DigRam 144 Denunciar post Postado Junho 9, 2009 Bom Dia! Carlos SP <!> Execute,novamente,o UsbFix e escolha: Opção 5: Desinstala o UsbFix do computador. <><><><><><><><><><> <@> Baixe: < avz4en.zip > ou < avz_antiviral_toolkit > <@> Salve-o em Arquivos de programas,e descompacte-o aí mesmo! <@> Abra a pasta avz4 e execute o aplicativo,com um duplo-clique. <-- Ícone escudo e espada! <@> Conecte-se à Internet,e atualize o Toolkit. --> "File" --> "Database Update". < > <@> Terminando,não faça ainda nenhuma verificação. <@> Na aba "Search range",marque todas as caixinhas. <@> Em "File types",marque o botão "All files". <@> Em "Actions",marque: "Perform healing" <@> Nos campos,abaixo de "Perform healing",escolha "Report only",para todos os ítens. <@> Abaixo de "RiskWare",marque a caixa "Copy suspicious files to Quarantine". <-- Somente esta caixa! <@> No menu "Search parameters",maximize o ajuste "Heuristic analyses". <@> Marque a caixa "Extended analysis". <-- Somente esta caixa! <@> Por default,não desmarque as que estão assinaladas! <@> Feche os programas que estejam abertos,e rode a ferramenta! <-- Clique em Start. <@> Terminando o scan,clique no ícone "Save log",para dispormos do relatório. ( avz_log ) <@> Clique,também,no ícone dos "óculos". <@> Clique em "Save as CSV". <@> Salve,este relatório,no desktop! <-- Formato de texto. ( *.txt ) <@> Nomeie-o como: view_log <@> Copie e poste: avz_log.txt + view_log.txt,na sua resposta. Abraços! Compartilhar este post Link para o post Compartilhar em outros sites
Carlos SP 0 Denunciar post Postado Junho 9, 2009 Boa noite, DigRam! Seguem os posts: AVZ_LOG.TXT: AVZ Antiviral Toolkit log; AVZ version is 4.30 Scanning started at 9/6/2009 17:46:05 Database loaded: signatures - 226824, NN profile(s) - 2, microprograms of healing - 56, signature database released 09.06.2009 22:39 Heuristic microprograms loaded: 372 SPV microprograms loaded: 9 Digital signatures of system files loaded: 120885 Heuristic analyzer mode: Maximum heuristics level Healing mode: enabled Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights System Restore: enabled 1. Searching for Rootkits and programs intercepting API functions 1.1 Searching for user-mode API hooks Analysis: kernel32.dll, export table found in section .text Analysis: ntdll.dll, export table found in section .text Analysis: user32.dll, export table found in section .text Analysis: advapi32.dll, export table found in section .text Analysis: ws2_32.dll, export table found in section .text Analysis: wininet.dll, export table found in section .text Analysis: rasapi32.dll, export table found in section .text Analysis: urlmon.dll, export table found in section .text Analysis: netapi32.dll, export table found in section .text 1.2 Searching for kernel-mode API hooks Driver loaded successfully SDT found (RVA=0846E0) Kernel ntkrnlpa.exe found in memory at address 804D7000 SDT = 8055B6E0 KiST = 80503960 (284) Function NtConnectPort (1F) intercepted (805A30A4->B87430D2), hook C:\WINDOWS\System32\DRIVERS\cmdmon.sys, driver recognized as trusted Function NtCreateFile (25) intercepted (80577ED2->B8745302), hook C:\WINDOWS\System32\DRIVERS\cmdmon.sys, driver recognized as trusted Function NtCreateKey (29) intercepted (80622110->F7BEB23E), hook not defined Function NtCreatePort (2E) intercepted (805A3BC0->B874302C), hook C:\WINDOWS\System32\DRIVERS\cmdmon.sys, driver recognized as trusted Function NtCreateSection (32) intercepted (805A9E9E->B8743AAE), hook C:\WINDOWS\System32\DRIVERS\cmdmon.sys, driver recognized as trusted Function NtCreateThread (35) intercepted (805CF8C8->F7BEB234), hook not defined Function NtDeleteFile (3E) intercepted (80575ABA->B8744CB0), hook C:\WINDOWS\System32\DRIVERS\cmdmon.sys, driver recognized as trusted Function NtDeleteKey (3F) intercepted (806225A0->F7BEB243), hook not defined Function NtDeleteValueKey (41) intercepted (80622770->F7BEB24D), hook not defined Function NtLoadKey (62) intercepted (80623E40->F7BEB252), hook not defined Function NtOpenProcess (7A) intercepted (805C9D0A->F7BEB220), hook not defined Function NtOpenSection (7D) intercepted (805A8EC2->B87439E0), hook C:\WINDOWS\System32\DRIVERS\cmdmon.sys, driver recognized as trusted Function NtOpenThread (80) intercepted (805C9F96->F7BEB225), hook not defined Function NtReplaceKey (C1) intercepted (80623CF0->F7BEB25C), hook not defined Function NtRestoreKey (CC) intercepted (80620518->F7BEB257), hook not defined Function NtSetContextThread (D5) intercepted (805D0002->B8742BB4), hook C:\WINDOWS\System32\DRIVERS\cmdmon.sys, driver recognized as trusted Function NtSetInformationFile (E0) intercepted (80579E38->B8744DE0), hook C:\WINDOWS\System32\DRIVERS\cmdmon.sys, driver recognized as trusted Function NtSetValueKey (F7) intercepted (806207D0->F7BEB248), hook not defined Function NtShutdownSystem (F9) intercepted (80610E46->B8743FA0), hook C:\WINDOWS\System32\DRIVERS\cmdmon.sys, driver recognized as trusted Function NtTerminateProcess (101) intercepted (805D1232->F7BEB22F), hook not defined Function NtWriteFile (112) intercepted (8057BCF6->B874514A), hook C:\WINDOWS\System32\DRIVERS\cmdmon.sys, driver recognized as trusted Function NtWriteFileGather (113) intercepted (8057C2DA->B8744FB4), hook C:\WINDOWS\System32\DRIVERS\cmdmon.sys, driver recognized as trusted Functions checked: 284, intercepted: 22, restored: 0 1.3 Checking IDT and SYSENTER Analysis for CPU 1 Analysis for CPU 2 Checking IDT and SYSENTER - complete 1.4 Searching for masking processes and drivers Checking not performed: extended monitoring driver (AVZPM) is not installed Driver loaded successfully 1.5 Checking of IRP handlers Checking - complete 2. Scanning memory Number of processes found: 32 Number of modules loaded: 295 Scanning memory - complete 3. Scanning disks C:\Arquivos de programas\TEXTware\BOOKcase40\BC31VIEW.exe >>> suspicion for Trojan-Downloader.Win32.VB.amb ( 0041D00F 002E237F 000F19FC 0008AD41 81920) File quarantined succesfully (C:\Arquivos de programas\TEXTware\BOOKcase40\BC31VIEW.exe) C:\Arquivos de programas\TEXTware\BOOKcase40\BC40VIEW.exe >>> suspicion for Trojan-Downloader.Win32.VB.amb ( 00424779 002E237F 000E4F79 000C87B8 81920) File quarantined succesfully (C:\Arquivos de programas\TEXTware\BOOKcase40\BC40VIEW.exe) Direct reading C:\Documents and Settings\All Users\Dados de aplicativos\TuneUp Software\TuneUp Utilities\Program Statistics\ProgramStatistics.tudb Direct reading C:\Documents and Settings\Carlos\Configurações locais\Dados de aplicativos\Microsoft\Windows\UsrClass.dat Direct reading C:\Documents and Settings\Carlos\Configurações locais\Histórico\History.IE5\index.dat C:\Documents and Settings\Carlos\Configurações locais\Temp\Rar$EX02.734\avz4\Quarantine\2009-06-09\avz00001.dta >>> suspicion for Trojan-Downloader.Win32.VB.amb ( 0041D00F 002E237F 000F19FC 0008AD41 81920) File quarantined succesfully (C:\Documents and Settings\Carlos\Configurações locais\Temp\Rar$EX02.734\avz4\Quarantine\2009-06-09\avz00001.dta) C:\Documents and Settings\Carlos\Configurações locais\Temp\Rar$EX02.734\avz4\Quarantine\2009-06-09\avz00002.dta >>> suspicion for Trojan-Downloader.Win32.VB.amb ( 00424779 002E237F 000E4F79 000C87B8 81920) File quarantined succesfully (C:\Documents and Settings\Carlos\Configurações locais\Temp\Rar$EX02.734\avz4\Quarantine\2009-06-09\avz00002.dta) Direct reading C:\Documents and Settings\Carlos\Configurações locais\Temp\~DFCDC5.tmp Direct reading C:\Documents and Settings\Carlos\Configurações locais\Temporary Internet Files\Content.IE5\index.dat Direct reading C:\Documents and Settings\Carlos\Cookies\index.dat Direct reading C:\Documents and Settings\Carlos\NTUSER.DAT Direct reading C:\Documents and Settings\LocalService\Configurações locais\Dados de aplicativos\Microsoft\Windows\UsrClass.dat Direct reading C:\Documents and Settings\LocalService\Configurações locais\Histórico\History.IE5\index.dat Direct reading C:\Documents and Settings\LocalService\Configurações locais\Temporary Internet Files\Content.IE5\index.dat Direct reading C:\Documents and Settings\LocalService\Cookies\index.dat Direct reading C:\Documents and Settings\LocalService\NTUSER.DAT Direct reading C:\Documents and Settings\NetworkService\Configurações locais\Dados de aplicativos\Microsoft\Windows\UsrClass.dat Direct reading C:\Documents and Settings\NetworkService\NTUSER.DAT Direct reading C:\SIERRA\SETUP32.EXE Direct reading C:\System Volume Information\_restore{D0518E27-9216-4643-BEF1-64C323F10013}\RP10\A0026013.exe Direct reading C:\System Volume Information\_restore{D0518E27-9216-4643-BEF1-64C323F10013}\RP10\A0026014.EXE Direct reading C:\System Volume Information\_restore{D0518E27-9216-4643-BEF1-64C323F10013}\RP11\A0026100.exe Direct reading C:\System Volume Information\_restore{D0518E27-9216-4643-BEF1-64C323F10013}\RP11\A0026101.exe Direct reading C:\System Volume Information\_restore{D0518E27-9216-4643-BEF1-64C323F10013}\RP11\A0026102.exe Direct reading C:\System Volume Information\_restore{D0518E27-9216-4643-BEF1-64C323F10013}\RP11\A0026103.exe Direct reading C:\System Volume Information\_restore{D0518E27-9216-4643-BEF1-64C323F10013}\RP11\A0026104.EXE Direct reading C:\System Volume Information\_restore{D0518E27-9216-4643-BEF1-64C323F10013}\RP11\A0026105.exe Direct reading C:\WINDOWS\SchedLgU.Txt Direct reading C:\WINDOWS\system32\CatRoot2\edb.log Direct reading C:\WINDOWS\system32\CatRoot2\tmp.edb Direct reading C:\WINDOWS\system32\config\AppEvent.Evt Direct reading C:\WINDOWS\system32\config\default Direct reading C:\WINDOWS\system32\config\SAM Direct reading C:\WINDOWS\system32\config\SecEvent.Evt Direct reading C:\WINDOWS\system32\config\SECURITY Direct reading C:\WINDOWS\system32\config\SysEvent.Evt Direct reading C:\WINDOWS\system32\config\system Direct reading C:\WINDOWS\system32\config\TuneUp.evt Direct reading C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Direct reading C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Direct reading C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Direct reading C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Direct reading C:\WINDOWS\temp\Perflib_Perfdata_1d0.dat 4. Checking Winsock Layered Service Provider (SPI/LSP) LSP settings checked. No errors detected 5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs) C:\WINDOWS\system32\BC40HOT.dll --> Suspicion for Keylogger or Trojan DLL C:\WINDOWS\system32\BC40HOT.dll>>> Behavioural analysis 1. Reacts to events: keyboard C:\WINDOWS\system32\BC40HOT.dll>>> Neural net: file with probability 99.91% like a typical keyboard/mouse events interceptor File quarantined succesfully (C:\WINDOWS\system32\BC40HOT.dll) Note: Do NOT delete suspicious files, send them for analysis (see FAQ for more details), because there are lots of useful hooking DLLs 6. Searching for opened TCP/UDP ports used by malicious programs Checking disabled by user 7. Heuristic system check Checking - complete 8. Searching for vulnerabilities >> Services: potentially dangerous service allowed: TermService (Serviços de terminal) >> Services: potentially dangerous service allowed: SSDPSRV (Serviço de descoberta SSDP) >> Services: potentially dangerous service allowed: Schedule (Agendador de tarefas) >> Services: potentially dangerous service allowed: mnmsrvc (Compartilhamento remoto da área de trabalho do NetMeeting) >> Services: potentially dangerous service allowed: RDSessMgr (Gerenciador de sessão de ajuda de área de trabalho remota) > Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)! >> Security: disk drives' autorun is enabled >> Security: anonymous user access is enabled >> Security: sending Remote Assistant queries is enabled Checking - complete 9. Troubleshooting wizard >> Abnormal SCR files association >> HDD autorun are allowed >> Removable media autorun are allowed Checking - complete Files scanned: 157434, extracted from archives: 96303, malicious software found 0, suspicions - 4 Scanning finished at 9/6/2009 18:22:52 Time of scanning: 00:36:49 If you have a suspicion on presence of viruses or questions on the suspected objects, you can address http://virusinfo.info conference ------------------------------------------------------- VIEW_LOG.TXT: C:\WINDOWS\System32\DRIVERS\cmdmon.sys 4 Kernel-mode hook C:\Arquivos de programas\TEXTware\BOOKcase40\BC31VIEW.exe 2 Suspicion for Trojan-Downloader.Win32.VB.amb ( 0041D00F 002E237F 000F19FC 0008AD41 81920) C:\Arquivos de programas\TEXTware\BOOKcase40\BC40VIEW.exe 2 Suspicion for Trojan-Downloader.Win32.VB.amb ( 00424779 002E237F 000E4F79 000C87B8 81920) C:\Documents and Settings\Carlos\Configurações locais\Temp\Rar$EX02.734\avz4\Quarantine\2009-06-09\avz00001.dta 2 Suspicion for Trojan-Downloader.Win32.VB.amb ( 0041D00F 002E237F 000F19FC 0008AD41 81920) C:\Documents and Settings\Carlos\Configurações locais\Temp\Rar$EX02.734\avz4\Quarantine\2009-06-09\avz00002.dta 2 Suspicion for Trojan-Downloader.Win32.VB.amb ( 00424779 002E237F 000E4F79 000C87B8 81920) C:\WINDOWS\system32\BC40HOT.dll 5 Suspicion for Keylogger or Trojan DLL ------------------------------------------------------------------------------------------------------------ Abraços. Compartilhar este post Link para o post Compartilhar em outros sites
DigRam 144 Denunciar post Postado Junho 9, 2009 Boa Noite! Carlos SP <@> Abra o avz4 e clique em AVZGuard --> Enable AVZGuard --> OK. <@> Clique em "File" --> "Custom scripts". <@> Cole,no campo,em "Runing scripts",estas informações sob o CODE: beginSetAVZGuardStatus(True);SearchRootkit(true, true);QuarantineFile('C:\WINDOWS\system32\BC40HOT.dll','');QuarantineFile('C:\Arquivos de programas\TEXTware\BOOKcase40\BC31VIEW.exe','');QuarantineFile('C:\Arquivos de programas\TEXTware\BOOKcase40\BC40VIEW.exe','');QuarantineFile('C:\Documents and Settings\Carlos\Configurações locais\Temp\Rar$EX02.734\avz4\Quarantine\2009-06-09\avz00001.dta','');QuarantineFile('C:\Documents and Settings\Carlos\Configurações locais\Temp\Rar$EX02.734\avz4\Quarantine\2009-06-09\avz00002.dta','');RebootWindows(true);end. <@> Busque erros no scripts,clicando em "Check syntax" --> OK. <@> Não havendo erros,clique em Run. <-- Aguarde! <@> Para completar as remoções,o computador irá reiniciar. <-- Instrução "RebootWindows(true);" <@> Terminando,clique em "Save". <@> Salve este relatório no desktop,nomeado como: AVZScript.log <-- Poste! <@> No menu AVZGuard,clique em "Disable AVZGuard" --> OK. Abraços! Compartilhar este post Link para o post Compartilhar em outros sites
Carlos SP 0 Denunciar post Postado Junho 12, 2009 Boa noite, DigRam! Executei o script no avz4, mas o computador reiniciou sem que eu pudesse salvar o relatório... o que fazer? Abraço, Carlos. Compartilhar este post Link para o post Compartilhar em outros sites
DigRam 144 Denunciar post Postado Junho 13, 2009 Boa noite, DigRam! Executei o script no avz4, mas o computador reiniciou sem que eu pudesse salvar o relatório... o que fazer? Abraço, Carlos. <><><><><><><><> Opa! Carlos SP <!> Pode abortar esse envio! <><><><><><><><> <@> Veja se já pode executar correções,no Serviço de Atualizações Automáticas,com o TuneUp Utilities. Abraços! Compartilhar este post Link para o post Compartilhar em outros sites
Carlos SP 0 Denunciar post Postado Junho 17, 2009 Boa noite, DigRam! Não consegui executar a correção das Atualizações Automáticas pelo TuneUp - aliás, já expirou a gratuidade da ferramenta... :pinch: Temo que não haja mais recursos para essa correção; o PC deve estar, a essa altura, muito vulnerável... Outra coisa que observei após executar o avz4: naquela "barra azul" do navegador IE, aquela que identifica a página, não aparece mais "Internet Explorer". Consta, p.ex.: "orkut - ". Isso é normal? Abraço, Carlos. Compartilhar este post Link para o post Compartilhar em outros sites
DigRam 144 Denunciar post Postado Junho 18, 2009 Boa noite, DigRam! Não consegui executar a correção das Atualizações Automáticas pelo TuneUp - aliás, já expirou a gratuidade da ferramenta... :pinch: Temo que não haja mais recursos para essa correção; o PC deve estar, a essa altura, muito vulnerável... Outra coisa que observei após executar o avz4: naquela "barra azul" do navegador IE, aquela que identifica a página, não aparece mais "Internet Explorer". Consta, p.ex.: "orkut - ". Isso é normal? Abraço, Carlos. <><><><><><><><><> Opa! Carlos SP Temo que não haja mais recursos para essa correção; o PC deve estar, a essa altura, muito vulnerável... <!> Utilize,devido ao problema,o Firefox. <!> Procure baixar as atualizações,manualmente,indo ao Windows Update. Outra coisa que observei após executar o avz4: naquela "barra azul" do navegador IE, aquela que identifica a página, não aparece mais "Internet Explorer". Consta, p.ex.: "orkut - ". Isso é normal? <!> Não! <><><><><><><><><> <@> Faça uma análise de desinfecção,em: < Windows Live OneCare > <@> Na página,clique em: Análise de Assistência Completa <@> Clique em Instalar agora >> Aguarde! <@> Na janela que abrir,clique em Instalar >> Iniciar Analista. <@> Procure escolher a análise completa! <@> Clique em Seguinte e,aguarde a transferência das ferramentas de análise,para que possa ocorrer o scan. Abraços! Compartilhar este post Link para o post Compartilhar em outros sites
Carlos SP 0 Denunciar post Postado Junho 22, 2009 Boa noite, DigRam! Estou usando agora o Firefox, realizei o Windows Live OneCare (foi eliminada uma ameaça), mas ainda não consegui restaurar as Atualizações Automáticas, mesmo na página do Windows Update... Vasculhando alguns fóruns, encontrei referência a um rootkit que poderia estar envolvido nesse problema. Como sou absolutamente leigo nessa área, gostaria que você opinasse sobre o seguinte procedimento de remoção (desculpe-me pela ausência de tradução, não houve tempo): 1) To see if the rootkit is still active, download GMER from http://www.gmer.net/#files and run it2) You're looking for a .sys file with a hex-based file name 8 characters name. The filename is different for each infection. Write it down. 3) Reboot into safe mode and log in as Administrator 4) Navigate to c:\windows\system32\drivers and delete the .sys file in that directory 5) Still in safe mode, load regedit.exe and search for the filename of the .sys file. Delete every entry. 6) Search for "%fystemroot%" and correct all the entries to %SystemRoot% 7) Go to HKLM\System\CurrentControlSet and look at the "BITS" and "wuauserv" services 8) For both, edit the permissions and grant Full Access to the Administrators group. You may need to go into Advanced and Take Ownership of the key 9) Also explicitly do this for the Parameters subkey of both services 10) Reboot into normal mode and check the services start 11) Run Windows Update. De fato, observei no menu Propriedades de Atualizações Automáticas que o caminho do executável aparece como "%fystemroot%\system32\svchost.exe -k netsvcs". Ainda não executei o procedimento. Você poderia me direcionar nesse procedimento, caso ele seja adequado? E, MUITO obrigado pela grande atenção a esse problema tão arrastado... Abraços! Compartilhar este post Link para o post Compartilhar em outros sites
DigRam 144 Denunciar post Postado Junho 22, 2009 Bom Dia! Carlos SP De fato, observei no menu Propriedades de Atualizações Automáticas que o caminho do executável aparece como "%fystemroot%\system32\svchost.exe -k netsvcs". Ainda não executei o procedimento. Você poderia me direcionar nesse procedimento, caso ele seja adequado? E, MUITO obrigado pela grande atenção a esse problema tão arrastado... <!> Sim! Seguiremos esses passos,já que nada mais resta fazer. <><><><><><><><><><> <@> Baixe: < XPSP2_NetSvcs > ( ...by sUBs ) <@> Descompacte-o para o desktop! <@> Execute o ( .reg ),com um duplo-clique. <@> Confirme a inserção ao registro --> Reinicie! <><><><><><><><><><> <@> Baixe: < gmer.zip > <@> Salve-o no Disco Local ( C ) e descompacte-o aí mesmo,em uma pasta própria. ( C:\gmer.exe ) <@> Por default,a caixa D:\ e Show All estarão desmarcadas. <-- Possuindo,assinale apenas a caixa D:\. <@> Reinicie o computador,em Modo de Segurança. <-- Tutorial! <@> Feche todos os programas,que estejam abertos,e clique em Scan. <-- Aguarde! <@> Permita a execução de gmer.sys,caso seja solicitado. <@> Confirme a investigação na busca por rootkits. <@> Terminando poderá receber outro aviso sobre atividade rootkit,clique OK. <@> Ao final,conclua clicando em "Save...". <@> Coloque como "Nome do arquivo": Gmer.log <@> Em "Salvar em:",escolha o Desktop! --> Clique em "Salvar" --> OK. <@> Reinicie em Modo Normal. <@> Poste,na sua resposta: Gmer.log <-- Abraços! Compartilhar este post Link para o post Compartilhar em outros sites
Carlos SP 0 Denunciar post Postado Junho 22, 2009 Boa tarde, DigRam! Post Gmer.log: GMER 1.0.15.14972 - http://www.gmer.net Rootkit scan 2009-06-22 13:56:26 Windows 5.1.2600 Service Pack 2 ---- User code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\winlogon.exe[208] ntdll.dll!LdrUnloadDll 7C91718B 5 Bytes JMP 1006FC10 C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll (Gbieh Module/Banco do Brasil) .text C:\WINDOWS\system32\winlogon.exe[208] kernel32.dll!FreeLibrary 7C80ABDE 5 Bytes JMP 1006FAA0 C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll (Gbieh Module/Banco do Brasil) .text C:\WINDOWS\system32\winlogon.exe[208] kernel32.dll!FreeLibraryAndExitThread 7C80C170 5 Bytes JMP 1006F940 C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll (Gbieh Module/Banco do Brasil) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xCB 0x81 0x1F 0x64 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xCB 0x81 0x1F 0x64 ... ---- Disk sectors - GMER 1.0.15 ---- Disk \Device\Harddisk0\DR0 sector 02: copy of MBR ---- EOF - GMER 1.0.15 ---- --------------------------------- Abraços! Compartilhar este post Link para o post Compartilhar em outros sites
DigRam 144 Denunciar post Postado Junho 22, 2009 Boa Tarde! Carlos SP 1) To see if the rootkit is still active, download GMER from http://www.gmer.net/#files and run it <!> Essa etapa já foi realizada,e não temos rootkits ativos no PC. 2) You're looking for a .sys file with a hex-based file name 8 characters name. The filename is different for each infection. Write it down. <!> Como não existem rootkits,não teremos o(s) arquivo(s) mencionados. 3) Reboot into safe mode and log in as Administrator4) Navigate to c:\windows\system32\drivers and delete the .sys file in that directory <!> A ferramenta gmer,não detectou esse(s) arquivos hex nomeados com 8 caracteres. 5) Still in safe mode, load regedit.exe and search for the filename of the .sys file. Delete every entry. <!> Se não existem o(s) arquivo(s),provavelmente,não teremos essas entradas. 6) Busque por "%fystemroot%",corrigindo-as para: %SystemRoot% <!> Já aqui,voçê alega possuir esses dados em ImagePath,que deverão ser modificados. <!> Abra o Editor do Registro,e navegue até essas entradas,verificando os dados atribuídos. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services (BITS e Wuauserv) <-- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services (BITS e Wuauserv) <-- Verifique e faça as mudanças! <!> Verifique,também,caso possua: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services (BITS e Wuauserv) <-- Caso possua! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services (BITS e Wuauserv) <-- Caso possua! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services (BITS e Wuauserv) <-- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services (BITS e Wuauserv) <-- Verifique e faça as mudanças! <!> Retorne à(s) chave(s) e,em ImagePath,clique-direito e em Modificar,coloque: "%SystemRoot%\System32\svchost.exe -k netsvcs" (sem as aspas " ") <!> Faça em BITS e Wuauserv,para cada entrada que possui! <!> Terminando,reinicie o computador e constate a habilitação do Serviço de Atualização Automática. Abraços! Compartilhar este post Link para o post Compartilhar em outros sites
Carlos SP 0 Denunciar post Postado Junho 22, 2009 Boa noite, DigRam! Finalmente o problema com as Atualizações Automáticas foi resolvido! Para constar: inicialmente não consegui modificar os valores do ImagePath, cada tentativa retornava erro de gravação do registro. Reiniciei então em Modo de Segurança como Administrador e, na chave HKLM\System\CurrentControlSet alterei as permissões para o administrador, permitindo "controle total" e "leitura" em BITS e wuauserv, inclusive para a subchave Parâmetros. Com isso, consegui alterar os valores "%fystemroot%" para "%SystemRoot%". Agora as atualizações automáticas estão baixando como de costume. Amigo, MUITO OBRIGADO pelo auxílio nos dois últimos meses! Forte abraço! Compartilhar este post Link para o post Compartilhar em outros sites
DigRam 144 Denunciar post Postado Junho 22, 2009 PROBLEMA RESOLVIDO! Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico. Compartilhar este post Link para o post Compartilhar em outros sites