[Resolvido!] [Reaberto] Trojan-Downloader.Murlo

EDSSX · Agosto 19, 2010

Eis :

Nunca instalei este inno setup .

DDS (Ver_09-12-01.01) - FAT32x86

Run by edsom luis at 13:07:19,40 on qui 19/08/2010

Internet Explorer: 8.0.6001.18702

Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.511.238 [GMT -3:00]

AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

============== Running Processes ===============

D:\WINDOWS\system32\svchost -k DcomLaunch

SVCHOST.EXE

D:\WINDOWS\System32\svchost.exe -k netsvcs

SVCHOST.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\Explorer.EXE

D:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

D:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

D:\Arquivos de programas\Avira\AntiVir Desktop\avshadow.exe

D:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

D:\Arquivos de programas\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

D:\Arquivos de programas\CursorXP\CursorXP.exe

D:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

D:\WINDOWS\system32\wuauclt.exe

D:\WINDOWS\system32\osk.exe

D:\WINDOWS\system32\MSSWCHX.EXE

D:\WINDOWS\system32\msiexec.exe

D:\Arquivos de programas\Mozilla Firefox\firefox.exe

D:\Arquivos de programas\Mozilla Firefox\plugin-container.exe

D:\Documents and Settings\edsom luis\Meus documentos\Downloads\dds.scr

============== Pseudo HJT Report ===============

mWindow Title =

BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - d:\arquivos de programas\arquivos comuns\adobe\acrobat\activex\AcroIEHelperShim.dll

BHO: Search Helper: {6ebf7485-159f-4bff-a14f-b9e3aac4465b} - d:\arquivos de programas\microsoft\search enhancement pack\search helper\SEPsearchhelperie.dll

BHO: Auxiliar de Conexão do Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - d:\arquivos de programas\arquivos comuns\microsoft shared\windows live\WindowsLiveLogin.dll

uRun: [CursorXP] d:\arquivos de programas\cursorxp\CursorXP.exe

uRun: [msnmsgr] "d:\arquivos de programas\windows live\messenger\msnmsgr.exe" /background

IE: E&xportar para o Microsoft Excel

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

DPF: {17492023-C23A-453E-A040-C7C580BBF700} - hxxp://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - d:\windows\system32\WPDShServiceObj.dll

============= SERVICES / DRIVERS ===============

R1 avgio;avgio;d:\arquivos de programas\avira\antivir desktop\avgio.sys [2010-5-3 11608]

R1 VBoxDrv;VirtualBox Service;d:\windows\system32\drivers\VBoxDrv.sys [2009-9-18 142864]

R1 VBoxUSBMon;VirtualBox USB Monitor Driver;d:\windows\system32\drivers\VBoxUSBMon.sys [2009-9-18 41744]

R2 713xTVCard;SAA7131 TV Card;d:\windows\system32\drivers\SAA713x.sys [2005-3-15 277504]

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;d:\arquivos de programas\avira\antivir desktop\sched.exe [2010-5-3 135336]

R2 AntiVirService;Avira AntiVir Guard;d:\arquivos de programas\avira\antivir desktop\AVGUARD.EXE [2010-5-3 267432]

R2 avgntflt;avgntflt;d:\windows\system32\drivers\avgntflt.sys [2010-5-3 60936]

R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;d:\windows\system32\drivers\VBoxNetAdp.sys [2009-9-18 100368]

R3 VBoxNetFlt;VBoxNetFlt Service;d:\windows\system32\drivers\VBoxNetFlt.sys [2010-5-18 111248]

R3 xpvcom;XPVCOM Port;d:\windows\system32\drivers\XPVCOM.sys [2007-3-23 30032]

=============== Created Last 30 ================

2010-08-19 16:04:16 0 ----a-w- d:\windows\system32\REN19.tmp

2010-08-19 16:04:16 0 ----a-w- d:\windows\system32\REN18.tmp

2010-08-19 16:04:16 0 ----a-w- d:\windows\system32\REN17.tmp

2010-08-19 02:01:27 294 ----a-w- d:\windows\is-G99RN.lst

2010-08-19 02:01:27 11868 ----a-w- d:\windows\is-G99RN.msg

2010-08-18 21:34:13 0 d-sh--w- D:\Recycled

2010-08-17 22:40:15 0 d---a-r- D:\Autorun.inf

2010-08-15 22:07:44 0 d-----w- d:\windows\95431C66CF9A4913BFFF6050785AFB65.TMP

2010-08-12 18:24:57 0 d-----w- d:\arquivos de programas\Windows Live SkyDrive

2010-08-12 18:18:09 0 d-----w- d:\arquivos de programas\arquivos comuns\Windows Live

2010-08-11 11:41:21 2150400 ------w- d:\windows\system32\dllcache\ntkrnlmp.exe

2010-08-11 11:41:20 2194176 ------w- d:\windows\system32\dllcache\ntoskrnl.exe

2010-08-11 11:41:19 2071040 ------w- d:\windows\system32\dllcache\ntkrnlpa.exe

2010-08-11 11:41:17 2028544 ------w- d:\windows\system32\dllcache\ntkrpamp.exe

2010-08-11 11:34:42 3558912 ------w- d:\windows\system32\dllcache\moviemk.exe

2010-08-04 00:06:29 0 d-----w- d:\windows\system32\wbem\Repository

2010-07-31 15:24:27 7383 ----a-w- d:\windows\system32\drivers\pctplsg.cat

2010-07-22 15:24:58 245464 ----a-w- d:\windows\system32\wuaucpl.cpl

2010-07-22 15:24:58 245464 ----a-w- d:\windows\system32\dllcache\wuaucpl.cpl

==================== Find3M ====================

2010-08-03 19:57:26 219648 ----a-w- d:\windows\system32\uxtheme.dll

2010-07-27 06:29:58 15094272 ----a-w- d:\windows\system32\dllcache\shell32.dll

2010-07-19 22:46:40 56324 ---ha-w- d:\windows\system32\mlfcache.dat

2010-06-30 12:32:26 149504 ----a-w- d:\windows\system32\schannel.dll

2010-06-30 12:32:26 149504 ------w- d:\windows\system32\dllcache\schannel.dll

2010-06-24 20:54:52 11077120 ------w- d:\windows\system32\dllcache\ieframe.dll

2010-06-24 09:02:34 1852032 ----a-w- d:\windows\system32\win32k.sys

2010-06-24 09:02:34 1852032 ------w- d:\windows\system32\dllcache\win32k.sys

2010-06-23 12:08:10 173056 ------w- d:\windows\system32\dllcache\ie4uinit.exe

2010-06-21 15:27:12 354304 ----a-w- d:\windows\system32\drivers\srv.sys

2010-06-21 15:27:12 354304 ------w- d:\windows\system32\dllcache\srv.sys

2010-06-17 14:03:10 80384 ----a-w- d:\windows\system32\iccvid.dll

2010-06-14 14:31:20 744448 ------w- d:\windows\system32\dllcache\helpsvc.exe

2010-06-14 07:42:28 1172480 ----a-w- d:\windows\system32\msxml3.dll

2010-06-14 07:42:28 1172480 ------w- d:\windows\system32\dllcache\msxml3.dll

2010-06-10 14:34:20 6291456 ----a-w- d:\windows\system32\perfh016.dat

2010-06-10 14:34:20 6029312 ----a-w- d:\windows\system32\perfc016.dat

2010-05-28 18:33:34 15 ----a-w- d:\documents and settings\edsom luis\settings.dat

2009-12-01 18:16:32 38338 ------w- d:\arquivos de programas\Uninst.isu

2009-11-27 21:47:52 218 ------w- d:\arquivos de programas\arquivos comuns\operaprefs_default.ini

2009-11-20 22:11:28 15828 ------w- d:\arquivos de programas\arquivos comuns\license.rtf

2009-11-20 22:01:18 832296 ------w- d:\arquivos de programas\arquivos comuns\opera.exe

2009-11-20 22:01:16 4450088 ------w- d:\arquivos de programas\arquivos comuns\opera.dll

2009-11-20 22:00:42 20480 ------w- d:\arquivos de programas\arquivos comuns\OUniAnsi.dll

2009-11-20 22:00:24 653419 ------w- d:\arquivos de programas\arquivos comuns\encoding.bin

2009-11-13 21:19:06 2320 ------w- d:\arquivos de programas\arquivos comuns\operadef6.ini

2009-08-19 08:39:36 330 ------w- d:\arquivos de programas\setup.ini

2009-07-10 06:20:00 621546 ----a-w- d:\arquivos de programas\arquivos comuns\ACIHELP.HLP.vir

2009-07-10 06:20:00 3219 ----a-w- d:\arquivos de programas\arquivos comuns\Acihelp.cnt.vir

2009-06-17 17:41:58 3870 ----a-w- d:\arquivos de programas\arquivos comuns\lngcode.txt.vir

2008-06-09 13:17:20 301 ----a-w- d:\arquivos de programas\arquivos comuns\c3nform.vxml.vir

2004-02-26 16:35:04 7904 ------w- d:\arquivos de programas\arquivos comuns\html40_entities.dtd

2009-01-21 15:39:44 32768 --sha-w- d:\windows\system32\config\systemprofile\configurações locais\histórico\history.ie5\mshist012009012120090122\index.dat

2009-11-24 09:18:56 32 --sha-w- d:\windows\system32\drivers\fidbox.dat

2009-03-08 17:09:26 510816 --sha-w- d:\windows\niwradsoft shell pack\backup\IEXPLORE.EXE

============= FINISH: 13:08:12,53 ===============

UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.

IF REQUESTED, ZIP IT UP & ATTACH IT

DDS (Ver_09-12-01.01)

Microsoft Windows XP Professional

Boot Device: \Device\HarddiskVolume1

Install Date: 19/9/2007 10:51:37

System Uptime: 19/8/2010 12:36:32 (1 hours ago)

Motherboard: ECS | | M825G

Processor: AMD Sempron 2400+ | Socket-A | 1668/166mhz

==== Disk Partitions =========================

A: is Removable

C: is FIXED (FAT32) - 17 GiB total, 9,925 GiB free.

D: is FIXED (FAT32) - 59 GiB total, 37,45 GiB free.

E: is CDROM ()

==== Disabled Device Manager Items =============

Class GUID: {4D36E968-E325-11CE-BFC1-08002BE10318}

Description: RADEON 9200 PRO Family (Microsoft Corporation)

Device ID: PCI\VEN_1002&DEV_5960&SUBSYS_061018BC&REV_01\4&1FEB96E4&0&0008

Manufacturer: ATI Technologies Inc.

Name: RADEON 9200 PRO Family (Microsoft Corporation)

PNP Device ID: PCI\VEN_1002&DEV_5960&SUBSYS_061018BC&REV_01\4&1FEB96E4&0&0008

Service: ati2mtag

Class GUID: {4D36E968-E325-11CE-BFC1-08002BE10318}

Description: RADEON 9200 PRO SEC Family (Microsoft Corporation)

Device ID: PCI\VEN_1002&DEV_5940&SUBSYS_061118BC&REV_01\4&1FEB96E4&0&0108

Manufacturer: ATI Technologies Inc.

Name: RADEON 9200 PRO SEC Family (Microsoft Corporation)

PNP Device ID: PCI\VEN_1002&DEV_5940&SUBSYS_061118BC&REV_01\4&1FEB96E4&0&0108

Service: ati2mtag

Class GUID:

Description:

Device ID: STREAM\7131TVTUNER\4&2164E342&0&0

Manufacturer:

Name:

PNP Device ID: STREAM\7131TVTUNER\4&2164E342&0&0

Service:

Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318}

Description: Controlador de comunicação PCI simples

Device ID: PCI\VEN_1106&DEV_3068&SUBSYS_4C211543&REV_80\3&61AAA01&0&8E

Manufacturer:

Name: Controlador de comunicação PCI simples

PNP Device ID: PCI\VEN_1106&DEV_3068&SUBSYS_4C211543&REV_80\3&61AAA01&0&8E

Service:

==== System Restore Points ===================

RP16: 18/8/2010 23:45:18 - Ponto de verificação do sistema

RP17: 18/8/2010 23:47:11 - lccd ate 80 aqui e d quer

RP18: 19/8/2010 00:00:20 - Software Distribution Service 3.0

RP19: 19/8/2010 13:03:42 - Removed Java 6 Update 20

==== Installed Programs ======================

Adobe Flash Player 10 ActiveX

Adobe Flash Player 10 Plugin

Adobe Reader 9.3.2 - Português

Apple Application Support

Apple Software Update

Assistente de Conexão do Windows Live

Atualização de Segurança para o Windows Media Player (KB978695)

Atualização de Segurança para Windows Internet Explorer 7 (KB938127-v2)

Atualização de Segurança para Windows Internet Explorer 7 (KB938127)

Atualização de Segurança para Windows Internet Explorer 7 (KB958215)

Atualização de Segurança para Windows Internet Explorer 7 (KB960714)

Atualização de Segurança para Windows Internet Explorer 7 (KB961260)

Atualização de Segurança para Windows Internet Explorer 8 (KB2183461)

Atualização de Segurança para Windows Internet Explorer 8 (KB969897)

Atualização de Segurança para Windows Internet Explorer 8 (KB971961)

Atualização de Segurança para Windows Internet Explorer 8 (KB972260)

Atualização de Segurança para Windows Internet Explorer 8 (KB974455)

Atualização de Segurança para Windows Internet Explorer 8 (KB976325)

Atualização de Segurança para Windows Internet Explorer 8 (KB978207)

Atualização de Segurança para Windows Internet Explorer 8 (KB981332)

Atualização de Segurança para Windows Internet Explorer 8 (KB982381)

Atualização de Segurança para Windows XP (KB2079403)

Atualização de Segurança para Windows XP (KB2115168)

Atualização de Segurança para Windows XP (KB2160329)

Atualização de Segurança para Windows XP (KB2229593)

Atualização de Segurança para Windows XP (KB2286198)

Atualização de Segurança para Windows XP (KB956802)

Atualização de Segurança para Windows XP (KB958687)

Atualização de Segurança para Windows XP (KB975562)

Atualização de Segurança para Windows XP (KB978542)

Atualização de Segurança para Windows XP (KB979482)

Atualização de Segurança para Windows XP (KB979559)

Atualização de Segurança para Windows XP (KB980195)

Atualização de Segurança para Windows XP (KB980218)

Atualização de Segurança para Windows XP (KB980436)

Atualização de Segurança para Windows XP (KB981852)

Atualização de Segurança para Windows XP (KB981997)

Atualização de Segurança para Windows XP (KB982214)

Atualização de Segurança para Windows XP (KB982665)

Atualização para Windows Internet Explorer 8 (KB973874)

Atualização para Windows Internet Explorer 8 (KB976662)

Atualização para Windows Internet Explorer 8 (KB976749)

Atualização para Windows Internet Explorer 8 (KB980182)

Avira AntiVir Personal - Free Antivirus

BrOffice.org 3.1

C-Media WDM Audio Driver

CCleaner

CursorXP

EVEREST Home Edition v2.20

Ferramenta de Carregamento do Windows Live

Gadwin PrintScreen

Google Chrome

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)

Hotfix para Windows XP (KB981793)

K-Meleon 1.5.4 en-US (remove only)

Malwarebytes' Anti-Malware

Microsoft .NET Framework 2.0 Service Pack 2

Microsoft .NET Framework 3.0 Service Pack 2

Microsoft .NET Framework 3.5 SP1

Microsoft Application Error Reporting

Microsoft Choice Guard

Microsoft Search Enhancement Pack

Microsoft Silverlight

Microsoft Speech Recognition Engine 4.0 (English)

Microsoft Sync Framework Runtime Native v1.0 (x86)

Microsoft Sync Framework Services Native v1.0 (x86)

Microsoft Text-to-Speech Engine 4.0 (English)

Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053

Microsoft Visual C++ 2005 Redistributable

Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148

Mozilla Firefox (3.6)

MSVCRT

MSXML 4.0 SP2 (KB973688)

Opera 10.61

Revo Uninstaller 1.89

Safari

Segoe UI

Update for Microsoft .NET Framework 3.5 SP1 (KB963707)

você 9.0 Runtime

VIA Rhine-Family Fast-Ethernet Adapter

Visual C++ 2008 x86 Runtime - (v9.0.30729)

Visual C++ 2008 x86 Runtime - v9.0.30729.01

WebFldrs XP

Windows Internet Explorer 7

Windows Live Call

Windows Live Communications Platform

Windows Live Essentials

Windows Live Messenger

Windows Media Format 11 runtime

XML Paper Specification Shared Components Pack 1.0

==== End Of File ===========================

Renato Utsch · Agosto 19, 2010

Olá!

Acesse o site " Jotti's malware scan "

Na caixa que fica em cima (File to upload & scan);
Copie e cole o(s) seguinte(s) arquivo(s) um de cada vez:
- d:\windows\is-G99RN.msg
- d:\windows\is-G99RN.lst
- d:\windows\is-G99RN.exe
- d:\windows\95431C66CF9A4913BFFF6050785AFB65.TMP
[*]Clique no botão

[*]O(s) arquivo(s) irá(serão) ser examinado(s) por diferentes softwares antivirus, por favor aguarde.

[*]Copie e cole o(s) resultado(s).

Se o site acima estiver muito congestionado, tente num desses sites:

Alternativa 1

Alternativa 2

Abraços :D

EDSSX · Agosto 19, 2010

Boa noite !

Segue :

Jotti's malware scan

Filename: is-G99RN.msg

Status:

Scan finished. 0 out of 19 scanners reported malware.

Scan taken on: Fri 20 Aug 2010 00:21:12 (CET) Permalink

Jotti's malware scan

Filename: is-G99RN.lst

Status:

Scan finished. 0 out of 19 scanners reported malware.

Scan taken on: Fri 20 Aug 2010 00:24:57 (CET) Permalink

O d:\windows\is-G99RN.exe; não foi mais encontrado .

O ficheiro d:\windows\95431C66CF9A4913BFFF6050785AFB65.TMP contêm/abre as dll`s :

Jotti's malware scan

Filename: WiseCustomCall.dll

Status:

Scan finished. 0 out of 19 scanners reported malware.

Scan taken on: Fri 20 Aug 2010 00:54:45 (CET) Permalink

Jotti's malware scan

Filename: WiseCustomCalla2.dll

Status:

Scan finished. 0 out of 19 scanners reported malware.

Scan taken on: Fri 20 Aug 2010 00:56:52 (CET) Permalink

Jotti's malware scan

Filename: WiseCustomCalla17.dll

Status:

Scan finished. 0 out of 19 scanners reported malware.

Scan taken on: Fri 20 Aug 2010 01:00:10 (CET) Permalink

Jotti's malware scan

Filename: WiseCustomCalla.dll

Status:

Scan finished. 0 out of 19 scanners reported malware.

Scan taken on: Fri 20 Aug 2010 01:02:00 (CET) Permalink

Abraços

Renato Utsch · Agosto 19, 2010

Olá!

Então, o log está limpo.

Tente baixar o MV RegClean e fazer uma limpeza profunda no seu registro. Isso deve corrigir o problema no seu pc. Lembre-se de consertar todos os erros encontrados!

Abraços :D

EDSSX · Agosto 19, 2010

Ok então ; pode encerrar o tópico; pois caso resolvido .

Obrigado pela tua ampla dedicação e tenha um bom trabalho no imasters .

Abraços

Renato Utsch · Agosto 19, 2010

O problema de lentidão no seu pc foi resolvido?

~> Descobri agora que o trojan downloader.murlo era somente um falso positivo por parte do Spyware doctor! :!:

Na verdade essas entradas faziam parte de um anti-rootkit chamado catchme.

Você o conhece / já o instalou alguma vez??

Abraços :D

EDSSX · Agosto 19, 2010

Boa noite ! Lord Evil

Vou ter que reiniciar ele para verificar o problema de lentidão .

Trojan downloader.murlo falso positivo ? Será ? Com o Spyware doctor ? Confiar em qual software então ? Para encerrar de uma vez este tópico; vou rodá - lo novamente .

Catchme anti-rootkit já ouvi falar ; mas aqui nunca teve . Entretanto já li que nos anti virus contêm um arquivo com este nome para detectar rootkits .

O problema de lentidão no seu pc foi resolvido?

~> Descobri agora que o trojan downloader.murlo era somente um falso positivo por parte do Spyware doctor! :!:

Na verdade essas entradas faziam parte de um anti-rootkit chamado catchme.

Você o conhece / já o instalou alguma vez??

Abraços :D

Renato Utsch · Agosto 19, 2010

O fato de ser um rootkit é porque ele fazia parte do ComboFix. (descobri agora... sorry for the problem...)

Só espero a resposta do problema de lentidão para fechar o tópico, já que o log está limpo e tudo resolvido.

Abraços :D

EDSSX · Agosto 19, 2010

Boa noite !

Lord Evil

Está um pouco só; mas está . Deve ser devido o msn ; pois a página de entrada/login do mesmo inicia com o windows . Vou aderir o msconfig . Pode encerrar o tópico ; pois caso esclareçido; entretanto quando rodo o combofix não cria aquelas chaves .

Obrigado pela tua ampla dedicação e tenha um bom trabalho no imasters .

Abraços

Renato Utsch · Agosto 20, 2010

Olá!

Depois de rodar o ComboFix desinstale ele usando o Iniciar > Executar > ComboFix /uninstall

~> Não utilize o ComboFix sem supervisão, pois o mesmo pode danificar seu PC!

~> Não aplique as instruções dadas aqui em outro computador, pois tudo feito é somente para remover as infecções do SEU PC.

~> Caso Resolvido.

Abraços :D

Renato Utsch · Agosto 20, 2010

PROBLEMA RESOLVIDO!

Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico.

Renato Utsch · Agosto 25, 2010

TÓPICO REABERTO!

Por favor, qual o motivo de ter reaberto o tópico, para averiguarmos o quê está acontecendo agora.

Abraços :D

EDSSX · Agosto 25, 2010

Boa noite !

Perçebi que o PC está lento ainda, ao iniciar o windows; removi o windows live messenger e seus componentes e nada ( pois o mesmo iniciava junto com o sistema ) . E olhe ; os arquivos infectados que foram removidos cfe. os logs infra e tuas(eus) relações/nomes e pastas semelhantes perante os mesmos .

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

Versão da Base de Dados: 4465

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

23/8/2010 13:21:01

mbam-log-2010-08-23 (13-21-01).txt

Tipo de Verificação: Verificação Completa (D:\|)

Objetos escaneados: 175908

Tempo decorrido: 43 minuto(s), 37 segundo(s)

Processos de Memória Infectados: 0

Módulos de Memória Infectados: 0

Chaves de Registro Infectadas: 0

Valores de Registro Infectados: 1

Itens de Dados no Registro Infectados: 0

Pastas Infectadas: 0

Arquivos Infectados: 0

Processos de Memória Infectados:

(Não foram detectados ítens maliciosos)

Módulos de Memória Infectados:

(Não foram detectados ítens maliciosos)

Chaves de Registro Infectadas:

(Não foram detectados ítens maliciosos)

Valores de Registro Infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\cleanup (Trojan.Zapchast) -> Quarantined and deleted successfully.

Itens de Dados no Registro Infectados:

(Não foram detectados ítens maliciosos)

Pastas Infectadas:

(Não foram detectados ítens maliciosos)

Arquivos Infectados:

(Não foram detectados ítens maliciosos)

O diretório d:\windows\rrxx.dll; pertençe à um otimizador de velocidade para o XP PRO ; enquanto aos demais desconheço .

ComboFix 10-08-24.06 - edsom luis 24/08/2010 17:51:08.45.1 - FAT32x86

Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.511.351 [GMT -3:00]

Executando de: d:\documents and settings\edsom luis\Desktop\ComboFix.exe

AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

D:\cleanup.exe

d:\windows\rrxx.dll

D:\zip.exe

.

(((((((((((((((( Arquivos/Ficheiros criados de 2010-07-24 to 2010-08-24 ))))))))))))))))))))))))))))

.

2010-08-23 15:28 . 2010-08-23 15:28 574 ----a-w- D:\cleanup.bat

2010-08-19 21:16 . 2010-04-04 16:04 537842 ----a-w- D:\HaxFix.exe

2010-08-19 21:16 . 2010-08-19 21:16 -------- d-----w- d:\windows\HaxFix

2010-08-19 20:23 . 2010-08-19 20:23 157184 ----a-w- d:\documents and settings\edsom luis\Dados de aplicativos\Runscanner.net\VirusTotalUpload.exe

2010-08-19 20:23 . 2010-08-19 20:23 -------- d-----w- d:\documents and settings\edsom luis\Dados de aplicativos\Runscanner.net

2010-08-19 20:04 . 2010-08-19 20:04 -------- d-----w- D:\Lop SD

2010-08-12 18:24 . 2010-08-12 18:24 -------- d-----w- d:\arquivos de programas\Windows Live SkyDrive

2010-08-12 18:24 . 2010-08-12 18:24 -------- d-----w- d:\arquivos de programas\Windows Live

2010-08-12 18:18 . 2010-08-12 18:18 -------- d-----w- d:\arquivos de programas\Arquivos comuns\Windows Live

2010-08-11 11:41 . 2010-04-28 05:43 2150400 ------w- d:\windows\system32\dllcache\ntkrnlmp.exe

2010-08-11 11:41 . 2010-04-28 18:13 2194176 ------w- d:\windows\system32\dllcache\ntoskrnl.exe

2010-08-11 11:41 . 2010-04-28 05:43 2071040 ------w- d:\windows\system32\dllcache\ntkrnlpa.exe

2010-08-11 11:41 . 2010-04-28 05:43 2028544 ------w- d:\windows\system32\dllcache\ntkrpamp.exe

2010-08-11 11:34 . 2010-06-18 13:36 3558912 ------w- d:\windows\system32\dllcache\moviemk.exe

2010-08-09 14:07 . 2010-08-09 14:07 503808 ----a-w- d:\documents and settings\edsom luis\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-7bdeb69a-n\msvcp71.dll

2010-08-09 14:07 . 2010-08-09 14:07 499712 ----a-w- d:\documents and settings\edsom luis\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-7bdeb69a-n\jmc.dll

2010-08-09 14:07 . 2010-08-09 14:07 348160 ----a-w- d:\documents and settings\edsom luis\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-7bdeb69a-n\msvcr71.dll

2010-08-09 14:07 . 2010-08-09 14:07 61440 ----a-w- d:\documents and settings\edsom luis\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-63c474f1-n\decora-sse.dll

2010-08-09 14:07 . 2010-08-09 14:07 12800 ----a-w- d:\documents and settings\edsom luis\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-63c474f1-n\decora-d3d.dll

2010-08-06 12:49 . 2010-07-27 01:30 705208 ----a-w- d:\documents and settings\edsom luis\Dados de aplicativos\Mozilla\Firefox\Profiles\izozpjim.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll

2010-08-06 12:49 . 2010-07-27 01:30 978664 ----a-w- d:\documents and settings\edsom luis\Dados de aplicativos\Mozilla\Firefox\Profiles\izozpjim.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll

2010-08-04 00:06 . 2010-08-04 00:06 -------- d-----w- d:\windows\system32\wbem\Repository

2010-07-27 01:13 . 2010-07-27 01:13 -------- d-----w- d:\documents and settings\LocalService\Menu Iniciar

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-08-24 16:45 . 2009-09-22 20:52 1 ----a-w- d:\documents and settings\edsom luis\Dados de aplicativos\BrOffice.org\3\user\uno_packages\cache\stamp.sys

2010-08-23 17:42 . 2009-08-27 01:37 664 ----a-w- d:\windows\system32\d3d9caps.dat

2010-08-19 21:27 . 2010-08-23 13:33 2859382 ----a-w- d:\documents and settings\All Users\Dados de aplicativos\Avira\AntiVir Desktop\TEMP\UPDATE\VALIDATION\aeheur.dll

2010-08-19 16:21 . 2010-04-18 00:33 423656 ----a-w- d:\windows\system32\deployJava1.dll

2010-08-07 10:31 . 2010-08-23 13:33 471412 ----a-w- d:\documents and settings\All Users\Dados de aplicativos\Avira\AntiVir Desktop\TEMP\UPDATE\VALIDATION\aepack.dll

2010-08-07 10:31 . 2010-08-23 13:33 393587 ----a-w- d:\documents and settings\All Users\Dados de aplicativos\Avira\AntiVir Desktop\TEMP\UPDATE\VALIDATION\aegen.dll

2010-08-03 19:57 . 2004-08-04 10:45 219648 ----a-w- d:\windows\system32\uxtheme.dll

2010-07-30 01:46 . 2010-08-23 13:33 106868 ----a-w- d:\documents and settings\All Users\Dados de aplicativos\Avira\AntiVir Desktop\TEMP\UPDATE\VALIDATION\aevdf.dll

2010-07-30 01:46 . 2010-08-23 13:33 1364347 ----a-w- d:\documents and settings\All Users\Dados de aplicativos\Avira\AntiVir Desktop\TEMP\UPDATE\VALIDATION\aescript.dll

2010-07-22 12:10 . 2010-08-23 13:33 614772 ----a-w- d:\documents and settings\All Users\Dados de aplicativos\Avira\AntiVir Desktop\TEMP\UPDATE\VALIDATION\aerdl.dll

2010-07-22 12:10 . 2010-08-23 13:33 201081 ----a-w- d:\documents and settings\All Users\Dados de aplicativos\Avira\AntiVir Desktop\TEMP\UPDATE\VALIDATION\aeoffice.dll

2010-07-22 12:09 . 2010-08-23 13:33 242039 ----a-w- d:\documents and settings\All Users\Dados de aplicativos\Avira\AntiVir Desktop\TEMP\UPDATE\VALIDATION\aehelp.dll

2010-07-22 12:09 . 2010-08-23 13:33 192887 ----a-w- d:\documents and settings\All Users\Dados de aplicativos\Avira\AntiVir Desktop\TEMP\UPDATE\VALIDATION\aecore.dll

2010-07-19 22:46 . 2010-07-19 22:46 56324 ---ha-w- d:\windows\system32\mlfcache.dat

2010-07-19 18:19 . 2010-07-19 18:19 -------- d-----w- d:\arquivos de programas\Safari

2010-07-19 18:19 . 2010-07-19 18:19 -------- d-----w- d:\arquivos de programas\Apple Software Update

2010-07-19 17:57 . 2010-07-19 17:57 -------- d-----w- d:\documents and settings\edsom luis\Dados de aplicativos\K-Meleon

2010-07-19 17:55 . 2010-07-19 17:55 -------- d-----w- d:\arquivos de programas\K-Meleon

2010-07-18 22:12 . 2010-07-18 22:12 -------- d-----w- d:\documents and settings\All Users\Dados de aplicativos\PC Tools

2010-07-18 22:12 . 2010-07-18 22:12 -------- d-----w- d:\documents and settings\edsom luis\Dados de aplicativos\PC Tools

2010-07-18 00:06 . 2010-07-18 00:06 -------- d-----w- d:\documents and settings\edsom luis\Dados de aplicativos\IObit

2010-07-16 15:10 . 2010-07-16 15:10 -------- d-----w- d:\arquivos de programas\Opera

2010-07-16 14:40 . 2010-07-16 14:40 -------- d-----w- d:\documents and settings\edsom luis\Dados de aplicativos\Avira

2010-07-16 14:40 . 2010-07-16 14:40 -------- d-----w- d:\documents and settings\All Users\Dados de aplicativos\Avira

2010-07-16 14:05 . 2010-07-16 14:05 -------- d-----w- d:\documents and settings\All Users\Dados de aplicativos\Avira(2)

2010-07-15 20:48 . 2010-07-15 20:48 -------- d-----w- d:\arquivos de programas\CursorXP

2010-07-15 17:46 . 2010-07-15 17:46 -------- d-----w- d:\arquivos de programas\CursorXP(2)

2010-06-30 18:30 . 2010-06-30 18:30 -------- d-----w- d:\documents and settings\All Users\Dados de aplicativos\SpeedBit

2010-06-30 12:32 . 2004-08-04 10:45 149504 ----a-w- d:\windows\system32\schannel.dll

2010-06-30 00:27 . 2010-06-30 00:27 -------- d-----w- d:\arquivos de programas\CCleaner

2010-06-24 12:24 . 2004-08-04 10:45 916480 ----a-w- d:\windows\system32\wininet.dll

2010-06-24 09:02 . 2004-08-04 10:38 1852032 ----a-w- d:\windows\system32\win32k.sys

2010-06-21 15:27 . 2004-08-04 09:14 354304 ----a-w- d:\windows\system32\drivers\srv.sys

2010-06-17 14:03 . 2004-08-04 10:45 80384 ----a-w- d:\windows\system32\iccvid.dll

2010-06-14 14:31 . 2007-09-19 13:43 744448 ----a-w- d:\windows\pchealth\helpctr\binaries\HelpSvc.exe

2010-06-14 07:42 . 2004-08-04 10:45 1172480 ----a-w- d:\windows\system32\msxml3.dll

2010-06-10 14:34 . 2001-10-28 21:07 6291456 ----a-w- d:\windows\system32\perfh016.dat

2010-06-10 14:34 . 2001-10-28 21:07 6029312 ----a-w- d:\windows\system32\perfc016.dat

2010-06-04 15:29 . 2010-06-04 15:29 71992 ----a-w- d:\documents and settings\All Users\Dados de aplicativos\Apple Computer\Installer Cache\Safari 5.33.16.0\SetupAdmin.exe

2010-05-28 18:33 . 2010-05-03 01:06 15 ----a-w- d:\documents and settings\edsom luis\settings.dat

2009-12-01 18:16 . 2009-12-01 18:16 38338 ------w- d:\arquivos de programas\Uninst.isu

2009-11-27 21:47 . 2009-11-13 21:19 218 ------w- d:\arquivos de programas\Arquivos comuns\operaprefs_default.ini

2009-11-20 22:11 . 2009-11-20 22:11 15828 ------w- d:\arquivos de programas\Arquivos comuns\license.rtf

2009-11-20 22:01 . 2009-11-20 22:01 832296 ------w- d:\arquivos de programas\Arquivos comuns\opera.exe

2009-11-20 22:01 . 2009-11-20 22:01 4450088 ------w- d:\arquivos de programas\Arquivos comuns\opera.dll

2009-11-20 22:00 . 2009-11-20 22:00 20480 ------w- d:\arquivos de programas\Arquivos comuns\OUniAnsi.dll

2009-11-20 22:00 . 2009-11-20 22:00 653419 ------w- d:\arquivos de programas\Arquivos comuns\encoding.bin

2009-11-13 21:19 . 2009-03-27 23:27 2320 ------w- d:\arquivos de programas\Arquivos comuns\operadef6.ini

2009-08-19 08:39 . 2009-08-19 08:39 330 ------w- d:\arquivos de programas\setup.ini

2009-07-10 06:20 . 2009-12-01 18:16 621546 ----a-w- d:\arquivos de programas\Arquivos comuns\ACIHELP.HLP.vir

2009-07-10 06:20 . 2009-12-01 18:16 3219 ----a-w- d:\arquivos de programas\Arquivos comuns\Acihelp.cnt.vir

2009-06-17 17:41 . 2009-06-17 17:41 3870 ----a-w- d:\arquivos de programas\Arquivos comuns\lngcode.txt.vir

2008-06-09 13:17 . 2008-06-09 13:17 301 ----a-w- d:\arquivos de programas\Arquivos comuns\c3nform.vxml.vir

2004-02-26 16:35 . 2004-02-26 16:35 7904 ------w- d:\arquivos de programas\Arquivos comuns\html40_entities.dtd

2009-11-24 09:18 . 2009-04-29 23:59 32 --sha-w- d:\windows\system32\drivers\fidbox.dat

2009-03-08 17:09 . 2010-08-03 20:00 510816 --sha-w- d:\windows\NiwradSoft Shell Pack\Backup\IEXPLORE.EXE

.

------- Sigcheck -------

[-] 2008-04-14 . B0C0BF2504B830BFC1E93CA39F3C75FE . 549376 . . [5.1.2600.5512] . . d:\windows\system32\winlogon.exe

[7] 2008-04-14 . 71D440F79B711627B12B567FB2EADB42 . 509952 . . [5.1.2600.5512] . . d:\windows\ERDNT\cache\WINLOGON.EXE

[7] 2008-04-14 . 71D440F79B711627B12B567FB2EADB42 . 509952 . . [5.1.2600.5512] . . d:\windows\NiwradSoft Shell Pack\Backup\WINLOGON.EXE

[-] 2008-04-14 . B0C0BF2504B830BFC1E93CA39F3C75FE . 549376 . . [5.1.2600.5512] . . d:\windows\ServicePackFiles\i386\winlogon.exe

[7] 2008-04-14 . 71D440F79B711627B12B567FB2EADB42 . 509952 . . [5.1.2600.5512] . . d:\windows\ServicePackFiles\i386\TS\winlogon.exe

[-] 2008-04-14 . 302CD5BE4CA48200F9AC1C6074D71805 . 643072 . . [5.82] . . d:\windows\system32\comctl32.dll

[7] 2008-04-14 . 085C5892D9C1E19B3CEFD1B79F5BBF13 . 617472 . . [5.82] . . d:\windows\ERDNT\cache\COMCTL32.DLL

[7] 2008-04-14 . 085C5892D9C1E19B3CEFD1B79F5BBF13 . 617472 . . [5.82] . . d:\windows\NiwradSoft Shell Pack\Backup\COMCTL32.DLL

[-] 2008-04-14 . 302CD5BE4CA48200F9AC1C6074D71805 . 643072 . . [5.82] . . d:\windows\ServicePackFiles\i386\comctl32.dll

[7] 2008-04-14 . 085C5892D9C1E19B3CEFD1B79F5BBF13 . 617472 . . [5.82] . . d:\windows\ServicePackFiles\i386\TS\comctl32.dll

[-] 2008-04-14 . A9B36030497E98C29210E4544700649D . 579072 . . [5.1.2600.5512] . . d:\windows\system32\user32.dll

[7] 2008-04-14 . 54907DB28872A7A6D3EE2B4747A23828 . 579072 . . [5.1.2600.5512] . . d:\windows\ERDNT\cache\USER32.DLL

[7] 2008-04-14 . 54907DB28872A7A6D3EE2B4747A23828 . 579072 . . [5.1.2600.5512] . . d:\windows\NiwradSoft Shell Pack\Backup\USER32.DLL

[-] 2008-04-14 . A9B36030497E98C29210E4544700649D . 579072 . . [5.1.2600.5512] . . d:\windows\ServicePackFiles\i386\user32.dll

[7] 2008-04-14 . 54907DB28872A7A6D3EE2B4747A23828 . 579072 . . [5.1.2600.5512] . . d:\windows\ServicePackFiles\i386\TS\user32.dll

[-] 2008-04-14 . 77F71BF6970EA10B4CC9AA1D45654AA0 . 1542656 . . [6.00.2900.5512] . . d:\windows\explorer.exe

[7] 2008-04-14 . 064EC7FF5F58B928C3E119402977FA6D . 1035776 . . [6.00.2900.5512] . . d:\windows\ERDNT\cache\explorer.exe

[7] 2008-04-14 . 064EC7FF5F58B928C3E119402977FA6D . 1035776 . . [6.00.2900.5512] . . d:\windows\NiwradSoft Shell Pack\Backup\explorer.exe

[-] 2008-04-14 . 77F71BF6970EA10B4CC9AA1D45654AA0 . 1542656 . . [6.00.2900.5512] . . d:\windows\ServicePackFiles\i386\explorer.exe

[7] 2008-04-14 . 064EC7FF5F58B928C3E119402977FA6D . 1035776 . . [6.00.2900.5512] . . d:\windows\ServicePackFiles\i386\TS\explorer.exe

[-] 2008-04-13 . 88578EEECDAC059F9B12B8D3DA41FFAB . 1312256 . . [5.1.2600.5512] . . d:\windows\system32\ole32.dll

[7] 2008-04-13 . 4DA89C78A5AC43DD98E7497324000378 . 1287168 . . [5.1.2600.5512] . . d:\windows\NiwradSoft Shell Pack\Backup\OLE32.DLL

[-] 2008-04-13 . 88578EEECDAC059F9B12B8D3DA41FFAB . 1312256 . . [5.1.2600.5512] . . d:\windows\ServicePackFiles\i386\ole32.dll

[-] 2005-07-26 . B300CB983AB3D3CDE4332E47852706FB . 1285632 . . [5.1.2600.2726] . . d:\windows\$hf_mig$\KB902400\SP2QFE\ole32.dll

[-] 2005-04-28 . 86A64F2146E3DE3E2D0251F7DEC38C3A . 1286144 . . [5.1.2600.2665] . . d:\windows\$hf_mig$\KB894391\SP2QFE\ole32.dll

[-] 2008-04-14 . 584450C5B2439571755D40444589C63D . 40448 . . [5.1.2600.5512] . . d:\windows\system32\ctfmon.exe

[7] 2008-04-14 . 4E486ADFE3A0B9ED0EB0639902E9F64F . 15360 . . [5.1.2600.5512] . . d:\windows\ERDNT\cache\ctfmon.exe

[7] 2008-04-14 . 4E486ADFE3A0B9ED0EB0639902E9F64F . 15360 . . [5.1.2600.5512] . . d:\windows\NiwradSoft Shell Pack\Backup\ctfmon.exe

[-] 2008-04-14 . 584450C5B2439571755D40444589C63D . 40448 . . [5.1.2600.5512] . . d:\windows\ServicePackFiles\i386\ctfmon.exe

[-] 2009-03-08 . F68C1BAC147227B86FFB36828FF8BEDF . 510816 . . [8.00.6001.18702] . . d:\windows\NiwradSoft Shell Pack\Backup\IEXPLORE.EXE

[-] 2009-03-08 . F68C1BAC147227B86FFB36828FF8BEDF . 510816 . . [8.00.6001.18702] . . d:\windows\ServicePackFiles\i386\iexplore.exe

[7] 2008-12-19 . 15E8A89499741D5CF59A9CF6463A4339 . 634024 . . [7.00.6000.20978] . . d:\windows\$hf_mig$\KB961260-IE7\SP2QFE\iexplore.exe

[7] 2008-12-19 . 030D78FE84A086ED376EFCBD2D72C522 . 634024 . . [7.00.6000.16791] . . d:\windows\ie8\iexplore.exe

[7] 2008-10-15 . 9D3DB9ADFABD2F0BC778EC03250A3ABB . 633632 . . [7.00.6000.16762] . . d:\windows\ie7updates\KB961260-IE7\iexplore.exe

[7] 2008-10-15 . 056C927CF7207857E8B34F7A8FFD9B9E . 633632 . . [7.00.6000.20935] . . d:\windows\$hf_mig$\KB958215-IE7\SP2QFE\iexplore.exe

[7] 2007-08-13 . DE49B348A18369B4626FBA1D49B07FB4 . 622080 . . [7.00.5730.13] . . d:\windows\ie7updates\KB958215-IE7\iexplore.exe

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CursorXP"="d:\arquivos de programas\CursorXP\CursorXP.exe" [2005-01-19 128000]

"msnmsgr"="d:\arquivos de programas\Windows Live\Messenger\msnmsgr.exe" [2010-04-17 3872080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="d:\arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe" [2010-05-14 248552]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ \0

[HKLM\~\startupfolder\D:^Documents and Settings^edsom luis^Menu Iniciar^Programas^Inicializar^BrOffice.org 3.1.lnk]

[HKLM\~\startupfolder\D:^Documents and Settings^edsom luis^Menu Iniciar^Programas^Inicializar^setup_9.0.0.722_15.01.2010_15-37.lnk]

[HKLM\~\startupfolder\D:^Documents and Settings^edsom luis^Menu Iniciar^Programas^Inicializar^setup_9.0.0.722_18.02.2010_16-03.lnk]

[HKLM\~\startupfolder\^.mjsync_pt_BR]

path=\.mjsync_pt_BR

[HKLM\~\startupfolder\^catchme.exe]

path=\catchme.exe

[HKLM\~\startupfolder\^Desktop.rar]

path=\Desktop.rar

[HKLM\~\startupfolder\^dumphive.exe]

path=\dumphive.exe

[HKLM\~\startupfolder\^Favoritos.rar]

path=\Favoritos.rar

[HKLM\~\startupfolder\^haxoth2.txt]

path=\haxoth2.txt

[HKLM\~\startupfolder\^ipconfig]

path=\ipconfig

[HKLM\~\startupfolder\^Items.xml]

path=\Items.xml

[HKLM\~\startupfolder\^md5file.exe]

path=\md5file.exe

[HKLM\~\startupfolder\^moveex.exe]

path=\moveex.exe

[HKLM\~\startupfolder\^NTUSER.DAT]

path=\ntuser.dat

[HKLM\~\startupfolder\^NTUSER.DAT.bak_jv16pt]

path=\NTUSER.DAT.bak_jv16pt

[HKLM\~\startupfolder\^ntuser.dat.LOG]

path=\ntuser.dat.LOG

[HKLM\~\startupfolder\^NTUSER.DAT.tmp.LOG]

path=\NTUSER.DAT.tmp.LOG

[HKLM\~\startupfolder\^ntuser.ini]

path=\ntuser.ini

[HKLM\~\startupfolder\^ntuser.pol]

path=\ntuser.pol

[HKLM\~\startupfolder\^PrivacIE.rar]

path=\PrivacIE.rar

[HKLM\~\startupfolder\^process.exe]

path=\process.exe

[HKLM\~\startupfolder\^rebuilt.Menu Iniciar.rar]

path=\rebuilt.Menu Iniciar.rar

[HKLM\~\startupfolder\^rebuilt.UserData.rar]

path=\rebuilt.UserData.rar

[HKLM\~\startupfolder\^run2.hax]

path=\run2.hax

[HKLM\~\startupfolder\^settings.dat]

path=\settings.dat

[HKLM\~\startupfolder\^swsc.exe]

path=\swsc.exe

[HKLM\~\startupfolder\^tool_en.log]

path=\tool_en.log

[HKLM\~\startupfolder\^UserData.rar]

path=\UserData.rar

[HKLM\~\startupfolder\^vfind.exe]

path=\vfind.exe

[HKEY_LOCAL_MACHINE\software\Microsoft\shared tools\msconfig\startupreg\Adobe ARM]

2010-06-09 08:06 976832 ----a-w- d:\arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\Microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2010-04-04 05:42 36272 ----a-w- d:\arquivos de programas\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\Microsoft\shared tools\msconfig\startupreg\ctfmon.exe]

2008-04-14 03:20 40448 ----a-w- d:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\Microsoft\shared tools\msconfig\startupreg\CursorXP]

2005-01-19 19:34 128000 ----a-w- d:\arquivos de programas\CursorXP\CursorXP.exe

[HKEY_LOCAL_MACHINE\software\Microsoft\shared tools\msconfig\startupreg\DWQueuedReporting]

2008-11-04 04:44 435096 ------w- d:\arquiv~1\ARQUIV~1\MICROS~1\DW\DWTRIG20.EXE

[HKEY_LOCAL_MACHINE\software\Microsoft\shared tools\msconfig\startupreg\msnmsgr]

2010-04-17 01:12 3872080 ----a-w- d:\arquivos de programas\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\Microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2010-05-14 14:44 248552 ----a-w- d:\arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe

[HKEY_LOCAL_MACHINE\software\Microsoft\shared tools\msconfig\services]

"GoogleDesktopManager-060409-093314"=3 (0x3)

"ZeppelinService"=2 (0x2)

"idsvc"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"d:\\Arquivos de programas\\Arquivos comuns\\opera.exe"=

"d:\\WINDOWS\\system32\\usmt\\migwiz.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"d:\\Arquivos de programas\\Opera\\opera.exe"=

"d:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"d:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

R1 VBoxDrv;VirtualBox Service;d:\windows\system32\drivers\VBoxDrv.sys [18/9/2009 13:11 142864]

R1 VBoxUSBMon;VirtualBox USB Monitor Driver;d:\windows\system32\drivers\VBoxUSBMon.sys [18/9/2009 13:10 41744]

R2 713xTVCard;SAA7131 TV Card;d:\windows\system32\drivers\SAA713x.sys [15/3/2005 12:00 277504]

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;d:\arquivos de programas\Avira\AntiVir Desktop\sched.exe [3/5/2010 15:00 135336]

R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;d:\windows\system32\drivers\VBoxNetAdp.sys [18/9/2009 13:11 100368]

R3 VBoxNetFlt;VBoxNetFlt Service;d:\windows\system32\drivers\VBoxNetFlt.sys [18/5/2010 20:28 111248]

R3 xpvcom;XPVCOM Port;d:\windows\system32\drivers\XPVCOM.sys [23/3/2007 02:00 30032]

.

Conteúdo da pasta 'Tarefas Agendadas'

2010-08-24 d:\windows\Tasks\User_Feed_Synchronization-{85870EB0-73F3-41E1-92DD-7C153C1F486E}.job

- d:\windows\system32\msfeedssync.exe [2007-08-13 07:31]

.

------- Scan Suplementar -------

.

mWindow Title =

IE: E&xportar para o Microsoft Excel

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-08-24 17:56

Windows 5.1.2600 Service Pack 3 FAT NTAPI

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

**************************************************************************

.

--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

[HKEY_USERS\.Default\Software\Stardock\WindowBlinds\WB5.ini\Installed]

@DACL=(02 0000)

[HKEY_LOCAL_MACHINE\software\Classes\Microsoft.MSN.MCC.USNJSVC.1\CLSID]

@DACL=(02 0000)

@="{98AC5C33-EE18-4EC2-BE25-3B16EE8F75F1}"

[HKEY_LOCAL_MACHINE\software\Classes\MSN.V2SDeviceHandler\CLSID]

@DACL=(02 0000)

@="{D74C0C0E-14F3-402C-9379-3E2BD0BF5D06}"

[HKEY_LOCAL_MACHINE\software\Classes\MSN.V2SDeviceHandler\CurVer]

@DACL=(02 0000)

@="MSN.V2SDeviceHandler.1"

[HKEY_LOCAL_MACHINE\software\Classes\MSN.V2SDeviceHandler.1\CLSID]

@DACL=(02 0000)

@="{D74C0C0E-14F3-402C-9379-3E2BD0BF5D06}"

[HKEY_LOCAL_MACHINE\software\Classes\pcsexe.Dialer\CLSID]

@DACL=(02 0000)

@="{6E2200B4-7C9E-44C6-96A3-F904A7AB8880}"

[HKEY_LOCAL_MACHINE\software\Classes\pcsexe.Dialer\CurVer]

@DACL=(02 0000)

@="pcsexe.Dialer.1"

[HKEY_LOCAL_MACHINE\software\Classes\pcsexe.Dialer.1\CLSID]

@DACL=(02 0000)

@="{6E2200B4-7C9E-44C6-96A3-F904A7AB8880}"

[HKEY_LOCAL_MACHINE\software\Classes\pcsexe.MessengerDialer\CLSID]

@DACL=(02 0000)

@="{81C63250-607F-4e79-9FCB-F756C16C5AB9}"

[HKEY_LOCAL_MACHINE\software\Classes\pcsexe.MessengerDialer\CurVer]

@DACL=(02 0000)

@="pcsexe.Dialer.1"

[HKEY_LOCAL_MACHINE\software\Classes\pcsexe.MessengerDialer.1\CLSID]

@DACL=(02 0000)

@="{81C63250-607F-4e79-9FCB-F756C16C5AB9}"

[HKEY_LOCAL_MACHINE\software\Classes\pcsexe.PstnOut\CLSID]

@DACL=(02 0000)

@="{630ED07B-04A5-4AB9-A73B-FD94F34D5F09}"

[HKEY_LOCAL_MACHINE\software\Classes\pcsexe.PstnOut\CurVer]

@DACL=(02 0000)

@="pcsexe.PstnOut.1"

[HKEY_LOCAL_MACHINE\software\Classes\pcsexe.PstnOut.1\CLSID]

@DACL=(02 0000)

@="{630ED07B-04A5-4AB9-A73B-FD94F34D5F09}"

[HKEY_LOCAL_MACHINE\software\Classes\Softphone.Dialer\CLSID]

@DACL=(02 0000)

@="{72770783-9801-43c4-9E1F-9084BAE210CF}"

[HKEY_LOCAL_MACHINE\software\Classes\Softphone.Dialer\CurVer]

@DACL=(02 0000)

@="Softphone.Dialer.1"

[HKEY_LOCAL_MACHINE\software\Classes\Softphone.Dialer.1\CLSID]

@DACL=(02 0000)

@="{72770783-9801-43c4-9E1F-9084BAE210CF}"

[HKEY_LOCAL_MACHINE\software\Classes\Softphone.DialerWindow\CLSID]

@DACL=(02 0000)

@="{37E192CB-B5C5-4487-9D66-2550B6F57B7A}"

[HKEY_LOCAL_MACHINE\software\Classes\Softphone.DialerWindow\CurVer]

@DACL=(02 0000)

@="Softphone.DialerWindow.1"

[HKEY_LOCAL_MACHINE\software\Classes\Softphone.DialerWindow.1\CLSID]

@DACL=(02 0000)

@="{37E192CB-B5C5-4487-9D66-2550B6F57B7A}"

[HKEY_LOCAL_MACHINE\software\Classes\Softphone.Error\CLSID]

@DACL=(02 0000)

@="{C2F86E32-3AD2-42f1-94F2-D7E0414F2C10}"

[HKEY_LOCAL_MACHINE\software\Classes\Softphone.Error\CurVer]

@DACL=(02 0000)

@="Softphone.Error.1"

[HKEY_LOCAL_MACHINE\software\Classes\Softphone.Error.1\CLSID]

@DACL=(02 0000)

@="{C2F86E32-3AD2-42f1-94F2-D7E0414F2C10}"

[HKEY_LOCAL_MACHINE\software\Classes\Softphone.PhoneContact\CLSID]

@DACL=(02 0000)

@="{52C92B9C-B117-4AC5-AD94-A6D8604608BB}"

[HKEY_LOCAL_MACHINE\software\Classes\Softphone.PhoneContact\CurVer]

@DACL=(02 0000)

@="Softphone.PhoneContact.1"

[HKEY_LOCAL_MACHINE\software\Classes\Softphone.PhoneContact.1\CLSID]

@DACL=(02 0000)

@="{52C92B9C-B117-4AC5-AD94-A6D8604608BB}"

[HKEY_LOCAL_MACHINE\software\Classes\Softphone.PhoneNumber\CLSID]

@DACL=(02 0000)

@="{B0C5F2DF-5D4B-4DBC-888E-D96E971B57F4}"

[HKEY_LOCAL_MACHINE\software\Classes\Softphone.PhoneNumber\CurVer]

@DACL=(02 0000)

@="Softphone.PhoneNumber.1"

[HKEY_LOCAL_MACHINE\software\Classes\Softphone.PhoneNumber.1\CLSID]

@DACL=(02 0000)

@="{B0C5F2DF-5D4B-4DBC-888E-D96E971B57F4}"

[HKEY_LOCAL_MACHINE\software\Classes\WindowsLive.SetupJob\CLSID]

@DACL=(02 0000)

@="{9B38B1AC-C774-46AB-AD99-0C19871F0714}"

[HKEY_LOCAL_MACHINE\software\Classes\WindowsLive.SetupJob\CurVer]

@DACL=(02 0000)

@="WindowsLive.SetupJob.1"

[HKEY_LOCAL_MACHINE\software\Classes\WindowsLive.SetupJob.1\CLSID]

@DACL=(02 0000)

@="{9B38B1AC-C774-46AB-AD99-0C19871F0714}"

[HKEY_LOCAL_MACHINE\software\Classes\WindowsLive.SetupService\CLSID]

@DACL=(02 0000)

@="{585D47D2-CF74-4869-BF4E-DF5662504F11}"

[HKEY_LOCAL_MACHINE\software\Classes\WindowsLive.SetupService\CurVer]

@DACL=(02 0000)

@="WindowsLive.SetupService.1"

[HKEY_LOCAL_MACHINE\software\Classes\WindowsLive.SetupService.1\CLSID]

@DACL=(02 0000)

@="{585D47D2-CF74-4869-BF4E-DF5662504F11}"

[HKEY_LOCAL_MACHINE\software\Classes\XceedSoftware.XceedCompression.1\CLSID]

@DACL=(02 0000)

@="{4C836512-BB70-11D2-A5A7-00105A9C91C6}"

[HKEY_LOCAL_MACHINE\software\Classes\XceedSoftware.XceedCompression.1\Insertable]

@DACL=(02 0000)

[HKEY_LOCAL_MACHINE\software\Classes\XceedSoftware.XceedZip.4\CLSID]

@DACL=(02 0000)

@="{DB797690-40E0-11D2-9BD5-0060082AE372}"

[HKEY_LOCAL_MACHINE\software\Classes\XceedSoftware.XceedZip.4\Insertable]

@DACL=(02 0000)

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]

"6140110900063D11C8EF10054038389C"="D?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'winlogon.exe'(1044)

d:\windows\system32\SETUPAPI.dll

d:\windows\system32\sfc_os.dll

d:\windows\system32\cscui.dll

- - - - - - - > 'lsass.exe'(1100)

d:\windows\system32\setupapi.dll

d:\windows\system32\psbase.dll

.

Tempo para conclusão: 2010-08-24 17:58:56

ComboFix-quarantined-files.txt 2010-08-24 20:58

ComboFix2.txt 2010-08-20 22:05

Pré-execução: 16 pasta(s) 40.018.116.608 bytes disponíveis

Pós execução: 17 pasta(s) 40.192.114.688 bytes disponíveis

- - End Of File - - 54C6E7E2A4E9F60AE8C2405638A4F088

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

Versão da Base de Dados: 4478

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

25/8/2010 16:40:55

mbam-log-2010-08-25 (16-40-55).txt

Tipo de Verificação: Verificação Completa (D:\|)

Objetos escaneados: 27775

Tempo decorrido: 20 minuto(s), 3 segundo(s)

Processos de Memória Infectados: 0

Módulos de Memória Infectados: 0

Chaves de Registro Infectadas: 0

Valores de Registro Infectados: 0

Itens de Dados no Registro Infectados: 0

Pastas Infectadas: 0

Arquivos Infectados: 1

Processos de Memória Infectados:

(Não foram detectados ítens maliciosos)

Módulos de Memória Infectados:

(Não foram detectados ítens maliciosos)

Chaves de Registro Infectadas:

(Não foram detectados ítens maliciosos)

Valores de Registro Infectados:

(Não foram detectados ítens maliciosos)

Itens de Dados no Registro Infectados:

(Não foram detectados ítens maliciosos)

Pastas Infectadas:

(Não foram detectados ítens maliciosos)

Arquivos Infectados:

D:\Qoobox\Quarantine\D\cleanup.exe.vir (Trojan.Zapchast) -> No action taken.

Obs : Com apenas 20 minutos de scan já detectou o Trojan.Zapchast ; já removi o mesmo . Este diretório D:\Qoobox; pertençe ao combofix . Possível passar me algum comando para deleta - lo ?

Obrigado

EDSSX · Agosto 26, 2010

Boa tarde ! Lord Evil

A opção editar não consta mais aqui . Conforme dito acima; resumo :

Arquivos infectados/removidos :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\cleanup (Trojan.Zapchast) (segundo o Malwarebytes' Anti-Malware )

D:\cleanup.exe (segundo o combofix )

D:\zip.exe (segundo o combofix )

D:\Qoobox\Quarantine\D\cleanup.exe.vir (Trojan.Zapchast) (segundo o Malwarebytes' Anti-Malware )

O D:\Qoobox; mesmo quando desinstala o combofix, ele permaneçe ; pois se trata - se de um resíduo de uma instalação antiga .

Abraços

Renato Utsch · Agosto 26, 2010

Olá!

Pode deixar que sobre os arquivos infectados, eu sei ver quais são. Afinal, sou 'profissional' nisso ; )

O Qoobox pode deixar que vamos remover depois então...

~> Por favor, enquanto removemos, não fique instalando / desinstalando programas. Caso o fizer, me avise. Não desinstale nenhum programa que pedi para eu usar até eu te pedir para.

~> Parece que você foi re-infectado. Possui algum computador conectado em rede? Por favor, poste o log do DDS, que já expliquei nos posts acima como postar para eu ver que programas novos foram instalados.

Abraços :D

EDSSX · Agosto 26, 2010

Boa noite ! Lord Evil

Postei os logs/arquivos acima para você ver as coincidências dos arquivos cleanup e o Trojan.Zapchast detectados por programas diferentes e em diretórios diferentes . Meu caro amigo Lord Evil ; não duvido de teus conhecimentos .

Aqui tenho apenas este computador doméstico . Aqui tem software sumindo sozinho; isto sim ( o executável do DDS ) .

Segue os logs :

DDS (Ver_10-03-17.01) - FAT32x86

Run by edsom luis at 18:42:48,98 on qui 26/08/2010

Internet Explorer: 8.0.6001.18702

Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.511.108 [GMT -3:00]

AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

============== Running Processes ===============

D:\WINDOWS\system32\svchost -k DcomLaunch

SVCHOST.EXE

D:\WINDOWS\System32\svchost.exe -k netsvcs

SVCHOST.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

D:\WINDOWS\Explorer.EXE

D:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe

D:\Arquivos de programas\CursorXP\CursorXP.exe

D:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

D:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

D:\Arquivos de programas\Java\jre6\bin\jqs.exe

D:\Arquivos de programas\Avira\AntiVir Desktop\avshadow.exe

D:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

D:\Arquivos de programas\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

D:\WINDOWS\system32\wbem\wmiapsrv.exe

D:\WINDOWS\system32\osk.exe

D:\WINDOWS\system32\MSSWCHX.EXE

D:\WINDOWS\system32\wuauclt.exe

D:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe

D:\Arquivos de programas\Mozilla Firefox\firefox.exe

D:\Arquivos de programas\Mozilla Firefox\plugin-container.exe

D:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

D:\Documents and Settings\edsom luis\Meus documentos\Downloads\dds.scr

============== Pseudo HJT Report ===============

mWindow Title =

BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - d:\arquivos de programas\arquivos comuns\adobe\acrobat\activex\AcroIEHelperShim.dll

BHO: Search Helper: {6ebf7485-159f-4bff-a14f-b9e3aac4465b} - d:\arquivos de programas\microsoft\search enhancement pack\search helper\SEPsearchhelperie.dll

BHO: Auxiliar de Conexão do Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - d:\arquivos de programas\arquivos comuns\microsoft shared\windows live\WindowsLiveLogin.dll

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - d:\arquivos de programas\java\jre6\bin\jp2ssv.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - d:\arquivos de programas\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

uRun: [CursorXP] d:\arquivos de programas\cursorxp\CursorXP.exe

uRun: [msnmsgr] "d:\arquivos de programas\windows live\messenger\msnmsgr.exe" /background

mRun: [sunJavaUpdateSched] "d:\arquivos de programas\arquivos comuns\java\java update\jusched.exe"

mRun: [DWQueuedReporting] "d:\arquiv~1\arquiv~1\micros~1\dw\dwtrig20.exe" -t

IE: E&xportar para o Microsoft Excel

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

DPF: {17492023-C23A-453E-A040-C7C580BBF700} - hxxp://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab