[Arquivado] Não consigo instalar nenhum antivírus

[NaylaMonteiro 0]

Gente, é o seguinte, desinstalei o Avast do PC pois estava apresentando erros, tentei instalar o AVG e o Avira, sem sucesso. Pois aparece o seguinte erro :

Depois disso, tenho tentado instalar todos os tipos de antivirus, e dá na mesma coisa, isso com os que conseguem chegar até essa mensagem... Não sei mais o que fazer e tenho até evitado usar a internet por estar sem antivírus!

Alguém sabe me dizer o que devo fazer? Obrigada desde já.

[Sam Spade 2]

Olá NaylaMonteiro! Baixe > HijackThis

 

Abra uma pasta em C:\ e salve nela.

 

Quando abrir a ferramenta, clique em "Do a system scan and save a logfile". Selecione, copie todo o seu conteúdo e cole na sua próxima resposta.

[NaylaMonteiro 0]

Aqui está:

 

 

Logfile of HijackThis v1.99.1

Scan saved at 00:58:21, on 17/2/2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Java\jre1.5.0_05\bin\jusched.exe

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

C:\Arquivos de programas\Logitech\SetPoint\SetPoint.exe

C:\Arquivos de programas\Arquivos comuns\Logitech\KhalShared\KHALMNPR.EXE

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Arquivos de programas\Windows Live\Messenger\usnsvc.exe

C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\WINDOWS\system32\wiaacmgr.exe

C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Administrador\Meus documentos\Downloads\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.compartilhando.org/

O1 - Hosts: 02

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.5.0_05\bin\jusched.exe

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [uSBFW] C:\Program Files\Net Studio\USB FireWall\USB FireWall.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Arquivos de programas\Logitech\SetPoint\SetPoint.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O14 - IERESET.INF: START_PAGE_URL=http://www.compartilhando.org/

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE

O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

[Sam Spade 2]

Ok, baixe o Malwarebytes' Anti-Malware (MBAM) '>http://www.besttechie.net/tools/mbam-setup.exe"]neste link ou '>http://www.majorgeeks.com/Malwarebytes_Anti-Malware_d5756.html"]neste aqui.

 

Baixe: '>http://download.bleepingcomputer.com/sUBs/ComboFix.exe"]ComboFix > salve na área de trabalho

 

Salve ou imprima estas instruções:

 

A ordem de rodar as ferramentas deve ser como está nas instruções.

 

Dê um duplo-clique no mbam-setup.exe, escolha a linguagem e na instalação, aceite todas as opções padrão.

 

• Verifique se as caixas Atualizar Malwarebytes Anti-Malware e Executar Malwarebytes Anti-Malware estão marcadas e clique então, em Concluir.
  
• Se houver atualizações a serem feitas, serão baixadas e instaladas.
  
• Ao final da atualização, com o programa aberto, marque Verificação Rápida e clique no botão Verificar.
  
• Começará então o exame. Aguarde, pois pode demorar.
  
• Ao acabar o exame, clique em OK, depois no botão Mostrar Resultados para ver o relatório.
  
• Se houver ítens encontrados, certifique-se de que, estão todos marcados e clique no botão Remover.
  
• Ao final da desinfecção, abrirá o Bloco de notas com um log e poderá aparecer um aviso se quer reiniciar o PC. (Ver Nota abaixo)
  
• O log é automaticamente salvo pelo MBAM e para vê-lo, clique na aba Logs na janela principal do programa.
  NOTA: Se o MBAM encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC (talvez mais de uma vez). Faça isso imediatamente, ao ser perguntado se quer reiniciar o PC.
  
• Desative seu antivirus, antispywares e firewall, para não causar conflitos. Mantenha-os desativados até terminar as instruções.
  
• Dê um duplo-clique no combofix.exe e clique em Executar para prosseguir o Fix. Aguarde pois é um pouco demorado.
  
• O ComboFix reiniciará o PC automaticamente para completar o processo de remoção. Caso isso não aconteça, reinicie manualmente.
  
• Quando acabar, será gerado um log, que estará em C:\ComboFix.txt.
  
• IMPORTANTE: Não use o mouse nem o teclado quando o ComboFix estiver rodando. Para parar ou sair do ComboFix, tecle "N".
  
• Selecione, copie e cole o conteúdo do log do MBAM na sua póxima resposta + o conteúdo do ComboFix.txt.
   
  OBS: Não rode o ComboFix mais do que uma vez. Isso irá sobreescrever o log e dificultará a remoção do(s) malware(s)
  

O ComboFix é uma ferramenta que pode danificar o sistema se for usada incorretamente. Use-o apenas sob supervisão de um analista de malwares.

[NaylaMonteiro 0]

Tudo Ok! Fiz tudo como foi recomendado, aqui estão os logs gerados:

 

 

Malwarebytes' Anti-Malware 1.44

Versão do banco de dados: 3510

Windows 5.1.2600 Service Pack 2

Internet Explorer 6.0.2900.2180

 

17/2/2010 13:57:47

mbam-log-2010-02-17 (13-57-47).txt

 

Tipo de Verificação: Rápida

Objetos verificados: 114763

Tempo decorrido: 1 hour(s), 11 minute(s), 17 second(s)

 

Processos da Memória infectados: 0

Módulos de Memória Infectados: 0

Chaves do Registro infectadas: 0

Valores do Registro infectados: 1

Ítens do Registro infectados: 1

Pastas infectadas: 1

Arquivos infectados: 6

 

Processos da Memória infectados:

(Nenhum ítem malicioso foi detectado)

 

Módulos de Memória Infectados:

(Nenhum ítem malicioso foi detectado)

 

Chaves do Registro infectadas:

(Nenhum ítem malicioso foi detectado)

 

Valores do Registro infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.

 

Ítens do Registro infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

 

Pastas infectadas:

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Quarantined and deleted successfully.

 

Arquivos infectados:

C:\WINDOWS\system32\01.tmp (Worm.Conficker) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\03.tmp (Worm.Conficker) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\04.tmp (Worm.Conficker) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\05.tmp (Worm.Conficker) -> Quarantined and deleted successfully.

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.

C:\DelUS.bat (Malware.Trace) -> Quarantined and deleted successfully.

 

 

 

------------------------------------------------------------------------------------------------------------------

 

 

 

ComboFix 10-02-12.01 - Administrador 17/02/2010 14:45:17.1.1 - x86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.1503.1191 [GMT -3:00]

Executando de: c:\documents and settings\Administrador\Desktop\ComboFix.exe

.

 

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\docume~1\ADMINI~1\CONFIG~1\Temp\install_flash_player.exe

c:\windows\system32\Thumbs.db

 

.

(((((((((((((((( Arquivos/Ficheiros criados de 2010-01-17 to 2010-02-17 ))))))))))))))))))))))))))))

.

 

2010-02-17 15:42 . 2010-02-17 15:42 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\Malwarebytes

2010-02-17 15:41 . 2010-01-07 19:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-02-17 15:41 . 2010-02-17 15:41 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

2010-02-17 15:41 . 2010-02-17 15:42 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware

2010-02-17 15:41 . 2010-01-07 19:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-02-16 01:55 . 2010-02-16 01:55 -------- d-----w- c:\arquivos de programas\Net Studio

2010-01-21 23:49 . 2010-01-21 23:52 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\HpUpdate

2010-01-21 23:49 . 2010-01-21 23:49 -------- d-----w- c:\windows\Hewlett-Packard

2010-01-21 20:06 . 2010-01-21 20:06 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\Yahoo!

2010-01-20 20:10 . 2010-01-20 20:10 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\Logitech

2010-01-20 20:09 . 2010-01-20 20:09 10134 ----a-r- c:\documents and settings\Administrador\Dados de aplicativos\Microsoft\Installer\{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}\ARPPRODUCTICON.exe

2010-01-20 20:09 . 2010-01-20 20:09 -------- d-----w- c:\arquivos de programas\Arquivos comuns\LogiShared

2010-01-20 20:05 . 2010-01-20 20:05 10134 ----a-r- c:\documents and settings\Administrador\Dados de aplicativos\Microsoft\Installer\{8CC990CD-87C8-475C-AC32-8A7984E2FCFA}\ARPPRODUCTICON.exe

2010-01-20 20:04 . 2007-04-11 19:33 79376 ----a-w- c:\windows\system32\drivers\LMouKE.Sys

2010-01-20 20:04 . 2007-04-11 19:32 63248 ----a-w- c:\windows\system32\drivers\L8042mou.Sys

2010-01-20 20:04 . 2007-04-11 19:32 56080 ----a-w- c:\windows\KHALMNPR.Exe

2010-01-20 14:09 . 2010-01-20 14:09 -------- d-----w- c:\arquivos de programas\Windows Live

2010-01-19 23:35 . 2010-01-19 23:35 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Alwil Software

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-02-17 12:10 . 2001-10-28 17:07 47402 ----a-w- c:\windows\system32\perfc016.dat

2010-02-17 12:10 . 2001-10-28 17:07 341508 ----a-w- c:\windows\system32\perfh016.dat

2010-02-16 01:55 . 2008-08-12 20:35 -------- d--h--w- c:\arquivos de programas\InstallShield Installation Information

2010-02-14 00:17 . 2009-02-27 20:25 -------- d-----w- c:\arquivos de programas\VIVO ZAP

2010-02-14 00:15 . 2007-08-25 14:52 -------- d-----w- c:\arquivos de programas\Yahoo!

2010-02-14 00:14 . 2008-10-20 19:04 -------- d-----w- c:\arquivos de programas\TIM Web Movel

2010-02-14 00:13 . 2007-08-24 21:03 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Adobe

2010-01-21 23:51 . 2007-08-25 16:41 -------- d-----w- c:\arquivos de programas\HP

2010-01-20 20:12 . 2008-08-12 20:35 -------- d-----w- c:\arquivos de programas\Arquivos comuns\InstallShield

2010-01-20 20:12 . 2010-01-20 20:03 -------- d-----w- c:\arquivos de programas\Logitech

2010-01-20 20:04 . 2010-01-20 20:03 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Logitech

2010-01-20 20:03 . 2010-01-20 20:03 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Logitech

2010-01-20 20:03 . 2010-01-20 20:03 10134 ----a-r- c:\documents and settings\Administrador\Dados de aplicativos\Microsoft\Installer\{56918C0C-0D87-4CA6-92BF-4975A43AC719}\ARPPRODUCTICON.exe

2010-01-20 20:02 . 2010-01-20 20:02 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\InstallShield

2010-01-20 20:02 . 2010-01-20 20:02 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\LogiShrd

2010-01-20 14:10 . 2007-08-24 21:01 -------- d-----w- c:\arquivos de programas\MSN Messenger

2010-01-19 23:35 . 2007-08-25 15:09 -------- d-----w- c:\arquivos de programas\Alwil Software

2010-01-19 20:10 . 2007-08-28 22:11 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\Image Zone Express

2010-01-16 16:56 . 2010-01-15 19:54 -------- d-----w- c:\arquivos de programas\Esportes Radicais

2004-08-04 03:45 . 2004-08-04 03:45 165749 --sha-r- c:\windows\system32\snndlm.dll

.

 

------- Sigcheck -------

 

[-] 2005-09-19 . A38FDDA0A6FEC3ACAA8511366AACC6A3 . 396288 . . [5.1.2600.2665] . . c:\windows\system32\rpcss.dll

 

[-] 2005-09-19 . AD3D9D191AEA7B5445FE1D82FFBB4788 . 57856 . . [5.1.2600.2696] . . c:\windows\system32\spoolsv.exe

 

[-] 2005-09-19 . 472BE19EDF1B28DC75FB6DC4B55B3CF6 . 617472 . . [5.82] . . c:\windows\system32\comctl32.dll

 

[-] 2005-09-19 . F94EBF229DC4A2A74A4CEA0318103FD2 . 249344 . . [5.1.2600.2716] . . c:\windows\system32\tapisrv.dll

 

[-] 2005-09-19 . 3ED0A4D74EFD5AAF8408095F452E2613 . 577536 . . [5.1.2600.2622] . . c:\windows\system32\user32.dll

 

[-] 2005-09-19 . 07AF0154923DF6DEC6DE9CA0D4B04F8F . 1034240 . . [6.00.2900.2527] . . c:\windows\explorer.exe

 

[-] 2005-09-19 . 9DD429359FE067BA52D00C0DBB9537EE . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll

 

[-] 2005-09-19 20:12 . 140EF97B64F560FD78643CAE2CDAD838 . 25088 . . [10.0.3790.3802] . . c:\windows\system32\mspmsnsv.dll

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe" [2005-10-28 94208]

"Google Update"="c:\documents and settings\Administrador\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" [2010-01-19 135664]

"msnmsgr"="c:\arquivos de programas\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="c:\arquivos de programas\Java\jre1.5.0_05\bin\jusched.exe" [2005-08-26 36975]

"PCTVOICE"="pctspk.exe" [2004-01-30 180224]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"HP Software Update"="c:\arquivos de programas\HP\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]

"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 56080]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nlsf"="move" [X]

"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-04 44544]

 

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

Adobe Reader Speed Launch.lnk - c:\arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

HP Digital Imaging Monitor.lnk - c:\arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]

Logitech SetPoint.lnk - c:\arquivos de programas\Logitech\SetPoint\SetPoint.exe [2010-1-20 692224]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

@=""

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Documents and Settings\\Administrador\\Meus documentos\\Downloads\\avira_antivir_personal_ptbr.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"5686:TCP"= 5686:TCP:haesh

 

S2 uahqfzrlg;Center System;c:\windows\system32\svchost.exe -k netsvcs [4/8/2004 00:45 14336]

S3 bsspuvw;bsspuvw;\??\c:\windows\system32\04.tmp --> c:\windows\system32\04.tmp [?]

S3 jhdgtpoy;jhdgtpoy;\??\c:\windows\system32\05.tmp --> c:\windows\system32\05.tmp [?]

S3 mwatdufx;mwatdufx;\??\c:\windows\system32\01.tmp --> c:\windows\system32\01.tmp [?]

S3 uqneq;uqneq;\??\c:\windows\system32\06.tmp --> c:\windows\system32\06.tmp [?]

S3 xedwa;xedwa;\??\c:\windows\system32\05.tmp --> c:\windows\system32\05.tmp [?]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

uahqfzrlg

.

Conteúdo da pasta 'Tarefas Agendadas'

.

.

------- Scan Suplementar -------

.

uStart Page = about:blank

uInternet Connection Wizard,ShellNext = iexplore

uSearchURL,(Default) = hxxp://www.google.com/keyword/%s

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

.

- - - - ORFÃOS REMOVIDOS - - - -

 

HKLM-Run-Cmaudio - cmicnfg.cpl

HKLM-Run-USBFW - c:\program files\Net Studio\USB FireWall\USB FireWall.exe

HKU-Default-Run-MsnMsgr - c:\arquivos de programas\MSN Messenger\MsnMsgr.Exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-02-17 14:49

Windows 5.1.2600 Service Pack 2 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bsspuvw]

"ImagePath"="\??\c:\windows\system32\04.tmp"

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\jhdgtpoy]

"ImagePath"="\??\c:\windows\system32\05.tmp"

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mwatdufx]

"ImagePath"="\??\c:\windows\system32\01.tmp"

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\uqneq]

"ImagePath"="\??\c:\windows\system32\06.tmp"

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xedwa]

"ImagePath"="\??\c:\windows\system32\05.tmp"

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\uahqfzrlg]

"ServiceDll"="c:\windows\system32\snndlm.dll"

.

Tempo para conclusão: 2010-02-17 14:53:20

ComboFix-quarantined-files.txt 2010-02-17 17:53

 

Pré-execução: 8 pasta(s) 29.578.027.008 bytes disponíveis

Pós execução: 10 pasta(s) 29.694.967.808 bytes disponíveis

 

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

 

- - End Of File - - 4659B00A864D0832D3B14C7CA8E518D8

 

Ah, e uma outra dúvida: Eu já posso desinstalar o Malwarebytes' Anti-Malware (MBAM)? Aliás, devo fazer isso também? Obrigada.

[Sam Spade 2]

Olá. Não, o MBAM é um programa útil para a remoção de infecções. Você pode continuar usando para futuros exames. Basta mantê-lo atualizado. Faça exames regulares com ele, abrindo o MBAM > aba Atualização > clique no botão Verificar atualizações. Depois de atualizar (se houver), na aba Verificação você pode fazer um exame.

 

Desative seu antivirus, antispywares e firewall, para não causar conflitos. Mantenha-os desativados até terminar as instruções.

 

Selecione e copie o texto dentro do QUOTE. Abra o Bloco de notas e cole o que copiou. Salve então, na área de trabalho, com o nome de CFScript.txt.

 

File::

c:\windows\system32\snndlm.dll

c:\windows\system32\04.tmp

c:\windows\system32\05.tmp

c:\windows\system32\01.tmp

c:\windows\system32\06.tmp

 

Driver::

uahqfzrlg

bsspuvw

jhdgtpoy

mwatdufx

uqneq

xedwa

 

NetSvc::

uahqfzrlg

 

Registry::

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"5686:TCP"=-

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bsspuvw]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\jhdgtpoy]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mwatdufx]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\uqneq]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xedwa]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\uahqfzrlg]

Arraste agora o CFScript.txt para o ComboFix conforme a demonstração abaixo.

 

 

O ComboFix irá rodar e reiniciará o PC automaticamente para completar o processo de remoção. Caso isso não aconteça, então reinicie manualmente.

 

IMPORTANTE: Não use o mouse nem o teclado quando o ComboFix estiver rodando.

 

Esse script foi elaborado somente para este computador, de acordo com os arquivos e chaves presentes.

 

Aos visitantes: Se estiverem com um problema semelhante, não utilizem esse script, pois o uso sem supervisão pode causar danos ao sistema.

 

Quando acabar, será gerado um log, que estará em C:\ComboFix.txt.

 

OBS: Não rode o ComboFix mais do que uma vez. Isso irá sobreescrever o log e dificultará a remoção do(s) malware(s)

 

Poste um novo log do HijackThis e o novo log do ComboFix.

[NaylaMonteiro 0]

Oi, desculpe a demora. Tá certo então, vou deixar o MBAM aqui.

Fiz tudo e aqui estão os logs:

 

 

ComboFix 10-03-04.01 - Administrador 04/03/2010 16:35:31.2.1 - x86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.1503.1191 [GMT -4:00]

Executando de: c:\documents and settings\Administrador\Desktop\ComboFix.exe

Comandos utilizados :: c:\documents and settings\Administrador\Desktop\CFScript.txt..txt

AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

.

 

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\VB40032.DLL

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_UAHQFZRLG

-------\Service_uahqfzrlg

 

 

(((((((((((((((( Arquivos/Ficheiros criados de 2010-02-04 to 2010-03-04 ))))))))))))))))))))))))))))

.

 

2010-03-02 18:00 . 2005-09-19 20:43 5632 ----a-w- c:\windows\system32\ptpusb.dll

2010-03-02 18:00 . 2005-09-19 20:43 159232 ----a-w- c:\windows\system32\ptpusd.dll

2010-02-24 20:00 . 2010-02-24 20:00 -------- d-----w- c:\arquivos de programas\Conduit

2010-02-24 20:00 . 2010-02-24 20:00 -------- d-----w- c:\arquivos de programas\free-downloads.net

2010-02-24 19:54 . 2010-02-24 19:54 -------- d-----w- c:\arquivos de programas\Alcohol Soft

2010-02-24 19:51 . 2010-02-24 19:51 691696 ----a-w- c:\windows\system32\drivers\sptd.sys

2010-02-24 18:49 . 2010-02-24 19:27 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Yahoo! Companion

2010-02-24 18:49 . 2010-02-24 18:50 -------- d-----w- c:\arquivos de programas\CCleaner

2010-02-20 19:30 . 2010-02-20 23:44 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2010-02-20 19:30 . 2009-03-30 13:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys

2010-02-20 19:30 . 2009-02-13 15:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2010-02-20 19:30 . 2009-02-13 15:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2010-02-20 19:30 . 2010-02-20 19:30 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Avira

2010-02-20 19:30 . 2010-02-20 19:30 -------- d-----w- c:\arquivos de programas\Avira

2010-02-17 21:58 . 2010-02-17 21:58 -------- d-----w- c:\windows\system32\wbem\snmp

2010-02-17 21:58 . 2010-02-17 21:58 -------- d-----w- c:\windows\system32\oobe

2010-02-17 21:58 . 2010-02-17 21:58 -------- d-----w- c:\windows\system32\xircom

2010-02-17 21:58 . 2010-02-17 21:58 -------- d-----w- c:\arquivos de programas\microsoft frontpage

2010-02-17 15:42 . 2010-02-17 15:42 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\Malwarebytes

2010-02-17 15:41 . 2010-01-07 19:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-02-17 15:41 . 2010-02-17 15:41 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

2010-02-17 15:41 . 2010-02-17 15:42 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware

2010-02-17 15:41 . 2010-01-07 19:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-02-16 01:55 . 2010-02-16 01:55 -------- d-----w- c:\arquivos de programas\Net Studio

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-03-03 20:21 . 2007-08-24 21:03 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Adobe

2010-02-28 20:54 . 2007-08-28 22:11 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\Image Zone Express

2010-02-24 18:49 . 2007-08-25 14:52 -------- d-----w- c:\arquivos de programas\Yahoo!

2010-02-21 17:21 . 2001-10-28 17:07 47402 ----a-w- c:\windows\system32\perfc016.dat

2010-02-21 17:21 . 2001-10-28 17:07 341508 ----a-w- c:\windows\system32\perfh016.dat

2010-02-16 01:55 . 2008-08-12 20:35 -------- d--h--w- c:\arquivos de programas\InstallShield Installation Information

2010-02-14 00:17 . 2009-02-27 20:25 -------- d-----w- c:\arquivos de programas\VIVO ZAP

2010-02-14 00:14 . 2008-10-20 19:04 -------- d-----w- c:\arquivos de programas\TIM Web Movel

2010-01-21 23:52 . 2010-01-21 23:49 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\HpUpdate

2010-01-21 23:51 . 2007-08-25 16:41 -------- d-----w- c:\arquivos de programas\HP

2010-01-21 20:06 . 2010-01-21 20:06 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\Yahoo!

2010-01-20 20:12 . 2008-08-12 20:35 -------- d-----w- c:\arquivos de programas\Arquivos comuns\InstallShield

2010-01-20 20:12 . 2010-01-20 20:03 -------- d-----w- c:\arquivos de programas\Logitech

2010-01-20 20:10 . 2010-01-20 20:10 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\Logitech

2010-01-20 20:09 . 2010-01-20 20:09 10134 ----a-r- c:\documents and settings\Administrador\Dados de aplicativos\Microsoft\Installer\{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}\ARPPRODUCTICON.exe

2010-01-20 20:09 . 2010-01-20 20:09 -------- d-----w- c:\arquivos de programas\Arquivos comuns\LogiShared

2010-01-20 20:05 . 2010-01-20 20:05 10134 ----a-r- c:\documents and settings\Administrador\Dados de aplicativos\Microsoft\Installer\{8CC990CD-87C8-475C-AC32-8A7984E2FCFA}\ARPPRODUCTICON.exe

2010-01-20 20:04 . 2010-01-20 20:03 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Logitech

2010-01-20 20:03 . 2010-01-20 20:03 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Logitech

2010-01-20 20:03 . 2010-01-20 20:03 10134 ----a-r- c:\documents and settings\Administrador\Dados de aplicativos\Microsoft\Installer\{56918C0C-0D87-4CA6-92BF-4975A43AC719}\ARPPRODUCTICON.exe

2010-01-20 20:02 . 2010-01-20 20:02 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\InstallShield

2010-01-20 20:02 . 2010-01-20 20:02 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\LogiShrd

2010-01-20 14:10 . 2007-08-24 21:01 -------- d-----w- c:\arquivos de programas\MSN Messenger

2010-01-20 14:09 . 2010-01-20 14:09 -------- d-----w- c:\arquivos de programas\Windows Live

2010-01-19 23:35 . 2010-01-19 23:35 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Alwil Software

2010-01-19 23:35 . 2007-08-25 15:09 -------- d-----w- c:\arquivos de programas\Alwil Software

2010-01-16 16:56 . 2010-01-15 19:54 -------- d-----w- c:\arquivos de programas\Esportes Radicais

.

 

------- Sigcheck -------

 

[-] 2005-09-19 . A38FDDA0A6FEC3ACAA8511366AACC6A3 . 396288 . . [5.1.2600.2665] . . c:\windows\system32\rpcss.dll

 

[-] 2005-09-19 . AD3D9D191AEA7B5445FE1D82FFBB4788 . 57856 . . [5.1.2600.2696] . . c:\windows\system32\spoolsv.exe

 

[-] 2005-09-19 . 472BE19EDF1B28DC75FB6DC4B55B3CF6 . 617472 . . [5.82] . . c:\windows\system32\comctl32.dll

 

[-] 2005-09-19 . F94EBF229DC4A2A74A4CEA0318103FD2 . 249344 . . [5.1.2600.2716] . . c:\windows\system32\tapisrv.dll

 

[-] 2005-09-19 . 3ED0A4D74EFD5AAF8408095F452E2613 . 577536 . . [5.1.2600.2622] . . c:\windows\system32\user32.dll

 

[-] 2005-09-19 . 07AF0154923DF6DEC6DE9CA0D4B04F8F . 1034240 . . [6.00.2900.2527] . . c:\windows\explorer.exe

 

[-] 2005-09-19 . 9DD429359FE067BA52D00C0DBB9537EE . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll

 

[-] 2005-09-19 20:12 . 140EF97B64F560FD78643CAE2CDAD838 . 25088 . . [10.0.3790.3802] . . c:\windows\system32\mspmsnsv.dll

.

((((((((((((((((((((((((((((( SnapShot@2010-02-17_17.49.59 )))))))))))))))))))))))))))))))))))))))))

.

- 2001-10-28 17:07 . 2010-02-17 12:10 38740 c:\windows\system32\perfc009.dat

+ 2001-10-28 17:07 . 2010-02-21 17:21 38740 c:\windows\system32\perfc009.dat

- 2010-01-20 10:44 . 2010-01-20 10:44 84661 c:\windows\system32\Macromed\Flash\uninstall_plugin.exe

+ 2010-01-20 10:44 . 2010-02-24 10:05 84661 c:\windows\system32\Macromed\Flash\uninstall_plugin.exe

+ 2010-02-20 19:30 . 2009-05-11 13:12 28520 c:\windows\system32\drivers\ssmdrv.sys

+ 2001-10-28 17:07 . 2010-02-21 17:21 308358 c:\windows\system32\perfh009.dat

- 2001-10-28 17:07 . 2010-02-17 12:10 308358 c:\windows\system32\perfh009.dat

+ 2010-01-27 01:07 . 2010-01-27 01:07 256280 c:\windows\system32\Macromed\Flash\NPSWF32_FlashUtil.exe

+ 2007-08-24 17:37 . 2010-02-24 19:52 240736 c:\windows\system32\FNTCACHE.DAT

+ 2010-03-03 20:20 . 2010-03-03 20:20 295606 c:\windows\Installer\{AC76BA86-7AD7-1046-7B44-A80000000000}\SC_Reader.exe

+ 2010-01-27 01:07 . 2010-01-27 01:07 3884312 c:\windows\system32\Macromed\Flash\NPSWF32.dll

- 2008-10-18 12:09 . 2006-12-07 05:29 2374472 c:\windows\system32\DllCache\wmvcore.dll

+ 2005-09-19 20:12 . 2006-12-07 05:29 2374472 c:\windows\system32\DllCache\wmvcore.dll

+ 2010-03-03 20:20 . 2010-03-03 20:20 3581440 c:\windows\Installer\b67b54.msi

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{ecdee021-0d17-467f-a1ff-c7a115230949}"= "c:\arquivos de programas\free-downloads.net\tbfree.dll" [2009-12-31 2349080]

 

[HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ecdee021-0d17-467f-a1ff-c7a115230949}]

2009-12-31 15:53 2349080 ----a-w- c:\arquivos de programas\free-downloads.net\tbfree.dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{ecdee021-0d17-467f-a1ff-c7a115230949}"= "c:\arquivos de programas\free-downloads.net\tbfree.dll" [2009-12-31 2349080]

 

[HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{ECDEE021-0D17-467F-A1FF-C7A115230949}"= "c:\arquivos de programas\free-downloads.net\tbfree.dll" [2009-12-31 2349080]

 

[HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe" [2005-10-28 94208]

"Google Update"="c:\documents and settings\Administrador\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" [2010-01-19 135664]

"msnmsgr"="c:\arquivos de programas\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

"AlcoholAutomount"="c:\arquivos de programas\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe" [2009-11-15 33120]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="c:\arquivos de programas\Java\jre1.5.0_05\bin\jusched.exe" [2005-08-26 36975]

"PCTVOICE"="pctspk.exe" [2004-01-30 180224]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"HP Software Update"="c:\arquivos de programas\HP\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]

"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 56080]

"avgnt"="c:\arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nlsf"="move" [X]

"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-04 44544]

 

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

Adobe Reader Speed Launch.lnk - c:\arquivos de programas\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]

Adobe Reader Synchronizer.lnk - c:\arquivos de programas\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]

HP Digital Imaging Monitor.lnk - c:\arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]

Logitech SetPoint.lnk - c:\arquivos de programas\Logitech\SetPoint\SetPoint.exe [2010-1-20 692224]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

@=""

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Documents and Settings\\Administrador\\Meus documentos\\Downloads\\avira_antivir_personal_ptbr.exe"=

 

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [24/2/2010 15:51 691696]

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\arquivos de programas\Avira\AntiVir Desktop\sched.exe [20/2/2010 15:30 108289]

.

Conteúdo da pasta 'Tarefas Agendadas'

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT1098640

uInternet Connection Wizard,ShellNext = iexplore

uSearchURL,(Default) = hxxp://www.google.com/keyword/%s

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-03-04 16:44

Windows 5.1.2600 Service Pack 2 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x898EA1F8]<<

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xf763bfc3

\Driver\ACPI -> ACPI.sys @ 0xf74a3cb8

\Driver\atapi -> 0x898ea1f8

IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0094

ParseProcedure -> ntoskrnl.exe @ 0x8056f08e

\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0094

ParseProcedure -> ntoskrnl.exe @ 0x8056f08e

NDIS: VIA Rhine II Fast Ethernet Adapter -> SendCompleteHandler -> NDIS.sys @ 0xf7b3aba0

PacketIndicateHandler -> NDIS.sys @ 0xf7b47b21

SendHandler -> NDIS.sys @ 0xf7b2587b

Warning: possible MBR rootkit infection !

user & kernel MBR OK

 

**************************************************************************

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

 

- - - - - - - > 'explorer.exe'(3944)

c:\arquivos de programas\Logitech\SetPoint\lgscroll.dll

.

------------------------ Outros Processos em Execução ------------------------

.

c:\arquivos de programas\Avira\AntiVir Desktop\avguard.exe

c:\arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

c:\windows\system32\pctspk.exe

c:\windows\system32\wscntfy.exe

c:\arquivos de programas\Arquivos comuns\Logitech\KhalShared\KHALMNPR.EXE

c:\arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe

.

**************************************************************************

.

Tempo para conclusão: 2010-03-04 16:51:17 - Máquina reiniciou

ComboFix-quarantined-files.txt 2010-03-04 20:51

ComboFix2.txt 2010-02-17 17:53

 

Pré-execução: 9 pasta(s) 28.825.346.048 bytes disponíveis

Pós execução: 10 pasta(s) 28.759.195.648 bytes disponíveis

 

- - End Of File - - AAF70014F006E7140898ABA937714EDD

 

 

----------------------------------------------------------------------------------------------------------------

 

Logfile of HijackThis v1.99.1

Scan saved at 16:58:58, on 4/3/2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Java\jre1.5.0_05\bin\jusched.exe

C:\WINDOWS\system32\pctspk.exe

C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe

C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

C:\Arquivos de programas\Logitech\SetPoint\SetPoint.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Arquivos comuns\Logitech\KhalShared\KHALMNPR.EXE

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\notepad.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Administrador\Meus documentos\Downloads\HijackThis.exe

C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Arquivos de programas\Adobe\Reader 8.0\Reader\AcroRd32Info.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT1098640

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R3 - URLSearchHook: Barra de Ferramentas do Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

R3 - URLSearchHook: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Arquivos de programas\free-downloads.net\tbfree.dll

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Arquivos de programas\free-downloads.net\tbfree.dll

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll

O3 - Toolbar: Barra de Ferramentas do Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Arquivos de programas\free-downloads.net\tbfree.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.5.0_05\bin\jusched.exe

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Arquivos de programas\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe" -automount

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Arquivos de programas\Logitech\SetPoint\SetPoint.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O14 - IERESET.INF: START_PAGE_URL=http://www.compartilhando.org/

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE

O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - C:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

[Sam Spade 2]

Ok, há um resultado no log do ComboFix que precisamos verificar:

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer

 

Warning: possible MBR rootkit infection !

Isso pode ser causado pelo driver do Alcohol, por isso temos de ver se há um rootkit de boot ou é por causa do programa citado.

 

Baixe o SPTDinst-v162-x86.exe'>http://www.duplexsecure.com/download/SPTDinst-v162-x86.exe"]SPTDinst-v162-x86.exe e salve no desktop.

 

Execute o desinstalador e clique no botão Uninstall.

 

Este aplicativo é instalador e desinstalador ao mesmo tempo do driver do Alcohol. Se o driver está instalado, ao executá-lo, será removido. E vice-versa.

 

O Alcohol deixará de funcionar quando o seu driver for removido. Quando terminarmos tudo, pedirei que execute o aplicativo novamente (para reinstalar o driver).

 

Rode o ComboFix e poste o novo ComboFix.txt.

[Mário Monteiro 179]

Tópico Arquivado

 

Como o autor não respondeu por mais de 30 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.