[Resolvido!] Janelas do IE abrem sozinhas

[DigRam 144]

Boa Noite! Rodrigo Rocha RJ

 

<!> O arquivo que deveria ser removido,pelo KillBox,seria este:

 

< C:\WINDOWS\system32\wintems.exe >

 

<@> Clique no X e,na pergunta,diga Não!

<!> Mude essa instrução: Diga Sim,confirmando o reboot!

<!> Ps: Não esqueça os fixes nas entradas,com o HijackThis.

°°°°°°°°°°°°°°°°°°°°°°°°

°°°°°°°°°°°°°°°°°°°°°°°°

<!> Poste os relatórios: kb.log + HijackThis atualizado.

 

Abraços!

[Rodrigo Rocha RJ 0]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:48: Rodrigo, on 21/12/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\ARQUIV~1\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe

C:\Arquivos de programas\Intel\NCS\PROSet\PRONoMgr.exe

C:\WINDOWS\system32\igfxtray.exe

C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

C:\Arquivos de programas\Oi Velox\Manager\desp2k.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe

C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Windows Media Player\wmplayer.exe

C:\Arquivos de programas\Hijack This\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Arquivos de programas\HP\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Arquivos de programas\HP\Smart Web Printing\hpswp_framework.dll

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\Arquivos de programas\Scpad\scpsssh2.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - c:\program files\real\realplayer\rpbrowserrecordplugin.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Arquivos de programas\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Arquivos de programas\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Arquivos de programas\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Arquivos de programas\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll

O2 - BHO: G-Buster Browser Defense Unibanco - {C41A1C0E-EA6C-11D4-B1B8-444553540008} - C:\ARQUIV~1\GbPlugin\gbiehuni.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Arquivos de programas\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Arquivos de programas\Intel\NCS\PROSet\PRONoMgr.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NBKeyScan] "C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [desp2k] C:\Arquivos de programas\Oi Velox\Manager\desp2k.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [eSnips] "C:\Arquivos de programas\eSnips\ClientGW.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NBJ] "C:\Arquivos de programas\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [swg] "C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Recorte de tela e Iniciador do OneNote 2007.lnk = C:\Arquivos de programas\Microsoft Office\Office12\ONENOTEM.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Arquivos de programas\MP3 Player Utilities 4.00\AMVConverter\grab.html

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Arquivos de programas\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html

O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Arquivos de programas\MP3 Player Utilities 4.00\MediaManager\grab.html

O9 - Extra button: Incluir no Blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Incluir no Blog no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Livro de recortes HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Arquivos de programas\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Seleção HP Smart - {700259D7-1666-479a-93B1-3250410481E8} - C:\Arquivos de programas\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file:///C:/Arquivos%20de%20programas/Bejeweled%202/Images/stg_drm.ocx

O16 - DPF: {31CB2F01-72C2-4CF4-B265-450E8817B039} (Toontown IE Helper Portuguese) - http://idownload.br.toontown.com/sv1.4.22.6/ttinst-portuguese.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.oifotos.com/custom/send3/ImageUploader5.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file:///C:/Arquivos%20de%20programas/Bejeweled%202/Images/armhelper.ocx

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399008} (GbPluginObj Class) - https://clickbanking.unibanco.com.br/GbPlugin/cab/GbPluginUni.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{27D4895C-B9D5-4547-BE37-98EB075148C3}: NameServer = 200.149.55.140 200.165.132.147

O17 - HKLM\System\CS4\Services\Tcpip\..\{27D4895C-B9D5-4547-BE37-98EB075148C3}: NameServer = 200.149.55.140 200.165.132.147

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Arquivos de programas\Microsoft Office\Office12\GrooveSystemServices.dll

O20 - Winlogon Notify: GbPluginUni - C:\ARQUIV~1\GbPlugin\gbiehuni.dll

O21 - SSODL: CompIBBrd - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll

O22 - SharedTaskScheduler: scpLIB - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

 

--

End of file - 12454 bytes

////////////\\\\\\\\\\\\

Pocket Killbox version 2.0.0.978

Running on Windows XP as Rodrigo Rocha(Administrator)

was started @ domingo, dezembro 20, 2009, 4:34 PM

 

Killbox Closed(Exit) @ 4:36:04 PM

__________________________________________________

 

Pocket Killbox version 2.0.0.978

Running on Windows XP as Rodrigo Rocha(Administrator)

was started @ domingo, dezembro 20, 2009, 4:36 PM

 

Killbox Closed(Exit) @ 4:37:39 PM

__________________________________________________

 

Pocket Killbox version 2.0.0.978

Running on Windows XP as Rodrigo Rocha(Administrator)

was started @ domingo, dezembro 20, 2009, 4:37 PM

 

Killbox Closed(Exit) @ 4:43:52 PM

__________________________________________________

 

Pocket Killbox version 2.0.0.978

Running on Windows XP as Rodrigo Rocha(Administrator)

was started @ domingo, dezembro 20, 2009, 4:44 PM

 

# 1 [Delete on Reboot]

Path = C:\Arquivos de programas\Spybot - Search & Destroy\blindman.exe

 

 

# 2 [Delete on Reboot]

Path = C:\Arquivos de programas\Spybot - Search & Destroy\Update.exe

 

 

# 3 [Delete on Reboot]

Path = C:\Arquivos de programas\Spybot - Search & Destroy\blindman.exe

 

 

# 4 [Delete on Reboot]

Path = C:\Arquivos de programas\Spybot - Search & Destroy\Update.exe

 

 

Killbox Closed(Exit) @ 4:57:17 PM

__________________________________________________

 

Pocket Killbox version 2.0.0.978

Running on Windows XP as Rodrigo Rocha(Administrator)

was started @ segunda-feira, dezembro 21, 2009, 12:58 PM

 

Killbox Closed(Exit) @ 1:13:47 PM

__________________________________________________

 

Pocket Killbox version 2.0.0.978

Running on Windows XP as Rodrigo Rocha(Administrator)

was started @ segunda-feira, dezembro 21, 2009, 1:13 PM

 

# 1 [Delete on Reboot]

Path = C:\WINDOWS\system32\wintems.exe

 

 

Killbox Closed(Exit) @ 1:14:21 PM

__________________________________________________

[DigRam 144]

Boa Tarde! Rodrigo Rocha RJ

 

<@> Baixe: < > ( ...by sUBs )

 

<!> Link-2 --> < ForoSpyware >

 

<!> Link-3 --> < GeeksToGo >

 

<!> Link-4 --> < como usar o combofix >

 

<@> Salve-o no desktop!

<@> Desabilite as proteções residente de: antivírus,antispywares e firewall. ( Menos o do Windows! )

<@> Feche todas as janelas e execute a ferramenta!

 

<@> Ps: A execução,por comando,também é possível:

<@> Vá em Iniciar --> Executar --> Digite ou cole: "%userprofile%\desktop\Combofix.exe" /killall

 

 

<@> Clique em Ok.

<@> Na solicitação: "Negação de garantia de software" --> Clique em Sim!

 

 

<@> Não possuindo o "Console de Recuperação",aceite optar pela instalação do mesmo!

<@> Terminando,clique Sim ou Yes. --> Aguarde!

 

<!> Caso aconteça a notificação de: Aplicativo Win32 inválido,delete a ferramenta ComboFix.exe e faça,novamente,seu download.

<!> Salve-a no desktop,renomeada como: Kombo.exe

<!> Ps: Nomeie durante o salvamento,e não após salvá-la!

<!> Ps: Surgindo alguma mensagem de erro,rode o ComboFix.exe em "Modo de Segurança". <-- Link!

<!> Ps: Na presença de atividades rootkit,teremos a seguinte janela de notificação:

 

 

<!> Ps: Anote essas detecções,e dê o OK.

<!> Ps: Para completar as remoções,talvez haja necessidade da ferramenta reiniciar o computador. <-- Aguarde!

<!> Ps: Evite executar,voluntariamente,esta ferramenta!

<!> Ps: Para evitar problemas,siga todas as recomendações propostas.

<!> O ComboFix é uma ferramenta que pode danificar o sistema. Utilize-o,somente,sob supervisão profissional.

<@> Abrir-se-á a janela Auto Scan. --> Aguarde!

<@> Àfim de completar as remoções,o ComboFix poderá reiniciar o computador.

<@> Se houver necessidade,digite a opção para continuar! --> ( 1 ) --> Aperte Enter! --> Aguarde a conclusão!

<@> Durante o scan,evite manusear o mouse ou teclado! <-- Importante!

<@> Para parar ou sair do ComboFix,tecle "N" ou "2" --> Aperte Enter!

<><><><><><><><><><><><>

<@> Terminando,poste os relatórios: C:\ComboFix.txt + HijackThis,atualizado.

 

Abraços!

[Rodrigo Rocha RJ 0]

Boa Noite, DigRam.

 

O Avira detectou alguma coisa em

 

C:\documents and Settings\Rodrigo Rocha\Configurações locais\...\Av-test.txt constais code of the Eicar-Test-signature virus

 

O que fazer?

 

 

Ps.: Estou parado nessa tela esperando orientação.

[DaniieL™ 0]

Opa! Rodrigo Rocha RJ

 

Sobre a sua detecção Clique em IGNORE

e conclua e um Falso Positivo

e um arquivo que simula um virus mais realmente

não lhe causara problemas pode ficar sussegado.

 

 

OBS.: DigRam pode excluir meu post como preferir

e perdoe-me pela invasão no topíco ja existente

mais so postei porque o menbro precisava de auxilio

rapido e você nao se encontrava online no momento ..

 

Um abraço, meu amigo.

[Rodrigo Rocha RJ 0]

Olá amigo, obrigado.

 

Acredito que o DigRam não se importará mas já tinha dado uma pesquisada sobre o detecção e vi que era um falso positivo..

 

O ignorei por 2 vezes mas agora recebo nova notificação sobre o HEUR.HTML.Malware.... É também um falso?

 

Em c:\ComboFix\ClsidFiles

[DaniieL™ 0]

Opa! Rodrigo Rocha RJ

 

Cuidado envie-o para quarentena e espere instruções do DigRam

esse é um verdadeiro Malware eu ja fui infectado por ele

e o DigRam me ajudou a me livrar veja no meu antigo topico

abaixo

 

:seta: '>http://forum.imasters.com.br/index.php?/topic/372581-malware-de-volta/page__p__1434394__fromsearch__1entry1434394"]Heur.HTML.Malware

 

só de uma olhada nao execute nenhum procedimento semelhante

espere as instruções do DigRam ele te aconselhará sobre o que será

feito para a remoção desse Malware.

 

<!>Ps: Encerro as suas duvidas por aqui, estou interferindo no trabalho

de um moderador e não é certo.

 

Sem Mais!

w.storm

 

OBS.: DigRam já sabes o motivo de eu estar interferindo

no seu topico perdoe-me, só fiz um pequeno exclarecimento

ao menbro continue daqui o seu trabalho.

Grato!

 

Um abraço.

[Rodrigo Rocha RJ 0]

Caro DigRam,

 

Resolvi colocar o arquivo em quarentena e depois de algumas coisitas recebo a seguinte resposta:

 

"Este aplicativo não pode ser iniciado porque não foi encontrado wpcap.dll. A reinstalação do aplicativo pode corrigir o problema."

 

O que fazer?

[DigRam 144]

Caro DigRam,

 

Resolvi colocar o arquivo em quarentena e depois de algumas coisitas recebo a seguinte resposta:

 

"Este aplicativo não pode ser iniciado porque não foi encontrado wpcap.dll. A reinstalação do aplicativo pode corrigir o problema."

 

O que fazer?

Opa! Rodrigo Rocha RJ

 

<!> Se estas notificações de seu antivírus,que deveria estar desabilitado,ocorreram após rodar o ComboFix,então estaremos com falsos positivo e os arquivos erroneamente quarantinados.

<!> Portanto,vá a quarentena do Avira e restaure essas detecções após ter executado a ferramenta.

<!> Reinicie o computador!

 

"Este aplicativo não pode ser iniciado porque não foi encontrado wpcap.dll. A reinstalação do aplicativo pode corrigir o problema."

<!> Desinstale,completamente,seu discador Oi Velox e depois instale-o novamente.

°°°°°°°°°°°°°°°°°°°°°°°

°°°°°°°°°°°°°°°°°°°°°°°

<@> Poste o 1° relatório do ComboFix,em sua execução.

 

Abraços!

[Rodrigo Rocha RJ 0]

Tá aí DigRam, o primeiro relatório gerado...

 

 

 

ComboFix 09-12-20.08 - Rodrigo Rocha 21/12/2009 21:42:21.1.1 - x86

Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.495.107 [GMT -2:00]

Executando de: c:\documents and settings\Rodrigo Rocha\Desktop\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

 

ATENÇAO - ESTA MAQUINA NAO TEM O CONSOLE DE RECUPERAÇÃO INSTALADA !!

.

ADS - drivers: deleted 208 bytes in 1 streams.

 

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\arquiv~1\GbPlugin\gbiehuni.dll

c:\documents and settings\Rodrigo Rocha\Dados de aplicativos\inst.exe

C:\InfoSat.txt

c:\windows\system32\drivers\etc\lmhosts

c:\windows\system32\drivers\npf.sys

c:\windows\system32\Packet.dll

c:\windows\system32\pthreadVC.dll

c:\windows\system32\wpcap.dll

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_NPF

-------\Service_NPF

 

 

(((((((((((((((( Arquivos/Ficheiros criados de 2009-11-22 to 2009-12-22 ))))))))))))))))))))))))))))

.

 

2009-12-20 18:34 . 2009-12-20 18:57 -------- d-----w- C:\!KillBox

2009-12-20 13:29 . 2009-12-20 18:04 -------- d-----w- C:\UsbFix

2009-12-20 13:18 . 2009-04-14 03:28 14848 -c--a-w- c:\windows\system32\dllcache\register.exe.REN

2009-12-20 12:50 . 2009-12-20 13:19 -------- d-----w- C:\FindyKill

2009-12-18 15:29 . 2009-12-18 15:29 -------- d-----w- C:\_OTL

2009-12-17 15:00 . 2009-12-17 15:19 -------- d-----w- C:\Lop SD

2009-12-17 13:49 . 2009-12-21 15:43 -------- d-----w- c:\arquivos de programas\Hijack This

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-12-22 15:49 . 2008-06-04 02:42 -------- d-----w- c:\arquivos de programas\GbPlugin

2009-12-21 17:55 . 2009-08-19 03:12 -------- d-----w- c:\documents and settings\Rodrigo Rocha\Dados de aplicativos\BitTorrent

2009-12-20 19:12 . 2009-01-24 20:39 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Spybot - Search & Destroy

2009-12-20 18:58 . 2009-01-24 02:37 -------- d-----w- c:\arquivos de programas\Spybot - Search & Destroy

2009-12-20 13:21 . 2001-10-28 19:07 581130 ----a-w- c:\windows\system32\perfh016.dat

2009-12-20 13:21 . 2001-10-28 19:07 111032 ----a-w- c:\windows\system32\perfc016.dat

2009-12-16 16:42 . 2009-12-21 17:54 872960 ----a-w- c:\documents and settings\Rodrigo Rocha\Dados de aplicativos\Mozilla\Firefox\Profiles\r2xl5d0u.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll

2009-12-16 16:42 . 2009-12-21 17:54 43008 ----a-w- c:\documents and settings\Rodrigo Rocha\Dados de aplicativos\Mozilla\Firefox\Profiles\r2xl5d0u.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll

2009-12-16 16:42 . 2009-12-21 17:54 340480 ----a-w- c:\documents and settings\Rodrigo Rocha\Dados de aplicativos\Mozilla\Firefox\Profiles\r2xl5d0u.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll

2009-12-16 16:41 . 2009-12-21 17:54 346624 ----a-w- c:\documents and settings\Rodrigo Rocha\Dados de aplicativos\Mozilla\Firefox\Profiles\r2xl5d0u.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll

2009-12-10 16:27 . 2007-10-13 15:40 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Microsoft Help

2009-12-10 12:08 . 2008-05-05 23:56 -------- d---a-w- c:\documents and settings\All Users\Dados de aplicativos\TEMP

2009-12-08 11:29 . 2009-04-19 00:04 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2009-11-28 14:04 . 2008-07-17 22:45 150761 -c--a-w- c:\windows\hpoins15.dat

2009-11-26 00:58 . 2007-10-14 02:10 -------- d-----w- c:\arquivos de programas\Messenger Plus! Live

2009-11-19 01:34 . 2007-10-13 15:46 -------- d-----w- c:\arquivos de programas\Microsoft Works

2009-11-18 19:15 . 2009-11-17 19:57 -------- d-----w- c:\arquivos de programas\Microsoft Silverlight

2009-11-17 19:57 . 2009-11-17 19:51 -------- d-----w- c:\arquivos de programas\Microsoft

2009-11-17 19:56 . 2009-11-17 19:56 -------- d-----w- c:\arquivos de programas\Microsoft Office Outlook Connector

2009-11-17 19:56 . 2008-01-15 00:35 -------- d-----w- c:\arquivos de programas\Windows Live

2009-11-17 19:55 . 2009-11-17 19:55 -------- d-----w- c:\arquivos de programas\Microsoft Sync Framework

2009-11-17 19:54 . 2009-11-17 19:54 -------- d-----w- c:\arquivos de programas\Microsoft SQL Server Compact Edition

2009-11-17 19:50 . 2009-11-17 19:50 -------- d-----w- c:\arquivos de programas\Windows Live SkyDrive

2009-11-17 19:34 . 2009-11-17 19:34 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Windows Live

2009-10-29 07:42 . 2004-08-04 03:45 916480 ----a-w- c:\windows\system32\wininet.dll

2009-10-23 12:19 . 2007-10-14 00:40 499712 ----a-w- c:\windows\system32\msvcp71.dll

2009-10-23 12:19 . 2007-10-14 00:40 348160 ----a-w- c:\windows\system32\msvcr71.dll

2009-10-21 05:39 . 2004-08-04 03:45 75776 ----a-w- c:\windows\system32\strmfilt.dll

2009-10-21 05:39 . 2004-08-04 03:45 25088 ----a-w- c:\windows\system32\httpapi.dll

2009-10-20 16:20 . 2004-08-04 02:00 265728 ----a-w- c:\windows\system32\drivers\http.sys

2009-10-13 10:34 . 2004-08-04 03:45 271360 ----a-w- c:\windows\system32\oakley.dll

2009-10-12 13:39 . 2004-08-04 03:45 150016 ----a-w- c:\windows\system32\rastls.dll

2009-10-12 13:39 . 2004-08-04 03:45 79872 ----a-w- c:\windows\system32\raschap.dll

2009-09-27 15:50 . 2009-09-27 15:47 68 ---ha-w- c:\windows\popcreg.dat

2009-09-27 15:50 . 2009-09-27 03:45 20 ----a-w- c:\windows\popcinfot.dat

2009-09-27 05:04 . 2009-09-27 05:04 0 ----a-w- c:\windows\popcinfo.dat

.

 

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NBJ"="c:\arquivos de programas\Ahead\Nero BackItUp\NBJ.exe" [2005-07-14 1961984]

"swg"="c:\arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-04-10 39408]

"SpybotSD TeaTimer"="c:\arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-10-08 126976]

"SunJavaUpdateSched"="c:\arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"PRONoMgr.exe"="c:\arquivos de programas\Intel\NCS\PROSet\PRONoMgr.exe" [2003-03-11 86016]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-10-08 155648]

"HP Software Update"="c:\arquivos de programas\HP\HP Software Update\HPWuSchd2.exe" [2007-03-12 49152]

"GrooveMonitor"="c:\arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]

"desp2k"="c:\arquivos de programas\Oi Velox\Manager\desp2k.exe" [2006-08-03 65536]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

"TkBellExe"="c:\arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" [2009-10-23 198160]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\Rodrigo Rocha\Menu Iniciar\Programas\Inicializar\

Recorte de tela e Iniciador do OneNote 2007.lnk - c:\arquivos de programas\Microsoft Office\Office12\ONENOTEM.EXE [2008-10-25 98696]

 

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

Adobe Gamma Loader.lnk - c:\arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe [2007-10-14 113664]

HP Digital Imaging Monitor.lnk - c:\arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe [2007-3-11 210520]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"HonorAutoRunSetting"= 0 (0x0)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"HonorAutoRunSetting"= 0 (0x0)

 

[HKLM\~\startupfolder\C:^Documents and Settings^Rodrigo Rocha^Menu Iniciar^Programas^Inicializar^Gratis.lnk]

path=c:\documents and settings\Rodrigo Rocha\Menu Iniciar\Programas\Inicializar\Gratis.lnk

backup=c:\windows\pss\Gratis.lnkStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]

2009-06-30 15:40 133104 ----atw- c:\documents and settings\Rodrigo Rocha\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

2009-04-10 15:41 39408 ----a-w- c:\arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"sdCoreService"=2 (0x2)

"sdAuxService"=2 (0x2)

"WLSetupSvc"=3 (0x3)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\eMule\\emule.exe"=

"c:\\WINDOWS\\system32\\ftp.exe"=

"c:\\Arquivos de programas\\Java\\jre1.6.0_07\\bin\\javaw.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Arquivos de programas\\BitTorrent\\bittorrent.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\Windows Live\\Sync\\WindowsLiveSync.exe"=

 

R0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\GbpKm.sys [12/12/2008 10:40 Rodrigo 26368]

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [26/6/2008 10:50 Rodrigo 716272]

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\arquivos de programas\Avira\AntiVir Desktop\sched.exe [18/4/2009 22:04 Rodrigo 108289]

R2 GbpSv;Gbp Service;c:\arquiv~1\GbPlugin\GbpSv.exe [2/6/2008 00:03 Rodrigo 52608]

R3 Egatebus;Egatebus;c:\windows\system32\drivers\egatebus.sys [10/1/2005 12:54 Rodrigo 11264]

R3 Egaterdr;Egaterdr;c:\windows\system32\drivers\egaterdr.sys [10/1/2005 12:54 Rodrigo 10752]

R3 PAC207;D-Link DSB-C120 PC Camera;c:\windows\system32\drivers\PFC027.sys [27/5/2005 15:57 Rodrigo 162304]

S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys --> c:\windows\system32\drivers\pavboot.sys [?]

S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

.

------- Scan Suplementar -------

.

uInternet Connection Wizard,ShellNext = iexplore

IE: Add to AMV Convert Tool... - c:\arquivos de programas\MP3 Player Utilities 4.00\AMVConverter\grab.html

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\arquivos de programas\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html

IE: MediaManager tool grab multimedia file - c:\arquivos de programas\MP3 Player Utilities 4.00\MediaManager\grab.html

DPF: {31CB2F01-72C2-4CF4-B265-450E8817B039} - hxxp://idownload.br.toontown.com/sv1.4.22.6/ttinst-portuguese.cab

DPF: {E37CB5F0-51F5-4395-A808-5FA49E399008} - hxxps://clickbanking.unibanco.com.br/GbPlugin/cab/GbPluginUni.cab

FF - ProfilePath - c:\documents and settings\Rodrigo Rocha\Dados de aplicativos\Mozilla\Firefox\Profiles\r2xl5d0u.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - www.orkut.com

FF - component: c:\documents and settings\Rodrigo Rocha\Dados de aplicativos\Mozilla\Firefox\Profiles\r2xl5d0u.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll

FF - component: c:\documents and settings\Rodrigo Rocha\Dados de aplicativos\Mozilla\Firefox\Profiles\r2xl5d0u.default\extensions\{87F8774F-B485-47E2-A755-A40A8A5E8873}\components\GbMzhUni.dll

FF - component: c:\program files\real\realplayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll

FF - plugin: c:\arquivos de programas\Microsoft\Office Live\npOLW.dll

FF - plugin: c:\arquivos de programas\Mozilla Firefox\plugins\npOGAPlugin.dll

FF - plugin: c:\arquivos de programas\Windows Live\Photo Gallery\NPWLPG.dll

FF - plugin: c:\program files\real\realplayer\Netscape6\nppl3260.dll

FF - plugin: c:\program files\real\realplayer\Netscape6\nprjplug.dll

FF - plugin: c:\program files\real\realplayer\Netscape6\nprpjplug.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

 

---- FIREFOX POLICIES ----

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

.

- - - - ORFÃOS REMOVIDOS - - - -

 

HKCU-Run-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\arquivos de programas\Arquivos comuns\Nero\Lib\NMBgMonitor.exe

HKCU-Run-german.exe - c:\windows\system32\wintems.exe

HKLM-Run-NBKeyScan - c:\arquivos de programas\Nero\Nero8\Nero BackItUp\NBKeyScan.exe

HKLM-Run-AVG7_CC - c:\arquiv~1\Grisoft\AVG7\avgcc.exe

HKLM-Run-eSnips - c:\arquivos de programas\eSnips\ClientGW.exe

ShellExecuteHooks-{E37CB5F0-51F5-4395-A808-5FA49E399008} - c:\arquiv~1\GbPlugin\gbiehuni.dll

Notify- GbPluginUni - c:\arquiv~1\GbPlugin\gbiehuni.dll

MSConfigStartUp-Google Desktop Search - c:\arquivos de programas\Google\Google Desktop Search\GoogleDesktop.exe

AddRemove-Uploader - c:\arquivos de programas\DigiPix\DesinstaladorUploader.exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-12-22 13:51

Windows 5.1.2600 Service Pack 3 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys sprb.sys >>UNKNOWN [0x861CD938]<<

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xf7571f28

\Driver\ACPI -> ACPI.sys @ 0xf72efcb8

\Driver\atapi -> atapi.sys @ 0xf7284b40

IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022

ParseProcedure -> ntkrnlpa.exe @ 0x80577c84

\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022

ParseProcedure -> ntkrnlpa.exe @ 0x80577c84

NDIS: Intel® PRO/100 VE Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf718dbb0

PacketIndicateHandler -> NDIS.sys @ 0xf719aa21

SendHandler -> NDIS.sys @ 0xf717887b

user & kernel MBR OK

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\npggsvc]

"ImagePath"="c:\windows\system32\GameMon.des -service"

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

 

- - - - - - - > 'explorer.exe'(3372)

c:\windows\system32\WININET.dll

c:\arquivos de programas\Windows Media Player\wmpband.dll

c:\arquivos de programas\Scpad\scpLIB.dll

c:\arquivos de programas\Scpad\scpMIB.dll

c:\arquivos de programas\Scpad\sshib.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Outros Processos em Execução ------------------------

.

c:\windows\System32\SCardSvr.exe

c:\arquivos de programas\Avira\AntiVir Desktop\avguard.exe

c:\arquivos de programas\Java\jre6\bin\jqs.exe

c:\arquivos de programas\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

c:\arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

c:\windows\System32\PAStiSvc.exe

c:\windows\system32\wscntfy.exe

c:\arquivos de programas\Arquivos comuns\Real\Update_OB\RealOneMessageCenter.exe

c:\arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe

.

**************************************************************************

.

Tempo para conclusão: 2009-12-22 14:05:25 - Máquina reiniciou

ComboFix-quarantined-files.txt 2009-12-22 16:05

 

Pré-execução: 8.453.976.064 bytes disponíveis

Pós execução: 8.315.748.352 bytes disponíveis

 

Current=4 Default=4 Failed=3 LastKnownGood=5 Sets=1,2,3,4,5

- - End Of File - - FA1FD76B18BF072B2E77C297757A3E3F

[DigRam 144]

Boa Noite! Rodrigo Rocha RJ

 

<@> Vá em Iniciar --> Executar --> Digite ou cole: combofix.exe /uninstall --> Clique OK.

 

< >

 

<@> Abrir-se-á,a seguinte janela: ( Abrir arquivo - Aviso de Segurança )

<@> Clique em Executar --> Aguarde!

<@> Surgirá,finalmente,a mensagem: "ComboFix está desinstalado" --> Clique OK.

<@> Caso encontre,apague: C:\ComboFix <-- A pasta! + C:\ComboFix.txt <-- Relatório!

<@> Ou,vá em Iniciar --> Executar --> Digite ou cole:

 

"%userprofile%\desktop\combofix" /uninstall

 

<@> Clique OK.

°°°°°°°°°°°°°°°°°°°°°°°°°°°°

°°°°°°°°°°°°°°°°°°°°°°°°°°°°

<@> Baixe: < mbr.exe v.0.3.7 > ( by Gmer )

<@> Salve-o em C:\ ou C:\Documents and Settings\[userName]\,dando preferência ao diretório em que abre o prompt de comando.

<@> Vá em Iniciar --> Executar --> Digite: cmd --> OK.

<@> No prompt,digite: cd \ --> Aperte Enter.

 

<@> Digite: C:\>mbr.exe -f ou C:\Documents and Settings\[userName]\>mbr.exe -f

 

<@> Aperte Enter.

<@> Ps: Uma outra opção seria baixar mbr.exe,para o seu desktop.

<@> Vá em Iniciar --> Executar --> Digite ou cole: "%userprofile%\desktop\mbr.exe" -f

<@> Clique OK.

<@> Poste: C:\mbr.txt ou C:\Documents and Settings\[userName]\mbr.txt

°°°°°°°°°°°°°°°°°°°°°°°°°°°°

°°°°°°°°°°°°°°°°°°°°°°°°°°°°

<@> Baixe: < Norman Malware Cleaner >

<@> Salve-o no desktop.

<@> Abra o arquivo e clique em Executar --> Accept.

<@> Clique em Add,para adicionar ou Remove,para remover unidades/setores à serem escaneados. ( C:\*.*,D:\*.*,E:\*.*,etc... )

<@> Reinicie o computador,em Modo de Segurança.

<@> Clique em "Start scan" --> Aguarde!

<@> Terminando,poste o relatório,que estará no desktop. ( NFix_2009-xx-xx_yy-yy-yy.log ) <--

 

Abraços!

[Rodrigo Rocha RJ 0]

Fala Grande DigRam,

 

Surgiu a seguinte mensagem:

 

CD-emulationn!!

 

!!Warning!!

 

CD-emlation drivers are running on the this machine.Combofix needs to temporarily disable then

 

E somente o botão de OK

 

Vou continuar o procedimento que você me indicou, caso aconteça algo de inesperado posto novamente.

 

PS.: Após a confirmação o pc foi reiniciado

[Rodrigo Rocha RJ 0]

Log do mbr

 

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

[Rodrigo Rocha RJ 0]

Olá DigRam,

 

Não consegui fazer o escanemento de minha máquina no modo de segurança...

[DigRam 144]

Olá DigRam,

 

Não consegui fazer o escanemento de minha máquina no modo de segurança...

<><><><><><><><><>

Opa! Rodrigo Rocha RJ

 

<@> Baixe: < SafeBootKeyRepair >

<@> Salve-a,diretamente,no Disco-local ©.

<@> Execute-a!E,ao terminar,gerará um relatório: C:\SafeBoot_Repair.txt <-- Não poste!

<@> Verifique se já pode entrar,em Modo de Segurança!

 

Abraços!

[Rodrigo Rocha RJ 0]

Boa tarde DigRam,

 

Não é que eu não tenha conseguido entrar no modo de segurança. Eu não consegui foi fazer o escaneamento poruqe o botão não ficava habilitado no modo de segurança...

 

Mas vou te mandar o relatório do escaneamento no modo "normal".

 

 

Norman Malware Cleaner

Version 1.6.2

Copyright © 1990 - 2009, Norman ASA. Built 2009/12/21 22:11:17

 

Norman Scanner Engine Version: 6.04.03

Nvcbin.def Version: 6.04.00, Date: 2009/12/21 22:11:17, Variants: 4629701

 

Scan started: 23/12/2009 00:16:04

 

Running pre-scan cleanup routine:

Operating System: Microsoft Windows XP Professional 5.1.2600 Service Pack 3

Logged on user: PC_DA_SALA\Rodrigo Rocha

 

 

Scanning bootsectors...

 

Number of sectors found: 0

Number of sectors scanned: 0

Number of sectors not scanned: 0

Number of infections found: 0

Number of infections removed: 0

Total scanning time: 0s

 

 

Scanning running processes and process memory...

 

Number of processes/threads found: 3997

Number of processes/threads scanned: 3997

Number of processes/threads not scanned: 0

Number of infected processes/threads terminated: 0

Total scanning time: 2m 39s

 

 

Scanning file system...

 

Scanning: prescan

 

Scanning: C:\*.*

 

C:\Arquivos de programas\DVDlabPro2\DVD-lab PRO 2.24\DVLab2.x.UniPatcher.exe (Infected with W32/Suspicious_Gen2.DIGX)

[DigRam 144]

Boa Tarde! Rodrigo Rocha RJ

 

C:\Arquivos de programas\DVDlabPro2\DVD-lab PRO 2.24\DVLab2.x.UniPatcher.exe (Infected with W32/Suspicious_Gen2.DIGX)

<!> Norman Malware Cleaner,detectou um ficheiro infectado. Envie-o à VirSCAN.org,para confirmarmos tal fato,onde podemos estar com outro falso positivo.

°°°°°°°°°°°°°°°°°°°°°°°°°

°°°°°°°°°°°°°°°°°°°°°°°°°

<@> Submeta este ficheiro,abaixo,à uma análise em: < VirSCAN.org >

 

<!> C:\Arquivos de programas\DVDlabPro2\DVD-lab PRO 2.24\DVLab2.x.UniPatcher.exe

 

<@> Clique em "Enviar arquivo...".

<@> Localizado o ficheiro,em seu PC,clique em "Upload" --> Aguarde!

<@> Na mensagem,clique em: "Verificar novamente"

<@> Concluindo,copie e envie-nos o link ao relatório.

<@> Exemplo: Foi verificado o arquivo NodeRefresh.dll,cujo link ao relatório segue abaixo:

<@> Link: --> < >

°°°°°°°°°°°°°°°°°°°°°°°°°

°°°°°°°°°°°°°°°°°°°°°°°°°

<@> Baixe: < gmer.zip >

<@> Salve-o no Disco Local ( C ) e descompacte-o aí mesmo,em uma pasta própria. ( C:\gmer.exe )

<@> Por default,a caixa D:\ e Show All estarão desmarcadas. <-- Possuindo,assinale apenas a caixa D:\.

<@> Feche todos os programas,que estejam abertos,e clique em Scan. <-- Aguarde!

<@> Permita a execução de gmer.sys,caso seja solicitado.

 

 

<@> Caso surja,clique No na mensagem!

<@> Confirme a investigação na busca por rootkits,caso receba essa solicitação.

<@> Terminando poderá receber outro aviso sobre atividade rootkit,clique OK.

<@> Ao final,conclua clicando em "Save...".

<@> Coloque como "Nome do arquivo": Gmer.log

<@> Em "Salvar em:",escolha o Desktop! --> Clique em "Salvar" --> OK.

<@> Poste,na sua resposta: Gmer.log <--

 

Abraços!

[Rodrigo Rocha RJ 0]

Seria isso DigRam?

 

http://virscan.org/report/4753ed513739cb505d12cfd45db0ea43.html

[DigRam 144]

Seria isso DigRam?

 

http://virscan.org/report/4753ed513739cb505d12cfd45db0ea43.html

//////////////////////\\\\\\\\\\\\\\\\\\\\\

Boa Tarde! Rodrigo Rocha RJ

 

Resultado da Verificação : 11% Software(4/37) encontrou código malicioso!

<!> Sim! Está correto.

<!> O baixo índice na detecção ( 11% ),caracteriza falso positivo.

°°°°°°°°°°°°°°°°°°°°°°°°°°°

°°°°°°°°°°°°°°°°°°°°°°°°°°°

<!> Ps: Poste gmer.log,na pesquisa por rootkits.

 

Abraços!

[Rodrigo Rocha RJ 0]

Boa noite DigRam,

 

segue o log do GMER

 

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2009-12-23 20:29:42

Windows 5.1.2600 Service Pack 3

Running: gmer.exe; Driver: C:\DOCUME~1\RODRIG~1\CONFIG~1\Temp\uwlyakow.sys

 

 

---- System - GMER 1.0.15 ----

 

SSDT F7C59AD6 ZwCreateKey

SSDT F7C59ACC ZwCreateThread

SSDT F7C59ADB ZwDeleteKey

SSDT F7C59AE5 ZwDeleteValueKey

SSDT F7C59AEA ZwLoadKey

SSDT F7C59AB8 ZwOpenProcess

SSDT F7C59ABD ZwOpenThread

SSDT F7C59AF4 ZwReplaceKey

SSDT F7C59AEF ZwRestoreKey

SSDT F7C59AE0 ZwSetValueKey

SSDT F7C59AC7 ZwTerminateProcess

 

---- Kernel code sections - GMER 1.0.15 ----

 

.text ntkrnlpa.exe!ZwCallbackReturn + 24EC 80501D24 4 Bytes JMP 3AF7C59A

init C:\WINDOWS\system32\drivers\egatebus.sys entry point in "init" section [0xF7228C12]

 

---- Registry - GMER 1.0.15 ----

 

Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0

Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x59 0x7D 0x84 0x70 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x59 0x7D 0x84 0x70 ...

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x59 0x7D 0x84 0x70 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x36 0x60 0x0D 0xCA ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Arquivos de programas\Alcohol Soft\Alcohol 120\

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x6D 0x47 0xF5 0xAB ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x62 0xF0 0xD5 0x98 ...

Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0

Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x36 0x60 0x0D 0xCA ...

Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Arquivos de programas\Alcohol Soft\Alcohol 120\

Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...

Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x6D 0x47 0xF5 0xAB ...

Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x62 0xF0 0xD5 0x98 ...

 

---- EOF - GMER 1.0.15 ----