[Arquivado] System Error Code: 1400

Aracari · Janeiro 28, 2009

Galera, peguei esse vírus de um email (que minha mulher abriu). Ele fica abrindo janelas com a msg "System Error Code: 1400" no IE. Já fiz os procedimentos explicados aqui no forum numa outra msg.

1) Baixei o ComboFix e executei em modo de segurança e sem anti-virus ativo.

2) O arquivo de log gerado foi esse daqui:

ComboFix 09-01-21.04 - Administrador 2009-01-28 8:43:04.1 - FAT32x86 NETWORK

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.1023.833 [GMT -2:00]

Executando de: c:\documents and settings\Administrador\Desktop\ComboFix.exe

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system32\mdm.exe

c:\windows\winhlp32.dat

.

(((((((((((((((( Arquivos/Ficheiros criados de 2008-12-28 to 2009-01-28 ))))))))))))))))))))))))))))

.

2009-01-28 08:35 . 2009-01-28 08:35 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Avg7

2009-01-27 18:07 . 2009-01-27 18:07 <DIR> d-------- c:\arquivos de programas\RegCleaner

2009-01-27 17:42 . 2009-01-27 17:42 <DIR> d-------- C:\fixwareout

2009-01-27 17:12 . 2009-01-27 17:12 1 ---hs---- C:\MSDOS.INF

2009-01-22 21:14 . 2009-01-22 21:13 410,984 --a------ c:\windows\system32\deploytk.dll

2009-01-22 11:46 . 2009-01-22 11:46 <DIR> d-------- C:\Sons Mata Atlântica

2009-01-20 14:54 . 2009-01-20 14:54 <DIR> d-------- C:\Curso

2009-01-19 08:42 . 2009-01-19 08:42 <DIR> d-------- C:\Sons Campinas

2009-01-18 23:00 . 2009-01-18 23:00 <DIR> d-------- c:\documents and settings\Administrador\Dados de aplicativos\Audacity

2009-01-18 23:00 . 2009-01-18 23:00 <DIR> d-------- c:\arquivos de programas\Audacity 1.3 Beta (Unicode)

2009-01-11 17:06 . 2009-01-11 17:06 <DIR> d--hs---- c:\windows\ftpcache

2009-01-03 15:57 . 2009-01-21 12:54 54,156 --ah----- c:\windows\QTFont.qfn

2009-01-03 15:57 . 2009-01-03 15:57 1,409 --a------ c:\windows\QTFont.for

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-01-18 11:35 20 ---h--w c:\documents and settings\All Users\Dados de aplicativos\PKP_DLea.DAT

2006-07-20 23:09 61 --sh--w c:\windows\cnerolf.dat

2006-07-05 09:56 174,326 --sh--r c:\windows\system32\uwhnk.dll

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{83FDA784-0154-418F-810B-F1839272C361}]

2009-01-27 17:12 824832 --a------ c:\windows\system32\DirectX\Dinput\diagx3d.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"updateMgr"="c:\arquivos de programas\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"QuickTime Task"="c:\arquivos de programas\QuickTime\qttask.exe" [2005-07-28 98304]

"TkBellExe"="c:\arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" [2008-09-03 185896]

"SunJavaUpdateSched"="c:\arquivos de programas\Java\jre6\bin\jusched.exe" [2009-01-22 136600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

Adobe Reader Speed Launch.lnk - c:\arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]

Adobe Gamma Loader.lnk - c:\arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe [2009-01-17 113664]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Messenger\\MSMSGS.EXE"=

"c:\\WINDOWS\\System32\\dpnsvr.exe"=

"c:\\Arquivos de programas\\LimeWire\\LimeWire.exe"=

"c:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\MSN Messenger\\livecall.exe"=

"c:\\Arquivos de programas\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"2879:TCP"= 2879:TCP:unjoupvf

S1 atitray;atitray;\??\c:\arquiv~1\NGOATI~1.7\ATT\atitray.sys --> c:\arquiv~1\NGOATI~1.7\ATT\atitray.sys [?]

S3 rxpvbus;Reality XP Avionics Bus Driver;c:\windows\system32\drivers\rxpvbus.sys [2005-06-20 44032]

S4 bprhgtk;Microsoft Monitor;c:\windows\system32\svchost.exe -k netsvcs [2001-10-28 14336]

S4 pjsly;Universal Center;c:\windows\system32\svchost.exe -k netsvcs [2001-10-28 14336]

S4 uilxddp;Network Config;c:\windows\system32\svchost.exe -k netsvcs [2001-10-28 14336]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

pjsly

uilxddp

bprhgtk

.

- - - - ORFÃOS REMOVIDOS - - - -

HKCU-Run-Skype - c:\arquivos de programas\Skype\Phone\Skype.exe

HKLM-Run-uebTUBE - c:\arquivos de programas\UEBBI.com\uebTUBE\uebTUBE.exe

HKLM-Run-NWEReboot - (no file)

ShellExecuteHooks-{E37CB5F0-51F5-4395-A808-5FA49E399007} - c:\windows\Downloaded Program Files\gbiehabn.dll

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.uol.com.br/

uInternet Connection Wizard,ShellNext = iexplore

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Add to AMV Convert Tool... - c:\arquivos de programas\MP3 Player Utilities 4.00\AMVConverter\grab.html

IE: MediaManager tool grab multimedia file - c:\arquivos de programas\MP3 Player Utilities 4.00\MediaManager\grab.html

DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

DPF: {3E0D93BD-ABC6-4723-A70F-2A57D33C0186} - hxxp://www.alamy.com/uploader/alamy_uploader.cab

DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} - hxxps://wwws.realsecureweb.com.br/mpr/plugin/Cab/GbPluginABN.cab

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-28 08:46:15

Windows 5.1.2600 Service Pack 2 FAT NTAPI

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bprhgtk]

"ServiceDll"="c:\windows\system32\uwhnk.dll"

--

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pjsly]

"ServiceDll"="c:\windows\system32\uwhnk.dll"

--

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\uilxddp]

"ServiceDll"="c:\arquivos de programas\Internet Explorer\uwhnk.dll"

.

--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{3024A848-7C77-6F90-8B14B36A94BB61F2}\{6CDD5654-07A8-13D8-C2EB636328E10F29}\{AF593ADC-BF32-7E11-B704756686EE805B}*]

"WHRUBFTNUT3JMXQXKMKSXOBADA1"=hex:01,00,01,00,00,00,00,00,7d,86,67,30,10,5d,1c,

b8,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{D4A5C981-2676-291A-32EFD4032EA8E33A}\{919E04ED-9AED-1E96-6948A9B454B0D1AB}\{B9D741B0-7F58-31BD-F6CE842C649F7BA8}*]

"526BA65ZPQS4U365YNAELLJ5XA1"=hex:01,00,01,00,00,00,00,00,50,bd,9f,8a,7e,a0,d0,

fa,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'winlogon.exe'(624)

c:\windows\system32\Ati2evxx.dll

.

------------------------ Outros Processos em Execução ------------------------

.

c:\windows\system32\WgaTray.exe

.

**************************************************************************

.

Tempo para conclusão: 2009-01-28 8:48:46 - Máquina reiniciou [Administrador]

ComboFix-quarantined-files.txt 2009-01-28 10:48:46

Pré-execução: 6,206,832,640 bytes disponíveis

Pós execução: 7,373,160,448 bytes disponíveis

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

138

agradeço muito qualquer ajuda!!

jgarcia · Janeiro 29, 2009

Opa Aracari,

1. Baixe o BankerFix 3.0.

2. Desative o seu anti-vírus temporariamente.

3. Dê um duplo-clique sobre o bankerfix.exe. A janela do Banker Fix 3.0 abrir-se-á com a seguinte pergunta Instalar o BankerFix 3.0 / Install BankerFix 3.0 ? >> clique em SIM.

4. Uma janela informando que o BankerFix 3.0 será baixado via internet abrir-se-á >> clique sobre OK e aguarde. Na próxima janela clique em OK mais uma vez, a fim de que o BankerFix 3.0 seja iniciado.

5. Pressione qualquer tecla para dar continuidade ao processo e aguarde até que a varredura se complete. Tenha paciência, pois ela pode demorar alguns minutos.

6. Terminado o scan, leia a mensagem na tela e aperte Enter.

7. Habilite o seu anti-vírus.

8. Retorne com o relatorio.txt do BankerFix (ele estará em C:\LinhaDefensiva\).

9. Depois de postar a sua resposta você poderá deletar a pasta LinhaDefensiva contida no C.

Abraços.

PS.: Caso apareça a seguinte mensagem: Site denunciado como foco de ataques!, não se preocupe e clique sobre Ignorar este alerta.

Aracari · Janeiro 30, 2009

Olá jgarcia

Eu tentei instalar o bankerfix mas quando clico duas vezes no arquivo exe aparece uma janela com nome de 7-Zip dizendo que "Can not create temp folder archive".

Aracari · Janeiro 31, 2009

Tem algum outro programa que eu possa usar?

jgarcia · Janeiro 31, 2009

Opa Aracari,

Poste um novo log do ComboFix.

Abraços.

Aracari · Fevereiro 2, 2009

jgarcia, segue abaixo novo log do combofix. Só uma observação, entes do combofiz iniciar ele deu uma msg de "arquivos parasitas" e pediu pra eu anotar os seguintes arquivos, que ele poderia precisar mais tarde:

C:\WINDOWS\system32\directx\dinput\msf1f.dll

C:WINDOWS\system32\directx\dinput\msprw.dll

LOG do combofix:

ComboFix 09-01-21.04 - Administrador 2009-02-02 8:25:37.2 - FAT32x86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.1023.753 [GMT -2:00]

Executando de: c:\documents and settings\Administrador\Desktop\ComboFix.exe

.

- MODO DE FUNCIONALIDADE REDUZIDA -

.

Os seguintes arquivos/ficheiros foram desabilitados durante a execução:

c:\windows\system32\DirectX\Dinput\msf1f.dll

c:\windows\system32\DirectX\Dinput\msprw.dll

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system32\DirectX\Dinput\msf1f.dll

c:\windows\system32\DirectX\Dinput\msprw.dll

.

(((((((((((((((( Arquivos/Ficheiros criados de 2009-01-02 to 2009-02-02 ))))))))))))))))))))))))))))

.

2009-01-29 19:55 . 2009-01-29 19:55 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

2009-01-29 19:55 . 2009-01-29 19:55 <DIR> d-------- c:\documents and settings\Administrador\Dados de aplicativos\Malwarebytes

2009-01-29 19:55 . 2009-01-29 19:55 <DIR> d-------- c:\arquivos de programas\Malwarebytes' Anti-Malware

2009-01-29 19:55 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2009-01-29 19:55 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2009-01-28 23:23 . 2009-01-28 23:23 244 --ah----- C:\sqmnoopt03.sqm

2009-01-28 23:23 . 2009-01-28 23:23 232 --ah----- C:\sqmdata02.sqm

2009-01-28 23:22 . 2009-01-28 23:22 244 --ah----- C:\sqmnoopt02.sqm

2009-01-28 23:22 . 2009-01-28 23:22 232 --ah----- C:\sqmdata01.sqm