[Resolvido!] Mensagem: "You computer is infe

[o_pensador 0]

Prezados Srs.,

 

Gostaria da ajuda de voces para o problema no meu PC. Depois de passar o AVIRA e o SPYBOT o problema permanece que uma mensagem que aparece ao lado do relogio na parte inferiro da tela ""You computer is infected", e ja comeca tentando instalar um PRO 2008 que trata-se de um SPYWARE que depois pede pra compra-lo.

 

Segue o log do HIJACKTHIS do meu computador ...

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:02:04, on 01/10/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe

C:\Documents and Settings\Usuario\Dados de aplicativos\seres.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

C:\Documents and Settings\Usuario\Dados de aplicativos\svcst.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

C:\Arquivos de programas\Firebird\Firebird_2_1\bin\fbguard.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Arquivos de programas\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Firebird\Firebird_2_1\bin\fbserver.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Arquivos de programas\Windows Live\Toolbar\wltuser.exe

C:\Documents and Settings\Usuario\Meus documentos\ERNANI - ENDEMIAS\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Arquivos de programas\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll

O2 - BHO: DirecX - {83FDA784-0154-418F-810B-F1839272C361} - C:\WINDOWS\system32\DirectX\Dinput\diagx3d.dll (file missing)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [restorer32_a] C:\Documents and Settings\Usuario\restorer32_a.exe

O4 - HKCU\..\Run: [mserv] C:\Documents and Settings\Usuario\Dados de aplicativos\seres.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [svchost] C:\Documents and Settings\Usuario\Dados de aplicativos\svcst.exe

O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: uecupd32.exe

O8 - Extra context menu item: Abrir em uma nova guia do plano de fundo - res://C:\Arquivos de programas\Windows Live Toolbar\Components\pt-br\msntabres.dll.mui/229?1c0caf2e1b98477d878779d8eb195ecb

O8 - Extra context menu item: Abrir em uma nova guia do primeiro plano - res://C:\Arquivos de programas\Windows Live Toolbar\Components\pt-br\msntabres.dll.mui/230?1c0caf2e1b98477d878779d8eb195ecb

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1253560491703

O17 - HKLM\System\CCS\Services\Tcpip\..\{7B88CD75-2417-4342-B81B-D510C3B2923B}: Domain = saude.ce.gov.br

O17 - HKLM\System\CCS\Services\Tcpip\..\{7B88CD75-2417-4342-B81B-D510C3B2923B}: NameServer = 208.67.222.222

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - Firebird Project - C:\Arquivos de programas\Firebird\Firebird_2_1\bin\fbguard.exe

O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - Firebird Project - C:\Arquivos de programas\Firebird\Firebird_2_1\bin\fbserver.exe

O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\Arquivos de programas\Borland\InterBase\bin\ibguard.exe

O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\Arquivos de programas\Borland\InterBase\bin\ibserver.exe

 

--

End of file - 6874 bytes

[MGuitar 11]

- Faça o download do '>http://www.malwarebytes.org/mbam/program/mbam-setup.exe"]Malwarebytes Anti-Malware e salve-o no desktop;

 

● Dê dois cliques no programa para iniciar a instalação. Selecione o idioma Português (Brasil);

● Ao final da instalação, marque as opções "Atualizar Malwarebytes Anti-Malware" e "Executar Malwarebytes Anti-Malware", e clique em Concluir;

● Após a instalação execute o programa;

● Marque a opção Verificação Completa e depois clique em Verificar. Selecione sua unidade C: e clique no botão Iniciar Verificação;

● Quando o scan terminar, clique em OK e o log será automaticamente aberto para você;

● Se algo for detectado, verifique se todos os itens estão marcados e clique no botão Remover.

OBS: Caso apareça uma mensagem pedindo para que você reinicie o computador para completar o processo de remoção, reinicie-o imediatamente;

● O log pode ser consultado clicando em Logs do menu principal também;

 

 

2ª Etapa

 

- Faça o download do '>http://download.bleepingcomputer.com/sUBs/ComboFix.exe"]ComboFix e antes de salvar no desktop, renomeie-o para svchost.exe, conforme a imagem abaixo e então salve-o:

 

 

● Desative temporariamente o seu antivirus para não detectar a ferramenta como vírus;

● Duplo clique em svchost.exe para iniciar o scan;

● Leia o contrato que aparecerá e clique em Sim para continuar;

● Abrirá uma janela do Console de Recuperação, clique em Sim para instalar. Se aparecer outra janela do Console, clique em OK > Sim;

● Aguarde enquanto o ComboFix faz o scan;

● Se ocorrer algum problema durante o scan, reinicie seu computador em Modo de Segurança e repita o procedimento;

● Não clique na janela do ComboFix e procure não utilizar o teclado também, para não atrapalhar a varredura da ferramenta;

● Se quiser sair ou parar o ComboFix, tecle N;

● Quando terminar seu micro será reiniciado. Após o reinicio, a ferramenta executará novamente, aguarde;

● Será gerado um log em C:\ComboFix.txt.

 

 

Em sua próxima resposta, cole os logs do Malwarebytes e ComboFix.

[o_pensador 0]

- Faça o download do '>http://www.malwarebytes.org/mbam/program/mbam-setup.exe"]Malwarebytes Anti-Malware e salve-o no desktop;

 

● Dê dois cliques no programa para iniciar a instalação. Selecione o idioma Português (Brasil);

● Ao final da instalação, marque as opções "Atualizar Malwarebytes Anti-Malware" e "Executar Malwarebytes Anti-Malware", e clique em Concluir;

● Após a instalação execute o programa;

● Marque a opção Verificação Completa e depois clique em Verificar. Selecione sua unidade C: e clique no botão Iniciar Verificação;

● Quando o scan terminar, clique em OK e o log será automaticamente aberto para você;

● Se algo for detectado, verifique se todos os itens estão marcados e clique no botão Remover.

OBS: Caso apareça uma mensagem pedindo para que você reinicie o computador para completar o processo de remoção, reinicie-o imediatamente;

● O log pode ser consultado clicando em Logs do menu principal também;

 

 

2ª Etapa

 

- Faça o download do '>http://download.bleepingcomputer.com/sUBs/ComboFix.exe"]ComboFix e antes de salvar no desktop, renomeie-o para svchost.exe, conforme a imagem abaixo e então salve-o:

 

 

● Desative temporariamente o seu antivirus para não detectar a ferramenta como vírus;

● Duplo clique em svchost.exe para iniciar o scan;

● Leia o contrato que aparecerá e clique em Sim para continuar;

● Abrirá uma janela do Console de Recuperação, clique em Sim para instalar. Se aparecer outra janela do Console, clique em OK > Sim;

● Aguarde enquanto o ComboFix faz o scan;

● Se ocorrer algum problema durante o scan, reinicie seu computador em Modo de Segurança e repita o procedimento;

● Não clique na janela do ComboFix e procure não utilizar o teclado também, para não atrapalhar a varredura da ferramenta;

● Se quiser sair ou parar o ComboFix, tecle N;

● Quando terminar seu micro será reiniciado. Após o reinicio, a ferramenta executará novamente, aguarde;

● Será gerado um log em C:\ComboFix.txt.

 

 

Em sua próxima resposta, cole os logs do Malwarebytes e ComboFix.

 

Segue o LOG ...

 

Malwarebytes' Anti-Malware 1.41

Versão do banco de dados: 2892

Windows 5.1.2600 Service Pack 2

 

02/10/2009 09:34:31

mbam-log-2009-10-02 (09-34-26).txt

 

Tipo de Verificação: Completa (C:\|)

Objetos verificados: 134586

Tempo decorrido: 20 minute(s), 53 second(s)

 

Processos da Memória infectados: 2

Módulos de Memória Infectados: 0

Chaves do Registro infectadas: 5

Valores do Registro infectados: 9

Ítens do Registro infectados: 4

Pastas infectadas: 0

Arquivos infectados: 29

 

Processos da Memória infectados:

C:\Documents and Settings\Usuario\Dados de aplicativos\seres.exe (Trojan.Agent) -> No action taken.

C:\Documents and Settings\Usuario\Dados de aplicativos\svcst.exe (Trojan.Agent) -> No action taken.

 

Módulos de Memória Infectados:

(Nenhum ítem malicioso foi detectado)

 

Chaves do Registro infectadas:

HKEY_CLASSES_ROOT\CLSID\{bb4c402f-882a-4526-8c08-51278ea437c1} (Spyware.OnlineGames) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{83fda784-0154-418f-810b-f1839272c361} (Trojan.Banker) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{83fda784-0154-418f-810b-f1839272c361} (Trojan.Banker) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83fda784-0154-418f-810b-f1839272c361} (Trojan.Banker) -> No action taken.

 

Valores do Registro infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{bb4c402f-882a-4526-8c08-51278ea437c1} (Spyware.OnlineGames) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mserv (Trojan.Agent) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost (Trojan.Agent) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\restorer32_a (Trojan.FakeAlert) -> No action taken.

HKEY_CURRENT_USER\Control Panel\don't load\scui.cpl (Hijack.SecurityCenter) -> No action taken.

HKEY_CURRENT_USER\Control Panel\don't load\wscui.cpl (Hijack.SecurityCenter) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\csrcs (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Antivirus Pro 2010 (Rogue.AntiVirusPro2010) -> No action taken.

 

Ítens do Registro infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe csrcs.exe) Good: (Explorer.exe) -> No action taken.

 

Pastas infectadas:

(Nenhum ítem malicioso foi detectado)

 

Arquivos infectados:

C:\Documents and Settings\Usuario\Configurações locais\Temp\~TM14.tmp (Trojan.Agent) -> No action taken.

C:\Documents and Settings\Usuario\Configurações locais\Temp\msupd_2.exe (Trojan.FakeAlert) -> No action taken.

C:\Documents and Settings\Usuario\Configurações locais\Temporary Internet Files\Content.IE5\2HKTLVTU\Install[1].VIR (Trojan.FakeAlert) -> No action taken.

C:\Documents and Settings\Usuario\Configurações locais\Temporary Internet Files\Content.IE5\OU4JBVHJ\Install[1].exe (Trojan.FakeAlert) -> No action taken.

C:\Documents and Settings\Usuario\Dados de aplicativos\lizkavd.exe (Trojan.FakeAlert) -> No action taken.

C:\Documents and Settings\Usuario\Menu Iniciar\Programas\Inicializar\uecupd32.exe (Trojan.Agent) -> No action taken.

C:\System Volume Information\_restore{76D4DB21-F64E-4C00-8B17-49ECBB7F7437}\RP3\A0010222.cpl (Trojan.FakeAlert) -> No action taken.

C:\System Volume Information\_restore{76D4DB21-F64E-4C00-8B17-49ECBB7F7437}\RP5\A0010308.exe (Trojan.Bredolab) -> No action taken.

C:\System Volume Information\_restore{76D4DB21-F64E-4C00-8B17-49ECBB7F7437}\RP5\A0011311.cpl (Trojan.FakeAlert) -> No action taken.

C:\System Volume Information\_restore{76D4DB21-F64E-4C00-8B17-49ECBB7F7437}\RP5\A0012323.exe (Trojan.FakeAlert) -> No action taken.

C:\System Volume Information\_restore{76D4DB21-F64E-4C00-8B17-49ECBB7F7437}\RP5\A0012331.exe (Trojan.FakeAlert) -> No action taken.

C:\System Volume Information\_restore{76D4DB21-F64E-4C00-8B17-49ECBB7F7437}\RP5\A0012332.cpl (Trojan.FakeAlert) -> No action taken.

C:\WINDOWS\pss\uecupd32.exeStartup (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\_scui.cpl (Trojan.FakeAlert) -> No action taken.

C:\Documents and Settings\Usuario\Dados de aplicativos\seres.exe (Trojan.Agent) -> No action taken.

C:\Documents and Settings\Usuario\Dados de aplicativos\svcst.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\restorer32_a.exe (Trojan.FakeAlert) -> No action taken.

C:\Documents and Settings\Usuario\Dados de aplicativos\evegowel.dll (Trojan.Agent) -> No action taken.

C:\Documents and Settings\Usuario\Dados de aplicativos\wiaserva.log (Malware.Trace) -> No action taken.

C:\Documents and Settings\Usuario\Dados de aplicativos\wiaservg.log (Malware.Trace) -> No action taken.

C:\Documents and Settings\Usuario\Configurações locais\Temp\BN16.tmp (Trojan.Agent) -> No action taken.

C:\Documents and Settings\Usuario\Configurações locais\Temp\BN17.tmp (Trojan.Agent) -> No action taken.

C:\Documents and Settings\Usuario\Configurações locais\Temp\BN18.tmp (Trojan.Agent) -> No action taken.

C:\Documents and Settings\Usuario\Configurações locais\Temp\BN19.tmp (Trojan.Agent) -> No action taken.

C:\Documents and Settings\Usuario\Configurações locais\Temp\BN1A.tmp (Trojan.Agent) -> No action taken.

C:\Documents and Settings\Usuario\Configurações locais\Temp\BN1B.tmp (Trojan.Agent) -> No action taken.

C:\Documents and Settings\Usuario\Configurações locais\Temp\tmpwr2 (Rogue.Installer) -> No action taken.

C:\Documents and Settings\Usuario\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.

C:\WINDOWS\AhnRpta.exe (Trojan.Backdoor) -> No action taken.

 

 

Agora o LOG do COMBOFIX:

 

ComboFix 09-10-01.01 - Usuario 02/10/2009 9:46.1.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.503.244 [GMT -3:00]

Executando de: c:\documents and settings\Usuario\Desktop\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

.

 

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\arquivos de programas\Arquivos comuns\acebesaf.ban

c:\arquivos de programas\Arquivos comuns\elyf.dll

c:\arquivos de programas\Arquivos comuns\ifav.dl

c:\arquivos de programas\Arquivos comuns\iqywaqubez.com

c:\arquivos de programas\Arquivos comuns\ixifobe.ban

c:\arquivos de programas\Arquivos comuns\pedyn.bin

c:\arquivos de programas\Arquivos comuns\qalive.dll

c:\arquivos de programas\Arquivos comuns\rycyve.sys

c:\arquivos de programas\Arquivos comuns\tehadyfyl.scr

c:\arquivos de programas\Arquivos comuns\ukegysedy.inf

c:\arquivos de programas\Arquivos comuns\vuwa.inf

c:\arquivos de programas\Arquivos comuns\winy.exe

c:\arquivos de programas\Arquivos comuns\yqisekuha.bin

c:\arquivos de programas\Arquivos comuns\zaki.dl

c:\documents and settings\All Users\Dados de aplicativos\idedigigi.dl

c:\documents and settings\All Users\Dados de aplicativos\jaxoryvaq.scr

c:\documents and settings\All Users\Dados de aplicativos\pivax.scr

c:\documents and settings\All Users\Dados de aplicativos\qyfyku.dl

c:\documents and settings\All Users\Dados de aplicativos\sobihapyl._dl

c:\documents and settings\All Users\Dados de aplicativos\umytaryki.inf

c:\documents and settings\All Users\Dados de aplicativos\uselec.inf

c:\documents and settings\All Users\Dados de aplicativos\yciquvo.sys

c:\documents and settings\All Users\Documentos\axin.reg

c:\documents and settings\All Users\Documentos\cadedexax._dl

c:\documents and settings\All Users\Documentos\epubiginon.inf

c:\documents and settings\All Users\Documentos\erisakyk.ban

c:\documents and settings\All Users\Documentos\ladido.reg

c:\documents and settings\All Users\Documentos\urazod.com

c:\documents and settings\All Users\Documentos\xadijaf.pif

c:\documents and settings\All Users\Documentos\xyfidif.pif

c:\documents and settings\All Users\Documentos\yfydi.bin

c:\documents and settings\Usuario\Configura‡äes locais\Dados de aplicativos\qamelod.reg

c:\documents and settings\Usuario\Configura‡äes locais\Dados de aplicativos\qewafy.inf

c:\documents and settings\Usuario\Configura‡äes locais\Dados de aplicativos\tymuc.inf

c:\documents and settings\Usuario\Configura‡äes locais\Dados de aplicativos\urajiqy.vbs

c:\documents and settings\Usuario\Configura‡äes locais\Dados de aplicativos\ynycijo.reg

c:\documents and settings\Usuario\Dados de aplicativos\emepacal.ban

c:\documents and settings\Usuario\Dados de aplicativos\hazoqu._sy

c:\documents and settings\Usuario\Dados de aplicativos\jezaziju.inf

c:\documents and settings\Usuario\Dados de aplicativos\qacy.dl

c:\documents and settings\Usuario\Dados de aplicativos\qybaqyca._sy

c:\documents and settings\Usuario\Dados de aplicativos\wywejepufu.sys

c:\documents and settings\Usuario\Dados de aplicativos\yjoduza.dl

c:\windows\goqebejybi.bin

c:\windows\Installer\851006.msi

c:\windows\jucysaza.pif

c:\windows\oqopuwuh.bin

c:\windows\oqubu.reg

c:\windows\osaqe.inf

c:\windows\system32\404Fix.exe

c:\windows\system32\Agent.OMZ.Fix.exe

c:\windows\system32\AutoRun.inf

c:\windows\system32\Cache

c:\windows\system32\dumphive.exe

c:\windows\system32\IEDFix.C.exe

c:\windows\system32\IEDFix.exe

c:\windows\system32\ityg.sys

c:\windows\system32\myniziwem.dll

c:\windows\system32\o4Patch.exe

c:\windows\system32\onybogaxu.pif

c:\windows\system32\Process.exe

c:\windows\system32\raxawyhu.vbs

c:\windows\system32\SrchSTS.exe

c:\windows\system32\tmp.reg

c:\windows\system32\uwidunug.reg

c:\windows\system32\VACFix.exe

c:\windows\system32\VCCLSID.exe

c:\windows\system32\wibupunul.reg

c:\windows\system32\WS2Fix.exe

c:\windows\system32\zukewojupy.reg

c:\windows\tykanidu.pif

c:\windows\ufequ.pif

c:\windows\ugubowadis.bin

c:\windows\uzyh.reg

c:\windows\wehoc._dl

c:\windows\xajefife.bin

c:\windows\xasahuzoj.vbs

c:\windows\ygibyzev.bin

c:\windows\ytegi.dl

c:\windows\zixequjy._dl

c:\windows\zybidimy.bat

 

.

(((((((((((((((( Arquivos/Ficheiros criados de 2009-09-02 to 2009-10-02 ))))))))))))))))))))))))))))

.

 

2009-10-02 11:56 . 2009-10-02 11:56 -------- d-----w- c:\documents and settings\Usuario\Dados de aplicativos\Malwarebytes

2009-10-02 11:56 . 2009-09-10 17:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-10-02 11:56 . 2009-10-02 11:56 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

2009-10-02 11:56 . 2009-09-10 17:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-10-02 11:56 . 2009-10-02 12:34 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware

2009-10-01 13:11 . 2009-10-01 16:40 -------- d-----w- c:\arquivos de programas\Spybot - Search & Destroy

2009-10-01 13:11 . 2009-10-01 16:38 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Spybot - Search & Destroy

2009-10-01 12:12 . 2009-07-28 19:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2009-10-01 12:12 . 2009-03-30 13:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys

2009-10-01 12:12 . 2009-02-13 15:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2009-10-01 12:12 . 2009-02-13 15:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2009-10-01 12:12 . 2009-10-01 12:12 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Avira

2009-10-01 12:12 . 2009-10-01 12:12 -------- d-----w- c:\arquivos de programas\Avira

2009-09-30 19:07 . 2009-09-30 19:07 19262 ----a-w- c:\windows\system32\gudinumaw.dat

2009-09-30 19:07 . 2009-09-30 19:07 13972 ----a-w- c:\windows\rosetedyq.com

2009-09-30 19:06 . 2009-09-30 19:06 11712 ----a-w- c:\windows\system32\azoker.dat

2009-09-29 13:25 . 2009-09-29 13:25 17084 ----a-w- c:\windows\adafisekas.com

2009-09-29 13:25 . 2009-09-29 13:25 15649 ----a-w- c:\windows\qidygerix.com

2009-09-29 13:25 . 2009-09-29 13:25 15343 ----a-w- c:\windows\upyko.dat

2009-09-29 12:25 . 2009-09-29 12:25 26836 ----a-w- C:\tjwn.exe

2009-09-29 12:25 . 2009-09-29 12:25 105984 ----a-w- C:\vivfqcpr.exe

2009-09-23 18:51 . 2009-09-23 18:51 -------- d-----w- c:\windows\system32\pt-br

2009-09-21 19:38 . 2009-09-30 19:15 -------- d-----w- c:\documents and settings\Usuario\Tracing

2009-09-21 19:38 . 2009-09-21 19:38 -------- d-----w- c:\arquivos de programas\Microsoft Sync Framework

2009-09-21 19:37 . 2009-09-21 19:37 -------- d-----w- c:\arquivos de programas\Microsoft

2009-09-21 19:37 . 2009-09-21 19:37 -------- d-----w- c:\arquivos de programas\Windows Live SkyDrive

2009-09-21 19:36 . 2009-09-21 19:38 -------- d-----w- c:\arquivos de programas\Windows Live

2009-09-21 19:26 . 2009-09-21 19:26 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Windows Live

2009-09-16 13:13 . 2008-04-23 11:45 393216 ----a-r- c:\windows\system32\FBCLIENT.DLL

2009-09-16 13:09 . 2009-10-01 13:04 -------- d-----w- c:\arquivos de programas\Console

2009-09-16 13:04 . 2009-09-16 13:04 -------- d-----w- C:\sim_localIguatu

2009-09-16 13:03 . 2009-09-16 13:04 -------- d-----w- C:\sinasc_localIguatu

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-10-02 10:36 . 2009-10-02 10:36 10560 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\donavy.dat

2009-09-30 19:06 . 2009-09-30 19:06 16837 ----a-w- c:\arquivos de programas\Arquivos comuns\lixoqa.db

2009-09-30 19:06 . 2009-09-30 19:06 11238 ----a-w- c:\arquivos de programas\Arquivos comuns\zadatyti.lib

2009-09-29 13:25 . 2009-09-29 13:25 14148 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\yhanuqasip.dat

2009-09-29 13:25 . 2009-09-29 13:25 10174 ----a-w- c:\arquivos de programas\Arquivos comuns\yruzupuzok.db

2009-09-28 17:56 . 2009-02-20 16:41 -------- d-----w- c:\documents and settings\Usuario\Dados de aplicativos\U3

2009-09-21 19:38 . 2008-12-29 12:46 -------- d-----w- c:\arquivos de programas\Windows Live Toolbar

2009-09-16 13:10 . 2009-01-12 17:42 -------- d-----w- c:\arquivos de programas\Exportação e Importação SIM

2009-08-06 22:23 . 2007-12-21 23:37 209624 ----a-w- c:\windows\system32\wuweb.dll

2009-07-26 19:44 . 2009-07-26 19:44 48448 ----a-w- c:\windows\system32\sirenacm.dll

1999-04-01 18:53 . 1999-04-01 18:53 99840 ----a-w- c:\arquivos de programas\Arquivos comuns\IRAABOUT.DLL

1998-12-09 04:53 . 1998-12-09 04:53 70144 ----a-w- c:\arquivos de programas\Arquivos comuns\IRAMDMTR.DLL

1998-12-09 04:53 . 1998-12-09 04:53 48640 ----a-w- c:\arquivos de programas\Arquivos comuns\IRALPTTR.DLL

1998-12-09 04:53 . 1998-12-09 04:53 31744 ----a-w- c:\arquivos de programas\Arquivos comuns\IRAWEBTR.DLL

1998-12-09 04:53 . 1998-12-09 04:53 186368 ----a-w- c:\arquivos de programas\Arquivos comuns\IRAREG.DLL

1998-12-09 04:53 . 1998-12-09 04:53 17920 ----a-w- c:\arquivos de programas\Arquivos comuns\IRASRIAL.DLL

2009-02-02 12:18 . 2009-02-02 12:23 1696 --sha-r- c:\windows\system32\DirectX\Dinput\desktop.inf.dat

.

 

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpybotSD TeaTimer"="c:\arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-12 39792]

"avgnt"="c:\arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"Malwarebytes Anti-Malware (reboot)"="c:\arquivos de programas\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Microsoft Office.lnk]

path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\Microsoft Office.lnk

backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Symantec Fax Starter Edition Port.lnk]

path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\Symantec Fax Starter Edition Port.lnk

backup=c:\windows\pss\Symantec Fax Starter Edition Port.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^Usuario^Menu Iniciar^Programas^Inicializar^nhaupd32.exe]

path=c:\documents and settings\Usuario\Menu Iniciar\Programas\Inicializar\nhaupd32.exe

backup=c:\windows\pss\nhaupd32.exeStartup

 

[HKLM\~\startupfolder\C:^Documents and Settings^Usuario^Menu Iniciar^Programas^Inicializar^uecupd32.exe]

path=c:\documents and settings\Usuario\Menu Iniciar\Programas\Inicializar\uecupd32.exe

backup=c:\windows\pss\uecupd32.exeStartup

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Puxa Rápido\\PuxaRapido.exe"=

"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

"c:\\Arquivos de programas\\Microsoft Office\\Office\\1046\\WFXMSRVR.EXE"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"5319:TCP"= 5319:TCP:jhsmqd

 

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\arquivos de programas\Avira\AntiVir Desktop\sched.exe [01/10/2009 09:12 108289]

R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\arquivos de programas\Firebird\Firebird_2_1\bin\fbguard.exe [23/09/2009 15:57 81920]

R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\arquivos de programas\Firebird\Firebird_2_1\bin\fbserver.exe [23/09/2009 15:57 2723840]

S1 f8197570.sys;f8197570.sys;\??\c:\windows\System32\drivers\f8197570.sys --> c:\windows\System32\drivers\f8197570.sys [?]

S1 nmo24bd;nmo24bd;\??\c:\windows\System32\drivers\nmo24bd.sys --> c:\windows\System32\drivers\nmo24bd.sys [?]

S2 fqbpykfok;Task Image;c:\windows\system32\svchost.exe -k netsvcs [04/08/2004 00:45 14336]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

fqbpykfok

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.google.com.br/

IE: Abrir em uma nova guia do plano de fundo - c:\arquivos de programas\Windows Live Toolbar\Components\pt-br\msntabres.dll.mui/229?1c0caf2e1b98477d878779d8eb195ecb

IE: Abrir em uma nova guia do primeiro plano - c:\arquivos de programas\Windows Live Toolbar\Components\pt-br\msntabres.dll.mui/230?1c0caf2e1b98477d878779d8eb195ecb

IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\Office12\EXCEL.EXE/3000

TCP: {7B88CD75-2417-4342-B81B-D510C3B2923B} = 208.67.222.222

.

- - - - ORFÃOS REMOVIDOS - - - -

 

AddRemove-SimSinasc - c:\windows\uninstallsimsinasc.exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-10-02 09:49

Windows 5.1.2600 Service Pack 2 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fqbpykfok]

"ServiceDll"="c:\windows\system32\fheetrrj.dll"

.

--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]

"Enabled"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]

@Denied: (A 2) (Everyone)

@="IFlashBroker3"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

Tempo para conclusão: 2009-10-02 9:51

ComboFix-quarantined-files.txt 2009-10-02 12:51

 

Pré-execução: 22 pasta(s) 65.536.200.704 bytes disponíveis

Pós execução: 23 pasta(s) 65.680.379.904 bytes disponíveis

 

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

 

246 --- E O F --- 2008-12-30 18:50

[MGuitar 11]

C:\Documents and Settings\Usuario\Dados de aplicativos\seres.exe (Trojan.Agent) -> No action taken.

Você não removeu as infecções encontradas pelo Malwarebytes. Deveria ter marcado todos os itens, ao término do scan, e clicado no botão Remover - como o instruí anteriormente. No entanto, não alterou o nome do ComboFix - como também lhe foi instruído na segunda etapa.

 

 

Vá em Iniciar > Executar, digite sysdm.cpl e dê um OK. Clique na guia Restauração do Sistema, marque a opção "Desativar restauração do sistema" > OK. Mantenha, por enquanto, esta opção marcada.

 

Selecione e copie o texto abaixo. Cole dentro do Bloco de Notas de seu computador e salve-o no desktop como CFScript.txt

 

Snapshot::File::c:\windows\system32\gudinumaw.datc:\windows\rosetedyq.comc:\windows\system32\azoker.datc:\windows\adafisekas.comc:\windows\qidygerix.comc:\windows\upyko.datC:\tjwn.exeC:\vivfqcpr.exec:\documents and settings\All Users\Dados de aplicativos\donavy.datc:\arquivos de programas\Arquivos comuns\lixoqa.dbc:\arquivos de programas\Arquivos comuns\zadatyti.libc:\documents and settings\All Users\Dados de aplicativos\yhanuqasip.datc:\arquivos de programas\Arquivos comuns\yruzupuzok.dbc:\windows\system32\DirectX\Dinput\desktop.inf.datc:\documents and settings\Usuario\Menu Iniciar\Programas\Inicializar\nhaupd32.exec:\windows\pss\nhaupd32.exec:\documents and settings\Usuario\Menu Iniciar\Programas\Inicializar\uecupd32.exec:\windows\pss\uecupd32.exec:\windows\System32\drivers\f8197570.sysc:\windows\System32\drivers\nmo24bd.sysc:\windows\system32\fheetrrj.dllRegistry::[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fqbpykfok]Driver::f8197570.sysnmo24bdfqbpykfokNetSvc::fqbpykfok

Arraste o CFScript para o ComboFix como na imagem aqui abaixo e aguarde a execução automática da ferramenta:

 

 

● Se for solicitado à você, pressione Enter para iniciar o processo de remoção;

● Não use o mouse nem o teclado quando o ComboFix estiver rodando;

● Quando terminar, será gerado um novo log que estará em C:\ComboFix.txt;

● Talvez seu computador seja reiniciado automaticamente. Caso não ocorra, reinicie-o manualmente.

 

Na sua próxima resposta, cole o ComboFix.txt e um novo log do HijackThis.

[Mário Monteiro 179]

PROBLEMA RESOLVIDO!

 

Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico.

 

PS: O tópico estava arquivado mas o membro informou via MP que o mesmo foi resolvido