[Arquivado] Trojans win32

[kinabr 0]

Fui passar o scan como de sempre e ele detectou uns 12 trojans, a maioria no system32

O log está aqui:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:05:56, on 15/12/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Java\jre1.5.0_04\bin\jusched.exe

C:\WINDOWS\sttray.exe

C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\ARQUIV~1\mcafee.com\vso\mcvsshld.exe

C:\ARQUIV~1\mcafee.com\agent\mcagent.exe

c:\arquiv~1\mcafee.com\vso\mcvsescn.exe

C:\WINDOWS\system32\rundll32.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\ATKKBService.exe

c:\arquivos de programas\mcafee.com\agent\mcdetect.exe

c:\ARQUIV~1\mcafee.com\agent\mctskshd.exe

c:\ARQUIV~1\mcafee.com\vso\mcvsrte.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

C:\WINDOWS\system32\STacSV.exe

C:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

c:\ARQUIV~1\mcafee.com\vso\mcshield.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\system32\taskmgr.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\rundll32.exe

C:\Hijackthis\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.compartilhando.org/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.compartilhando.org/

R3 - URLSearchHook: Barra de Ferramentas do Yahoo! com bloqueador de pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Barra de Ferramentas do Yahoo! com bloqueador de pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Windows Live Toolbar Beta - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\arquiv~1\mcafee.com\vso\mcvsshl.dll

O3 - Toolbar: (no name) - {7EEF1E3D-FD97-4401-BCDB-5827F2D11709} - (no file)

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [sigmatelSysTrayApp] sttray.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Arquivos de programas\Corel\Corel Graphics 12\Languages\EN\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=122008 serial=DR12WEX-1504397-KTY lang=EN

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Arquivos de programas\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARQUIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\ARQUIV~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\ARQUIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] c:\ARQUIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [101e3410] rundll32.exe "C:\WINDOWS\system32\tpqbhtku.dll",b

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [sysBrand] "C:\ARQUIV~1\iGv6\sysbrand.exe"

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Arquivos de programas\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [WhenUSave] "C:\Arquivos de programas\Save\Save.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~1\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Blog This - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Blog This in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Barra do iG - {FD1672E0-AE0D-465B-B345-F7B0944A121D} - (no file)

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O14 - IERESET.INF: START_PAGE_URL=http://www.compartilhando.org/

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Arquivos de programas\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{83F6A3F8-7991-486A-A093-CD8F16C3D932}: NameServer = 200.149.55.142 200.165.132.154

O20 - AppInit_DLLs: iytinc.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\arquivos de programas\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\ARQUIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARQUIV~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARQUIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\ARQUIV~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\STacSV.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

 

--

End of file - 9738 bytes

[Silas Martins 0]

Baixe o ComboFix em:

ComboFix

 

1) Desabilite o seu anti-vírus temporariamente;

 

2) Dê um duplo-clique no combofix.exe e aguarde (o processo total demora cerca de 10 minutos);

 

3) A janela de “NEGAÇÃO DE GARANTIA DO SOFTWARE” abrir-se-á. Leia atentamente o texto contido nesta janela e clique sobre “SIM” para continuar.

 

PS.: Caso não concorde com os termos clique sobre “NÃO” para sair do software, cabendo lembrar que o processo de desinfecção não será possível sem a continuidade do ComboFix.

 

4) Outra janela irá abrir, caso a sua máquina não possua o CONSOLE DE RECUPERAÇÃO DO WINDOWS. É recomendável executar a instalação do console ante de dar continuidade ao processo, pois tal ação proporcionará a garantia de que o sistema poderá ser recuperado em caso de problemas durante a varredura.

 

Clique sobre “SIM” e aguarde, pois o processo de instalação do console dar-se-á automaticamente através do próprio ComboFix. Ele poderá demorar alguns minutos (dependerá da velocidade de sua conexão), portanto seja paciente.

 

Quando a janela “INSTALANDO O CONSOLE DE RECUPERAÇÃO” aparecer clique em “OK”, depois clique sobre “SIM” para aceitar a licença EULA.

 

Ao término da instalação do console de recuperação abrir-se-á uma janela avisando que “O CONSOLE DE RECUPERAÇÃO FOI INSTALADA COM SUCESSO”.

 

Clique sobre “SIM” para continuar a varredura.

 

5) O ComboFix iniciará o AUTOSCAN (aguarde).

 

ATENÇÃO: Não clique na janela do ComboFix, nem termine o processo abruptamente enquanto a ferramenta estiver sendo executada, pois isto implicará na desconfiguração de seu desktop (ele ficará todo branco).

 

Ao término do processo a máquina será reiniciada para a emissão do relatório.

 

6) Ao reiniciar a máquina o ComboFix irá executar o FIND3M para a criação do relatório final da varredura. O log ficará alocado em C:\ComboFix.txt.

 

7) Reabilite o seu anti-vírus;

 

8) Preciso que você cole o conteúdo do ComboFix.txt em sua próxima resposta.

 

OBS.1: Caso apareça uma mensagem avisando que ESTE NÃO É UM APLICATIVO WIN 32 VÁLIDO baixe o ComboFix novamente, mas salve-o em seu Desktop como KomboFix. Em último caso, tente utilizar o ComboFix em MODO SEGURO.

 

OBS.2: Caso haja um clique sobre a janela do ComboFix em execução, ela irá MAXIMIZAR, sobrepondo-se sobre as demais. Para minimizá-la novamente basta utilizar a combinação ALT + TAB.

 

 

 

Atenção:

Não clique em nada enquanto o Combofix estiver rodando, Do contrário seu desktop ficará em branco.

 

Para parar o processo ou sair do ComboFix, tecle "2" e Enter.

 

Aguardo o retorno

[kinabr 0]

O log ta aí:

 

ComboFix 08-12-15.01 - Administrador 2008-12-15 20:34:43.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.2045.1585 [GMT -2:00]

Executando de: c:\documents and settings\Administrador\Desktop\ComboFix.exe

* Criado um novo ponto de restauro

* Resident AV is active

 

.

 

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\bhedpd.dll

c:\windows\system32\cbXNEXNf.dll

c:\windows\system32\ddcAppQh.dll

c:\windows\system32\fNXENXbc.ini

c:\windows\system32\fNXENXbc.ini2

c:\windows\system32\FPstvGgh.ini

c:\windows\system32\FPstvGgh.ini2

c:\windows\system32\ghnuvcpw.dll

c:\windows\system32\ibpvmf.dll

c:\windows\system32\iytinc.dll

c:\windows\system32\jmjvyyaa.dll

c:\windows\system32\mbuxvyro.ini

c:\windows\system32\nnnlkifg.dll

c:\windows\system32\pmnllmnn.dll

c:\windows\system32\pqwgqofh.ini

c:\windows\system32\qhhjnlek.dll

c:\windows\system32\tpqbhtku.dll

c:\windows\system32\ukthbqpt.ini

c:\windows\system32\vnhdvivn.dll

 

.

(((((((((((((((( Arquivos/Ficheiros criados de 2008-11-15 to 2008-12-15 ))))))))))))))))))))))))))))

.

 

2008-12-15 20:39 . 2008-12-15 20:39 <DIR> d-------- c:\windows\system32\xircom

2008-12-15 20:39 . 2008-12-15 20:39 <DIR> d-------- c:\windows\system32\oobe

2008-12-15 20:39 . 2008-12-15 20:39 <DIR> d-------- c:\arquivos de programas\microsoft frontpage

2008-12-14 19:42 . 2008-12-14 19:47 <DIR> d-------- c:\documents and settings\Administrador\Dados de aplicativos\Tibia

2008-12-14 19:38 . 2008-12-14 19:38 <DIR> d-------- c:\arquivos de programas\Tibia

2008-12-14 18:37 . 2008-12-14 18:37 <DIR> d-------- c:\arquivos de programas\Alwil Software

2008-12-12 22:23 . 2008-12-12 22:26 21,840 --a----t- c:\windows\system32\SIntfNT.dll

2008-12-12 22:23 . 2008-12-12 22:26 17,212 --a----t- c:\windows\system32\SIntf32.dll

2008-12-12 22:23 . 2008-12-12 22:26 12,067 --a----t- c:\windows\system32\SIntf16.dll

2008-12-12 22:22 . 2008-12-12 22:22 94,208 --a------ c:\windows\DIIUnin.exe

2008-12-12 22:22 . 2008-12-12 22:34 40,591 --a------ c:\windows\DIIUnin.dat

2008-12-12 22:22 . 2008-12-12 22:22 2,829 --a------ c:\windows\DIIUnin.pif

2008-12-12 22:20 . 2008-12-12 22:20 235,520 --a------ c:\windows\system32\trzA.tmp

2008-12-12 22:19 . 2008-12-13 07:30 <DIR> d-------- c:\arquivos de programas\Diablo II

2008-12-12 22:15 . 2008-12-12 22:15 <DIR> d-------- c:\documents and settings\Administrador\Dados de aplicativos\DAEMON Tools Pro

2008-12-12 21:57 . 2008-12-12 21:57 <DIR> d-------- c:\arquivos de programas\Alcohol Soft

2008-12-12 21:43 . 2008-12-12 21:43 717,296 --a------ c:\windows\system32\drivers\sptd.sys

2008-12-07 20:56 . 2008-12-07 20:56 <DIR> d-------- c:\documents and settings\Administrador\Dados de aplicativos\InstallShield

2008-12-07 20:56 . 2008-12-07 21:01 <DIR> d-------- c:\arquivos de programas\Garena

2008-12-07 19:59 . 2008-12-12 23:44 <DIR> d-------- c:\documents and settings\Administrador\Dados de aplicativos\uTorrent

2008-12-07 19:59 . 2008-12-07 19:59 <DIR> d-------- c:\arquivos de programas\uTorrent

2008-12-07 17:53 . 2008-12-07 17:53 <DIR> d-------- c:\arquivos de programas\Hamachi

2008-11-21 00:50 . 2008-11-21 15:35 <DIR> d-------- C:\ESFNS

2008-11-20 21:18 . 2008-12-15 17:10 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\Symantec Shared

2008-11-20 18:25 . 2008-11-20 18:25 <DIR> d-------- c:\windows\Sun

2008-11-20 18:15 . 2008-11-20 18:17 <DIR> d-------- c:\arquivos de programas\IXC

2008-11-20 18:15 . 2004-03-08 23:00 260,880 --a------ c:\windows\system32\MSFLXGRD.OCX

2008-11-20 18:15 . 2004-03-09 00:00 224,016 --a------ c:\windows\system32\TABCTL32.OCX

2008-11-20 18:15 . 2004-03-08 23:00 212,240 --a------ c:\windows\system32\RICHTX32.OCX

2008-11-20 18:15 . 2004-03-08 23:00 124,688 --a------ c:\windows\system32\MSWINSCK.OCX

2008-11-16 18:51 . 2005-08-31 05:11 31,616 --a------ c:\windows\system32\drivers\usbccgp.sys

2008-11-16 18:07 . 2008-11-16 18:07 23,296 --a------ c:\documents and settings\Administrador\Dados de aplicativos\GDIPFONTCACHEV1.DAT

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-13 17:25 --------- d-----w c:\arquivos de programas\Warcraft III

2008-12-07 23:16 --------- d-----w c:\documents and settings\Administrador\Dados de aplicativos\Hamachi

2008-12-07 22:56 --------- d--h--w c:\arquivos de programas\InstallShield Installation Information

2008-12-07 19:53 17,480 ----a-w c:\windows\system32\drivers\hamachi.sys

2008-10-25 17:42 --------- d-----w c:\documents and settings\Administrador\Dados de aplicativos\Grisoft

2008-10-25 17:41 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Grisoft

2008-10-24 02:35 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\McAfee.com

2008-10-23 22:05 --------- d-----w c:\documents and settings\Administrador\Dados de aplicativos\McAfee

2008-10-23 22:05 --------- d-----w c:\arquivos de programas\McAfee.com

2008-10-23 22:05 --------- d-----w c:\arquivos de programas\McAfee

2008-10-22 02:22 2,829 ----a-w c:\windows\War3Unin.pif

2008-10-22 02:22 139,264 ----a-w c:\windows\War3Unin.exe

2008-10-22 02:21 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Yahoo! Companion

2008-10-22 00:56 --------- d-----w c:\arquivos de programas\Windows Live

2008-10-22 00:53 --------- d-----w c:\arquivos de programas\Microsoft

2008-10-22 00:39 --------- d-----w c:\arquivos de programas\Arquivos comuns\Windows Live

2008-10-21 22:13 --------- d-----w c:\documents and settings\Administrador\Dados de aplicativos\Spore

2008-10-21 21:57 --------- d-----w c:\arquivos de programas\ASUSTeK

2008-10-20 22:36 --------- d-----w c:\documents and settings\Administrador\Dados de aplicativos\Corel

2008-10-20 22:26 --------- d-----w c:\arquivos de programas\CyberLink

2008-10-20 22:25 --------- d-----w c:\arquivos de programas\Arquivos comuns\Nero

2008-10-20 22:25 --------- d-----w c:\arquivos de programas\Arquivos comuns\InstallShield

2008-10-20 22:24 --------- d-----w c:\arquivos de programas\Arquivos comuns\Ahead

2008-10-20 22:24 --------- d-----w c:\arquivos de programas\Ahead

2008-10-20 22:14 --------- d-----w c:\arquivos de programas\Arquivos comuns\Adobe

2008-10-20 22:11 --------- d-----w c:\arquivos de programas\Arquivos comuns\Corel

2008-10-20 22:10 --------- d-----w c:\arquivos de programas\Corel

2008-10-20 21:41 --------- d-----w c:\arquivos de programas\Yahoo!

2008-10-20 21:41 --------- d-----w c:\arquivos de programas\CCleaner

2008-10-20 21:35 --------- d-----w c:\arquivos de programas\Windows Media Connect 2

2008-10-20 21:33 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\DVD Shrink

2008-10-20 21:33 --------- d-----w c:\arquivos de programas\eMule

2008-10-20 21:33 --------- d-----w c:\arquivos de programas\DVD Shrink

2008-10-20 21:31 --------- d-----w c:\arquivos de programas\ESET

2008-10-20 21:27 --------- d-----w c:\arquivos de programas\SigmaTel

2008-10-20 21:27 --------- d-----w c:\arquivos de programas\Intel Desktop Boards

2008-10-20 20:59 --------- d-----w c:\arquivos de programas\K-Lite Codec Pack

2008-10-20 20:58 --------- d-----w c:\arquivos de programas\Java

2008-10-20 20:58 --------- d-----w c:\arquivos de programas\Arquivos comuns\Java

2008-10-20 20:56 --------- d-----w c:\arquivos de programas\Serviços on-line

2008-10-20 20:56 --------- d-----w c:\arquivos de programas\Arquivos comuns\Serviços

.

 

------- Sigcheck -------

 

2005-08-31 00:12 577536 3ed0a4d74efd5aaf8408095f452e2613 c:\windows\system32\user32.dll

 

2005-08-31 00:14 359936 dbc20c4332fe84b826530c49ae09721e c:\windows\system32\drivers\tcpip.sys

 

2005-08-31 00:24 2019328 ebe37bd5db4e084001ac3257715ca35e c:\windows\system32\ntkrnlpa.exe

 

2005-08-31 00:12 2139648 f7d03e7aa3351104a96af26cdd317451 c:\windows\system32\ntoskrnl.exe

 

2005-08-31 00:12 1034240 07af0154923df6dec6de9ca0d4b04f8f c:\windows\explorer.exe

 

2005-08-31 00:13 57856 ad3d9d191aea7b5445fe1d82ffbb4788 c:\windows\system32\spoolsv.exe

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

"AlcoholAutomount"="c:\arquivos de programas\Alcohol Soft\Alcohol 120\axcmd.exe" [2008-11-22 203720]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="c:\arquivos de programas\Java\jre1.5.0_04\bin\jusched.exe" [2005-06-03 36975]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"CorelDRAW Graphics Suite 11b"="c:\arquivos de programas\Corel\Corel Graphics 12\Languages\EN\Programs\Registration.exe" [2003-11-25 729088]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"RemoteControl"="c:\arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928]

"LanguageShortcut"="c:\arquivos de programas\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-02-13 7557120]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-02-13 86016]

"VSOCheckTask"="c:\arquiv~1\mcafee.com\vso\mcmnhdlr.exe" [2003-08-08 122880]

"VirusScan Online"="c:\arquiv~1\mcafee.com\vso\mcvsshld.exe" [2003-08-17 163840]

"MCAgentExe"="c:\arquiv~1\mcafee.com\agent\mcagent.exe" [2005-09-22 303104]

"MCUpdateExe"="c:\arquiv~1\mcafee.com\agent\mcupdate.exe" [2006-01-11 212992]

"!AVG Anti-Spyware"="c:\arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312]

"SigmatelSysTrayApp"="sttray.exe" [2006-09-07 c:\windows\sttray.exe]

"nwiz"="nwiz.exe" [2006-02-13 c:\windows\system32\nwiz.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nlsf"="move" [X]

"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-03 44544]

 

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

Adobe Gamma Loader.exe.lnk - c:\arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe [2008-10-20 110592]

Microsoft Office.lnk - c:\arquivos de programas\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=ibpvmf.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.3iv2"= 3ivxVfWCodec.dll

"VIDC.VP31"= vp31vfw.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\Hamachi\\hamachi.exe"=

"c:\\ESFNS\\hl.exe"=

"c:\\ESFNS\\hlds.exe"=

"c:\\Arquivos de programas\\Warcraft III\\Frozen Throne.exe"=

"c:\\Arquivos de programas\\uTorrent\\uTorrent.exe"=

 

R2 fssfltr;FssFltr;c:\windows\system32\DRIVERS\fssfltr.sys [2008-10-21 56344]

R3 NaiFiltr;NaiFiltr;c:\windows\system32\DRIVERS\NaiFiltr.sys [2008-10-23 23296]

S3 fsssvc;Windows Live Family Safety;"c:\arquivos de programas\Windows Live\Family Safety\fsssvc.exe" [2008-09-04 512536]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4f87bd4e-9ed6-11dd-ad78-806d6172696f}]

\Shell\AutoRun\command - d:\autorun\AutoRun.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ff1b135a-9ef4-11dd-be45-806d6172696f}]

\Shell\AutoRun\command - D:\autoplay.exe

.

- - - - ORFÃOS REMOVIDOS - - - -

 

BHO-{61a08a3b-2f4d-4d2a-9aef-f86be70ed58a} - c:\windows\system32\ibpvmf.dll

BHO-{9B1B4B66-2472-4DD2-B61E-C7ADF176637B} - c:\windows\system32\hgGvtsPF.dll

BHO-{9C6D1D66-CDC4-4E52-84E0-4291F2603561} - c:\windows\system32\cbXNEXNf.dll

HKCU-Run-SysBrand - c:\arquiv~1\iGv6\sysbrand.exe

HKCU-Run-WhenUSave - c:\arquivos de programas\Save\Save.exe

HKU-Default-Run-MsnMsgr - c:\arquivos de programas\MSN Messenger\MsnMsgr.Exe

 

 

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.compartilhando.org/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uInternet Connection Wizard,ShellNext = hxxp://www.compartilhando.org/

uSearchURL,(Default) = hxxp://www.google.com/keyword/%s

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~1\Office10\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\Administrador\Dados de aplicativos\Mozilla\Firefox\Profiles\9pmub2kq.default\

FF - plugin: c:\arquivos de programas\Java\jre1.5.0_04\bin\NPJava11.dll

FF - plugin: c:\arquivos de programas\Java\jre1.5.0_04\bin\NPJava12.dll

FF - plugin: c:\arquivos de programas\Java\jre1.5.0_04\bin\NPJava13.dll

FF - plugin: c:\arquivos de programas\Java\jre1.5.0_04\bin\NPJava14.dll

FF - plugin: c:\arquivos de programas\Java\jre1.5.0_04\bin\NPJava32.dll

FF - plugin: c:\arquivos de programas\Java\jre1.5.0_04\bin\NPJPI150_04.dll

FF - plugin: c:\arquivos de programas\Java\jre1.5.0_04\bin\NPOJI610.dll

FF - plugin: c:\arquivos de programas\K-Lite Codec Pack\real\browser\plugins\nppl3260.dll

FF - plugin: c:\arquivos de programas\K-Lite Codec Pack\real\browser\plugins\nprpjplug.dll

FF - plugin: c:\arquivos de programas\Yahoo!\Common\npyaxmpb.dll

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-15 20:39:58

Windows 5.1.2600 Service Pack 2 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

.

------------------------ Outros Processos em Execução ------------------------

.

c:\windows\system32\rundll32.exe

c:\arquiv~1\McAfee.com\VSO\McVSEscn.exe

c:\arquivos de programas\McAfee.com\Agent\mcagent.exe

c:\windows\ATKKBService.exe

c:\arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\guard.exe

c:\arquivos de programas\McAfee.com\Agent\Mcdetect.exe

c:\arquiv~1\McAfee.com\Agent\McTskshd.exe

c:\arquiv~1\McAfee.com\VSO\mcvsrte.exe

c:\arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

c:\windows\system32\nvsvc32.exe

c:\arquivos de programas\CyberLink\Shared Files\RichVideo.exe

c:\windows\system32\stacsv.exe

c:\arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

c:\arquiv~1\McAfee.com\VSO\McShield.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Tempo para conclusão: 2008-12-15 20:41:48 - Máquina reiniciou

ComboFix-quarantined-files.txt 2008-12-15 22:41:44

 

Pré-execução: 19 pasta(s) 117.947.736.064 bytes disponíveis

Pós execução: 19 pasta(s) 118,065,451,008 bytes disponíveis

 

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

 

245

[kinabr 0]

Não sou respondido há 10 dias!

[Mário Monteiro 179]

final de ano é complicado mesmo mas nao se preocupe que o silas é responsavel e certamente analisará seu log

[kinabr 0]

Era só para avisar, por que senão o tópico ia ficar na pg. 2!

[kinabr 0]

Mais 10 dias se passaram.

[Silas Martins 0]

Desculpe a demora.

Baixe o Norman Malware Cleaner aqui:http://superdownloads.uol.com.br/redir.cfm?softid=63672

Depois de instalado execute e adicione todas as áreas físicas e removiveis do seu pc ( ex: Ec: F: e outras) só então clique em Scan.

Apos isso poste o log do Hijackthis, juntamente com o log do Norman

[Mário Monteiro 179]

Tópico Arquivado

 

Como o autor não respondeu por mais de 30 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.