[Arquivado] Erro: ddass.

[ItaloCCSL 0]

Galera,

 

De uns dois dias para hoje vem aparecendo uma janela de erro dizendo:

 

-------------------------------------------------------------------------------------------

Cannot create file "C:\WINDOWS\System32\Drivers\etc\hosts". Acesso negado.

-------------------------------------------------------------------------------------------

 

O nome da janela é ddass e ela aparece até mesmo eu sem fazer nada no pc.

 

Me ajudem por favor.

 

Meu logo no HijackThis está ai:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:33:33, on 1/12/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\Arquivos de programas\ddtabases\ddass.exe

C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\cmpe.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

C:\Arquivos de programas\Windows Live\Messenger\usnsvc.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx

R3 - URLSearchHook: Barra de Ferramentas do Yahoo! com bloqueador de pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Barra de Ferramentas do Yahoo! com bloqueador de pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [sMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [C:\Arquivos de programas\\ddtabases\ddass.exe] C:\Arquivos de programas\\ddtabases\ddass.exe

O4 - HKCU\..\Run: [XPize Darkside Reloader] C:\WINDOWS\XPize Darkside\XPize Darkside Reloader.exe /S

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Arquivos de programas\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Baixar Link Utiizando Gerenciador Mega... - C:\Arquivos de programas\Megaupload\Mega Manager\mm_file.htm

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Arquivos de programas\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/PT-BR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) -

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab56986.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{34BD16B8-3235-463F-AF47-A34F1D4535A4}: NameServer = 200.165.132.155 200.149.55.140

O17 - HKLM\System\CCS\Services\Tcpip\..\{3B0FDA29-8843-46BE-A4B8-15F1CE65190C}: Domain = @

O17 - HKLM\System\CS2\Services\Tcpip\..\{34BD16B8-3235-463F-AF47-A34F1D4535A4}: NameServer = 200.165.132.155 200.149.55.140

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Context Manager Process Extension (cmpe) - LightComm - C:\WINDOWS\system32\cmpe.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Arquivos de programas\Intel\NCS\Sync\NetSvc.exe

O23 - Service: ServiceLayer - Nokia. - C:\Arquivos de programas\PC Connectivity Solution\ServiceLayer.exe

 

--

End of file - 6924 bytes

[jgarcia 1]

Opa ItaloCCSL,

 

Baixe o ComboFix em:

ComboFix

 

1) Desabilite o seu anti-vírus temporariamente;

 

2) Dê um duplo-clique no combofix.exe e aguarde (o processo total demora cerca de 10 minutos);

 

3) A janela de “NEGAÇÃO DE GARANTIA DO SOFTWARE” abrir-se-á. Leia atentamente o texto contido nesta janela e clique sobre “SIM” para continuar.

 

PS.: Caso não concorde com os termos clique sobre “NÃO” para sair do software, cabendo lembrar que o processo de desinfecção não será possível sem a continuidade do ComboFix.

 

4) Outra janela irá abrir, caso a sua máquina não possua o CONSOLE DE RECUPERAÇÃO DO WINDOWS. É recomendável executar a instalação do console ante de dar continuidade ao processo, pois tal ação proporcionará a garantia de que o sistema poderá ser recuperado em caso de problemas durante a varredura.

 

Clique sobre “SIM” e aguarde, pois o processo de instalação do console dar-se-á automaticamente através do próprio ComboFix. Ele poderá demorar alguns minutos (dependerá da velocidade de sua conexão), portanto seja paciente.

 

Quando a janela “INSTALANDO O CONSOLE DE RECUPERAÇÃO” aparecer clique em “OK”, depois clique sobre “SIM” para aceitar a licença EULA.

 

Ao término da instalação do console de recuperação abrir-se-á uma janela avisando que “O CONSOLE DE RECUPERAÇÃO FOI INSTALADA COM SUCESSO”.

 

Clique sobre “SIM” para continuar a varredura.

 

5) O ComboFix iniciará o AUTOSCAN (aguarde).

 

ATENÇÃO: Não clique na janela do ComboFix, nem termine o processo abruptamente enquanto a ferramenta estiver sendo executada, pois isto implicará na desconfiguração de seu desktop (ele ficará todo branco).

 

Ao término do processo a máquina será reiniciada para a emissão do relatório.

 

6) Ao reiniciar a máquina o ComboFix irá executar o FIND3M para a criação do relatório final da varredura. O log ficará alocado em C:\ComboFix.txt.

 

7) Reabilite o seu anti-vírus;

 

8) Preciso que você cole o conteúdo do ComboFix.txt em sua próxima resposta.

 

OBS.1: Caso apareça uma mensagem avisando que ESTE NÃO É UM APLICATIVO WIN 32 VÁLIDO baixe o ComboFix novamente, mas salve-o em seu Desktop como KomboFix. Em último caso, tente utilizar o ComboFix em MODO SEGURO.

 

OBS.2: Caso haja um clique sobre a janela do ComboFix em execução, ela irá MAXIMIZAR, sobrepondo-se sobre as demais. Para minimizá-la novamente basta utilizar a combinação ALT + TAB.

 

Abraços.

[ItaloCCSL 0]

Jgarcia,

 

Primeiramente lhe agradeço por me ajudar. Agora vamos ao que interessa... O relatório do combofix.

Eis o respectivo:

 

ComboFix 08-12-01.01 - Ítalo César 2008-12-02 9:26:12.7 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.60 [GMT -3:00]

Executando de: c:\documents and settings\Ítalo César.HOME\Desktop\ComboFix.exe

* Criado um novo ponto de restauro

.

 

(((((((((((((((( Arquivos/Ficheiros criados de 2008-11-02 to 2008-12-02 ))))))))))))))))))))))))))))

.

 

2008-11-30 21:39 . 2008-11-30 21:40 <DIR> d----c--- c:\arquivos de programas\ddtabases

2008-11-30 21:38 . 2008-11-30 21:39 503,808 --a--c--- C:\FlashPlayer15.exe

2008-11-24 21:00 . 2008-11-24 21:00 <DIR> d----c--- c:\arquivos de programas\Arquivos comuns\Adobe AIR

2008-11-24 20:02 . 2008-11-27 20:37 <DIR> d----c--- c:\arquivos de programas\USB Disk Security

2008-11-24 16:48 . 2008-11-24 16:47 410,976 --a--c--- c:\windows\system32\deploytk.dll

2008-11-24 11:24 . 2008-11-24 11:24 <DIR> d----c--- c:\documents and settings\Ítalo César.HOME\Dados de aplicativos\com.adobe.mauby.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1

2008-11-18 00:17 . 2008-12-01 11:32 <DIR> dr-h-c--- c:\documents and settings\Ítalo César.HOME\Recent

2008-11-18 00:17 . 2008-12-01 11:32 <DIR> dr-h-c--- c:\documents and settings\Ítalo César.HOME\Recent

2008-11-12 10:37 . 2008-11-12 10:37 7,168 --ahsc--- c:\windows\Thumbs.db

2008-11-11 20:28 . 2008-11-11 20:28 20,480 --a--c--- C:\damresumo.doc

2008-11-07 20:07 . 2008-11-07 20:09 <DIR> d----c--- C:\LinhaDefensiva

2008-11-02 21:53 . 2008-11-02 21:53 <DIR> d----c--- c:\documents and settings\Musics

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-02 12:04 61 -c--a-w c:\arquivos de programas\ddtabases.rar

2008-12-01 00:40 0 -c--a-w c:\arquivos de programas\dda3.log

2008-11-30 01:23 --------- dc----w c:\arquivos de programas\OnGame

2008-11-28 14:05 --------- dc----w c:\arquivos de programas\eMule

2008-11-27 23:44 --------- dc----w c:\arquivos de programas\Spybot - Search & Destroy

2008-11-27 23:43 --------- dc----w c:\documents and settings\All Users.WINDOWS\Dados de aplicativos\Spybot - Search & Destroy

2008-11-26 23:52 --------- dc----w c:\documents and settings\All Users.WINDOWS\Dados de aplicativos\WLInstaller

2008-11-26 15:19 --------- dc----w c:\arquivos de programas\Windows Live

2008-11-24 19:46 --------- dc----w c:\arquivos de programas\Java

2008-11-24 16:29 --------- dc----w c:\arquivos de programas\Nokia

2008-11-24 14:27 --------- dc----w c:\arquivos de programas\Arquivos comuns\Adobe

2008-11-12 13:37 5,632 -csha-w c:\arquivos de programas\Thumbs.db

2008-11-11 11:36 --------- dc----w c:\arquivos de programas\Panda Security

2008-11-11 11:35 --------- dc----w c:\arquivos de programas\VDOWNLOADER

2008-10-27 13:00 --------- dc----w c:\arquivos de programas\filehippo.com

2008-10-24 11:10 453,632 -c--a-w c:\windows\system32\drivers\mrxsmb.sys

2008-10-21 11:06 --------- dc----w c:\documents and settings\Ítalo César.HOME\Dados de aplicativos\Desktopicon

2008-10-19 10:20 --------- dc----w c:\arquivos de programas\FlashGet

2008-10-16 17:13 202,776 -c--a-w c:\windows\system32\wuweb.dll

2008-10-16 17:13 1,809,944 -c--a-w c:\windows\system32\wuaueng.dll

2008-10-16 17:12 561,688 -c--a-w c:\windows\system32\wuapi.dll

2008-10-16 17:12 323,608 -c--a-w c:\windows\system32\wucltui.dll

2008-10-16 17:09 92,696 -c--a-w c:\windows\system32\cdm.dll

2008-10-16 17:09 51,224 -c--a-w c:\windows\system32\wuauclt.exe

2008-10-16 17:09 43,544 -c--a-w c:\windows\system32\wups2.dll

2008-10-16 17:08 34,328 -c--a-w c:\windows\system32\wups.dll

2008-10-16 17:06 268,648 -c--a-w c:\windows\system32\mucltui.dll

2008-10-16 17:06 208,744 -c--a-w c:\windows\system32\muweb.dll

2008-10-09 02:26 --------- dc----w c:\arquivos de programas\Microsoft SQL Server Compact Edition

2008-10-09 01:12 --------- dc----w c:\arquivos de programas\MessengerDiscovery

2008-10-05 15:16 --------- dc----w c:\arquivos de programas\Messenger Plus! Live

2008-10-05 13:42 --------- dc----w c:\arquivos de programas\Microsoft

2008-10-05 00:38 --------- dc----w c:\arquivos de programas\Arquivos comuns\Windows Live

2008-10-04 18:36 45,056 -c--a-w c:\windows\NCUNINST.EXE

2008-09-30 19:43 1,286,152 -c--a-w c:\windows\system32\msxml4.dll

2008-09-15 15:40 1,846,144 -c--a-w c:\windows\system32\win32k.sys

2008-09-04 16:45 1,373,184 -c--a-w c:\windows\system32\msxml3.dll

2007-07-20 04:19 855,886 -c--a-w c:\arquivos de programas\AUG2007_d3dx10_35_x64.cab

2007-07-20 04:19 800,467 -c--a-w c:\arquivos de programas\AUG2007_d3dx10_35_x86.cab

2007-07-20 04:19 1,803,760 -c--a-w c:\arquivos de programas\AUG2007_d3dx9_35_x64.cab

2007-07-20 04:18 44,684 -c--a-w c:\arquivos de programas\dxdllreg_x86.cab

2007-07-20 04:18 201,696 -c--a-w c:\arquivos de programas\AUG2007_XACT_x64.cab

2007-07-20 04:18 156,612 -c--a-w c:\arquivos de programas\AUG2007_XACT_x86.cab

2007-07-20 04:18 1,711,752 -c--a-w c:\arquivos de programas\AUG2007_d3dx9_35_x86.cab

2007-07-03 01:43 171,008 -c--a-w c:\arquivos de programas\FLV PlayerRCSetup.exe

2004-10-01 18:00 40,960 -c--a-w c:\arquivos de programas\Uninstall_CDS.exe

.

 

((((((((((((((((((((((((((((( snapshot_2008-10-22_20.19.00.28 )))))))))))))))))))))))))))))))))))))))))

.

+ 2008-10-15 16:55:11 339,456 -c--a-w c:\windows\$hf_mig$\KB958644\SP2QFE\netapi32.dll

+ 2008-10-15 16:36:42 337,408 -c--a-w c:\windows\$hf_mig$\KB958644\SP3GDR\netapi32.dll

+ 2008-10-15 16:31:32 339,456 -c--a-w c:\windows\$hf_mig$\KB958644\SP3QFE\netapi32.dll

+ 2007-11-30 11:18:16 18,296 -c--a-w c:\windows\$hf_mig$\KB958644\spmsg.dll

+ 2007-11-30 11:18:16 233,336 -c--a-w c:\windows\$hf_mig$\KB958644\spuninst.exe

+ 2007-11-30 11:18:16 26,488 -c--a-w c:\windows\$hf_mig$\KB958644\update\spcustom.dll

+ 2007-11-30 11:18:16 760,696 -c--a-w c:\windows\$hf_mig$\KB958644\update\update.exe

+ 2007-11-30 11:18:17 395,128 -c--a-w c:\windows\$hf_mig$\KB958644\update\updspapi.dll

- 2006-05-05 09:41:45 453,120 -c----w c:\windows\Driver Cache\i386\mrxsmb.sys

+ 2008-10-24 11:10:42 453,632 -c----w c:\windows\Driver Cache\i386\mrxsmb.sys

+ 2008-11-12 02:04:06 32,768 -c--a-r c:\windows\Installer\{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}\icon.exe

- 2008-10-09 02:15:18 29,926 -c--a-r c:\windows\Installer\{8EADB73B-026D-4978-A8F0-1EEF5E1ECEC7}\MsblIco.Exe

+ 2008-11-27 00:24:55 29,926 -c--a-r c:\windows\Installer\{8EADB73B-026D-4978-A8F0-1EEF5E1ECEC7}\MsblIco.Exe

- 2008-10-16 10:20:01 593,920 -c--a-r c:\windows\Installer\{90110416-6000-11D3-8CFE-0150048383C9}\accicons.exe

+ 2008-11-12 02:08:54 593,920 -c--a-r c:\windows\Installer\{90110416-6000-11D3-8CFE-0150048383C9}\accicons.exe

- 2008-10-16 10:20:01 12,288 -c--a-r c:\windows\Installer\{90110416-6000-11D3-8CFE-0150048383C9}\cagicon.exe

+ 2008-11-12 02:08:54 12,288 -c--a-r c:\windows\Installer\{90110416-6000-11D3-8CFE-0150048383C9}\cagicon.exe

- 2008-10-16 10:20:01 86,016 -c--a-r c:\windows\Installer\{90110416-6000-11D3-8CFE-0150048383C9}\inficon.exe

+ 2008-11-12 02:08:54 86,016 -c--a-r c:\windows\Installer\{90110416-6000-11D3-8CFE-0150048383C9}\inficon.exe

- 2008-10-16 10:20:00 135,168 -c--a-r c:\windows\Installer\{90110416-6000-11D3-8CFE-0150048383C9}\misc.exe

+ 2008-11-12 02:08:54 135,168 -c--a-r c:\windows\Installer\{90110416-6000-11D3-8CFE-0150048383C9}\misc.exe

- 2008-10-16 10:20:01 11,264 -c--a-r c:\windows\Installer\{90110416-6000-11D3-8CFE-0150048383C9}\mspicons.exe

+ 2008-11-12 02:08:54 11,264 -c--a-r c:\windows\Installer\{90110416-6000-11D3-8CFE-0150048383C9}\mspicons.exe

- 2008-10-16 10:20:01 27,136 -c--a-r c:\windows\Installer\{90110416-6000-11D3-8CFE-0150048383C9}\oisicon.exe

+ 2008-11-12 02:08:54 27,136 -c--a-r c:\windows\Installer\{90110416-6000-11D3-8CFE-0150048383C9}\oisicon.exe

- 2008-10-16 10:20:01 4,096 -c--a-r c:\windows\Installer\{90110416-6000-11D3-8CFE-0150048383C9}\opwicon.exe

+ 2008-11-12 02:08:54 4,096 -c--a-r c:\windows\Installer\{90110416-6000-11D3-8CFE-0150048383C9}\opwicon.exe

- 2008-10-16 10:20:01 794,624 -c--a-r c:\windows\Installer\{90110416-6000-11D3-8CFE-0150048383C9}\outicon.exe

+ 2008-11-12 02:08:54 794,624 -c--a-r c:\windows\Installer\{90110416-6000-11D3-8CFE-0150048383C9}\outicon.exe

- 2008-10-16 10:20:00 249,856 -c--a-r c:\windows\Installer\{90110416-6000-11D3-8CFE-0150048383C9}\pptico.exe

+ 2008-11-12 02:08:54 249,856 -c--a-r c:\windows\Installer\{90110416-6000-11D3-8CFE-0150048383C9}\pptico.exe

- 2008-10-16 10:20:00 61,440 -c--a-r c:\windows\Installer\{90110416-6000-11D3-8CFE-0150048383C9}\pubs.exe

+ 2008-11-12 02:08:54 61,440 -c--a-r c:\windows\Installer\{90110416-6000-11D3-8CFE-0150048383C9}\pubs.exe

- 2008-10-16 10:20:01 23,040 -c--a-r c:\windows\Installer\{90110416-6000-11D3-8CFE-0150048383C9}\unbndico.exe

+ 2008-11-12 02:08:54 23,040 -c--a-r c:\windows\Installer\{90110416-6000-11D3-8CFE-0150048383C9}\unbndico.exe

- 2008-10-16 10:20:00 286,720 -c--a-r c:\windows\Installer\{90110416-6000-11D3-8CFE-0150048383C9}\wordicon.exe

+ 2008-11-12 02:08:53 286,720 -c--a-r c:\windows\Installer\{90110416-6000-11D3-8CFE-0150048383C9}\wordicon.exe

- 2008-10-16 10:20:00 409,600 -c--a-r c:\windows\Installer\{90110416-6000-11D3-8CFE-0150048383C9}\xlicons.exe

+ 2008-11-12 02:08:53 409,600 -c--a-r c:\windows\Installer\{90110416-6000-11D3-8CFE-0150048383C9}\xlicons.exe

- 2008-07-19 01:10:48 94,920 -c--a-w c:\windows\system32\dllcache\cdm.dll

+ 2008-10-16 17:09:44 92,696 -c--a-w c:\windows\system32\dllcache\cdm.dll

- 2006-05-05 09:41:45 453,120 -c----w c:\windows\system32\dllcache\mrxsmb.sys

+ 2008-10-24 11:10:42 453,632 -c----w c:\windows\system32\dllcache\mrxsmb.sys

- 2007-06-26 06:10:32 1,371,136 -c--a-w c:\windows\system32\dllcache\msxml3.dll

+ 2008-09-04 16:45:28 1,373,184 -c--a-w c:\windows\system32\dllcache\msxml3.dll

- 2006-08-17 12:28:32 332,288 -c--a-w c:\windows\system32\dllcache\netapi32.dll

+ 2008-10-15 16:59:29 332,800 -c--a-w c:\windows\system32\dllcache\netapi32.dll

- 2008-07-19 01:09:44 563,912 -c--a-w c:\windows\system32\dllcache\wuapi.dll

+ 2008-10-16 17:12:20 561,688 -c--a-w c:\windows\system32\dllcache\wuapi.dll

- 2008-07-19 01:10:42 53,448 -c--a-w c:\windows\system32\dllcache\wuauclt.exe

+ 2008-10-16 17:09:44 51,224 -c--a-w c:\windows\system32\dllcache\wuauclt.exe

- 2008-07-19 01:09:42 1,811,656 -c--a-w c:\windows\system32\dllcache\wuaueng.dll

+ 2008-10-16 17:13:40 1,809,944 -c--a-w c:\windows\system32\dllcache\wuaueng.dll

- 2008-07-19 01:09:46 325,832 -c--a-w c:\windows\system32\dllcache\wucltui.dll

+ 2008-10-16 17:12:22 323,608 -c--a-w c:\windows\system32\dllcache\wucltui.dll

- 2008-07-19 01:10:20 36,552 -c--a-w c:\windows\system32\dllcache\wups.dll

+ 2008-10-16 17:08:58 34,328 -c--a-w c:\windows\system32\dllcache\wups.dll

- 2008-07-19 01:09:44 205,000 -c--a-w c:\windows\system32\dllcache\wuweb.dll

+ 2008-10-16 17:13:40 202,776 -c--a-w c:\windows\system32\dllcache\wuweb.dll

- 2008-07-18 00:47:26 75,072 -c--a-w c:\windows\system32\drivers\avipbb.sys

+ 2008-11-26 19:56:05 75,072 -c--a-w c:\windows\system32\drivers\avipbb.sys

- 2008-10-16 15:41:52 244,720 -c--a-w c:\windows\system32\FNTCACHE.DAT

+ 2008-11-18 12:14:47 244,720 -c--a-w c:\windows\system32\FNTCACHE.DAT

- 2008-06-10 04:21:01 135,168 -c--a-w c:\windows\system32\java.exe

+ 2008-11-24 19:47:06 144,792 -c--a-w c:\windows\system32\java.exe

- 2008-06-10 04:21:04 135,168 -c--a-w c:\windows\system32\javaw.exe

+ 2008-11-24 19:47:06 144,792 -c--a-w c:\windows\system32\javaw.exe

- 2008-06-10 05:32:34 139,264 -c--a-w c:\windows\system32\javaws.exe

+ 2008-11-24 19:47:06 148,888 -c--a-w c:\windows\system32\javaws.exe

- 2008-10-07 19:19:40 16,721,856 -c--a-w c:\windows\system32\MRT.exe

+ 2008-11-04 00:10:25 17,318,336 -c--a-w c:\windows\system32\MRT.exe

- 2006-08-17 12:28:32 332,288 -c--a-w c:\windows\system32\netapi32.dll

+ 2008-10-15 16:59:29 332,800 -c--a-w c:\windows\system32\netapi32.dll

- 2008-08-27 12:02:12 58,596 ----a-w c:\windows\system32\perfc009.dat

+ 2008-11-25 21:41:16 59,440 ----a-w c:\windows\system32\perfc009.dat

- 2008-08-27 12:02:12 67,232 ----a-w c:\windows\system32\perfc016.dat

+ 2008-11-25 21:41:17 68,190 ----a-w c:\windows\system32\perfc016.dat

- 2008-08-27 12:02:12 392,296 ----a-w c:\windows\system32\perfh009.dat

+ 2008-11-25 21:41:17 395,200 ----a-w c:\windows\system32\perfh009.dat

- 2008-08-27 12:02:12 425,072 ----a-w c:\windows\system32\perfh016.dat

+ 2008-11-25 21:41:17 427,986 ----a-w c:\windows\system32\perfh016.dat

+ 2008-10-16 17:08:58 34,328 -c--a-w c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.2.6001.788\wups.dll

+ 2008-10-16 17:09:44 43,544 -c--a-w c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups2.dll\7.2.6001.788\wups2.dll

- 2007-11-30 11:18:16 18,296 -c----w c:\windows\system32\spmsg.dll

+ 2008-07-08 12:58:40 18,296 -c----w c:\windows\system32\spmsg.dll

+ 2008-12-02 11:59:40 16,384 -c--atw c:\windows\temp\Perflib_Perfdata_288.dat

+ 2008-09-30 19:42:08 1,286,152 -c--a-w c:\windows\WinSxS\x86_Microsoft.MSXML2_6bd6b9abf345378f_4.20.9870.0_x-ww_a32d74cf\msxml4.dll

+ 2008-09-30 19:45:12 91,656 -c--a-w c:\windows\WinSxS\x86_Microsoft.MSXML2R_6bd6b9abf345378f_4.1.1.0_x-ww_2a41bceb\msxml4r.dll

- 2007-06-26 06:10:32 1,104,896 -c--a-w c:\windows\XPize Darkside\Backup\msxml3.dll

+ 2008-09-04 16:45:28 1,106,944 -c--a-w c:\windows\XPize Darkside\Backup\msxml3.dll

.

-- Snapshot resetado para data atual --

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"XPize Darkside Reloader"="c:\windows\XPize Darkside\XPize Darkside Reloader.exe" [2007-10-12 112737]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 30208]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-10-07 155648]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-10-07 126976]

"avgnt"="c:\arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"SunJavaUpdateSched"="c:\arquivos de programas\Java\jre6\bin\jusched.exe" [2008-11-24 136600]

"c:\arquivos de programas\\ddtabases\ddass.exe"="c:\arquivos de programas\\ddtabases\ddass.exe" [2008-11-30 504832]

"SoundMan"="SOUNDMAN.EXE" [2005-12-14 c:\windows\Soundman.exe]

"SMSERIAL"="sm56hlpr.exe" [2005-07-05 c:\windows\sm56hlpr.exe]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"UIHost"=hex(2):58,50,69,7a,65,5f,4c,6f,67,6f,6e,2e,65,78,65,00

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.l3codecp"= l3codecp.acm

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\desp2k]

--a--c--- 2006-08-03 16:05 65536 c:\arquivos de programas\Oi Velox\Manager\desp2k.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\livecall.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"34162:TCP"= 34162:TCP:AresChatServer

 

R2 cmpe;Context Manager Process Extension;c:\windows\system32\cmpe.exe [2007-02-26 61440]

R3 RMSPPPOE;WAN Miniport (PPP over Ethernet Protocol);c:\windows\system32\DRIVERS\RMSPPPOE.SYS [2002-06-10 31232]

.

- - - - ORFÃOS REMOVIDOS - - - -

 

WebBrowser-{A057A204-BACC-4D26-C39E-35F1D2A32EC8} - (no file)

MSConfigStartUp-ares - c:\arquivos de programas\Ares\Ares.exe

MSConfigStartUp-PC Suite Tray - c:\arquivos de programas\Nokia\Nokia PC Suite 6\PCSuite.exe

 

 

.

------- Scan Suplementar -------

.

FireFox -: Profile - c:\documents and settings\Ítalo César.HOME\Dados de aplicativos\Mozilla\Firefox\Profiles\4mbzb1yt.default\

FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://g1.globo.com/

FF -: plugin - c:\arquivos de programas\Java\jre6\bin\new_plugin\npdeploytk.dll

FF -: plugin - c:\arquivos de programas\Java\jre6\bin\new_plugin\npjp2.dll

FF -: plugin - c:\arquivos de programas\Mozilla Firefox\plugins\npdeploytk.dll

FF -: plugin - c:\arquivos de programas\Mozilla Firefox\plugins\npmozax.dll

FF -: plugin - c:\arquivos de programas\Yahoo!\Common\npyaxmpb.dll

FF -: plugin - c:\program files\Fantasy Codecs\Plugins\nppl3260.dll

FF -: plugin - c:\program files\Fantasy Codecs\Plugins\npqtplugin.dll

FF -: plugin - c:\program files\Fantasy Codecs\Plugins\npqtplugin2.dll

FF -: plugin - c:\program files\Fantasy Codecs\Plugins\npqtplugin3.dll

FF -: plugin - c:\program files\Fantasy Codecs\Plugins\npqtplugin4.dll

FF -: plugin - c:\program files\Fantasy Codecs\Plugins\npqtplugin5.dll

FF -: plugin - c:\program files\Fantasy Codecs\Plugins\npqtplugin6.dll

FF -: plugin - c:\program files\Fantasy Codecs\Plugins\npqtplugin7.dll

FF -: plugin - c:\program files\Fantasy Codecs\Plugins\nprpjplug.dll

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-02 09:30:50

Windows 5.1.2600 Service Pack 2 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

 

- - - - - - - > 'winlogon.exe'(764)

c:\windows\system32\cscui.dll

.

Tempo para conclusão: 2008-12-02 9:33:59

ComboFix-quarantined-files.txt 2008-12-02 12:33:34

ComboFix2.txt 2008-10-22 23:20:38

ComboFix3.txt 2008-07-13 12:33:54

ComboFix4.txt 2008-07-11 21:56:38

 

Pré-execução: 18 pasta(s) 10.597.670.912 bytes disponíveis

Pós execução: 18 pasta(s) 10,627,911,680 bytes disponíveis

 

244 --- E O F --- 2008-11-12 02:13:04

 

 

 

Obs.: O meu antivir identificou ele como um vírus, mas nenhuma das ações que ele oferecia para "dar um jeito nele" foram válida, pois o antivir sempre aparecia com a mesma mensagem após qualquer ação. Nesse caso fui ver se conseguia apagar ele de uma maneira manual, mas não consegui e ele estava agindo junto com o winrar criando um arquivo compactado ou era extraindo, mas nesta hora eu abri meu gerenciador de tarefa e finalizei o winrar e fui em processos e achei o arquivo ddass.exe sendo executado e finalizei o processo dele. Tudo isso antes de me conectar a internet e ver o seu post falando do combofix. Então baixei e usei ele.

 

Ps.: Fiz o certo?

 

 

Abraço.

[ElcioBr 0]

Olá a todos!

 

Estive aqui com o mesmo problema, dois dias com a tela sendo preenchida por esses avisos do "ddass".

Pesquisei, rodei anti-virus, anti-spyware, e nada!

Dois dias sem isso, sumiu como veio.

Mas será que está tudo bem?

 

Abraços!

[ElcioBr 0]

Acabei de encontrar informações no site Zone-H, que informa tratar-se de um virus carregado na página de torpedos da operadora Oi.

Faz sentido pra mim, que ando acessando e muito essa pagina...

Estou lendo agora...

 

Não sei se posso enviar links por aqui, se não, moderador por favor delete.

 

zone-h.com.br/content/view/574/9/

 

Abraços!

[ElcioBr 0]

Lida a notícia, há várias indicações dos estragos mas não instruções de remoção.

Pelo que eu entendi, ainda bem que esse aviso apareceu, seria um sinal que o vírus não conseguiu sucesso.

Pelo menos por enquanto, as páginas dos bancos parecem normais e reais aqui...

Quem sabe aparece ferramenta de remoção?

 

Abraços

[ElcioBr 0]

Entrei em contato com o Marcelo da Zone-H e ele gentilmente me respondeu, postando uma notícia sobre as instruções de remoção.

Aqui vai o link (se proibido, moderador, por favor delete):

 

zone-h.com.br/content/view/575/7/

 

É isso. Segui as instruções e estou livre, se bem que meu PC não chegou a sofrer os efeitos da infecção.

Obrigado a este forum pelos primeiros passos!

E me desculpem a sucessão de posts, mistura de poucaprática com lentidão do navegador...

Abraços!

[Mário Monteiro 179]

ElcioBr se ainda estiver com problema ou adquirir um novo no futuro nao utilize topicos de outras pessoas poica cada problema por amis parecido que seja é unico

 

Entao o ideal seria postar um novo topico com o seu log conforme regras deste forum de Segurança e Malwares

 

NEste topico esta sendo encaminahda a analise do problema do ItaloCCSL e uma invasao de terceiros atrapalha e muito a analise

[Mário Monteiro 179]

Tópico Arquivado

 

Como o autor não respondeu por mais de 30 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.