[Resolvido!] Vírus no meu pc, não consigo executar ou instalar ne

redieu · Março 20, 2010

Olá pessoal do iMasters!

Primeiro tópico aqui, infelizmente sobre um vírus.

Esse vírus já há algum tempo está no meu pc, onde eu não consigo executar meu antivírus instalado (Avira), nem desinstalá-lo, nem instalar outro antivírus por cima dele.

Já usei por várias vezes antes o ComboFix, mas o problema não sanou. Recentemente, ainda não o usei para resolver.

Antes, o antivírus detectava qualquer arquivo .exe como sendo algum malware, debilitando o funcionamento de vários programas. Pelo menos agora o antivírus não faz mais isso.

Log do HijackThis:

Logfile of HijackThis v1.99.1

Scan saved at 19:16:08, on 20/3/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\ARQUIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Arquivos de programas\Nokia\Nokia PC Suite 6\PcSync2.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

C:\ARQUIV~1\ARQUIV~1\PCSuite\Services\SERVIC~1.EXE

C:\ARQUIV~1\ARQUIV~1\Nokia\MPAPI\MPAPI3s.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\DOCUME~1\User\CONFIG~1\Temp\rfffsv.exe

C:\DOCUME~1\User\CONFIG~1\Temp\w895d0.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Java\jre6\bin\java.exe

C:\WINDOWS\juchecka.exe

C:\Documents and Settings\User\Desktop\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/home

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Dados de aplicativos\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Arquivos de programas\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Easy Gif Animator Toolbar Helper - {96372AB6-15EB-4316-B497-71C741BC548C} - C:\Arquivos de programas\Easy Gif Animator Extension\v3.3.0.3\EasyGifAnimator_Toolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Arquivos de programas\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Easy Gif Animator Toolbar - {35065594-9169-4A34-B167-FC4865038E53} - C:\Arquivos de programas\Easy Gif Animator Extension\v3.3.0.3\EasyGifAnimator_Toolbar.dll

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Arquivos de programas\Arquivos comuns\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime Alternative\qttask.exe" -atboottime

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARQUIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [juchecka.exe] C:\WINDOWS\juchecka.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] "C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [PcSync] C:\Arquivos de programas\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Arquivos de programas\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html

O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Arquivos de programas\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARQUIV~1\ARQUIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Update Service (gupdate1ca71565e45f57) (gupdate1ca71565e45f57) - Unknown owner - C:\Arquivos de programas\Google\Update\GoogleUpdate.exe" /svc (file missing)

O23 - Service: Google Software Updater (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Arquivos de programas\Java\jre6\bin\jqs.exe" -service -config "C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: wampapache - Unknown owner - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe" -k runservice (file missing)

O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.36\bin\mysqld.exe

Power Max · Março 21, 2010

:) Olá redieu! Seja bem-vindo ao Fórum Imasters.

:seta: Siga, por gentileza, as dicas destes tutoriais:

Tutorial do Norman Malware Cleaner

Tutorial do Dr. Web CureIt

Na sua próxima resposta poste o log do Norman Malware Cleaner juntamente com um novo log do Hijackthis e o log do Dr. Web CureIt e nos diga como está o seu PC após estes procedimentos.

Ficamos no aguardo.

redieu · Março 21, 2010

:) Olá redieu! Seja bem-vindo ao Fórum Imasters.

:seta: Siga, por gentileza, as dicas destes tutoriais:

Tutorial do Norman Malware Cleaner

Tutorial do Dr. Web CureIt

Na sua próxima resposta poste o log do Norman Malware Cleaner juntamente com um novo log do Hijackthis e o log do Dr. Web CureIt e nos diga como está o seu PC após estes procedimentos.

Ficamos no aguardo.

Valeu pela ajuda, Antonio!

Só que infelizmente não deu certo.

Da primeira vez, abri o tutorial e comecei a baixar o arquivo do Norman Malware Cleaner (pelo Firefox) seguindo aqueles passos do tutorial. Só que o navegador fecha. Isso também acontece se eu usar o IE. Eu não posso visualizar a aba nem do tutorial que o navegador fecha. No começo do meu problema (há algum tempo) ele também apresentava isso, eu não conseguia baixar nenhum antivírus, pois acontecia a mesma coisa. Pensei que isso não fosse acontecer, até porque eu tinha me esquecido mesmo desse detalhe. :(

Antonio, eu consegui baixar só o Norman Malware Cleaner após várias tentativas.

Só que não consigo abrir de maneira nenhuma essa página do tutorial. O navegador fecha.

Será que tem como você me enviar como arquivo do Word ou coisa parecida? :(

Power Max · Março 22, 2010

Antonio, eu consegui baixar só o Norman Malware Cleaner após várias tentativas.

Só que não consigo abrir de maneira nenhuma essa página do tutorial. O navegador fecha.

Vou te passar então as dicas resumidamente aqui de como usá-lo:

:seta: Sugiro que você salve ou imprima essas instruções abaixo, pois em alguns momentos você poderá precisar usar o computador sem o acesso à internet:

* Reinicie o seu PC e acesse o Windows pelo '>http://dicasetutoriaisparapc.blogspot.com/2009/11/ferramentas-para-reparar-o-modo-seguro.html"]Modo Seguro <-- (veja mais informações de como iniciar em Modo Seguro neste Link).

* Se mesmo seguindo as dicas do link acima não for possível iniciar o computador em Modo Seguro, faça o escaneamento no modo normal.

*Dê um duplo clique no instalador do Norman Malware Cleaner e será aberta uma tela na qual você clicará no botão Accept

Aí então será aberta a tela principal do Norman

Nesta tela acima você irá adicionar as unidades removíveis e fixas de seu PC que serão escaneadas (como por exemplo: unidade C:, D:, E:, F: G:, etc.). Para adicionar estas unidades clique no botão Add, como mostra esta imagem:

Depois será aberta uma tela onde você irá selecionar a unidade a ser escaneada (seleciona-se uma unidade de cada vez) e depois de selecioná-la clique no botão OK, como mostra esta figura:

Repita este procedimento acima para adicionar outras unidades (caso existam).

Depois disto, para iniciar o escaneamento clique no botão Start scan, como mostra esta imagem:

Tenha paciência, o escaneamento pode demorar, dependendo da quantidade de arquivos que você tenha em seu PC.

Depois que o escaneamento terminar, clique no botão Quit.

Caso você seja questionado se quer reiniciar o computador (Do you want restart now?) clique em Sim.

Assim que for concluido o escaneamento será gerado o relatório (log) do escaneamento, cujo nome é NFix_a_m_d (onde a = ano, m = mês e d = dia), o qual estará no local onde você instalou o Norman Malware Cleaner, caso você tenha salvo ele em seu Desktop, o log também estará no Desktop. Dê um duplo clique neste log para abrí-lo, ele será parecido com este da imagem abaixo:

Selecione todo conteúdo deste log (Ctrl + A), copie (Ctrl + C) e cole (Crtl + V) em sua próxima resposta aqui no Fórum juntamente com um novo log do Hijackthis e nos diga como está seu PC depois disto.

redieu · Março 25, 2010

Olá, Antonio, fiz os procedimentos pedidos, mas o Normal Malware Cleaner abriu esse erro aqui:

Quando eu abro de imediato o Norman Malware Cleaner, ele exibe esta tela aí.

Eu não estava conseguindo abrir o modo seguro devido a um erro causado pelo vírus, mas com aquela ferramenta de reparação do tutorial, consegui resolver o problema.

Power Max · Março 25, 2010

Olá, Antonio, fiz os procedimentos pedidos, mas o Normal Malware Cleaner abriu esse erro aqui:

Quando eu abro de imediato o Norman Malware Cleaner, ele exibe esta tela aí.

Eu não estava conseguindo abrir o modo seguro devido a um erro causado pelo vírus, mas com aquela ferramenta de reparação do tutorial, consegui resolver o problema.

Você tentou executar o Norman no Modo seguro? Caso não tenha tentado, tente e poste os resultados.

redieu · Março 26, 2010

Mas eu abri ele no modo seguro sim, como falei na resposta anterior.

Eu não conseguia entrar pelo modo seguro, mas aquela ferramenta que repara o modo seguro que tem no tutorial resolveu.

Eu entrei no modo seguro e executei o programa, que deu esse erro da print.

Power Max · Março 28, 2010

:seta: Abra o HijackThis, clique em Do a system scan only, marque as entradas abaixo e clique em Fix checked:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O4 - HKLM\..\Run: [juchecka.exe] C:\WINDOWS\juchecka.exe

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

___________________________

:seta: Baixe o programa Avenger no link abaixo e extraia o conteúdo para o desktop (área de trabalho):

http://swandog46.geekstogo.com/avenger2/download.php

*Selecione e copie (Ctrl+C) todo o texto destacado em vermelho abaixo:

Files to delete:

C:\DOCUME~1\User\CONFIG~1\Temp\rfffsv.exe

C:\DOCUME~1\User\CONFIG~1\Temp\w895d0.exe

C:\WINDOWS\juchecka.exe

*Execute o programa Avenger

*Clique em [Load Script] > [Paste from Clipboard]

*Clique em [Execute] > [OK]

*O PC será reiniciado

*O relatório será criado em C:\avenger.txt

________________________________

:seta: Postei o Norman com seu nome trocado (para que os malwares permitam a execução dele) no link abaixo:

http://www.4shared.com/file/251242300/483fc5f/norminha.html

Obs: Quando acessar o site acima, clique no botão Download now > aguarde a contagem regressiva > Clique na opção: Click here to download this file.

E depois de baixá-lo é só executá-lo seguindo as dicas do tutorial dele que te passei anteriormente.

________________________________

:seta: Na sua próxima resposta poste o log do Norman Malware Cleaner, juntamente com um novo log do Hijackthis e o log que estará em C:\avenger.txt e nos diga como está seu PC depois disto.

redieu · Março 29, 2010

Antonio, eu consegui entrar somente naquela vez em modo seguro, quando fui fazer nova tentativa para executar de novo o Norman, nem com aquela ferramenta reparadora eu consegui entrar. Fiz no modo normal mesmo.

Aí aconteceu o seguinte: o Norman executou normalmente em alguns minutos depois ele para de escanear do nada. Já fiz várias tentativas e nada.

E fiz aquelas reparações no HijackThis.

Mesmo assim, postarei aqui os logs para você.

Log do Avenger:

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.

Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

No rootkits found!

Error: file "C:\DOCUME~1\User\CONFIG~1\Temp\rfffsv.exe" not found!

Deletion of file "C:\DOCUME~1\User\CONFIG~1\Temp\rfffsv.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

Error: file "C:\DOCUME~1\User\CONFIG~1\Temp\w895d0.exe" not found!

Deletion of file "C:\DOCUME~1\User\CONFIG~1\Temp\w895d0.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

File "C:\WINDOWS\juchecka.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

==============================================

Log do Norman:

Norman Malware Cleaner

Version 1.6.2

Norman Scanner Engine Version: 6.04.08

Nvcbin.def Version: 6.04.00, Date: 2010/03/28 06:53:07, Variants: 5830208

Scan started: 28/03/2010 23:10:23

Running pre-scan cleanup routine:

Operating System: Microsoft Windows XP Professional 5.1.2600 Service Pack 3

Logged on user: DESKTOP\User

Scanning bootsectors...

Number of sectors found: 0

Number of sectors scanned: 0

Number of sectors not scanned: 0

Number of infections found: 0

Number of infections removed: 0

Total scanning time: 0s

Scanning running processes and process memory...

C:\WINDOWS\system32\hkcmd.exe (Infected with W32/Sality.AN)

Failed to repair file

C:\WINDOWS\system32\igfxpers.exe (Infected with W32/Sality.AN)

Failed to repair file

C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe (Infected with W32/Sality.AN)

Failed to repair file

C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe (Infected with W32/Sality.AN)

Failed to repair file

C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe (Infected with W32/Sality.AN)

Failed to repair file

C:\Arquivos de programas\Java\jre6\bin\jusched.exe (Infected with W32/Sality.AN)

Failed to repair file

C:\Arquivos de programas\Nokia\Nokia PC Suite 6\LaunchApplication.exe (Infected with W32/Sality.AN)

Failed to repair file

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe (Infected with W32/Sality.AN)

Failed to repair file

C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe (Infected with W32/Sality.AN)

Failed to repair file

C:\WINDOWS\system32\ctfmon.exe (Infected with W32/Sality.AN)

Failed to repair file

C:\Arquivos de programas\Nokia\Nokia PC Suite 6\PcSync2.exe (Infected with W32/Sality.AN)

Failed to repair file

C:\Arquivos de programas\Arquivos comuns\PCSuite\Services\ServiceLayer.exe (Infected with W32/Sality.AN)

Failed to repair file

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe (Infected with W32/Sality.AN)

Failed to repair file

C:\Arquivos de programas\Arquivos comuns\Nokia\MPAPI\MPAPI3s.exe (Infected with W32/Sality.AN)

Failed to repair file

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe (Infected with W32/Sality.AN)

Failed to repair file

C:\Documents and Settings\User\Configurações locais\Temp\w9325e.exe (Infected with W32/Malware.KQMT)

Terminated process

Removed registry value: HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List -> C:\DOCUME~1\User\CONFIG~1\Temp\w9325e.exe = "C:\DOCUME~1\User\CONFIG~1\Temp\w9325e.exe:*:Enabled:ipsec"

=======================================

Log do HijackThis:

Logfile of HijackThis v1.99.1

Scan saved at 23:21:00, on 28/3/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\ARQUIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\WINDOWS\juchecka.exe

C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Arquivos de programas\Nokia\Nokia PC Suite 6\PcSync2.exe

C:\ARQUIV~1\ARQUIV~1\PCSuite\Services\SERVIC~1.EXE

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

C:\ARQUIV~1\ARQUIV~1\Nokia\MPAPI\MPAPI3s.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\DOCUME~1\User\CONFIG~1\Temp\winyhyodi.exe

C:\Brasfoot2010\brasfoot2010.exe

C:\Documents and Settings\User\Desktop\norminha.cmd

C:\DOCUME~1\User\CONFIG~1\Temp\iyjmbl.exe

C:\DOCUME~1\User\CONFIG~1\Temp\winpnjtb.exe