[Arquivado] Meu pc não desliga, apenas reinicia

[MGuitar 11]

Limpe a pasta em destaque a seguir > C:\Arquivos de programas\Eset\infected.

 

- Faça o download do Avenger e salve-o no desktop;

 

● Extraia o conteúdo do zip para o desktop;

● Selecione e copie o texto aqui abaixo:

 

Files to delete:

C:\Documents and Settings\Administrador\Configurações locais\Temp\drsb.exe

C:\Windows\system32\eoats.dll

● Execute o programa Avenger, dando dois cliques em avenger.exe;

● Clique no menu Load Script > Paste from Clipboard;

● Clique no botão Execute > Yes > OK;

● Seu computador será reiniciado;

● Será gerado um log em C:\avenger.txt

 

E sua próxima resposta, cole os logs do Avenger e um novo do HijackThis.

[continentalsom 0]

a coisa ta ficando feia!!! pelo que vejo sem sucesso!!!veja:

 

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

 

Platform: Windows XP

 

*******************

 

Script file opened successfully.

Script file read successfully.

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

Rootkit scan active.

No rootkits found!

 

 

Error: could not open file "C:\Documents and Settings\Administrador\Configurações locais\Temp\drsb.exe"

Deletion of file "C:\Documents and Settings\Administrador\Configurações locais\Temp\drsb.exe" failed!

Status: 0xc0000022 (STATUS_ACCESS_DENIED)

 

 

Error: could not open file "C:\Windows\system32\eoats.dll"

Deletion of file "C:\Windows\system32\eoats.dll" failed!

Status: 0xc0000022 (STATUS_ACCESS_DENIED)

 

 

Completed script processing.

 

*******************

 

Finished! Terminate.

 

novo hijackthis:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:19:56, on 3/3/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\ARQUIV~1\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Eset\nod32krn.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Arquivos de programas\Eset\nod32kui.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Diretório temporário 1 para HiJackThis.zip\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.continental.brasilflog.com.br/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {52ED26DB-9636-45E2-BF6C-1488B1DDAA2B} - C:\WINDOWS\system32\eoats.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Arquivos de programas\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Arquivos de programas\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll

O2 - BHO: G-Buster Browser Defense ABN AMRO - {C41A1C0E-EA6C-11D4-B1B8-444553540007} - C:\ARQUIV~1\GbPlugin\gbiehabn.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Arquivos de programas\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Arquivos de programas\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [swg] C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: NOD32 Control Center.lnk = C:\Arquivos de programas\Eset\nod32kui.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://sdlc-esd.sun.com/ESD7/JSCDL/jdk/6u1...=javadl.sun.com

O20 - Winlogon Notify: GbPluginAbn - C:\ARQUIV~1\GbPlugin\gbiehabn.dll

O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Arquivos de programas\Eset\nod32krn.exe

O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Arquivos de programas\Arquivos comuns\SureThing Shared\stllssvr.exe

 

--

End of file - 4652 bytes

[MGuitar 11]

- Faça o download do KillBox crie uma pasta própria para a ferramenta em C: e salve-o dentro da pasta criada;

 

● Execute o KillBox e marque a opção Delete on Reboot;

● Selecione todo o texto aqui abaixo e copie-o (Ctrl + C):

 

C:\WINDOWS\system32\eoats.dll

 

● Volte ao KillBox, clique no menu File > Paste from Clipboard;

● Clique no botão Single Files;

● Clique no botão e ao ser perguntado Reboot Now? Confirme e reinicie seu computador em Modo de Segurança (segurando a tecla F8 na inicialização do sistema e escolhendo Modo Seguro);

 

● Execute o HijackThis e clique em Do a system scan only. Marque a entrada abaixo e clique no botão .

 

O2 - BHO: (no name) - {52ED26DB-9636-45E2-BF6C-1488B1DDAA2B} - C:\WINDOWS\system32\eoats.dll

 

Cole um novo log do HijackThis.

[continentalsom 0]

meu amigo sem sucesso novamente!!!

veja a mensagem:

"PendingFileRenameoperations Registry Data has been Removed by External Process!"

tentei tambem em modo de segurança e nada... não teria como deletar ants de rodar o windows?? tipow cd de boot e depois comando em DOS (estou chutando)!

me responda uma coisa o que esse virus é capaz de fazer alem de não deixar desligar o PC e mexer na memória virtual (arquivo de paginação pequeno ou não existente)? você ja tinha se deparado com ele ants??

tem como saber como eu instalei ele? acredito que tenha sido atravez de keygen do nero ou sound forge 9

mas como o anti virus não detectou antes de eu executar???

vamos seguir tentanto...

abraço!!!

[MGuitar 11]

não teria como deletar ants de rodar o windows??

Era isto que o KillBox iria fazer, deletar o arquivo no boot, antes do sistema inicializar.

 

me responda uma coisa o que esse virus é capaz de fazer alem de não deixar desligar o PC e mexer na memória virtual (arquivo de paginação pequeno ou não existente)?

Nada demais, além de deixar o sistema bugado, como no seu caso.

 

você ja tinha se deparado com ele ants??

Sim. Não exatamente com este arquivo. Mas com malwares da mesma família que este.

 

tem como saber como eu instalei ele? acredito que tenha sido atravez de keygen do nero ou sound forge 9

Você mesmo respondeu a pergunta.

 

mas como o anti virus não detectou antes de eu executar???

Nenhum antivirus é 100%. Um pode detectar coisas que outros não detectam e vice-versa. Ou até mesmo nenhum detectar a infecção. Isto é normal de qualquer antivirus, às vezes pode pegar o vírus, às vezes não... Por acaso adicionou o keygen do Nero ou SounForge no painel de exclusões do Avira, para que o arquivo não fosse detectado?

 

Vá em Iniciar > Executar, digite: combofix /u e dê um OK. Baixe o ComboFix e execute-o novamente, conforme instruções anteriores.

 

Poste o log dele em sua próxima resposta.

[continentalsom 0]

feito!!!! obrigado por responder as minhas perguntas!!!

 

 

 

ComboFix 09-03-04.01 - Administrador 2009-03-05 9:11:23.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1252.1.1046.18.1023.667 [GMT -3:00]

Executando de: c:\documents and settings\Administrador\Desktop\ComboFix.exe

AV: ESET NOD32 sistema antivírus 2.70 *On-access scanning enabled* (Updated)

* Criado um novo ponto de restauro

* Resident AV is active

 

.

 

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\autorun.inf

c:\windows\system32\AutoRun.inf

D:\Autorun.inf

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_GBPSV

-------\Service_GbpSv

 

 

(((((((((((((((( Arquivos/Ficheiros criados de 2009-02-05 to 2009-03-05 ))))))))))))))))))))))))))))

.

 

2009-03-04 22:07 . 2008-06-14 02:36 2,659 -rahs---- c:\windows\system32\juejo.vbs

2009-03-04 22:07 . 2008-06-14 02:36 2,659 -rahs---- C:\juejo.vbs

2009-03-04 22:07 . 2008-06-14 02:36 448 -rahs---- c:\windows\system32\juejo.bat

2009-03-04 22:07 . 2008-06-14 02:36 448 -rahs---- C:\juejo.bat

2009-03-04 22:07 . 2008-06-14 02:36 374 -rahs---- c:\windows\system32\juejo.reg

2009-03-04 22:07 . 2008-06-14 02:36 374 -rahs---- C:\juejo.reg

2009-03-04 17:14 . 2009-03-04 17:20 <DIR> d-------- C:\!KillBox

2009-03-04 17:13 . 2009-03-04 17:14 <DIR> d-------- C:\killbox

2009-03-01 11:39 . 2009-03-01 11:39 <DIR> d-------- c:\arquivos de programas\megaDMX

2009-02-28 10:13 . 2009-02-28 10:13 <DIR> d-------- c:\windows\Sun

2009-02-28 09:58 . 2009-02-28 09:58 <DIR> d-------- c:\arquivos de programas\Java

2009-02-28 09:58 . 2009-02-28 09:58 410,984 --a------ c:\windows\system32\deploytk.dll

2009-02-28 09:58 . 2009-02-28 09:58 73,728 --a------ c:\windows\system32\javacpl.cpl

2009-02-27 08:45 . 2009-02-27 08:45 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

2009-02-27 08:45 . 2009-02-27 08:45 <DIR> d-------- c:\documents and settings\Administrador\Dados de aplicativos\Malwarebytes

2009-02-27 08:45 . 2009-02-27 08:45 <DIR> d-------- c:\arquivos de programas\Malwarebytes' Anti-Malware

2009-02-27 08:45 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2009-02-27 08:45 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2009-02-23 19:45 . 2009-02-23 19:45 <DIR> d--h----- c:\windows\PIF

2009-02-21 11:31 . 2009-03-03 09:50 <DIR> d-------- c:\documents and settings\Administrador\Contacts

2009-02-21 11:30 . 2009-02-21 11:30 <DIR> d----c--- c:\windows\system32\DRVSTORE

2009-02-21 11:29 . 2009-02-21 11:29 <DIR> d-------- c:\arquivos de programas\MSN Messenger

2009-02-19 09:34 . 2009-02-23 20:24 151 --a------ c:\windows\PhotoSnapViewer.INI

2009-02-16 09:29 . 2009-02-16 09:33 <DIR> d-------- c:\windows\system32\Adobe

2009-02-14 12:37 . 2009-02-14 12:37 <DIR> d-------- c:\documents and settings\Administrador\Dados de aplicativos\Ahead

2009-02-14 12:37 . 2009-03-01 18:42 116 --a------ c:\windows\NeroDigital.ini

2009-02-14 12:17 . 2005-04-20 08:32 2,916,352 --------- c:\windows\UNNMP.exe

2009-02-14 12:17 . 2006-03-22 08:55 47,867 --------- c:\windows\UNNMP.cfg

2009-02-14 12:15 . 2001-07-09 09:50 155,648 --a------ c:\windows\system32\NeroCheck.exe

2009-02-14 12:13 . 2009-02-14 12:13 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\Nero

2009-02-14 12:10 . 2005-07-29 12:12 2,977,792 --------- c:\windows\UNNeroVision.exe

2009-02-14 12:10 . 2006-03-22 08:55 179,261 --------- c:\windows\UNNeroVision.cfg

2009-02-14 12:10 . 2001-03-08 17:30 24,064 --------- c:\windows\system32\msxml3a.dll

2009-02-14 12:09 . 2009-02-14 12:09 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Ahead

2009-02-14 12:09 . 2004-07-26 15:16 1,568,768 --------- c:\windows\system32\ImagX7.dll

2009-02-14 12:09 . 2004-07-26 15:16 476,320 --------- c:\windows\system32\ImagXpr7.dll

2009-02-14 12:09 . 2004-07-26 15:16 471,040 --------- c:\windows\system32\ImagXRA7.dll

2009-02-14 12:09 . 2004-07-09 07:43 364,544 --------- c:\windows\system32\TwnLib4.dll

2009-02-14 12:09 . 2004-07-26 15:16 262,144 --------- c:\windows\system32\ImagXR7.dll

2009-02-14 12:09 . 2000-06-26 09:45 106,496 --a------ c:\windows\system32\TwnLib20.dll

2009-02-14 12:09 . 2001-06-26 06:15 38,912 --------- c:\windows\system32\picn20.dll

2009-02-14 12:08 . 2009-02-14 12:08 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\Ahead

2009-02-14 12:08 . 2009-02-14 12:17 <DIR> d-------- c:\arquivos de programas\Ahead

2009-02-14 10:33 . 2009-02-14 10:33 <DIR> d-------- c:\documents and settings\Administrador\Dados de aplicativos\Roxio

2009-02-14 09:55 . 2009-02-14 09:55 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\DFX

2009-02-14 09:55 . 2009-02-14 09:55 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\DFX

2009-02-14 09:50 . 2009-02-14 09:50 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Uninstall

2009-02-14 09:50 . 2009-02-14 09:50 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\SureThing Shared

2009-02-14 09:49 . 2009-02-14 09:49 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Sonic

2009-02-14 09:49 . 2009-02-14 09:49 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\Sonic Shared

2009-02-14 09:48 . 2009-02-14 09:48 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\InstallShield

2009-02-14 09:48 . 2009-02-14 09:50 <DIR> d-------- c:\arquivos de programas\Roxio

2009-02-14 09:48 . 2009-02-14 09:49 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\Roxio Shared

2009-02-13 08:29 . 2009-02-14 07:40 <DIR> d-------- c:\windows\SxsCaPendDel

2009-02-10 17:17 . 2009-02-10 17:17 <DIR> d-------- c:\documents and settings\Administrador\Dados de aplicativos\AdobeUM

2009-02-10 11:43 . 2009-02-10 11:43 <DIR> d--hs---- c:\windows\ftpcache

2009-02-10 08:51 . 2008-10-03 14:26 6,066,176 -----c--- c:\windows\system32\dllcache\ieframe.dll

2009-02-10 08:51 . 2007-04-17 06:32 2,455,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dat

2009-02-10 08:51 . 2007-03-08 02:12 1,024,000 -----c--- c:\windows\system32\dllcache\ieframe.dll.mui

2009-02-10 08:51 . 2008-08-26 05:11 459,264 -----c--- c:\windows\system32\dllcache\msfeeds.dll

2009-02-10 08:51 . 2008-08-26 05:11 383,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dll

2009-02-10 08:51 . 2008-08-26 05:11 267,776 -----c--- c:\windows\system32\dllcache\iertutil.dll

2009-02-10 08:51 . 2008-08-26 05:11 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll

2009-02-10 08:51 . 2008-08-26 05:11 52,224 -----c--- c:\windows\system32\dllcache\msfeedsbs.dll

2009-02-10 08:51 . 2008-08-25 05:38 13,824 -----c--- c:\windows\system32\dllcache\ieudinit.exe

2009-02-09 18:03 . 2009-02-09 18:53 3,374,149 --a------ c:\windows\{00000000-00000000-00000009-00001102-00000002-80651102}.CDF

2009-02-09 18:03 . 2009-02-09 18:53 3,374,149 --a------ c:\windows\{00000000-00000000-00000009-00001102-00000002-80651102}.BAK

2009-02-09 18:01 . 2009-03-05 09:14 25,296 --a------ c:\windows\system32\BMXCtrlState-{00000000-00000000-00000009-00001102-00000002-80651102}.rfx

2009-02-09 18:01 . 2009-03-05 09:14 25,296 --a------ c:\windows\system32\BMXBkpCtrlState-{00000000-00000000-00000009-00001102-00000002-80651102}.rfx

2009-02-09 18:01 . 2009-03-05 09:14 16,516 --a------ c:\windows\system32\BMXStateBkp-{00000000-00000000-00000009-00001102-00000002-80651102}.rfx

2009-02-09 18:01 . 2009-03-05 09:14 16,516 --a------ c:\windows\system32\BMXState-{00000000-00000000-00000009-00001102-00000002-80651102}.rfx

2009-02-09 18:01 . 2009-03-05 09:14 24 --a------ c:\windows\system32\DVCStateBkp-{00000000-00000000-00000009-00001102-00000002-80651102}.dat

2009-02-09 18:01 . 2009-03-05 09:14 24 --a------ c:\windows\system32\DVCState-{00000000-00000000-00000009-00001102-00000002-80651102}.dat

2009-02-09 08:18 . 2008-04-13 10:45 32,128 --a------ c:\windows\system32\drivers\usbccgp.sys

2009-02-09 08:18 . 2008-04-13 10:45 32,128 --a--c--- c:\windows\system32\dllcache\usbccgp.sys

2009-02-08 20:41 . 2009-02-08 20:41 <DIR> d-------- c:\arquivos de programas\Windows Media Connect 2

2009-02-08 20:38 . 2009-02-08 20:38 <DIR> d-------- c:\windows\system32\LogFiles

2009-02-08 20:38 . 2009-02-08 20:40 <DIR> d-------- c:\windows\system32\drivers\UMDF

2009-02-08 12:45 . 2008-04-13 10:45 26,368 --a--c--- c:\windows\system32\dllcache\usbstor.sys

2009-02-07 17:56 . 2009-02-07 17:56 169 --a------ c:\windows\RtlRack.ini

2009-02-07 12:42 . 2009-02-07 12:42 <DIR> d-------- c:\documents and settings\Administrador\Dados de aplicativos\Nero

2009-02-07 12:38 . 2009-02-07 17:32 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Nero

2009-02-07 10:19 . 1996-11-05 15:13 299,008 --a------ c:\windows\uninst.exe

2009-02-07 10:18 . 2009-02-07 10:18 <DIR> d-------- c:\arquivos de programas\Terzoid WaveShop

2009-02-07 10:13 . 1998-08-04 00:53 1,042,360 --a------ c:\windows\system32\hisetup.vxd

2009-02-07 10:13 . 2006-10-18 19:05 232,448 --a------ c:\windows\system32\l3codecp.acm

2009-02-07 10:12 . 2009-02-07 10:12 <DIR> d-------- c:\arquivos de programas\Timeworks

2009-02-07 10:12 . 2009-02-07 10:12 155,136 --a------ c:\windows\~GLC0001.TMP

2009-02-07 10:12 . 1998-09-07 09:46 61,952 --a------ c:\windows\system32\stu.dll

2009-02-07 10:12 . 2009-02-07 10:12 27,136 --a------ c:\windows\~GLH0002.TMP

2009-02-07 10:12 . 2009-02-07 10:12 5,607 --a------ c:\windows\~GLH0003.TMP

2009-02-07 10:11 . 1998-02-22 11:51 28,160 --a------ c:\windows\system32\Rdcdnt.dll

2009-02-07 10:11 . 1998-02-22 11:51 28,160 --a------ c:\windows\system32\Rdcd32.dll

2009-02-07 10:11 . 1998-02-19 13:06 3,824 --a------ c:\windows\system32\Rdcd16.dll

2009-02-07 10:09 . 2009-02-07 10:10 <DIR> d-------- c:\arquivos de programas\Sonic Foundry Plug-Ins

2009-02-07 10:06 . 2009-02-07 10:06 <DIR> d-------- c:\arquivos de programas\RBC

2009-02-07 09:56 . 2009-02-07 09:56 <DIR> d-------- c:\arquivos de programas\Cakewalk

2009-02-07 09:54 . 2009-02-07 09:54 <DIR> d-------- c:\arquivos de programas\AMSB

2009-02-07 09:54 . 1999-03-04 23:35 370,176 --a------ c:\windows\system32\BlueCtrl.dll

2009-02-07 09:54 . 1998-01-23 11:22 304,128 --a------ c:\windows\IsUninst.exe

2009-02-07 09:54 . 1998-12-22 17:53 207,360 --a------ c:\windows\BlueRem.exe

2009-02-07 09:53 . 2009-02-07 09:53 <DIR> d-------- c:\windows\system32\digilogue

2009-02-07 09:52 . 2009-02-07 09:52 <DIR> d-------- c:\windows\system32\IOSUBSYS

2009-02-07 09:52 . 2009-02-07 10:16 <DIR> d-------- C:\audio

2009-02-07 09:52 . 2009-02-07 09:52 <DIR> d-------- c:\arquivos de programas\Arboretum Systems

2009-02-07 09:52 . 1998-04-30 13:56 129,024 --a------ c:\windows\UNWISE.EXE

2009-02-07 09:52 . 1998-11-14 17:39 87,424 --a------ c:\windows\system32\drivers\TPkd.sys

2009-02-07 09:52 . 1998-11-14 17:40 39,741 --a------ c:\windows\system32\Tpkd.vxd

2009-02-07 09:40 . 2009-02-07 10:19 <DIR> d-------- C:\Program Files

2009-02-06 12:41 . 2009-02-06 12:53 <DIR> d-------- c:\arquivos de programas\Google

2009-02-06 11:20 . 2008-08-14 10:24 2,193,408 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe

2009-02-06 11:20 . 2008-08-14 10:24 2,149,376 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe

2009-02-06 11:20 . 2008-08-14 10:24 2,070,272 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe

2009-02-06 11:20 . 2008-08-14 10:24 2,028,032 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe

2009-02-06 10:41 . 2009-02-07 09:12 <DIR> d-------- c:\arquivos de programas\GbPlugin

2009-02-06 10:40 . 2009-03-03 09:14 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\GbPlugin

2009-02-06 10:07 . 2008-06-14 14:34 272,384 --------- c:\windows\system32\drivers\bthport.sys

2009-02-06 10:07 . 2008-06-14 14:34 272,384 -----c--- c:\windows\system32\dllcache\bthport.sys

2009-02-06 09:19 . 2008-10-24 08:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys

2009-02-06 07:02 . 2009-02-11 20:44 <DIR> d--h----- c:\windows\$hf_mig$

2009-02-06 07:02 . 2006-09-25 16:58 23,856 --a------ c:\windows\system32\spupdsvc.exe

2009-02-05 20:59 . 2009-02-05 20:59 <DIR> d-------- c:\arquivos de programas\IObit

2009-02-05 20:01 . 2009-02-05 20:01 <DIR> d-------- c:\arquivos de programas\ABBYY FineReader 6.0

2009-02-05 20:01 . 2009-02-05 20:01 <DIR> d-------- c:\arquivos de programas\ABBYY FineReader 5.0 Sprint

2009-02-05 19:58 . 2009-03-02 11:08 196 --a------ c:\windows\lexstat.ini

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-14 13:21 --------- d-----w c:\arquivos de programas\DivX

2009-02-14 12:48 --------- d-----w c:\arquivos de programas\Arquivos comuns\InstallShield

2009-02-10 16:54 --------- d-----w c:\arquivos de programas\Arquivos comuns\Adobe

2009-02-09 22:55 --------- d-----w c:\arquivos de programas\Eset

2009-02-04 16:30 --------- d-----w c:\documents and settings\Administrador\Dados de aplicativos\Publish Providers

2009-02-04 16:30 --------- d-----w c:\documents and settings\Administrador\Dados de aplicativos\DivX

2009-02-04 16:19 118,016 ----a-w c:\windows\system32\eoats.dll

2009-02-04 16:13 --------- d-----w c:\documents and settings\Administrador\Dados de aplicativos\Sony

2009-02-04 16:11 --------- d-----w c:\arquivos de programas\Vstplugins

2009-02-04 16:11 --------- d-----w c:\arquivos de programas\Sony

2009-02-04 16:10 --------- d-----w c:\arquivos de programas\Winamp

2009-02-04 15:42 --------- d-----w c:\documents and settings\Administrador\Dados de aplicativos\Sony Setup

2009-02-04 15:42 --------- d-----w c:\arquivos de programas\Sony Setup

2009-02-04 14:56 --------- d-----w c:\arquivos de programas\CoolSMS

2009-02-04 14:51 --------- d-----w c:\arquivos de programas\Pinnacle

2009-02-04 14:50 --------- d--h--w c:\arquivos de programas\InstallShield Installation Information

2009-02-03 23:22 --------- d-----w c:\arquivos de programas\Windows Live SkyDrive

2009-02-03 22:13 --------- d-----w c:\arquivos de programas\Arquivos comuns\Windows Live

2009-02-03 21:24 --------- d-----w c:\arquivos de programas\Photodex

2009-02-03 20:44 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Microsoft Help

2009-02-03 20:43 --------- d-----w c:\arquivos de programas\MSBuild

2009-02-03 20:43 --------- d-----w c:\arquivos de programas\Microsoft Works

2009-02-03 20:31 --------- d-----w c:\arquivos de programas\Arquivos comuns\FotoNation

2009-02-03 20:25 --------- d-----w c:\arquivos de programas\Realtek Sound Manager

2009-02-03 20:25 --------- d-----w c:\arquivos de programas\AvRack

2009-02-03 20:22 --------- d-----w c:\arquivos de programas\VIA

2009-02-03 20:17 --------- d-----w c:\arquivos de programas\Creative

2009-02-03 18:24 512,096 ----a-w c:\windows\system32\drivers\amon.sys

2009-02-03 18:24 298,104 ----a-w c:\windows\system32\imon.dll

2009-02-03 18:24 15,424 ----a-w c:\windows\system32\drivers\nod32drv.sys

2009-02-03 18:06 --------- d-----w c:\arquivos de programas\microsoft frontpage

2009-02-03 18:04 --------- d-----w c:\arquivos de programas\Serviços on-line

2009-02-03 18:04 --------- d-----w c:\arquivos de programas\Arquivos comuns\Serviços

2008-12-11 00:33 86,016 ----a-w c:\windows\system32\dpl100.dll

2008-12-11 00:33 200,704 ----a-w c:\windows\system32\dtu100.dll

2008-12-09 02:28 593,920 ----a-w c:\windows\system32\dpuGUI11.dll

2008-12-09 02:28 57,344 ----a-w c:\windows\system32\dpv11.dll

2008-12-09 02:28 344,064 ----a-w c:\windows\system32\dpus11.dll

2008-12-09 02:28 294,912 ----a-w c:\windows\system32\dpu11.dll

2008-06-14 05:36 448 --sha-r c:\windows\system32\juejo.bat

2008-06-14 05:36 374 --sha-r c:\windows\system32\juejo.reg

2008-06-14 05:36 2,659 --sha-r c:\windows\system32\juejo.vbs

.

 

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{52ED26DB-9636-45E2-BF6C-1488B1DDAA2B}]

2009-02-04 13:19 118016 --a------ c:\windows\system32\eoats.dll

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-02-06 39408]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"SunJavaUpdateSched"="c:\arquivos de programas\Java\jre6\bin\jusched.exe" [2009-02-28 148888]

 

c:\documents and settings\Administrador\Menu Iniciar\Programas\Inicializar\

NOD32 Control Center.lnk - c:\arquivos de programas\Eset\nod32kui.exe [2009-02-03 949376]

 

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

Adobe Reader Speed Launch.lnk - c:\arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveTrack"= 1 (0x1)

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveTrack"= 1 (0x1)

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{E37CB5F0-51F5-4395-A808-5FA49E399007}"= "c:\arquiv~1\GbPlugin\gbiehabn.dll" [2008-09-26 378792]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginAbn]

2008-09-26 19:26 378792 c:\arquiv~1\GbPlugin\gbiehabn.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.I420"= vdrcodec.dll

"VIDC.PIM1"= pclepim1.dll

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\MSN Messenger\\livecall.exe"=

 

R0 flstjyqc;flstjyqc;c:\windows\system32\drivers\flstjyqc.sys [2001-12-06 23424]

R0 ViBus;ViBus;c:\windows\system32\drivers\ViBus.sys [2008-08-01 16896]

R0 ViPrt;VIA SATA IDE Device Driver;c:\windows\system32\drivers\ViPrt.sys [2008-08-01 53248]

R1 nod32drv;nod32drv;c:\windows\system32\drivers\nod32drv.sys [2009-02-03 15424]

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.continental.brasilflog.com.br/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

LSP: c:\windows\system32\imon.dll

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-05 09:17:42

Windows 5.1.2600 Service Pack 3 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

 

- - - - - - - > 'winlogon.exe'(664)

c:\arquiv~1\GbPlugin\gbiehabn.dll

 

- - - - - - - > 'lsass.exe'(720)

c:\windows\system32\imon.dll

c:\arquivos de programas\Eset\pr_imon.dll

.

------------------------ Outros Processos em Execução ------------------------

.

c:\windows\system32\LEXBCES.EXE

c:\windows\system32\LEXPPS.EXE

c:\arquivos de programas\Java\jre6\bin\jqs.exe

c:\arquivos de programas\Eset\nod32krn.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Tempo para conclusão: 2009-03-05 9:20:39 - Máquina reiniciou

ComboFix-quarantined-files.txt 2009-03-05 12:20:34

 

Pré-execução: 16 pasta(s) 31.193.759.744 bytes disponíveis

Pós execução: 16 pasta(s) 31,278,829,568 bytes disponíveis

 

269 --- E O F --- 2009-02-11 10:20:26

[MGuitar 11]

Estes arquivos abaixo foi você quem criou, ou é de seu conhecimento?

 

juejo.bat

juejo.reg

juejo.vbs

[continentalsom 0]

sinceramente não os conheço!!!

[MGuitar 11]

Selecione e copie o conteúdo abaixo. Cole-o no Bloco de Notas do PC e salve no desktop como CFScript.txt

 

File::c:\windows\system32\juejo.vbsC:\juejo.vbsc:\windows\system32\juejo.batC:\juejo.batc:\windows\system32\juejo.regC:\juejo.regc:\windows\system32\eoats.dllRegistry::[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{52ED26DB-9636-45E2-BF6C-1488B1DDAA2B}]Folder::C:\!KillBoxC:\killboxDirLook::C:\audio

Arraste o CFScript para o ComboFix como na imagem aqui abaixo e aguarde a execução automática da ferramenta:

 

 

● Se for solicitado à você, pressione Enter para iniciar o processo de remoção;

● Não use o mouse nem o teclado quando o ComboFix estiver rodando;

● Quando terminar, será gerado um novo log que estará em C:\ComboFix.txt;

● Talvez seu computador seja reiniciado automaticamente. Caso não ocorra, reinicie-o manualmente.

 

Na sua próxima resposta, cole o ComboFix.txt.

[continentalsom 0]

meu amigo antes que eu pudesse fazer este procedimento meu pc simplesmente não iniciou mais, mem em mode de segurança. então tentei fazer uma restauração do windows mas me deparei com uma coisa muito estranha a partição "C" existia porem com uma formatação não conhecida, estão a solução final foi formatar.

agora o pc esta desligando normal uma pena não termos conseguido solucionar o problema.

estou enviando um log do hijackthis para analise:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:14:00, on 10/3/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\ARQUIV~1\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Eset\nod32krn.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscript.exe

C:\Arquivos de programas\Eset\nod32kui.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\Arquivos de programas\Winamp\winampa.exe

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\MSN Messenger\usnsvc.exe

C:\Arquivos de programas\Outlook Express\msimn.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

C:\DOCUME~1\MRCIOB~1\CONFIG~1\Temp\Diretório temporário 1 para HiJackThis.zip\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.continental.brasilflog.com.br/

F2 - REG:system.ini: UserInit=userinit.exe,juejo.bat

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Arquivos de programas\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Arquivos de programas\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll

O2 - BHO: G-Buster Browser Defense ABN AMRO - {C41A1C0E-EA6C-11D4-B1B8-444553540007} - C:\ARQUIV~1\GbPlugin\gbiehabn.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Arquivos de programas\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Arquivos de programas\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Arquivos de programas\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [CTStartup] C:\Arquivos de programas\Creative\Splash Screen\CTEaxSpl.EXE /run

O4 - HKLM\..\Run: [WinampAgent] C:\Arquivos de programas\Winamp\winampa.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=27986

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} (GbPluginObj Class) - https://wwws.realsecureweb.com.br/mpr/plugi...GbPluginABN.cab

O20 - Winlogon Notify: GbPluginAbn - C:\ARQUIV~1\GbPlugin\gbiehabn.dll

O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Arquivos de programas\Eset\nod32krn.exe

 

--

End of file - 6000 bytes

[MGuitar 11]

Rode o ComboFix e poste o log dele aqui.

[Mário Monteiro 179]

Tópico Arquivado

 

Como o autor não respondeu por mais de 30 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.