[Arquivado] Problema com sites da microsoft e de anti-virus.

[Kanize 0]

Bem, primeiramente o log.

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:40:04, on 24/9/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\XP-3BE937DD.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\thiago\Desktop\Windows Live\Messenger\msnmsgr.exe

C:\Arquivos de programas\Realtek RTL8187 Wireless Network Driver and Utility\RtlWake.exe

C:\WINDOWS\system32\Z8-9C32A.EXE

C:\DOCUME~1\thiago\CONFIG~1\Temp\winwkmoge.exe

C:\DOCUME~1\thiago\CONFIG~1\Temp\ejikut.exe

C:\DOCUME~1\thiago\CONFIG~1\Temp\w42893.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75

R3 - URLSearchHook: D'Accord Music Software BR Toolbar - {c6684bb3-d1ce-4c5e-be04-62e5ec0d85ad} - C:\Arquivos de programas\D'Accord_Music_Software_BR\tbD'Ac.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: D'Accord Music Software BR Toolbar - {c6684bb3-d1ce-4c5e-be04-62e5ec0d85ad} - C:\Arquivos de programas\D'Accord_Music_Software_BR\tbD'Ac.dll

O3 - Toolbar: D'Accord Music Software BR Toolbar - {c6684bb3-d1ce-4c5e-be04-62e5ec0d85ad} - C:\Arquivos de programas\D'Accord_Music_Software_BR\tbD'Ac.dll

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [XP-3BE937DD] C:\WINDOWS\system32\XP-3BE937DD.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Documents and Settings\thiago\Desktop\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [skype] "C:\Arquivos de programas\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\thiago\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [AdobeUpdater6] "C:\Arquivos de programas\Arquivos comuns\Adobe\Updater6\Adobe_Updater.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: ¡¡¡¡¡¡.lnk = C:\WINDOWS\system32\XP-3BE937DD.EXE

O4 - Global Startup: Realtek RTL8187 Wireless Network Driver and Utility.lnk = ?

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

 

--

End of file - 4166 bytes

 

 

 

 

 

Meu computador provavelmente esta afetado pelo Conficker,

Sites da microsoft ou qualquer progama(site) de combat a virus(hacker) fica invisivel para o pc.

 

Pesquisei em varios locais e vi que a unica solução seria formatar...

queria saber se existe como resolver meu problema ou salvar meus dados(parte deles pelomenos) antes de formatar...

 

Parabens pelo forum e

Obrigado desde ja.

[Power Max 54]

:thumbsup: Olá Kanize! Seja bem-vindo ao Fórum Imasters.

 

:seta: Vá no menu: Iniciar » Painel de Controle » Opções de Pasta » Na Aba: Modo de Exibição » Marque a opção "Mostrar pastas e arquivos ocultos" e desmarque a opção Ocultar arquivos protegidos do sistema operacional (recomendado) >> clique no botão Aplicar e no botão OK.

 

Depois disto vá no menu: Iniciar > Pesquisar > Todos os arquivos e pastas > clique na opção Mais opções avançadas e marque estas opções:

Pesquisar pastas do sistema

Pesquisar arquivos e pastas ocultos

Pesquisar subpastas

Pesquisar backup em fita

 

Volte mais acima um pouco e encontre a opção Todo ou parte do nome do arquivo e logo abaixo desta frase tem um campo em branco onde você digitará o nome dos arquivos a serem excluidos (que são estes destacados em vermelho abaixo) e cada vez que você ir achando eles vá excluindo (um de cada vez):

 

C:\WINDOWS\system32\XP-3BE937DD.EXE

C:\DOCUME~1\thiago\CONFIG~1\Temp\winwkmoge.exe

C:\DOCUME~1\thiago\CONFIG~1\Temp\ejikut.exe

C:\DOCUME~1\thiago\CONFIG~1\Temp\w42893.exe

______________________________________

 

:seta: Abra o HijackThis, clique em Do a system scan only, marque as entradas abaixo e clique em Fix checked:

O4 - HKLM\..\Run: [XP-3BE937DD] C:\WINDOWS\system32\XP-3BE937DD.EXE

O4 - Startup: ¡¡¡¡¡¡.lnk = C:\WINDOWS\system32\XP-3BE937DD.EXE

______________________________________

 

:seta: Depois disto faça o download do Malwarebytes ( que renomeei para tirou.exe para que os malwares não fiquem bloqueando ele):

http://www.4shared.com/file/125202789/8008d120/tirou.html

 

Obs: Quando acessar o site acima, clique no botão Download now > aguarde a contagem regressiva > Clique na opção: Click here to download this file.

 

Sugiro que você salve ou imprima essas instruções abaixo, pois em alguns momentos você poderá precisar usar o computador sem o acesso à internet:

 

* Faça a instalação dando um duplo clique em "tirou.exe";

*Selecione a linguagem Português (Brasil)

*Selecione apenas a caixa: "Atualizar MalwareBytes'Anti-Malware"

*Se alguma atualização existir, o download será automático

*Não faça ainda scan!!!

*Reinicie o PC em Modo de Segurança (apertando a tecla F8 (ou a tecla F5 em alguns computadores) repetidas vezes quando o computador estiver reiniciando e escolhendo a opção Modo Seguro ou Modo de Segurança).

* Se não possível executar o computador em Modo Seguro, faça o escaneamento no modo normal

*Execute o programa MalwareBytes'Anti-Malware e clique na aba: "Verificação", selecione a opção "Verificação completa"

*Clique no botão: "Verificar"

* Marque todas as partes do computador que você deseja escanear e clique no botão: “Iniciar verificação”

*Ao término do scan, clique em "OK" > "Mostrar Resultados"

*Selecione todas as entradas e clique em "Remover Selecionados"

*Após a remoção poderá ser interrogado se deseja remover objetos da memória. Clique "SIM"

*Um log será apresentado com o resultado das ações

*Alguns malwares são rebeldes e necessitam de uma reinicialização para a remoção. Caso isto seja solicitado, clique para reiniciar o PC.

*Ao término do processo, reinicie o PC em Modo Normal.

* Depois de alguns dias, se o seu computador estiver funcionando normalmente sem estes arquivos que foram excluidos pelo Malwarebytes Anti-malware, abra (execute) o Malwarebytes Anti-malware, clique na aba: Quarentena e clique no botão: Remover tudo.

*Execute novamente o programa Malwarebytes Anti-malware e clique na aba “Logs”, dê um duplo clique com o mouse sobre o log mais recente, selecione o log completo e copie-o.

 

Poste este log gerado pelo Malwarebytes Anti-Malware juntamente com um novo log do Hijackthis na sua próxima resposta e nos diga como está o seu computador depois de seguir este procedimento acima.

 

Ficamos no aguardo de sua resposta.

[Kanize 0]

Antonio, obrigado pela atenção.

 

Bem, fui seguindo rigorosamente oque você falou, tirei a net e a rede para não ter riscos. Vou esplicas por partes oqeu aconteceu:

 

 

- O virus fica voltando a configuração "Mostrar pastas e arquivos ocultos", não sei se isso mudou algo na pesquisa, mas a cada 5 segundos q eu mudava ele voltava a configuração de antes.

- Das 4 pesquisas só a "XP-3BE937DD.EXE" encontrou algo, uma pasta q logo deletei.

- Na parte do hijackthis foi tudo certinho, o download tb. (obrigado por modificar o nome)

- Tentei colocar em modo de segurança, mas o virus n permitiu... então scaniei no modo normal mesmo, depois de 7 scans (o primeiro encontrou uns 11 virus, o segundo uns 9 e assim por diante) percebi q 3 virus o Malwarebytes' Anti-Malware não consegue deletar.

- Tentei novamente depois de alguns scans mudar as pastas para "mostrar aruqivos ocultos" mas o virus ainda estava lá, fiz as 4 pesquisas novamente, e nada, tentei por em modo de segurança e nada, entrei na net e o virus ainda bloqueia os sites.

 

Percebi que o computador ficou um pouco mais rapido, mas o problema persiste.

 

Abaixo alguns logs.

 

 

HiJackThis:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:09:33, on 25/9/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Skype\Phone\Skype.exe

C:\Arquivos de programas\Realtek RTL8187 Wireless Network Driver and Utility\RtlWake.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\DOCUME~1\thiago\CONFIG~1\Temp\wintcvb.exe

C:\DOCUME~1\thiago\CONFIG~1\Temp\winscdx.exe

C:\DOCUME~1\thiago\CONFIG~1\Temp\w49612.exe

C:\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Documents and Settings\thiago\Desktop\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [skype] "C:\Arquivos de programas\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\thiago\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Realtek RTL8187 Wireless Network Driver and Utility.lnk = ?

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

 

--

End of file - 3479 bytes

 

 

 

~/~ ~/~ ~/~ ~/~ ~/~

 

 

Malwarebytes' Anti-Malware: Primeiro scan.

 

 

Malwarebytes' Anti-Malware 1.40

Versão do banco de dados: 2551

Windows 5.1.2600 Service Pack 2

 

25/9/2009 02:11:20

mbam-log-2009-09-25 (02-11-20).txt

 

Tipo de Verificação: Completa (C:\|D:\|)

Objetos verificados: 103620

Tempo decorrido: 7 minute(s), 54 second(s)

 

Processos da Memória infectados: 0

Módulos de Memória Infectados: 1

Chaves do Registro infectadas: 3

Valores do Registro infectados: 3

Ítens do Registro infectados: 3

Pastas infectadas: 1

Arquivos infectados: 23

 

Processos da Memória infectados:

(Nenhum ítem malicioso foi detectado)

 

Módulos de Memória Infectados:

C:\WINDOWS\Wplugin.dll (Trojan.Dropper) -> Delete on reboot.

 

Chaves do Registro infectadas:

HKEY_CLASSES_ROOT\CLSID\{c6684bb3-d1ce-4c5e-be04-62e5ec0d85ad} (Adware.NetPumper) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c6684bb3-d1ce-4c5e-be04-62e5ec0d85ad} (Adware.NetPumper) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c6684bb3-d1ce-4c5e-be04-62e5ec0d85ad} (Adware.NetPumper) -> Quarantined and deleted successfully.

 

Valores do Registro infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{c6684bb3-d1ce-4c5e-be04-62e5ec0d85ad} (Adware.NetPumper) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{c6684bb3-d1ce-4c5e-be04-62e5ec0d85ad} (Adware.NetPumper) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{c6684bb3-d1ce-4c5e-be04-62e5ec0d85ad} (Adware.NetPumper) -> Quarantined and deleted successfully.

 

Ítens do Registro infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Pastas infectadas:

C:\Documents and Settings\thiago\Configurações locais\Temp\E_4 (Autorun.Worm) -> Quarantined and deleted successfully.

 

Arquivos infectados:

C:\Documents and Settings\thiago\Dados de aplicativos\Wplugin.dll (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\Arquivos de programas\D'Accord_Music_Software_BR\tbD'Ac.dll (Adware.NetPumper) -> Quarantined and deleted successfully.

C:\WINDOWS\Wplugin.dll (Trojan.Dropper) -> Delete on reboot.

C:\WINDOWS\Temp\winuyjr.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Documents and Settings\thiago\Configurações locais\Temp\E_4\com.run (Autorun.Worm) -> Quarantined and deleted successfully.

C:\Documents and Settings\thiago\Configurações locais\Temp\E_4\dp1.fne (Autorun.Worm) -> Quarantined and deleted successfully.

C:\Documents and Settings\thiago\Configurações locais\Temp\E_4\eAPI.fne (Autorun.Worm) -> Quarantined and deleted successfully.

C:\Documents and Settings\thiago\Configurações locais\Temp\E_4\internet.fne (Autorun.Worm) -> Quarantined and deleted successfully.

C:\Documents and Settings\thiago\Configurações locais\Temp\E_4\krnln.fnr (Autorun.Worm) -> Quarantined and deleted successfully.

C:\Documents and Settings\thiago\Configurações locais\Temp\E_4\RegEx.fnr (Autorun.Worm) -> Quarantined and deleted successfully.

C:\Documents and Settings\thiago\Configurações locais\Temp\E_4\shell.fne (Autorun.Worm) -> Quarantined and deleted successfully.

C:\Documents and Settings\thiago\Configurações locais\Temp\E_4\spec.fne (Autorun.Worm) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\krnln.fnr (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\dp1.fne (Autorun.Worm) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\eAPI.fne (Autorun.Worm) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\internet.fne (Autorun.Worm) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\og.dll (Autorun.Worm) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\og.EDT (Autorun.Worm) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\RegEx.fnr (Autorun.Worm) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\shell.fne (Autorun.Worm) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\spec.fne (Autorun.Worm) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\ul.dll (Autorun.Worm) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\com.run (Trojan.Banker) -> Quarantined and deleted successfully.

 

 

Malwarebytes' Anti-Malware: Ultimo scan(virus que estão persistindo a alguns scans já).

 

 

Malwarebytes' Anti-Malware 1.40

Versão do banco de dados: 2551

Windows 5.1.2600 Service Pack 2

 

25/9/2009 12:31:02

mbam-log-2009-09-25 (12-31-02).txt

 

Tipo de Verificação: Completa (C:\|D:\|)

Objetos verificados: 103780

Tempo decorrido: 10 minute(s), 51 second(s)

 

Processos da Memória infectados: 0

Módulos de Memória Infectados: 1

Chaves do Registro infectadas: 0

Valores do Registro infectados: 0

Ítens do Registro infectados: 0

Pastas infectadas: 0

Arquivos infectados: 2

 

Processos da Memória infectados:

(Nenhum ítem malicioso foi detectado)

 

Módulos de Memória Infectados:

C:\WINDOWS\Wplugin.dll (Trojan.Dropper) -> Delete on reboot.

 

Chaves do Registro infectadas:

(Nenhum ítem malicioso foi detectado)

 

Valores do Registro infectados:

(Nenhum ítem malicioso foi detectado)

 

Ítens do Registro infectados:

(Nenhum ítem malicioso foi detectado)

 

Pastas infectadas:

(Nenhum ítem malicioso foi detectado)

 

Arquivos infectados:

C:\Documents and Settings\thiago\Dados de aplicativos\Wplugin.dll (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\WINDOWS\Wplugin.dll (Trojan.Dropper) -> Delete on reboot.

 

 

 

 

 

 

 

 

 

 

Estou a sua disposição, vou conferir o topico sempre que puder caso você precise de mais alguma informação. Obrigado.

[Power Max 54]

:thumbsup: Muito bem. Vários problemas foram removidos pelo Malwarebytes.

 

:seta: Sugiro que você salve ou imprima essas instruções abaixo, pois em alguns momentos você poderá precisar usar o computador sem o acesso à internet:

 

Faça o download do ComboFix

 

1) Desabilite o seu anti-vírus temporariamente;

 

2) Dê um duplo-clique no combofix.exe e aguarde (o processo total demora cerca de 10 minutos);

 

3) A janela de “NEGAÇÃO DE GARANTIA DO SOFTWARE” abrir-se-á. Clique em “SIM” para continuar.

 

4) Outra janela irá abrir, caso a sua máquina não possua o CONSOLE DE RECUPERAÇÃO DO WINDOWS. É recomendável executar a instalação do console antes de dar continuidade ao processo, pois tal ação proporcionará a garantia de que o sistema poderá ser recuperado em caso de problemas durante a varredura.

 

Clique sobre “SIM” e aguarde, pois o processo de instalação do console dar-se-á automaticamente através do próprio ComboFix. Ele poderá demorar alguns minutos (dependerá da velocidade de sua conexão), portanto seja paciente.

 

Quando a janela “INSTALANDO O CONSOLE DE RECUPERAÇÃO” aparecer clique em “OK”, depois clique sobre “SIM” para aceitar a licença EULA.

 

Ao término da instalação do console de recuperação abrir-se-á uma janela avisando que “O CONSOLE DE RECUPERAÇÃO FOI INSTALADO COM SUCESSO”.

 

Clique sobre “SIM” para continuar a varredura.

 

5) O ComboFix iniciará o AUTOSCAN (aguarde).

 

ATENÇÃO: Não clique na janela do ComboFix, nem termine o processo abruptamente enquanto a ferramenta estiver sendo executada, pois isto implicará na desconfiguração de seu desktop (ele ficará todo branco).

 

Ao término do processo a máquina será reiniciada para a emissão do relatório.

 

6) Ao reiniciar a máquina o ComboFix irá executar o FIND3M para a criação do relatório final da varredura. O log dele estará em C:\ComboFix.txt.

 

7) Reabilite o seu anti-vírus;

 

OBS.1: Caso apareça uma mensagem avisando que ESTE NÃO É UM APLICATIVO WIN 32 VÁLIDO ou caso os virus ou malwares bloqueiem a execução do Combofix, baixe o ComboFix novamente, mas salve-o em seu Desktop como KomboFix. Neste caso, nomeie-o como Kombofix durante o salvamento e não após salvá-lo!

 

Em último caso, se não for possível executar o Combofix no Modo Normal do Windows, tente utilizar o ComboFix em MODO SEGURO (reiniciando o computador e pressionando a tecla F8 intermitentemente, ou F5 em alguns casos, durante a inicialização e escolha a opção Modo Seguro na tela que se apresenta) e repita o procedimento;

 

OBS.2: Caso haja um clique sobre a janela do ComboFix em execução, ela irá MAXIMIZAR, sobrepondo-se sobre as demais. Para minimizá-la novamente basta utilizar a combinação ALT + TAB.

* Se por algum motivo você precisar parar ou sair do ComboFix, tecle "N".

* Se perder a conexão com a internet, reinicie o computador. Caso o problema persista, abra Conexões de Rede no Painel de Controle, clique com o botão direito do mouse sobre a sua conexão com a internet e em "Reparar";

 

Poste o log do Combofix que estará em C:\ComboFix.txt juntamente com um novo log do Hijackthis em sua próxima resposta e nos diga como está o seu PC depois disto.

 

Ficamos no aguardo.

[Kanize 0]

Tudo feito. O computador ainda apresenta o problema.

 

Logs: ComboFix

 

ComboFix 09-09-25.01 - thiago 26/09/2009 3:06.2.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.1015.561 [GMT -3:00]

Executando de: c:\documents and settings\thiago\Desktop\ComboFix.exe

.

 

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_ASC3360PR

 

 

(((((((((((((((( Arquivos/Ficheiros criados de 2009-08-26 to 2009-09-26 ))))))))))))))))))))))))))))

.

 

2009-09-25 15:51 . 2009-09-25 15:51 110592 ----a-w- c:\windows\Wplugin.dll

2009-09-25 03:34 . 2009-09-25 03:34 -------- d-----w- c:\documents and settings\thiago\Dados de aplicativos\Malwarebytes

2009-09-25 03:33 . 2009-08-03 16:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-09-25 03:33 . 2009-09-25 03:33 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

2009-09-25 03:33 . 2009-08-03 16:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-09-25 03:33 . 2009-09-25 03:34 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware

2009-09-25 03:27 . 2009-09-25 03:27 -------- d-----w- C:\backups

2009-09-24 20:16 . 2009-09-24 20:15 479544 ----a-w- C:\HiJackThis.exe

2009-09-23 16:14 . 2009-09-25 02:08 23040 ----a-w- c:\windows\system32\Z8-9C32A.EXE

2009-09-23 16:14 . 2009-09-23 16:14 23040 --sh--w- c:\windows\system32\H8T3B3.EXE

2009-09-22 20:25 . 2009-09-25 05:17 -------- d-----w- c:\arquivos de programas\MSN Messenger

2009-09-22 17:21 . 2009-09-23 15:51 22016 ----a-w- c:\windows\system32\3N-C5D1C4.EXE

2009-09-22 17:21 . 2009-09-22 17:21 22016 --sh--w- c:\windows\system32\B62C36.EXE

2009-09-22 17:17 . 2004-08-04 03:45 21172 ----a-w- c:\windows\ws2help.dll

2009-09-21 15:52 . 2009-09-21 15:52 -------- d-----w- c:\documents and settings\thiago\Dados de aplicativos\Thinstall

2009-09-18 06:25 . 2009-09-18 06:25 -------- d-----w- c:\arquivos de programas\Real Alternative

2009-09-16 20:42 . 2009-09-16 20:42 -------- d--h--w- c:\windows\system32\GroupPolicy

2009-09-16 13:41 . 2009-09-16 13:41 56 ---ha-w- c:\windows\system32\ezsidmv.dat

2009-09-16 13:41 . 2009-09-25 04:56 -------- d-----w- c:\documents and settings\thiago\Dados de aplicativos\skypePM

2009-09-16 13:36 . 2009-09-25 15:51 -------- d-----w- c:\documents and settings\thiago\Dados de aplicativos\Skype

2009-09-16 13:36 . 2009-09-16 13:36 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Skype

2009-09-16 13:36 . 2009-09-16 13:36 -------- d-----r- c:\arquivos de programas\Skype

2009-09-16 13:36 . 2009-09-16 13:36 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Skype

2009-09-15 23:39 . 2009-09-16 11:51 -------- d-----w- C:\Fraps

2009-09-04 22:37 . 2009-09-14 16:30 -------- d-----w- c:\arquivos de programas\D'Accord_Music_Software_BR

2009-09-04 22:37 . 2009-09-04 22:37 -------- d-----w- c:\arquivos de programas\Conduit

2009-09-04 22:36 . 2009-09-04 22:36 -------- d-----w- c:\arquivos de programas\D'Accord Afinador 3.0

2009-09-04 22:22 . 2009-09-04 22:28 -------- d-----w- c:\arquivos de programas\AP Tuner

2009-08-29 11:19 . 2009-08-29 11:19 86016 ----a-w- c:\windows\system32\frapsvid.dll

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-26 06:09 . 2009-09-26 06:09 110592 ----a-w- c:\documents and settings\thiago\Dados de aplicativos\Wplugin.dll

2009-09-21 05:57 . 2009-08-05 03:37 -------- d-----w- c:\arquivos de programas\Garena

2009-09-15 05:34 . 2009-07-31 00:16 -------- d-----w- c:\documents and settings\thiago\Dados de aplicativos\uTorrent

2009-09-04 22:40 . 2009-09-04 22:37 8 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\SDGLYBMPWPP.SYS

2009-08-26 15:47 . 2009-08-26 15:47 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Adobe

2009-08-08 12:34 . 2009-07-31 00:26 -------- d-----w- c:\arquivos de programas\Lavasoft

2009-08-07 13:08 . 2009-07-31 00:13 -------- d-----w- c:\arquivos de programas\Heroes of Newerth

2009-08-01 19:39 . 2009-08-01 19:39 -------- d-----w- c:\arquivos de programas\Neoretix

2009-07-31 19:57 . 2009-07-31 02:17 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Blizzard Entertainment

2009-07-31 19:29 . 1782-01-19 03:14 67450 ----a-w- c:\windows\system32\perfc016.dat

2009-07-31 19:29 . 1782-01-19 03:14 425426 ----a-w- c:\windows\system32\perfh016.dat

2009-07-31 17:37 . 2009-07-31 05:50 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Messenger Plus!

2009-07-31 06:00 . 2009-07-31 05:59 -------- d-----w- c:\arquivos de programas\K-Lite Codec Pack

2009-07-31 05:56 . 2009-07-31 00:20 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Real

2009-07-31 05:44 . 2009-07-31 05:44 -------- d-----w- c:\documents and settings\thiago\Dados de aplicativos\Media Player Classic

2009-07-31 02:14 . 2009-07-31 02:14 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Blizzard Entertainment.temp

2009-07-31 02:13 . 2009-07-31 02:13 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Blizzard

2009-07-31 00:39 . 2009-07-31 00:39 -------- d-----w- c:\documents and settings\thiago\Dados de aplicativos\teamspeak2

2009-07-31 00:39 . 2009-07-31 00:37 -------- d-----w- c:\arquivos de programas\Teamspeak2_RC2

2009-07-31 00:27 . 2009-07-31 00:26 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Lavasoft

2009-07-31 00:16 . 2009-07-31 00:16 -------- d-----w- c:\arquivos de programas\uTorrent

2009-07-31 00:16 . 2009-07-31 00:16 -------- d-----w- c:\arquivos de programas\Windows Live

2009-07-31 00:08 . 2009-07-31 00:08 0 ----a-w- c:\windows\nsreg.dat

2009-07-30 23:41 . 2009-07-30 23:41 -------- d-----w- c:\arquivos de programas\Wireless LAN Driver

2009-07-30 23:40 . 2009-07-30 23:40 21035 ----a-w- c:\windows\system32\drivers\AegisP.sys

2009-07-30 23:40 . 2009-07-30 23:40 -------- d-----w- c:\arquivos de programas\Realtek RTL8187 Wireless Network Driver and Utility

2009-07-30 23:40 . 2009-07-30 23:36 -------- d--h--w- c:\arquivos de programas\InstallShield Installation Information

2009-07-30 23:40 . 2009-07-30 23:36 -------- d-----w- c:\arquivos de programas\Arquivos comuns\InstallShield

2009-07-30 23:39 . 2009-07-30 23:36 -------- d-----w- c:\arquivos de programas\Realtek

2009-07-30 23:39 . 2009-07-30 23:39 -------- d-----w- c:\documents and settings\thiago\Dados de aplicativos\InstallShield

2009-07-30 23:38 . 2009-07-30 23:31 16608 ----a-w- c:\windows\gdrv.sys

2009-07-30 23:36 . 2009-07-30 23:36 315392 ----a-w- c:\windows\HideWin.exe

2009-07-30 23:15 . 2009-07-30 23:15 -------- d-----w- c:\arquivos de programas\microsoft frontpage

2009-07-30 23:14 . 2009-07-30 23:14 -------- d-----w- c:\arquivos de programas\Serviços on-line

2009-07-30 23:13 . 2009-07-30 23:13 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Serviços

2009-07-30 23:12 . 2009-07-30 23:12 21844 ----a-w- c:\windows\system32\emptyregdb.dat

2004-08-04 03:45 . 2004-08-04 03:45 167071 --sha-r- c:\windows\system32\hikatazq.dll

.

 

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"="c:\arquivos de programas\Messenger\msmsgs.exe" [2004-08-04 1667584]

"Skype"="c:\arquivos de programas\Skype\Phone\Skype.exe" [2009-03-27 24103720]

"Google Update"="c:\documents and settings\thiago\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" [2009-09-21 297427]

"msnmsgr"="c:\arquivos de programas\MSN Messenger\msnmsgr.exe" [2007-01-19 5748080]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-11-28 180224]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-28 147456]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-28 196608]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 112496]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-02-13 16857600]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

 

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

Realtek RTL8187 Wireless Network Driver and Utility.lnk - c:\arquivos de programas\Realtek RTL8187 Wireless Network Driver and Utility\RtlWake.exe [2009-7-30 815104]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"\\\\Pc05\\C\\Nova pasta\\Instals\\Firefox Setup 3.0.1.exe"=

"c:\\Arquivos de programas\\uTorrent\\uTorrent.exe"=

"c:\\Arquivos de programas\\Garena\\Garena.exe"=

"c:\\Warcraft III\\war3.exe"=

"c:\\WINDOWS\\system32\\igfxtray.exe"=

"d:\\World of Warcraft\\Wow.exe"=

"d:\\World of Warcraft\\Repair.exe"=

"d:\\World of Warcraft\\WoW-3.1.3.9947-to-3.2.0.10192-enUS-downloader.exe"=

"c:\\Arquivos de programas\\Adobe\\Reader 9.0\\Reader\\Reader_sl.exe"=

"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

"c:\\WINDOWS\\system32\\Z8-9C32A.EXE"=

"c:\\Arquivos de programas\\Skype\\Phone\\Skype.exe"=

"c:\\Arquivos de programas\\Malwarebytes' Anti-Malware\\mbam.exe"=

"c:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\MSN Messenger\\livecall.exe"=

"c:\\Arquivos de programas\\Realtek RTL8187 Wireless Network Driver and Utility\\RtlWake.exe"=

"c:\\Arquivos de programas\\Mozilla Firefox\\firefox.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"6698:TCP"= 6698:TCP:odwca

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

 

R3 asc3360pr;asc3360pr;\??\c:\windows\system32\drivers\upehl.sys --> c:\windows\system32\drivers\upehl.sys [?]

S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]

S2 wkdnat;Time Shell;c:\windows\system32\svchost.exe -k netsvcs [4/8/2004 00:45 14336]

S3 GarenaPEngine;GarenaPEngine;\??\c:\docume~1\thiago\CONFIG~1\Temp\KFQ67.tmp --> c:\docume~1\thiago\CONFIG~1\Temp\KFQ67.tmp [?]

 

--- =Outros Serviços/Drivers Na Memória ---

 

*NewlyCreated* - ASC3360PR

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

wkdnat

.

.

------- Scan Suplementar -------

.

FF - ProfilePath - c:\documents and settings\thiago\Dados de aplicativos\Mozilla\Firefox\Profiles\fngp9z8z.default\

FF - component: c:\arquivos de programas\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll

 

---- FIREFOX POLICIES ----

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-09-26 03:09

Windows 5.1.2600 Service Pack 2 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\GarenaPEngine]

"ImagePath"="\??\c:\docume~1\thiago\CONFIG~1\Temp\KFQ67.tmp"

 

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\wkdnat]

"ServiceDll"="c:\windows\system32\hikatazq.dll"

.

--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]

"Enabled"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]

@Denied: (A 2) (Everyone)

@="IFlashBroker3"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

 

- - - - - - - > 'explorer.exe'(3224)

c:\windows\Wplugin.dll

.

Tempo para conclusão: 2009-09-26 3:11 - Máquina reiniciou

ComboFix-quarantined-files.txt 2009-09-26 06:11

ComboFix2.txt 2009-09-26 06:03

 

Pré-execução: 7 pasta(s) 32.567.242.752 bytes disponíveis

Pós execução: 8 pasta(s) 32.501.829.632 bytes disponíveis

 

187

 

 

 

 

 

 

 

Hijackthis

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 03:26:58, on 26/9/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Documents and Settings\thiago\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe

C:\Arquivos de programas\Realtek RTL8187 Wireless Network Driver and Utility\RtlWake.exe

C:\WINDOWS\explorer.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbam.exe

C:\DOCUME~1\thiago\CONFIG~1\Temp\winqnqp.exe

C:\DOCUME~1\thiago\CONFIG~1\Temp\winqeqev.exe

C:\DOCUME~1\thiago\CONFIG~1\Temp\winotbdu.exe

C:\DOCUME~1\thiago\CONFIG~1\Temp\w3b17e.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [skype] "C:\Arquivos de programas\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\thiago\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Realtek RTL8187 Wireless Network Driver and Utility.lnk = ?

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

 

--

End of file - 3591 bytes

 

 

 

 

 

 

 

 

 

 

Aproveitar pra mandar um log do Malwarebytes

 

 

Malwarebytes' Anti-Malware 1.40

Versão do banco de dados: 2551

Windows 5.1.2600 Service Pack 2

 

26/9/2009 03:21:21

mbam-log-2009-09-26 (03-21-21).txt

 

Tipo de Verificação: Completa (C:\|D:\|)

Objetos verificados: 103562

Tempo decorrido: 7 minute(s), 56 second(s)

 

Processos da Memória infectados: 0

Módulos de Memória Infectados: 2

Chaves do Registro infectadas: 0

Valores do Registro infectados: 0

Ítens do Registro infectados: 0

Pastas infectadas: 0

Arquivos infectados: 7

 

Processos da Memória infectados:

(Nenhum ítem malicioso foi detectado)

 

Módulos de Memória Infectados:

C:\Documents and Settings\thiago\Dados de aplicativos\Wplugin.dll (Trojan.Dropper) -> Delete on reboot.

C:\WINDOWS\Wplugin.dll (Trojan.Dropper) -> Delete on reboot.

 

Chaves do Registro infectadas:

(Nenhum ítem malicioso foi detectado)

 

Valores do Registro infectados:

(Nenhum ítem malicioso foi detectado)

 

Ítens do Registro infectados:

(Nenhum ítem malicioso foi detectado)

 

Pastas infectadas:

(Nenhum ítem malicioso foi detectado)

 

Arquivos infectados:

C:\Documents and Settings\thiago\Configurações locais\temp\hmti.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Documents and Settings\thiago\Configurações locais\temp\jojfm.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Documents and Settings\thiago\Configurações locais\temp\winblph.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Documents and Settings\thiago\Configurações locais\temp\winqnqp.exe (Trojan.Downloader) -> Delete on reboot.

C:\Documents and Settings\thiago\Dados de aplicativos\Wplugin.dll (Trojan.Dropper) -> Delete on reboot.

C:\System Volume Information\_restore{B8255E40-9666-4904-9944-413678C1A8BB}\RP1\A0000031.dll (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\WINDOWS\Wplugin.dll (Trojan.Dropper) -> Delete on reboot.

 

 

Obrigado desde já.

[Power Max 54]

:seta: Sugiro que imprima ou salve os procedimentos abaixo, e não use a internet até terminado o procedimento.

 

Selecione e copie o texto dentro do Quote (caixa branca) abaixo. Abra o Bloco de notas e cole o que copiou. Salve então, na área de trabalho, com o nome de CFScript.txt

 

File::

c:\windows\Wplugin.dll

c:\windows\system32\H8T3B3.EXE

c:\windows\system32\3N-C5D1C4.EXE

c:\windows\system32\Z8-9C32A.EXE

c:\windows\system32\B62C36.EXE

c:\documents and settings\thiago\Dados de aplicativos\Wplugin.dll

Registry::

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 1 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\WINDOWS\\system32\\Z8-9C32A.EXE"=

 

Arraste agora o CFScript.txt para o ComboFix conforme a demonstração abaixo:

 

 

O ComboFix irá rodar e reiniciará o PC automaticamente para completar o processo de remoção.

 

IMPORTANTE: Não use o mouse nem o teclado quando o ComboFix estiver rodando.

 

Quando acabar, será gerado um log, que estará em C:\ComboFix.txt

________________________________________

 

:seta: Acesse o site VirSCAN e envie estes arquivos destacados em vermelho abaixo para serem analizados (um de cada vez):

 

c:\windows\HideWin.exe

c:\windows\system32\hikatazq.dll

c:\windows\system32\drivers\upehl.sys

 

Copie o link com o resultado do escaneamento de cada um destes arquivos acima e poste estes links em sua próxima resposta.

________________________________________

 

:seta: Siga também, por gentileza as dicas deste tutorial para fazer uma limpeza de seu PC com o Spyware Doctor:

 

Tutorial do Spyware Doctor Starter Edition

 

Na sua próxima resposta poste este log do Spyware Doctor juntamente com um novo log do Hijackthis, o log do Combofix que estará em C:\ComboFix.txt, os links com o resultado do escaneamento no site VirSCAN e nos diga como está o seu Pc depois disto.

 

Ficamos no aguardo.

[Kanize 0]

Desculpe a demora, não tive muito acesso a internet esse final de semana.

 

 

Bem, tanto a parte do VirSCAN quanto a do Spyware Doctor foram bloquiadas pelo virus, e agora meu firefox não passa mais de 2 minutos aberto q fexa sozinho.

 

 

 

Log do ComboFix:

 

ComboFix 09-09-25.01 - thiago 29/09/2009 12:42.3.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.1015.634 [GMT -3:00]

Executando de: c:\documents and settings\thiago\Desktop\ComboFix.exe

Comandos utilizados :: c:\documents and settings\thiago\Desktop\CFScript.txt

* Criado um novo ponto de restauração

 

FILE ::

"c:\documents and settings\thiago\Dados de aplicativos\Wplugin.dll"

"c:\windows\system32\3N-C5D1C4.EXE"

"c:\windows\system32\B62C36.EXE"

"c:\windows\system32\H8T3B3.EXE"

"c:\windows\system32\Z8-9C32A.EXE"

"c:\windows\Wplugin.dll"

.

 

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\3N-C5D1C4.EXE

c:\windows\system32\B62C36.EXE

c:\windows\system32\H8T3B3.EXE

c:\windows\system32\Z8-9C32A.EXE

c:\windows\Wplugin.dll

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_ASC3360PR

-------\Service_asc3360pr

 

 

(((((((((((((((( Arquivos/Ficheiros criados de 2009-08-28 to 2009-09-29 ))))))))))))))))))))))))))))

.

 

2009-09-29 15:45 . 2009-09-29 15:45 110592 ----a-w- c:\windows\Wplugin.dll

2009-09-25 03:34 . 2009-09-25 03:34 -------- d-----w- c:\documents and settings\thiago\Dados de aplicativos\Malwarebytes

2009-09-25 03:33 . 2009-08-03 16:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-09-25 03:33 . 2009-09-25 03:33 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

2009-09-25 03:33 . 2009-08-03 16:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-09-25 03:33 . 2009-09-25 03:34 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware

2009-09-25 03:27 . 2009-09-25 03:27 -------- d-----w- C:\backups

2009-09-24 20:16 . 2009-09-24 20:15 479544 ----a-w- C:\HiJackThis.exe

2009-09-22 20:25 . 2009-09-25 05:17 -------- d-----w- c:\arquivos de programas\MSN Messenger

2009-09-22 17:17 . 2004-08-04 03:45 21172 ----a-w- c:\windows\ws2help.dll

2009-09-21 15:52 . 2009-09-21 15:52 -------- d-----w- c:\documents and settings\thiago\Dados de aplicativos\Thinstall

2009-09-18 06:25 . 2009-09-18 06:25 -------- d-----w- c:\arquivos de programas\Real Alternative

2009-09-16 20:42 . 2009-09-16 20:42 -------- d--h--w- c:\windows\system32\GroupPolicy

2009-09-16 13:41 . 2009-09-16 13:41 56 ---ha-w- c:\windows\system32\ezsidmv.dat

2009-09-16 13:41 . 2009-09-29 15:39 -------- d-----w- c:\documents and settings\thiago\Dados de aplicativos\skypePM

2009-09-16 13:36 . 2009-09-29 15:41 -------- d-----w- c:\documents and settings\thiago\Dados de aplicativos\Skype

2009-09-16 13:36 . 2009-09-16 13:36 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Skype

2009-09-16 13:36 . 2009-09-16 13:36 -------- d-----r- c:\arquivos de programas\Skype

2009-09-16 13:36 . 2009-09-16 13:36 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Skype

2009-09-15 23:39 . 2009-09-16 11:51 -------- d-----w- C:\Fraps

2009-09-04 22:37 . 2009-09-14 16:30 -------- d-----w- c:\arquivos de programas\D'Accord_Music_Software_BR

2009-09-04 22:37 . 2009-09-04 22:37 -------- d-----w- c:\arquivos de programas\Conduit

2009-09-04 22:36 . 2009-09-04 22:36 -------- d-----w- c:\arquivos de programas\D'Accord Afinador 3.0

2009-09-04 22:22 . 2009-09-04 22:28 -------- d-----w- c:\arquivos de programas\AP Tuner

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-29 15:45 . 2009-09-29 15:45 110592 ----a-w- c:\documents and settings\thiago\Dados de aplicativos\Wplugin.dll

2009-09-21 05:57 . 2009-08-05 03:37 -------- d-----w- c:\arquivos de programas\Garena

2009-09-15 05:34 . 2009-07-31 00:16 -------- d-----w- c:\documents and settings\thiago\Dados de aplicativos\uTorrent

2009-09-04 22:40 . 2009-09-04 22:37 8 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\SDGLYBMPWPP.SYS

2009-08-29 11:19 . 2009-08-29 11:19 86016 ----a-w- c:\windows\system32\frapsvid.dll

2009-08-26 15:47 . 2009-08-26 15:47 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Adobe

2009-08-08 12:34 . 2009-07-31 00:26 -------- d-----w- c:\arquivos de programas\Lavasoft

2009-08-07 13:08 . 2009-07-31 00:13 -------- d-----w- c:\arquivos de programas\Heroes of Newerth

2009-08-01 19:39 . 2009-08-01 19:39 -------- d-----w- c:\arquivos de programas\Neoretix

2009-07-31 19:57 . 2009-07-31 02:17 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Blizzard Entertainment

2009-07-31 19:29 . 1782-01-19 03:14 67450 ----a-w- c:\windows\system32\perfc016.dat

2009-07-31 19:29 . 1782-01-19 03:14 425426 ----a-w- c:\windows\system32\perfh016.dat

2009-07-31 17:37 . 2009-07-31 05:50 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Messenger Plus!

2009-07-31 00:08 . 2009-07-31 00:08 0 ----a-w- c:\windows\nsreg.dat

2009-07-30 23:40 . 2009-07-30 23:40 21035 ----a-w- c:\windows\system32\drivers\AegisP.sys

2009-07-30 23:38 . 2009-07-30 23:31 16608 ----a-w- c:\windows\gdrv.sys

2009-07-30 23:36 . 2009-07-30 23:36 315392 ----a-w- c:\windows\HideWin.exe

2009-07-30 23:12 . 2009-07-30 23:12 21844 ----a-w- c:\windows\system32\emptyregdb.dat

2004-08-04 03:45 . 2004-08-04 03:45 167071 --sha-r- c:\windows\system32\hikatazq.dll

.

 

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"="c:\arquivos de programas\Messenger\msmsgs.exe" [2004-08-04 1667584]

"Skype"="c:\arquivos de programas\Skype\Phone\Skype.exe" [2009-03-27 24103720]

"Google Update"="c:\documents and settings\thiago\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" [2009-09-21 297427]

"msnmsgr"="c:\arquivos de programas\MSN Messenger\msnmsgr.exe" [2007-01-19 5748080]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-11-28 180224]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-28 147456]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-28 196608]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 112496]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-02-13 16857600]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

 

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

Realtek RTL8187 Wireless Network Driver and Utility.lnk - c:\arquivos de programas\Realtek RTL8187 Wireless Network Driver and Utility\RtlWake.exe [2009-7-30 815104]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableLUA"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"\\\\Pc05\\C\\Nova pasta\\Instals\\Firefox Setup 3.0.1.exe"=

"c:\\Arquivos de programas\\uTorrent\\uTorrent.exe"=

"c:\\Arquivos de programas\\Garena\\Garena.exe"=

"c:\\Warcraft III\\war3.exe"=

"c:\\WINDOWS\\system32\\igfxtray.exe"=

"d:\\World of Warcraft\\Wow.exe"=

"d:\\World of Warcraft\\Repair.exe"=

"d:\\World of Warcraft\\WoW-3.1.3.9947-to-3.2.0.10192-enUS-downloader.exe"=

"c:\\Arquivos de programas\\Adobe\\Reader 9.0\\Reader\\Reader_sl.exe"=

"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

"c:\\Arquivos de programas\\Malwarebytes' Anti-Malware\\mbam.exe"=

"c:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\MSN Messenger\\livecall.exe"=

"c:\\Arquivos de programas\\Realtek RTL8187 Wireless Network Driver and Utility\\RtlWake.exe"=

"c:\\Arquivos de programas\\Mozilla Firefox\\firefox.exe"=

"c:\\Arquivos de programas\\Skype\\Phone\\Skype.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"6698:TCP"= 6698:TCP:odwca

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

 

S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]

S2 wkdnat;Time Shell;c:\windows\system32\svchost.exe -k netsvcs [4/8/2004 00:45 14336]

S3 GarenaPEngine;GarenaPEngine;\??\c:\docume~1\thiago\CONFIG~1\Temp\KFQ67.tmp --> c:\docume~1\thiago\CONFIG~1\Temp\KFQ67.tmp [?]

 

--- =Outros Serviços/Drivers Na Memória ---

 

*NewlyCreated* - ASC3360PR

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

wkdnat

.

.

------- Scan Suplementar -------

.

FF - ProfilePath - c:\documents and settings\thiago\Dados de aplicativos\Mozilla\Firefox\Profiles\fngp9z8z.default\

FF - component: c:\arquivos de programas\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll

 

---- FIREFOX POLICIES ----

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-09-29 12:45

Windows 5.1.2600 Service Pack 2 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\GarenaPEngine]

"ImagePath"="\??\c:\docume~1\thiago\CONFIG~1\Temp\KFQ67.tmp"

 

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\wkdnat]

"ServiceDll"="c:\windows\system32\hikatazq.dll"

.

--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]

"Enabled"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]

@Denied: (A 2) (Everyone)

@="IFlashBroker3"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

 

- - - - - - - > 'explorer.exe'(3456)

c:\windows\Wplugin.dll

.

------------------------ Outros Processos em Execução ------------------------

.

c:\arquivos de programas\Skype\Plugin Manager\skypePM.exe

.

**************************************************************************

.

Tempo para conclusão: 2009-09-29 12:46 - Máquina reiniciou

ComboFix-quarantined-files.txt 2009-09-29 15:46

ComboFix2.txt 2009-09-26 06:11

ComboFix3.txt 2009-09-26 06:03

 

Pré-execução: 7 pasta(s) 32.164.855.808 bytes disponíveis

Pós execução: 8 pasta(s) 32.147.111.936 bytes disponíveis

 

186

 

 

 

 

Log do Hijackthis:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:54:16, on 29/9/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Arquivos de programas\Skype\Phone\Skype.exe

C:\Documents and Settings\thiago\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

C:\Arquivos de programas\Realtek RTL8187 Wireless Network Driver and Utility\RtlWake.exe

C:\Arquivos de programas\Skype\Plugin Manager\skypePM.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\thiago\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\thiago\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\thiago\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\DOCUME~1\thiago\CONFIG~1\Temp\winyooifa.exe

C:\DOCUME~1\thiago\CONFIG~1\Temp\winpclf.exe

C:\DOCUME~1\thiago\CONFIG~1\Temp\w44f26.exe

C:\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [skype] "C:\Arquivos de programas\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\thiago\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Realtek RTL8187 Wireless Network Driver and Utility.lnk = ?

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

 

--

End of file - 3753 bytes

[Power Max 54]

:seta: Sugiro que imprima ou salve os procedimentos abaixo, e não use a internet até terminado o procedimento.

 

Selecione e copie o texto dentro do Quote (caixa branca) abaixo. Abra o Bloco de notas e cole o que copiou. Salve então, na área de trabalho, com o nome de CFScript.txt

 

File::

c:\windows\Wplugin.dll

c:\documents and settings\thiago\Dados de aplicativos\Wplugin.dll

Registry::

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableLUA"= 1 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 1 (0x0)

 

Arraste agora o CFScript.txt para o ComboFix conforme a demonstração abaixo:

 

 

O ComboFix irá rodar e reiniciará o PC automaticamente para completar o processo de remoção.

 

IMPORTANTE: Não use o mouse nem o teclado quando o ComboFix estiver rodando.

 

Quando acabar, será gerado um log, que estará em C:\ComboFix.txt

___________________________________

 

:seta: Sugiro que você salve ou imprima essas instruções abaixo, pois em alguns momentos você poderá precisar usar o computador sem o acesso à internet:

 

Faça o download do SDFix:

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

 

Salve-o em sua Área de Trabalho (desktop).

 

Dê um duplo clique no SDFix.exe e a Ferramenta será instalada geralmente em C:\SDFix

 

Reinicie o computador em Modo Seguro (pressione a tecla F8 intermitentemente, ou F5 em alguns casos, durante a inicialização) e selecione a opção de Modo Seguro ou Modo de Segurança;

 

Entre na pasta SDFix que foi instalada no seu computador e dê um duplo clique no arquivo RunThis.bat

 

Tecle Y para que a Ferramenta inicie o processo de remoção.

 

Quando tudo terminar, você verá um aviso dizendo para apertar qualquer tecla para continuar.

 

Ao pressionar qualquer tecla, o computador será reiniciado automaticamente.

 

Após reiniciar, a Ferramenta ainda será executada novamente e irá terminar o seu trabalho, e ao surgir "The FixTool has finished", pressione qualquer tecla, uma janela com o Relatório do SDFix irá aparecer.

 

Caso você tenha fechado a janela, uma cópia do Relatório estará na pasta SDFix com o nome Report.txt.

 

Poste este relatório do SDFix na sua próxima resposta juntamente com o log do Combofix que estará em C:\ComboFix.txt e um novo log do Hijackthis e nos diga como está o seu computador depois de seguir estes procedimentos. Ficamos no aguardo.

[Mário Monteiro 179]

Tópico Arquivado

 

Como o autor não respondeu por mais de 30 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.