[Resolvido!] Provável malware no PC - relato de problemas

[DigRam 144]

Bom Dia! Carlos SP

 

<!> Execute,novamente,o UsbFix e escolha: Opção 5: Desinstala o UsbFix do computador.

<><><><><><><><><><>

<@> Baixe: < avz4en.zip > ou < avz_antiviral_toolkit >

<@> Salve-o em Arquivos de programas,e descompacte-o aí mesmo!

<@> Abra a pasta avz4 e execute o aplicativo,com um duplo-clique. <-- Ícone escudo e espada!

<@> Conecte-se à Internet,e atualize o Toolkit. --> "File" --> "Database Update". < >

<@> Terminando,não faça ainda nenhuma verificação.

<@> Na aba "Search range",marque todas as caixinhas.

<@> Em "File types",marque o botão "All files".

<@> Em "Actions",marque: "Perform healing"

<@> Nos campos,abaixo de "Perform healing",escolha "Report only",para todos os ítens.

<@> Abaixo de "RiskWare",marque a caixa "Copy suspicious files to Quarantine". <-- Somente esta caixa!

<@> No menu "Search parameters",maximize o ajuste "Heuristic analyses".

<@> Marque a caixa "Extended analysis". <-- Somente esta caixa!

<@> Por default,não desmarque as que estão assinaladas!

<@> Feche os programas que estejam abertos,e rode a ferramenta! <-- Clique em Start.

<@> Terminando o scan,clique no ícone "Save log",para dispormos do relatório. ( avz_log )

<@> Clique,também,no ícone dos "óculos".

<@> Clique em "Save as CSV".

<@> Salve,este relatório,no desktop! <-- Formato de texto. ( *.txt )

<@> Nomeie-o como: view_log

<@> Copie e poste: avz_log.txt + view_log.txt,na sua resposta.

 

Abraços!

[Carlos SP 0]

Boa noite, DigRam!

 

Seguem os posts:

 

AVZ_LOG.TXT:

 

AVZ Antiviral Toolkit log; AVZ version is 4.30

Scanning started at 9/6/2009 17:46:05

Database loaded: signatures - 226824, NN profile(s) - 2, microprograms of healing - 56, signature database released 09.06.2009 22:39

Heuristic microprograms loaded: 372

SPV microprograms loaded: 9

Digital signatures of system files loaded: 120885

Heuristic analyzer mode: Maximum heuristics level

Healing mode: enabled

Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights

System Restore: enabled

1. Searching for Rootkits and programs intercepting API functions

1.1 Searching for user-mode API hooks

Analysis: kernel32.dll, export table found in section .text

Analysis: ntdll.dll, export table found in section .text

Analysis: user32.dll, export table found in section .text

Analysis: advapi32.dll, export table found in section .text

Analysis: ws2_32.dll, export table found in section .text

Analysis: wininet.dll, export table found in section .text

Analysis: rasapi32.dll, export table found in section .text

Analysis: urlmon.dll, export table found in section .text

Analysis: netapi32.dll, export table found in section .text

1.2 Searching for kernel-mode API hooks

Driver loaded successfully

SDT found (RVA=0846E0)

Kernel ntkrnlpa.exe found in memory at address 804D7000

SDT = 8055B6E0

KiST = 80503960 (284)

Function NtConnectPort (1F) intercepted (805A30A4->B87430D2), hook C:\WINDOWS\System32\DRIVERS\cmdmon.sys, driver recognized as trusted

Function NtCreateFile (25) intercepted (80577ED2->B8745302), hook C:\WINDOWS\System32\DRIVERS\cmdmon.sys, driver recognized as trusted

Function NtCreateKey (29) intercepted (80622110->F7BEB23E), hook not defined

Function NtCreatePort (2E) intercepted (805A3BC0->B874302C), hook C:\WINDOWS\System32\DRIVERS\cmdmon.sys, driver recognized as trusted

Function NtCreateSection (32) intercepted (805A9E9E->B8743AAE), hook C:\WINDOWS\System32\DRIVERS\cmdmon.sys, driver recognized as trusted

Function NtCreateThread (35) intercepted (805CF8C8->F7BEB234), hook not defined

Function NtDeleteFile (3E) intercepted (80575ABA->B8744CB0), hook C:\WINDOWS\System32\DRIVERS\cmdmon.sys, driver recognized as trusted

Function NtDeleteKey (3F) intercepted (806225A0->F7BEB243), hook not defined

Function NtDeleteValueKey (41) intercepted (80622770->F7BEB24D), hook not defined

Function NtLoadKey (62) intercepted (80623E40->F7BEB252), hook not defined

Function NtOpenProcess (7A) intercepted (805C9D0A->F7BEB220), hook not defined

Function NtOpenSection (7D) intercepted (805A8EC2->B87439E0), hook C:\WINDOWS\System32\DRIVERS\cmdmon.sys, driver recognized as trusted

Function NtOpenThread (80) intercepted (805C9F96->F7BEB225), hook not defined

Function NtReplaceKey (C1) intercepted (80623CF0->F7BEB25C), hook not defined

Function NtRestoreKey (CC) intercepted (80620518->F7BEB257), hook not defined

Function NtSetContextThread (D5) intercepted (805D0002->B8742BB4), hook C:\WINDOWS\System32\DRIVERS\cmdmon.sys, driver recognized as trusted

Function NtSetInformationFile (E0) intercepted (80579E38->B8744DE0), hook C:\WINDOWS\System32\DRIVERS\cmdmon.sys, driver recognized as trusted

Function NtSetValueKey (F7) intercepted (806207D0->F7BEB248), hook not defined

Function NtShutdownSystem (F9) intercepted (80610E46->B8743FA0), hook C:\WINDOWS\System32\DRIVERS\cmdmon.sys, driver recognized as trusted

Function NtTerminateProcess (101) intercepted (805D1232->F7BEB22F), hook not defined

Function NtWriteFile (112) intercepted (8057BCF6->B874514A), hook C:\WINDOWS\System32\DRIVERS\cmdmon.sys, driver recognized as trusted

Function NtWriteFileGather (113) intercepted (8057C2DA->B8744FB4), hook C:\WINDOWS\System32\DRIVERS\cmdmon.sys, driver recognized as trusted

Functions checked: 284, intercepted: 22, restored: 0

1.3 Checking IDT and SYSENTER

Analysis for CPU 1

Analysis for CPU 2

Checking IDT and SYSENTER - complete

1.4 Searching for masking processes and drivers

Checking not performed: extended monitoring driver (AVZPM) is not installed

Driver loaded successfully

1.5 Checking of IRP handlers

Checking - complete

2. Scanning memory

Number of processes found: 32

Number of modules loaded: 295

Scanning memory - complete

3. Scanning disks

C:\Arquivos de programas\TEXTware\BOOKcase40\BC31VIEW.exe >>> suspicion for Trojan-Downloader.Win32.VB.amb ( 0041D00F 002E237F 000F19FC 0008AD41 81920)

File quarantined succesfully (C:\Arquivos de programas\TEXTware\BOOKcase40\BC31VIEW.exe)

C:\Arquivos de programas\TEXTware\BOOKcase40\BC40VIEW.exe >>> suspicion for Trojan-Downloader.Win32.VB.amb ( 00424779 002E237F 000E4F79 000C87B8 81920)

File quarantined succesfully (C:\Arquivos de programas\TEXTware\BOOKcase40\BC40VIEW.exe)

Direct reading C:\Documents and Settings\All Users\Dados de aplicativos\TuneUp Software\TuneUp Utilities\Program Statistics\ProgramStatistics.tudb

Direct reading C:\Documents and Settings\Carlos\Configurações locais\Dados de aplicativos\Microsoft\Windows\UsrClass.dat

Direct reading C:\Documents and Settings\Carlos\Configurações locais\Histórico\History.IE5\index.dat

C:\Documents and Settings\Carlos\Configurações locais\Temp\Rar$EX02.734\avz4\Quarantine\2009-06-09\avz00001.dta >>> suspicion for Trojan-Downloader.Win32.VB.amb ( 0041D00F 002E237F 000F19FC 0008AD41 81920)

File quarantined succesfully (C:\Documents and Settings\Carlos\Configurações locais\Temp\Rar$EX02.734\avz4\Quarantine\2009-06-09\avz00001.dta)

C:\Documents and Settings\Carlos\Configurações locais\Temp\Rar$EX02.734\avz4\Quarantine\2009-06-09\avz00002.dta >>> suspicion for Trojan-Downloader.Win32.VB.amb ( 00424779 002E237F 000E4F79 000C87B8 81920)

File quarantined succesfully (C:\Documents and Settings\Carlos\Configurações locais\Temp\Rar$EX02.734\avz4\Quarantine\2009-06-09\avz00002.dta)

Direct reading C:\Documents and Settings\Carlos\Configurações locais\Temp\~DFCDC5.tmp

Direct reading C:\Documents and Settings\Carlos\Configurações locais\Temporary Internet Files\Content.IE5\index.dat

Direct reading C:\Documents and Settings\Carlos\Cookies\index.dat

Direct reading C:\Documents and Settings\Carlos\NTUSER.DAT

Direct reading C:\Documents and Settings\LocalService\Configurações locais\Dados de aplicativos\Microsoft\Windows\UsrClass.dat

Direct reading C:\Documents and Settings\LocalService\Configurações locais\Histórico\History.IE5\index.dat

Direct reading C:\Documents and Settings\LocalService\Configurações locais\Temporary Internet Files\Content.IE5\index.dat

Direct reading C:\Documents and Settings\LocalService\Cookies\index.dat

Direct reading C:\Documents and Settings\LocalService\NTUSER.DAT

Direct reading C:\Documents and Settings\NetworkService\Configurações locais\Dados de aplicativos\Microsoft\Windows\UsrClass.dat

Direct reading C:\Documents and Settings\NetworkService\NTUSER.DAT

Direct reading C:\SIERRA\SETUP32.EXE

Direct reading C:\System Volume Information\_restore{D0518E27-9216-4643-BEF1-64C323F10013}\RP10\A0026013.exe

Direct reading C:\System Volume Information\_restore{D0518E27-9216-4643-BEF1-64C323F10013}\RP10\A0026014.EXE

Direct reading C:\System Volume Information\_restore{D0518E27-9216-4643-BEF1-64C323F10013}\RP11\A0026100.exe

Direct reading C:\System Volume Information\_restore{D0518E27-9216-4643-BEF1-64C323F10013}\RP11\A0026101.exe

Direct reading C:\System Volume Information\_restore{D0518E27-9216-4643-BEF1-64C323F10013}\RP11\A0026102.exe

Direct reading C:\System Volume Information\_restore{D0518E27-9216-4643-BEF1-64C323F10013}\RP11\A0026103.exe

Direct reading C:\System Volume Information\_restore{D0518E27-9216-4643-BEF1-64C323F10013}\RP11\A0026104.EXE

Direct reading C:\System Volume Information\_restore{D0518E27-9216-4643-BEF1-64C323F10013}\RP11\A0026105.exe

Direct reading C:\WINDOWS\SchedLgU.Txt

Direct reading C:\WINDOWS\system32\CatRoot2\edb.log

Direct reading C:\WINDOWS\system32\CatRoot2\tmp.edb

Direct reading C:\WINDOWS\system32\config\AppEvent.Evt

Direct reading C:\WINDOWS\system32\config\default

Direct reading C:\WINDOWS\system32\config\SAM

Direct reading C:\WINDOWS\system32\config\SecEvent.Evt

Direct reading C:\WINDOWS\system32\config\SECURITY

Direct reading C:\WINDOWS\system32\config\SysEvent.Evt

Direct reading C:\WINDOWS\system32\config\system

Direct reading C:\WINDOWS\system32\config\TuneUp.evt

Direct reading C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR

Direct reading C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP

Direct reading C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP

Direct reading C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA

Direct reading C:\WINDOWS\temp\Perflib_Perfdata_1d0.dat

4. Checking Winsock Layered Service Provider (SPI/LSP)

LSP settings checked. No errors detected

5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)

C:\WINDOWS\system32\BC40HOT.dll --> Suspicion for Keylogger or Trojan DLL

C:\WINDOWS\system32\BC40HOT.dll>>> Behavioural analysis

1. Reacts to events: keyboard

C:\WINDOWS\system32\BC40HOT.dll>>> Neural net: file with probability 99.91% like a typical keyboard/mouse events interceptor

File quarantined succesfully (C:\WINDOWS\system32\BC40HOT.dll)

Note: Do NOT delete suspicious files, send them for analysis (see FAQ for more details), because there are lots of useful hooking DLLs

6. Searching for opened TCP/UDP ports used by malicious programs

Checking disabled by user

7. Heuristic system check

Checking - complete

8. Searching for vulnerabilities

>> Services: potentially dangerous service allowed: TermService (Serviços de terminal)

>> Services: potentially dangerous service allowed: SSDPSRV (Serviço de descoberta SSDP)

>> Services: potentially dangerous service allowed: Schedule (Agendador de tarefas)

>> Services: potentially dangerous service allowed: mnmsrvc (Compartilhamento remoto da área de trabalho do NetMeeting)

>> Services: potentially dangerous service allowed: RDSessMgr (Gerenciador de sessão de ajuda de área de trabalho remota)

> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!

>> Security: disk drives' autorun is enabled

>> Security: anonymous user access is enabled

>> Security: sending Remote Assistant queries is enabled

Checking - complete

9. Troubleshooting wizard

>> Abnormal SCR files association

>> HDD autorun are allowed

>> Removable media autorun are allowed

Checking - complete

Files scanned: 157434, extracted from archives: 96303, malicious software found 0, suspicions - 4

Scanning finished at 9/6/2009 18:22:52

Time of scanning: 00:36:49

If you have a suspicion on presence of viruses or questions on the suspected objects,

you can address http://virusinfo.info conference

 

-------------------------------------------------------

 

VIEW_LOG.TXT:

 

C:\WINDOWS\System32\DRIVERS\cmdmon.sys 4 Kernel-mode hook

C:\Arquivos de programas\TEXTware\BOOKcase40\BC31VIEW.exe 2 Suspicion for Trojan-Downloader.Win32.VB.amb ( 0041D00F 002E237F 000F19FC 0008AD41 81920)

C:\Arquivos de programas\TEXTware\BOOKcase40\BC40VIEW.exe 2 Suspicion for Trojan-Downloader.Win32.VB.amb ( 00424779 002E237F 000E4F79 000C87B8 81920)

C:\Documents and Settings\Carlos\Configurações locais\Temp\Rar$EX02.734\avz4\Quarantine\2009-06-09\avz00001.dta 2 Suspicion for Trojan-Downloader.Win32.VB.amb ( 0041D00F 002E237F 000F19FC 0008AD41 81920)

C:\Documents and Settings\Carlos\Configurações locais\Temp\Rar$EX02.734\avz4\Quarantine\2009-06-09\avz00002.dta 2 Suspicion for Trojan-Downloader.Win32.VB.amb ( 00424779 002E237F 000E4F79 000C87B8 81920)

C:\WINDOWS\system32\BC40HOT.dll 5 Suspicion for Keylogger or Trojan DLL

 

------------------------------------------------------------------------------------------------------------

Abraços.

[DigRam 144]

Boa Noite! Carlos SP

 

<@> Abra o avz4 e clique em AVZGuard --> Enable AVZGuard --> OK.

<@> Clique em "File" --> "Custom scripts".

<@> Cole,no campo,em "Runing scripts",estas informações sob o CODE:

 

beginSetAVZGuardStatus(True);SearchRootkit(true, true);QuarantineFile('C:\WINDOWS\system32\BC40HOT.dll','');QuarantineFile('C:\Arquivos de programas\TEXTware\BOOKcase40\BC31VIEW.exe','');QuarantineFile('C:\Arquivos de programas\TEXTware\BOOKcase40\BC40VIEW.exe','');QuarantineFile('C:\Documents and Settings\Carlos\Configurações locais\Temp\Rar$EX02.734\avz4\Quarantine\2009-06-09\avz00001.dta','');QuarantineFile('C:\Documents and Settings\Carlos\Configurações locais\Temp\Rar$EX02.734\avz4\Quarantine\2009-06-09\avz00002.dta','');RebootWindows(true);end.

<@> Busque erros no scripts,clicando em "Check syntax" --> OK.

<@> Não havendo erros,clique em Run. <-- Aguarde!

<@> Para completar as remoções,o computador irá reiniciar. <-- Instrução "RebootWindows(true);"

<@> Terminando,clique em "Save".

<@> Salve este relatório no desktop,nomeado como: AVZScript.log <-- Poste!

<@> No menu AVZGuard,clique em "Disable AVZGuard" --> OK.

 

Abraços!

[Carlos SP 0]

Boa noite, DigRam!

 

Executei o script no avz4, mas o computador reiniciou sem que eu pudesse salvar o relatório... o que fazer?

 

Abraço,

 

Carlos.

[DigRam 144]

Boa noite, DigRam!

 

Executei o script no avz4, mas o computador reiniciou sem que eu pudesse salvar o relatório... o que fazer?

 

Abraço,

 

Carlos.

<><><><><><><><>

Opa! Carlos SP

 

<!> Pode abortar esse envio!

<><><><><><><><>

<@> Veja se já pode executar correções,no Serviço de Atualizações Automáticas,com o TuneUp Utilities.

 

Abraços!

[Carlos SP 0]

Boa noite, DigRam!

 

Não consegui executar a correção das Atualizações Automáticas pelo TuneUp - aliás, já expirou a gratuidade da ferramenta... :pinch:

 

Temo que não haja mais recursos para essa correção; o PC deve estar, a essa altura, muito vulnerável...

 

Outra coisa que observei após executar o avz4: naquela "barra azul" do navegador IE, aquela que identifica a página, não aparece mais "Internet Explorer". Consta, p.ex.: "orkut - ". Isso é normal?

 

Abraço,

 

Carlos.

[DigRam 144]

Boa noite, DigRam!

 

Não consegui executar a correção das Atualizações Automáticas pelo TuneUp - aliás, já expirou a gratuidade da ferramenta... :pinch:

 

Temo que não haja mais recursos para essa correção; o PC deve estar, a essa altura, muito vulnerável...

 

Outra coisa que observei após executar o avz4: naquela "barra azul" do navegador IE, aquela que identifica a página, não aparece mais "Internet Explorer". Consta, p.ex.: "orkut - ". Isso é normal?

 

Abraço,

 

Carlos.

<><><><><><><><><>

Opa! Carlos SP

 

Temo que não haja mais recursos para essa correção; o PC deve estar, a essa altura, muito vulnerável...

<!> Utilize,devido ao problema,o Firefox.

<!> Procure baixar as atualizações,manualmente,indo ao Windows Update.

 

Outra coisa que observei após executar o avz4: naquela "barra azul" do navegador IE, aquela que identifica a página, não aparece mais "Internet Explorer". Consta, p.ex.: "orkut - ". Isso é normal?

<!> Não!

<><><><><><><><><>

<@> Faça uma análise de desinfecção,em: < Windows Live OneCare >

<@> Na página,clique em: Análise de Assistência Completa

<@> Clique em Instalar agora >> Aguarde!

<@> Na janela que abrir,clique em Instalar >> Iniciar Analista.

<@> Procure escolher a análise completa!

<@> Clique em Seguinte e,aguarde a transferência das ferramentas de análise,para que possa ocorrer o scan.

 

Abraços!

[Carlos SP 0]

Boa noite, DigRam!

 

Estou usando agora o Firefox, realizei o Windows Live OneCare (foi eliminada uma ameaça), mas ainda não consegui restaurar as Atualizações Automáticas, mesmo na página do Windows Update...

 

Vasculhando alguns fóruns, encontrei referência a um rootkit que poderia estar envolvido nesse problema. Como sou absolutamente leigo nessa área, gostaria que você opinasse sobre o seguinte procedimento de remoção (desculpe-me pela ausência de tradução, não houve tempo):

 

1) To see if the rootkit is still active, download GMER from http://www.gmer.net/#files and run it

2) You're looking for a .sys file with a hex-based file name 8 characters name. The filename is different for each infection. Write it down.

3) Reboot into safe mode and log in as Administrator

4) Navigate to c:\windows\system32\drivers and delete the .sys file in that directory

5) Still in safe mode, load regedit.exe and search for the filename of the .sys file. Delete every entry.

6) Search for "%fystemroot%" and correct all the entries to %SystemRoot%

7) Go to HKLM\System\CurrentControlSet and look at the "BITS" and "wuauserv" services

8) For both, edit the permissions and grant Full Access to the Administrators group. You may need to go into Advanced and Take Ownership of the key

9) Also explicitly do this for the Parameters subkey of both services

10) Reboot into normal mode and check the services start

11) Run Windows Update.

 

De fato, observei no menu Propriedades de Atualizações Automáticas que o caminho do executável aparece como "%fystemroot%\system32\svchost.exe -k netsvcs". Ainda não executei o procedimento. Você poderia me direcionar nesse procedimento, caso ele seja adequado? E, MUITO obrigado pela grande atenção a esse problema tão arrastado...

 

Abraços!

[DigRam 144]

Bom Dia! Carlos SP

 

De fato, observei no menu Propriedades de Atualizações Automáticas que o caminho do executável aparece como "%fystemroot%\system32\svchost.exe -k netsvcs". Ainda não executei o procedimento. Você poderia me direcionar nesse procedimento, caso ele seja adequado? E, MUITO obrigado pela grande atenção a esse problema tão arrastado...

<!> Sim! Seguiremos esses passos,já que nada mais resta fazer.

<><><><><><><><><><>

<@> Baixe: < XPSP2_NetSvcs > ( ...by sUBs )

<@> Descompacte-o para o desktop!

<@> Execute o ( .reg ),com um duplo-clique.

<@> Confirme a inserção ao registro --> Reinicie!

<><><><><><><><><><>

<@> Baixe: < gmer.zip >

<@> Salve-o no Disco Local ( C ) e descompacte-o aí mesmo,em uma pasta própria. ( C:\gmer.exe )

<@> Por default,a caixa D:\ e Show All estarão desmarcadas. <-- Possuindo,assinale apenas a caixa D:\.

<@> Reinicie o computador,em Modo de Segurança. <-- Tutorial!

<@> Feche todos os programas,que estejam abertos,e clique em Scan. <-- Aguarde!

<@> Permita a execução de gmer.sys,caso seja solicitado.

<@> Confirme a investigação na busca por rootkits.

<@> Terminando poderá receber outro aviso sobre atividade rootkit,clique OK.

<@> Ao final,conclua clicando em "Save...".

<@> Coloque como "Nome do arquivo": Gmer.log

<@> Em "Salvar em:",escolha o Desktop! --> Clique em "Salvar" --> OK.

<@> Reinicie em Modo Normal.

<@> Poste,na sua resposta: Gmer.log <--

 

Abraços!

[Carlos SP 0]

Boa tarde, DigRam!

 

Post Gmer.log:

 

GMER 1.0.15.14972 - http://www.gmer.net

Rootkit scan 2009-06-22 13:56:26

Windows 5.1.2600 Service Pack 2

 

 

---- User code sections - GMER 1.0.15 ----

 

.text C:\WINDOWS\system32\winlogon.exe[208] ntdll.dll!LdrUnloadDll 7C91718B 5 Bytes JMP 1006FC10 C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll (Gbieh Module/Banco do Brasil)

.text C:\WINDOWS\system32\winlogon.exe[208] kernel32.dll!FreeLibrary 7C80ABDE 5 Bytes JMP 1006FAA0 C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll (Gbieh Module/Banco do Brasil)

.text C:\WINDOWS\system32\winlogon.exe[208] kernel32.dll!FreeLibraryAndExitThread 7C80C170 5 Bytes JMP 1006F940 C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll (Gbieh Module/Banco do Brasil)

 

---- Registry - GMER 1.0.15 ----

 

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xCB 0x81 0x1F 0x64 ...

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xCB 0x81 0x1F 0x64 ...

 

---- Disk sectors - GMER 1.0.15 ----

 

Disk \Device\Harddisk0\DR0 sector 02: copy of MBR

 

---- EOF - GMER 1.0.15 ----

---------------------------------

Abraços!

[DigRam 144]

Boa Tarde! Carlos SP

 

1) To see if the rootkit is still active, download GMER from http://www.gmer.net/#files and run it

<!> Essa etapa já foi realizada,e não temos rootkits ativos no PC.

 

2) You're looking for a .sys file with a hex-based file name 8 characters name. The filename is different for each infection. Write it down.

<!> Como não existem rootkits,não teremos o(s) arquivo(s) mencionados.

 

3) Reboot into safe mode and log in as Administrator

4) Navigate to c:\windows\system32\drivers and delete the .sys file in that directory

<!> A ferramenta gmer,não detectou esse(s) arquivos hex nomeados com 8 caracteres.

 

5) Still in safe mode, load regedit.exe and search for the filename of the .sys file. Delete every entry.

<!> Se não existem o(s) arquivo(s),provavelmente,não teremos essas entradas.

 

6) Busque por "%fystemroot%",corrigindo-as para: %SystemRoot%

<!> Já aqui,voçê alega possuir esses dados em ImagePath,que deverão ser modificados.

<!> Abra o Editor do Registro,e navegue até essas entradas,verificando os dados atribuídos.

 

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services (BITS e Wuauserv) <--

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services (BITS e Wuauserv) <-- Verifique e faça as mudanças!

 

<!> Verifique,também,caso possua:

 

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services (BITS e Wuauserv) <-- Caso possua!

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services (BITS e Wuauserv) <-- Caso possua!

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services (BITS e Wuauserv) <--

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services (BITS e Wuauserv) <-- Verifique e faça as mudanças!

 

<!> Retorne à(s) chave(s) e,em ImagePath,clique-direito e em Modificar,coloque:

 

"%SystemRoot%\System32\svchost.exe -k netsvcs" (sem as aspas " ")

 

<!> Faça em BITS e Wuauserv,para cada entrada que possui!

<!> Terminando,reinicie o computador e constate a habilitação do Serviço de Atualização Automática.

 

Abraços!

[Carlos SP 0]

Boa noite, DigRam!

 

Finalmente o problema com as Atualizações Automáticas foi resolvido!

 

Para constar: inicialmente não consegui modificar os valores do ImagePath, cada tentativa retornava erro de gravação do registro. Reiniciei então em Modo de Segurança como Administrador e, na chave

 

HKLM\System\CurrentControlSet

 

alterei as permissões para o administrador, permitindo "controle total" e "leitura" em BITS e wuauserv, inclusive para a subchave Parâmetros. Com isso, consegui alterar os valores "%fystemroot%" para "%SystemRoot%". Agora as atualizações automáticas estão baixando como de costume.

 

Amigo, MUITO OBRIGADO pelo auxílio nos dois últimos meses!

 

Forte abraço!

[DigRam 144]

PROBLEMA RESOLVIDO!

 

Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico.