder.htt

c:\winnt\java\Packages\TRNX39R5.ZIP

c:\winnt\java\Packages\IYRZBPVD.ZIP

c:\winnt\system32\Perflib_Perfdata_6d4.dat

C:\WINNT\web\related.htm

F:\AutoRun.exe

Folder::

c:\arquivos de programas\AskBarDis

Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints\F]

ATENÇÃO: O script acima foi elaborado especificamente para a infecção contida neste computador. Utilizá-lo em outra máquina poderá originar graves problemas ao usuário.

  • 2. Salve o arquivo como CFScript.txt;
     
    3. Tal como exemplificado na foto abaixo, arraste o arquivo CFScript.txt para o ComboFix.exe.
    cfscript.gif
     
    4. Ao término do processo a ferramenta irá gerar um log. Poste-o (C:\ComboFix.txt) em sua próxima resposta, juntamente com um novo log do HijackThis.

Abraços.

 

PS.: Execute a ação com o Pendrive conectado ao PC.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Combo Fix

ComboFix 08-12-26.03 - Administrador 29/12/2008 15:34:37.2 - NTFSx86

Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1046.18.991.808 [GMT -2:00]

Executando de: c:\documents and settings\Administrador\Meus documentos\Instaladores\ComboFix.exe

Comandos utilizados :: c:\documents and settings\Administrador\Desktop\CFScript.txt

 

ATENÇAO - ESTA MAQUINA NAO TEM O CONSOLE DE RECUPERAÇÃO INSTALADA !!

 

FILE ::

c:\arquivos de programas\AskBarDis\bar\bin\askBar.dll

c:\arquivos de programas\desktop.ini

c:\arquivos de programas\folder.htt

c:\winnt\java\Packages\IYRZBPVD.ZIP

c:\winnt\java\Packages\TRNX39R5.ZIP

c:\winnt\system32\Perflib_Perfdata_6d4.dat

c:\winnt\web\related.htm

F:\AutoRun.exe

.

 

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\arquivos de programas\AskBarDis

c:\arquivos de programas\AskBarDis\bar\bin\askBar.dll

c:\arquivos de programas\AskBarDis\bar\bin\askPopStp.dll

c:\arquivos de programas\AskBarDis\bar\bin\psvince.dll

c:\arquivos de programas\AskBarDis\bar\Settings\config.dat

c:\arquivos de programas\AskBarDis\bar\Settings\config.dat.bak

c:\arquivos de programas\AskBarDis\bar\Settings\prevCfg2.htm

c:\arquivos de programas\AskBarDis\unins000.dat

c:\arquivos de programas\AskBarDis\unins000.exe

c:\arquivos de programas\desktop.ini

c:\arquivos de programas\folder.htt

c:\winnt\java\Packages\IYRZBPVD.ZIP

c:\winnt\java\Packages\TRNX39R5.ZIP

c:\winnt\web\related.htm

F:\AutoRun.exe . . . . falha na exclusão

 

.

(((((((((((((((( Arquivos/Ficheiros criados de 2008-11-28 to 2008-12-29 ))))))))))))))))))))))))))))

.

 

2008-12-27 20:43 . 08-12-27 20:43 <DIR> d-------- c:\arquivos de programas\Hamachi

2008-12-27 20:43 . 08-12-27 20:43 25,280 --a------ c:\winnt\system32\drivers\hamachi.sys

2008-12-23 16:04 . 08-12-23 16:04 <DIR> d-------- c:\winnt\winsxs

2008-12-23 16:02 . 08-12-23 16:03 <DIR> d-------- c:\arquivos de programas\BrOffice.org 3

2008-12-22 15:30 . 08-12-22 15:30 <DIR> d-------- c:\winnt\PaltalkScene

2008-12-22 15:30 . 08-12-22 15:30 <DIR> d-------- c:\arquivos de programas\Paltalk Messenger

2008-12-21 19:12 . 08-12-21 19:12 16,384 --a----t- c:\winnt\system32\Perflib_Perfdata_218.dat

2008-12-20 18:33 . 08-12-20 18:33 <DIR> d-------- c:\arquivos de programas\Pidgin

2008-12-20 18:32 . 08-12-20 18:32 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\GTK

2008-12-20 18:30 . 08-12-20 18:30 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\Adaptec Shared

2008-12-20 11:43 . 08-12-20 11:43 <DIR> d-------- c:\arquivos de programas\7-Zip

2008-12-20 11:28 . 08-12-20 11:28 <DIR> d-------- c:\arquivos de programas\VideoLAN

2008-12-17 16:21 . 08-12-16 20:11 <DIR> d--h----- c:\documents and settings\ivansc\Modelos

2008-12-17 16:21 . 08-12-23 15:45 <DIR> d-------- c:\documents and settings\ivansc\Meus documentos

2008-12-17 16:21 . 08-12-16 20:03 <DIR> d-------- c:\documents and settings\ivansc\Menu Iniciar

2008-12-17 16:21 . 08-12-17 16:21 <DIR> dr------- c:\documents and settings\ivansc\Favoritos

2008-12-17 16:21 . 08-12-23 17:13 <DIR> d--h----- c:\documents and settings\ivansc\Dados de aplicativos

2008-12-17 16:21 . 08-12-16 20:03 <DIR> d--h----- c:\documents and settings\ivansc\Configurações locais

2008-12-17 16:21 . 08-12-16 20:03 <DIR> d--h----- c:\documents and settings\ivansc\Ambiente de rede

2008-12-17 16:21 . 08-12-16 20:03 <DIR> d--h----- c:\documents and settings\ivansc\Ambiente de impressão

2008-12-17 16:21 . 08-12-21 23:19 <DIR> d-------- c:\documents and settings\ivansc

2008-12-16 21:59 . 08-12-16 21:59 <DIR> d-------- c:\winnt\system32\Macromed

2008-12-16 21:45 . 08-12-16 21:45 <DIR> d-------- c:\arquivos de programas\Foxit Software

2008-12-16 21:25 . 08-12-16 21:25 0 --a------ c:\winnt\nsreg.dat

2008-12-16 21:04 . 08-12-16 21:04 <DIR> d-------- c:\arquivos de programas\Yahoo!

2008-12-16 21:04 . 08-12-16 21:04 <DIR> d-------- c:\arquivos de programas\CCleaner

2008-12-16 21:03 . 08-12-16 21:03 <DIR> d-------- c:\arquivos de programas\Alwil Software

2008-12-16 21:03 . 03-03-18 18:20 1,060,864 --a------ c:\winnt\system32\MFC71.dll

2008-12-16 21:03 . 03-03-18 17:14 499,712 --a------ c:\winnt\system32\MSVCP71.dll

2008-12-16 21:03 . 03-02-21 01:42 348,160 --a------ c:\winnt\system32\MSVCR71.dll

2008-12-16 20:50 . 08-12-16 20:50 8,192 --a------ c:\winnt\REGLOCS.OLD

2008-12-16 20:48 . 07-08-24 19:43 101,120 -ra------ c:\winnt\system32\drivers\ewusbmdm.sys

2008-12-16 20:47 . 07-08-24 19:43 24,448 -ra------ c:\winnt\system32\drivers\ewdcsc.sys

2008-12-16 20:46 . 08-12-16 20:49 <DIR> d-------- c:\arquivos de programas\Mobile Partner

2008-12-16 20:44 . 08-12-16 20:44 <DIR> d-------- c:\winnt\system32\Microsoft

2008-12-16 20:11 . 08-12-16 20:11 <DIR> d-------- c:\arquivos de programas\Acessórios

2008-12-16 20:07 . 99-09-25 19:35 2,896 --a------ c:\winnt\system32\drivers\audstub.sys

2008-12-16 20:05 . 00-01-23 00:13 61,200 --a------ c:\winnt\system32\usbui.dll

2008-12-16 20:05 . 03-06-19 12:05 35,920 --a------ c:\winnt\system32\drivers\redbook.sys

2008-12-16 20:03 . 08-12-16 20:03 <DIR> d-a------ c:\winnt\system32\CatRoot

2008-12-16 20:03 . 08-12-16 20:11 <DIR> d--h----- c:\documents and settings\Default User\Modelos

2008-12-16 20:03 . 08-12-16 20:03 <DIR> d-------- c:\documents and settings\Default User\Meus documentos

2008-12-16 20:03 . 08-12-16 20:03 <DIR> d-------- c:\documents and settings\Default User\Menu Iniciar

2008-12-16 20:03 . 08-12-16 20:03 <DIR> d-------- c:\documents and settings\Default User\Favoritos

2008-12-16 20:03 . 08-12-16 20:03 <DIR> d--h----- c:\documents and settings\Default User\Dados de aplicativos

2008-12-16 20:03 . 08-12-16 20:03 <DIR> d--h----- c:\documents and settings\Default User\Configurações locais

2008-12-16 20:03 . 08-12-16 20:03 <DIR> d--h----- c:\documents and settings\Default User\Ambiente de rede

2008-12-16 20:03 . 08-12-16 20:03 <DIR> d--h----- c:\documents and settings\Default User\Ambiente de impressão

2008-12-16 20:03 . 08-12-16 20:03 <DIR> d--h----- c:\documents and settings\All Users\Modelos

2008-12-16 20:03 . 08-12-16 20:41 <DIR> d-------- c:\documents and settings\All Users\Menu Iniciar

2008-12-16 20:03 . 08-12-16 20:03 <DIR> d-------- c:\documents and settings\All Users\Favoritos

2008-12-16 20:03 . 08-12-22 21:55 <DIR> d-a------ c:\documents and settings\All Users\Documentos

2008-12-16 20:03 . 08-12-16 20:03 <DIR> d-ah----- c:\documents and settings\All Users\Dados de aplicativos

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-20 20:30 58,000 ----a-w c:\winnt\system32\drivers\cdr4_2K.sys

2008-12-20 20:30 57,344 ----a-w c:\winnt\uneng.exe

2008-12-20 20:30 23,420 ----a-w c:\winnt\system32\drivers\cdralw2k.sys

2008-12-16 23:04 --------- d-----w c:\arquivos de programas\Trend Micro

2008-12-16 21:40 --------- d-----w c:\arquivos de programas\VIA Technologies, INC

2008-12-16 21:37 --------- d-----w c:\arquivos de programas\S3Inc

2008-12-16 21:27 --------- d-----w c:\arquivos de programas\Arquivos comuns\InstallShield

2008-12-16 21:14 --------- d-----w c:\arquivos de programas\microsoft frontpage

2008-12-16 21:12 --------- d-----w c:\arquivos de programas\Arquivos comuns\Serviços

2001-05-08 00:00 32,528 ----a-w c:\winnt\inf\wbfirdma.sys

.

 

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"internat.exe"="internat.exe" [01-05-07 22:00 20752 c:\winnt\system32\internat.exe]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"pccguide.exe"="c:\arquivos de programas\Trend Micro\PC-cillin 2002\pccguide.exe" [02-05-31 05:30 258048]

"PCCClient.exe"="c:\arquivos de programas\Trend Micro\PC-cillin 2002\PCCClient.exe" [02-05-31 05:20 327680]

"Pop3trap.exe"="c:\arquivos de programas\Trend Micro\PC-cillin 2002\Pop3trap.exe" [02-05-31 05:25 307266]

"avast!"="c:\arquiv~1\ALWILS~1\Avast4\ashDisp.exe" [08-11-26 15:18 81000]

"Synchronization Manager"="mobsync.exe" [03-06-19 12:05 111888 c:\winnt\system32\mobsync.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"internat.exe"="internat.exe" [01-05-07 22:00 20752 c:\winnt\system32\internat.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"^SetupICWDesktop"="c:\arquivos de programas\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-19 12:05 189712]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"= mmdrv.dll

 

R1 aswSP;avast! Self Protection;c:\winnt\system32\drivers\aswSP.sys [2008-12-16 111184]

R2 aswMon;avast! Standard Shield Support;c:\winnt\system32\drivers\aswMon.sys [2008-12-16 93296]

R2 PCC_PFW;PC-Cillin Personal Firewall;c:\winnt\system32\Drivers\PCC_PFW.sys [2002-05-31 43612]

R2 PCCPFW;PC-cillin PersonalFirewall;c:\arquivos de programas\Trend Micro\PC-cillin 2002\PCCPFW.exe [2002-05-31 155648]

R2 Tmfilter;Tmfilter;c:\winnt\system32\drivers\Tmfilter.sys [2002-03-16 168528]

R2 Tmntsrv;Trend NT Realtime Service;"c:\arquivos de programas\Trend Micro\PC-cillin 2002\Tmntsrv.exe" [2002-05-31 176128]

R3 usbhub20;USB 2.0 Root Hub Support;c:\winnt\system32\DRIVERS\usbhub20.sys [2008-12-16 49776]

S3 viafilter;VIA USB Filter;c:\winnt\system32\Drivers\viausb.sys [2008-12-16 9038]

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.msn.com.br

uInternet Connection Wizard,ShellNext = hxxp://www.mozilla.org/

IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm

LSP: %SystemRoot%\system32\msafd.dll

 

O16 -: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab

c:\winnt\Downloaded Program Files\DirectAnimation Java Classes.osd

 

O16 -: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab

c:\winnt\Downloaded Program Files\Microsoft XML Parser for Java.osd

FF - ProfilePath - c:\documents and settings\Administrador\Dados de aplicativos\Mozilla\Firefox\Profiles\wglcftc1.default\

FF - prefs.js: browser.search.selectedEngine - Wikipedia (pt)

FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=

FF - plugin: c:\arquivos de programas\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll

FF - plugin: c:\arquivos de programas\Yahoo!\Common\npyaxmpb.dll

 

ATTENTION: FIREFOX POLICES IS IN FORCE

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-29 15:38:37

Windows 5.0.2195 Service Pack 4 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

 

- - - - - - - > 'winlogon.exe'(216)

c:\winnt\system32\wzcdlg.dll

c:\winnt\system32\WZCSAPI.DLL

.

Tempo para conclusão: 2008-12-29 15:40:17 - Máquina reiniciou

ComboFix-quarantined-files.txt 2008-12-29 17:40:12

ComboFix2.txt 2008-12-27 18:55:50

 

Pré-execução: 7 pasta(s) 20.561.915.904 bytes disponíveis

Pós execução: 7 pasta(s) 20,545,970,176 bytes disponíveis

 

170

===========================================================

Hijackthis

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:41:47, on 29/12/2008

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Boot mode: Normal

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\regsvc.exe

C:\Arquivos de programas\Trend Micro\PC-cillin 2002\Tmntsrv.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\Arquivos de programas\Trend Micro\PC-cillin 2002\PCCPFW.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\Arquivos de programas\Trend Micro\PC-cillin 2002\pccguide.exe

C:\Arquivos de programas\Trend Micro\PC-cillin 2002\PCCClient.exe

C:\Arquivos de programas\Trend Micro\PC-cillin 2002\Pop3trap.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINNT\system32\internat.exe

C:\WINNT\system32\wuauclt.exe

C:\WINNT\explorer.exe

C:\WINNT\system32\notepad.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.mozilla.org/

R3 - URLSearchHook: Barra de Ferramentas do Yahoo! com bloqueador de pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: @msdxmLC.dll,-1@1046,&Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: Barra de Ferramentas do Yahoo! com bloqueador de pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [pccguide.exe] "C:\Arquivos de programas\Trend Micro\PC-cillin 2002\pccguide.exe"

O4 - HKLM\..\Run: [PCCClient.exe] "C:\Arquivos de programas\Trend Micro\PC-cillin 2002\PCCClient.exe"

O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Arquivos de programas\Trend Micro\PC-cillin 2002\Pop3trap.exe"

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Arquivos de programas\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O14 - IERESET.INF: START_PAGE_URL=http://www.msn.com.br

O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.com.br

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Arquivos de programas\Yahoo!\Common\yinsthelper.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Serviço administrativo do gerenciador de disco lógico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Arquivos de programas\Trend Micro\PC-cillin 2002\PCCPFW.exe

O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Arquivos de programas\Trend Micro\PC-cillin 2002\Tmntsrv.exe

 

--

End of file - 4531 bytes

Compartilhar este post


Link para o post
Compartilhar em outros sites

Opa RUY,

 

* Baixe o PenClean e salve-o em seu desktop;

* Execute o programa;

* Conecte o seu pendrive ao computador;

* Selecione a opção Verificar todas as unidades e clique sobre o botão Verificar;

<<Aguarde alguns instantes, o exame é bem rápido>>

* Se algo for encontrado será solicitada a reinicialização da máquina. Clique sobre Sim. O computador será reiniciado;

* Um relatório sobre a execução será gerado e salvo em C:\PenClean\PenClean.txt.

* Poste o conteúdo do relatório em sua próxima resposta.

 

Abraços.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Iniciando relatório do PenClean 2.0.3

Por Renato Victor Mejias

renatomejias@yahoo.com.br

29/12/2008 22:23:36

-----------------------------------------------------------

Arquivos e chaves excluídos da unidade escolhida:

 

Malware não detectado em nenhuma unidade!

 

-----------------------------------------------------------

Fim da análise, a unidade verificada foi: "Todas as unidades"

 

-----------------------------------------------------------

Arquivos e chaves excluídos da unidade escolhida:

 

Malware não detectado em nenhuma unidade!

 

-----------------------------------------------------------

Fim da análise, a unidade verificada foi: "Todas as unidades"

 

-----------------------------------------------------------

Compartilhar este post


Link para o post
Compartilhar em outros sites

Opa RUY,

 

Baixe a EliStarA = no final da página clique no botão Descargar EliStarA.

 

Sugiro que imprima ou salve os procedimentos abaixo, e não utilize a internet até terminado o procedimento.

 

Reinicie em Modo Seguro (pressione repetidamente a tecla F8 durante a inicialização, até que apareça o menu, onde você deverá selecionar Modo Seguro).

 

Execute o EliStarA.exe e aguarde, pois o scan é um pouco demorado.

 

Terminado o processo, reinicie e poste o log (ele estará em C:\infoSat.txt).

 

Abraços.

 

PS.: O pendrive deverá estar conectado ao PC.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Tue Dec 30 17:43:36 2008

EliStartPage v17.71 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

 

Tue Dec 30 17:44:13 2008

EliStartPage v17.71 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Arquivos de programas\Arquivos comuns\GTK\2.0\lib\gtk-2.0\2.10.0\immodules\IM-CEDILLA.DLL --> Eliminado, Generic.Packed

 

Nº Total de Directorios: 342

Nº Total de Ficheros: 1316

Nº de Ficheros Analizados: 545

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Exploración Detenida por el Usuario.

 

Tue Dec 30 17:44:54 2008

EliStartPage v17.71 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"

 

Nº Total de Directorios: 995

Nº Total de Ficheros: 5032

Nº de Ficheros Analizados: 732

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

 

Tue Dec 30 17:45:25 2008

EliStartPage v17.71 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"

 

Nº Total de Directorios: 995

Nº Total de Ficheros: 5032

Nº de Ficheros Analizados: 732

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

 

Tue Dec 30 17:47:54 2008

EliStartPage v17.71 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

 

Tue Dec 30 17:48:07 2008

EliStartPage v17.71 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Qoobox\Quarantine\C\Arquivos de programas\AskBarDis\bar\bin\ASKPOPSTP.DLL.VIR --> Eliminado, MyWebSearch

C:\WINNT\system32\Tools\COUNTER.EXE --> Eliminado, Restart

C:\WINNT\system32\Tools\RESTART.EXE --> Eliminado, Restart

 

Nº Total de Directorios: 1931

Nº Total de Ficheros: 17176

Nº de Ficheros Analizados: 8004

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3

Compartilhar este post


Link para o post
Compartilhar em outros sites
Opa RUY,

 

Me parece que a limpeza foi completa. Como anda a máquina?

 

 

tranqüila(último trema do fórum, ou do ano).

Problema resolvido?

Compartilhar este post


Link para o post
Compartilhar em outros sites

PROBLEMA RESOLVIDO!

 

Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico.

Compartilhar este post


Link para o post
Compartilhar em outros sites

×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.