[Resolvido!] falhas de conexão - virus? causa desconhecida

[GustavoD3 0]

Olá, há alguns dias, estou com um problema na hora me conectar, o pc conecta mas o browser nunca navega corretamente de 1a. tem que se reconectar umas 3 vezes e ir "atualizando" até que funcione, chamei tecnico da speedy, veio aqui, disse que esta tudo bem com os testes de conectividade, que deveria ser virus, passei avira, spybot, spyware terminator, avg, tudo que estava ao meu alcance e nada, limpou vários arquivos mas o problema persiste, não quero formatar tudo denovo, esse processo de reconectar e reloadar é complicado pra outros usuários leigos com quem divido o uso do computador, tirei um log do hiJackThis, valeu, segue log:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 08:16:43, on 27/12/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Arquivos de programas\Bonjour\mDNSResponder.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\hijack\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Arquivos de programas\AVG\AVG8\avgssie.dll (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Sothink SWF Catcher - C:\Arquivos de programas\Arquivos comuns\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Arquivos de programas\Arquivos comuns\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Arquivos de programas\Arquivos comuns\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase5036.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2498E0A1-9D02-4205-B25B-D22EE3260A8E}: NameServer = 200.204.0.10 200.204.0.138

O17 - HKLM\System\CCS\Services\Tcpip\..\{EEDB2FDE-A743-4B34-8F86-71C633C3228B}: NameServer = 85.255.116.86;85.255.112.157

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.50 85.255.112.154

O17 - HKLM\System\CS1\Services\Tcpip\..\{2498E0A1-9D02-4205-B25B-D22EE3260A8E}: NameServer = 200.204.0.10 200.204.0.138

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.86;85.255.112.157

O17 - HKLM\System\CS2\Services\Tcpip\..\{2498E0A1-9D02-4205-B25B-D22EE3260A8E}: NameServer = 200.204.0.10 200.204.0.138

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.50 85.255.112.154

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.86;85.255.112.157

O20 - Winlogon Notify: winrvc32 - C:\WINDOWS\

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Arquivos de programas\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Arquivos de programas\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe

 

--

End of file - 6790 bytes

[jgarcia 1]

Opa GustavoD3,

 

Baixe o ComboFix em:

ComboFix

 

1) Desabilite o seu anti-vírus temporariamente;

 

2) Dê um duplo-clique no combofix.exe e aguarde (o processo total demora cerca de 10 minutos);

 

3) A janela de “NEGAÇÃO DE GARANTIA DO SOFTWARE” abrir-se-á. Leia atentamente o texto contido nesta janela e clique sobre “SIM” para continuar.

 

PS.: Caso não concorde com os termos clique sobre “NÃO” para sair do software, cabendo lembrar que o processo de desinfecção não será possível sem a continuidade do ComboFix.

 

4) Outra janela irá abrir, caso a sua máquina não possua o CONSOLE DE RECUPERAÇÃO DO WINDOWS. É recomendável executar a instalação do console ante de dar continuidade ao processo, pois tal ação proporcionará a garantia de que o sistema poderá ser recuperado em caso de problemas durante a varredura.

 

Clique sobre “SIM” e aguarde, pois o processo de instalação do console dar-se-á automaticamente através do próprio ComboFix. Ele poderá demorar alguns minutos (dependerá da velocidade de sua conexão), portanto seja paciente.

 

Quando a janela “INSTALANDO O CONSOLE DE RECUPERAÇÃO” aparecer clique em “OK”, depois clique sobre “SIM” para aceitar a licença EULA.

 

Ao término da instalação do console de recuperação abrir-se-á uma janela avisando que “O CONSOLE DE RECUPERAÇÃO FOI INSTALADA COM SUCESSO”.

 

Clique sobre “SIM” para continuar a varredura.

 

5) O ComboFix iniciará o AUTOSCAN (aguarde).

 

ATENÇÃO: Não clique na janela do ComboFix, nem termine o processo abruptamente enquanto a ferramenta estiver sendo executada, pois isto implicará na desconfiguração de seu desktop (ele ficará todo branco).

 

Ao término do processo a máquina será reiniciada para a emissão do relatório.

 

6) Ao reiniciar a máquina o ComboFix irá executar o FIND3M para a criação do relatório final da varredura. O log ficará alocado em C:\ComboFix.txt.

 

7) Reabilite o seu anti-vírus;

 

8) Preciso que você cole o conteúdo do ComboFix.txt em sua próxima resposta.

 

OBS.1: Caso apareça uma mensagem avisando que ESTE NÃO É UM APLICATIVO WIN 32 VÁLIDO baixe o ComboFix novamente, mas salve-o em seu Desktop como KomboFix. Em último caso, tente utilizar o ComboFix em MODO SEGURO.

 

OBS.2: Caso haja um clique sobre a janela do ComboFix em execução, ela irá MAXIMIZAR, sobrepondo-se sobre as demais. Para minimizá-la novamente basta utilizar a combinação ALT + TAB.

 

Abraços.

[GustavoD3 0]

valeu, só estranhei que o windows nao reiniciou, segue o log gerado apos o combofix:

 

ComboFix 08-12-26.03 - Administrador 2008-12-27 12:56:25.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1252.1.1046.18.502.357 [GMT -2:00]

Executando de: c:\documents and settings\Administrador\Desktop\ComboFix.exe

AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated)

.

 

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

D:\Autorun.inf

D:\resycled

 

.

(((((((((((((((( Arquivos/Ficheiros criados de 2008-11-27 to 2008-12-27 ))))))))))))))))))))))))))))

.

 

2008-12-27 08:13 . 2008-12-27 08:16 <DIR> d-------- C:\hijack

2008-12-26 22:38 . 2008-12-26 22:38 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\GbPlugin

2008-12-26 11:04 . 2008-12-26 11:04 <DIR> d-------- c:\arquivos de programas\SourceTec

2008-12-26 11:04 . 2008-12-26 11:04 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\SourceTec

2008-12-26 11:04 . 2008-12-26 11:04 23 --a------ c:\windows\SWFDecompiler.INI

2008-12-25 16:08 . 2008-12-25 16:17 <DIR> d-------- c:\documents and settings\Administrador\Dados de aplicativos\Download Manager

2008-12-24 20:04 . 2008-12-24 20:04 410,984 --a------ c:\windows\system32\deploytk.dll

2008-12-24 08:16 . 2007-03-31 08:00 1,233,920 --a------ c:\windows\system32\msxml4.dll

2008-12-24 08:16 . 2007-03-31 08:00 82,432 --a------ c:\windows\system32\msxml4r.dll

2008-12-24 08:16 . 2007-03-31 08:00 44,544 --a------ c:\windows\system32\msxml4a.dll

2008-12-22 16:07 . 2008-12-22 16:07 <DIR> d-------- c:\documents and settings\Administrador\Dados de aplicativos\Alien Skin

2008-12-22 15:18 . 2008-12-22 15:18 <DIR> d-------- C:\MSNCleaner

2008-12-21 14:37 . 2008-12-21 14:37 <DIR> d---s---- c:\documents and settings\Administrador\UserData

2008-12-21 12:15 . 2008-12-21 12:15 <DIR> d-------- c:\documents and settings\Administrador\Contacts

2008-12-21 04:56 . 2008-10-11 13:46 <DIR> d--h----- c:\documents and settings\Administrador\Modelos

2008-12-21 04:56 . 2008-12-24 08:16 <DIR> dr------- c:\documents and settings\Administrador\Meus documentos

2008-12-21 04:56 . 2008-10-11 10:39 <DIR> dr------- c:\documents and settings\Administrador\Menu Iniciar

2008-12-21 04:56 . 2008-12-26 12:43 <DIR> dr------- c:\documents and settings\Administrador\Favoritos

2008-12-21 04:56 . 2008-12-25 21:03 <DIR> dr-h----- c:\documents and settings\Administrador\Dados de aplicativos

2008-12-21 04:56 . 2008-12-27 12:57 <DIR> d--h----- c:\documents and settings\Administrador\Configurações locais

2008-12-21 04:56 . 2008-10-11 10:39 <DIR> d--h----- c:\documents and settings\Administrador\Ambiente de rede

2008-12-21 04:56 . 2008-10-11 10:39 <DIR> d--h----- c:\documents and settings\Administrador\Ambiente de impressão

2008-12-21 04:56 . 2008-12-21 14:37 <DIR> d-------- c:\documents and settings\Administrador

2008-12-20 08:46 . 2008-07-25 05:01 5,064 --a------ c:\windows\phillysansps.otf

2008-12-16 17:47 . 2008-12-16 18:01 <DIR> d-------- c:\arquivos de programas\WinClamAVShield

2008-12-16 17:46 . 2008-12-16 20:16 <DIR> d-------- c:\documents and settings\CPU Administrador\Dados de aplicativos\Spyware Terminator

2008-12-16 17:46 . 2008-12-16 20:17 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Spyware Terminator

2008-12-16 17:46 . 2008-12-16 20:17 <DIR> d-------- c:\arquivos de programas\Spyware Terminator

2008-12-16 17:46 . 2008-12-16 17:46 141,312 --a------ c:\windows\system32\drivers\sp_rsdrv2.sys

2008-12-16 17:40 . 2008-12-16 17:42 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Lavasoft

2008-12-16 17:40 . 2008-12-16 17:40 <DIR> d-------- c:\arquivos de programas\Lavasoft

2008-12-16 17:40 . 2008-12-16 17:40 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\Wise Installation Wizard

2008-12-16 15:53 . 2008-12-16 15:53 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Avira

2008-12-16 15:53 . 2008-12-16 15:53 <DIR> d-------- c:\arquivos de programas\Avira

2008-12-16 13:23 . 2008-12-23 15:38 421 --a------ c:\windows\ODBC.INI

2008-12-16 13:21 . 2008-12-16 13:22 <DIR> d-------- c:\windows\ShellNew

2008-12-09 20:02 . 2008-12-09 20:02 <DIR> d-------- c:\documents and settings\CPU Administrador\Dados de aplicativos\LEAPS

2008-12-09 19:23 . 2008-12-09 19:23 <DIR> d-------- c:\documents and settings\CPU Administrador\Dados de aplicativos\Pegasys Inc

2008-12-09 19:21 . 2008-12-09 19:21 <DIR> d-------- c:\arquivos de programas\Pegasys Inc

2008-12-09 08:47 . 2008-12-09 08:47 27,904 --a------ c:\windows\system32\drivers\Ndisprot.sys

2008-12-08 18:01 . 2008-12-08 18:01 <DIR> d-------- C:\OpenCandy

2008-12-08 18:01 . 2008-12-09 20:28 <DIR> d-------- c:\arquivos de programas\MediaCoder

2008-11-27 12:33 . 1998-10-09 17:58 327,168 --a------ c:\windows\IsUn0816.exe

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-27 02:06 --------- d-----w c:\arquivos de programas\MegaJogos

2008-12-25 12:33 --------- d---a-w c:\documents and settings\All Users\Dados de aplicativos\TEMP

2008-12-24 22:04 --------- d-----w c:\arquivos de programas\Java

2008-12-24 21:54 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\avg8

2008-12-16 18:15 --------- d-----w c:\arquivos de programas\Vcnt3 Plug-In

2008-12-16 17:28 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Spybot - Search & Destroy

2008-12-16 17:06 --------- d-----w c:\arquivos de programas\Everest Poker

2008-12-13 23:35 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Microsoft Help

2008-12-13 23:13 --------- d-----w c:\documents and settings\CPU Administrador\Dados de aplicativos\Hamachi

2008-12-10 15:52 --------- d-----w c:\documents and settings\CPU Administrador\Dados de aplicativos\ColorImpact3

2008-11-30 02:33 --------- d-----w c:\documents and settings\CPU Administrador\Dados de aplicativos\FileZilla

2008-11-17 16:01 286,720 ----a-w c:\windows\iun506.exe

2008-11-04 19:22 --------- d-----w c:\arquivos de programas\Flash Slideshow Maker Professional

2008-11-01 15:52 --------- d-----w c:\arquivos de programas\Windows Media Connect 2

2008-10-31 02:46 15,440 ----a-w c:\windows\system32\drivers\hamachi.sys

2008-10-30 16:02 --------- d-----w c:\documents and settings\CPU Administrador\Dados de aplicativos\Alien Skin

2008-10-30 15:47 --------- d-----w c:\arquivos de programas\Alien Skin

2008-10-28 20:57 --------- d-----w c:\documents and settings\CPU Administrador\Dados de aplicativos\Media Player Classic

2008-10-28 20:53 --------- d-----w c:\arquivos de programas\DsNET Corp

2008-10-27 15:09 --------- d-----w c:\arquivos de programas\InstallShield Installation Information

2008-10-27 15:09 --------- d-----w c:\arquivos de programas\Arquivos comuns\InstallShield

2008-10-16 16:13 202,776 ----a-w c:\windows\system32\wuweb.dll

2008-10-16 16:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll

2008-10-16 16:12 561,688 ----a-w c:\windows\system32\wuapi.dll

2008-10-16 16:12 323,608 ----a-w c:\windows\system32\wucltui.dll

2008-10-16 16:09 92,696 ----a-w c:\windows\system32\cdm.dll

2008-10-16 16:09 51,224 ----a-w c:\windows\system32\wuauclt.exe

2008-10-16 16:09 43,544 ----a-w c:\windows\system32\wups2.dll

2008-10-16 16:08 34,328 ----a-w c:\windows\system32\wups.dll

2008-10-16 16:06 268,648 ----a-w c:\windows\system32\mucltui.dll

2008-10-16 16:06 208,744 ----a-w c:\windows\system32\muweb.dll

2008-10-15 16:36 337,408 ----a-w c:\windows\system32\SET240.tmp

2008-10-13 02:25 7 ----a-w C:\tw0001.dat

.

 

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"msnmsgr"="c:\arquivos de programas\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

"MSMSGS"="c:\arquivos de programas\Messenger\msmsgs.exe" [2008-04-14 1695232]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="c:\arquivos de programas\Java\jre6\bin\jusched.exe" [2008-12-24 136600]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"avgnt"="c:\arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

Microsoft Office.lnk - c:\arquivos de programas\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

"c:\\Arquivos de programas\\Bonjour\\mDNSResponder.exe"=

"c:\\Arquivos de programas\\Java\\jre1.6.0_07\\bin\\javaw.exe"=

"c:\\Arquivos de programas\\MegaJogos\\jre\\jre\\bin\\javaw.exe"=

"c:\\Arquivos de programas\\MessengerDiscovery\\MessengerDiscovery Live.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Arquivos de programas\\Mozilla Firefox\\firefox.exe"=

 

R1 sp_rsdrv2;Spyware Terminator Driver 2;\??\c:\windows\system32\drivers\sp_rsdrv2.sys [2008-12-16 141312]

R3 audiobridge;Virtual Audio Bridge;c:\windows\system32\DRIVERS\aubridge.sys [2007-07-23 22528]

S3 CrystalSysInfo;CrystalSysInfo;\??\c:\arquivos de programas\MediaCoder\SysInfo.sys [2007-09-25 15152]

 

*Newly Created Service* - PROCEXP90

*Newly Created Service* - RSVP

.

.

------- Scan Suplementar -------

.

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\Office10\EXCEL.EXE/3000

IE: Sothink SWF Catcher - c:\arquivos de programas\Arquivos comuns\SourceTec\SWF Catcher\InternetExplorer.htm

TCP: {2498E0A1-9D02-4205-B25B-D22EE3260A8E} = 200.204.0.10 200.204.0.138

FF - ProfilePath - c:\documents and settings\Administrador\Dados de aplicativos\Mozilla\Firefox\Profiles\mu0et9ag.default\

FF - plugin: c:\arquivos de programas\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF - plugin: c:\arquivos de programas\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-27 12:57:53

Windows 5.1.2600 Service Pack 3 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos:

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\system\ControlSet002\Services\msqpdxserv.sys]

"imagepath"="\systemroot\system32\drivers\msqpdxpaxtofxh.sys"

.

Tempo para conclusão: 2008-12-27 12:58:36

ComboFix-quarantined-files.txt 2008-12-27 14:58:33

 

Pré-execução: 17 pasta(s) 27.310.546.944 bytes disponíveis

Pós execução: 17 pasta(s) 30,868,090,880 bytes disponíveis

 

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

 

160 --- E O F --- 2008-12-09 10:29:00

[jgarcia 1]

Opa GustavoD3,

 

Siga as instruções:

 

1. Abra o Bloco de Notas -> Copie (Control + C) e Cole (Control + V) todo o texto incluído no "Quote":

File::

c:\windows\system32\drivers\msqpdxpaxtofxh.sys

c:\windows\system32\drivers\Ndisprot.sys

c:\windows\system32\SET240.tmp

c:\windows\system32\deploytk.dll

c:\windows\ODBC.INI

c:\windows\IsUn0816.exe

c:\windows\iun506.exe

c:\windows\phillysansps.otf

C:\tw0001.dat

Folder::

c:\documents and settings\All Users\Dados de aplicativos\GbPlugin

Registry::

[-HKEY_LOCAL_MACHINE\system\ControlSet002\Services\msqpdxserv.sys]

ATENÇÃO: O script acima foi elaborado especificamente para a infecção contida neste computador. Utilizá-lo em outra máquina poderá originar graves problemas ao usuário.

• 2. Salve o arquivo como CFScript.txt;
   
  3. Tal como exemplificado na foto abaixo, arraste o arquivo CFScript.txt para o ComboFix.exe.
  
   
  4. Ao término do processo a ferramenta irá gerar um log. Poste-o (C:\ComboFix.txt) em sua próxima resposta, juntamente com um novo log do HijackThis.
  

Abraços.

[GustavoD3 0]

valeu JGarcia, cara, desculpe lhe dar o trabalho de analizar tudo, a pressão foi pesada aqui e tive que formatar, verifiquei o post diversas vezes antes de iniciar o o processo e fiquei até chateado de ver a resposta aqui depois de todo esse trabalho, agradeço a boa vontade e disposição! vlw

[jgarcia 1]

valeu JGarcia, cara, desculpe lhe dar o trabalho de analizar tudo, a pressão foi pesada aqui e tive que formatar, verifiquei o post diversas vezes antes de iniciar o o processo e fiquei até chateado de ver a resposta aqui depois de todo esse trabalho, agradeço a boa vontade e disposição! vlw

Sem problemas Gustavo. :D

 

Abraços e um feliz 2009. :thumbsup:

[Mário Monteiro 179]

PROBLEMA RESOLVIDO!

 

Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico.