[Resolvido] &nbspmalware dando dor de cabeça

[lucasbsp 0]

Então Lord, não creio que seja ela pois instalei ela depois que a gente fez o teste do combofix

e nao tinha nenhum arquivo dela no meu pc pois o pc tinha formatado fiz o teste pelo site q você me mandou

mas nao encontrou nd no arquivo não sei acho que pode estar envolvido com alguma coisa com meu driver de internet

pois o que eu uso eh ralink e minha net é via radio o unico arquivo que instalei dos backups foi o ralink

pois sem ele nao poderia fazer contato acho que pode ser naum sei mas ja estou perdendo as esperanças pois acho que vou te que perder todos os meus arquivos e são mais de 70gb aguardo resposta grande abraço segue os logs

 

ComboFix 10-12-16.02 - Lucas 17/12/2010 4:14.7.1 - x86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.1023.787 [GMT -2:00]

Executando de: c:\documents and settings\Lucas\Desktop\ComboFix.exe

.

 

(((((((((((((((( Arquivos/Ficheiros criados de 2010-11-17 to 2010-12-17 ))))))))))))))))))))))))))))

.

 

Nenhum ficheiro/arquivo criado durante este período

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-10-22 11:43 . 2010-10-22 11:43 499712 ----a-w- c:\windows\system32\msvcp71.dll

2010-10-22 11:43 . 2010-10-22 11:43 348160 ----a-w- c:\windows\system32\msvcr71.dll

.

 

------- Sigcheck -------

 

[-] 2007-09-03 . BD8686216E34E22C4ED45A2320B2BEA1 . 360576 . . [5.1.2600.2892] . . c:\windows\system32\drivers\tcpip.sys

 

[-] 2007-09-02 . DB3AA410ED1228B9DF98C06549AE0763 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll

 

[-] 2007-09-02 17:20 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\mspmsnsv.dll

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\arquivos de programas\Arquivos comuns\Nero\Lib\NMBgMonitor.exe" [2007-08-03 202024]

"msnmsgr"="c:\arquivos de programas\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BigDog305"="c:\windows\VM305_STI.EXE" [2007-04-09 57344]

"GrooveMonitor"="c:\arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]

"Adobe ARM"="c:\arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]

"nwiz"="nwiz.exe" [2006-10-22 1622016]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]

"NeroFilterCheck"="c:\arquivos de programas\Arquivos comuns\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]

"NBKeyScan"="c:\arquivos de programas\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-08-08 1828136]

"UnlockerAssistant"="c:\arquivos de programas\Unlocker\UnlockerAssistant.exe" [2010-07-04 17408]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2007-07-21 110592]

"USB Antivirus"="c:\arquivos de programas\USB Disk Security\USBGuard.exe" [2008-08-16 798720]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2007-07-21 15360]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

 

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

Ralink Wireless Utility.lnk - c:\arquivos de programas\RALINK\Common\RaUI.exe [2010-12-15 659456]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

 

R3 ZSMC0305;A4 TECH PC Camera V;c:\windows\system32\drivers\usbVM305.sys [14/12/2010 13:05 391688]

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.google.com.br/

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~3\Office12\EXCEL.EXE/3000

TCP: {EC5D72A5-7054-4BC6-8FD8-7059249580EC} = 10.0.1.254

FF - ProfilePath - c:\documents and settings\Lucas\Dados de aplicativos\Mozilla\Firefox\Profiles\0n840pdq.default\

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\arquivos de programas\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - user.js: network.http.max-connections-per-server - 6

FF - user.js: network.http.max-persistent-connections-per-server - 3

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-12-17 04:17

Windows 5.1.2600 Service Pack 2 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

BigDog305 = c:\windows\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)???????????????????0?????????@??????????????

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

 

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net

Windows 5.1.2600 Disk: SAMSUNG_ rev.SU10 -> Harddisk0\DR0 -> \Device\Scsi\viamraid1Port2Path0Target2Lun0

 

device: opened successfully

user: MBR read successfully

 

Disk trace:

called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys SCSIPORT.SYS hal.dll viamraid.sys

c:\docume~1\Lucas\CONFIG~1\Temp\catchme.sys

c:\windows\system32\drivers\viamraid.sys VIA Technologies inc,.ltd VIA RAID driver

1 ntkrnlpa!IofCallDriver[0x804EE0F6] -> \Device\Harddisk0\DR0[0x86570AB8]

3 CLASSPNP[0xF762D05B] -> ntkrnlpa!IofCallDriver[0x804EE0F6] -> \Device\Scsi\viamraid1Port2Path0Target0Lun0[0x86585A38]

kernel: MBR read successfully

_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; STI ; PUSH AX; POP ES; PUSH AX; POP DS; CLD ; MOV SI, 0x7c1b; MOV DI, 0x61b; PUSH AX; PUSH DI; MOV CX, 0x1e5; REP MOVSB ; RETF ; MOV BP, 0x7be; MOV CL, 0x4; CMP [bP+0x0], CH; JL 0x2e; JNZ 0x3a; }

user != kernel MBR !!!

sectors 156368014 (+255): user != kernel

 

**************************************************************************

.

--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]

@DACL=(02 0000)

@=""

"Installed"="1"

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]

@DACL=(02 0000)

@=""

"Installed"="1"

"NoChange"="1"

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]

@DACL=(02 0000)

@=""

"Installed"="1"

.

Tempo para conclusão: 2010-12-17 04:18:15

ComboFix-quarantined-files.txt 2010-12-17 06:18

ComboFix2.txt 2010-12-16 21:40

 

Pré-execução: 5 pasta(s) 72.445.362.176 bytes disponíveis

Pós execução: 6 pasta(s) 72.443.351.040 bytes disponíveis

 

- - End Of File - - B387C9443037B7E52FDAAAEB6F9AACFA

 

DDS (Ver_10-11-10.01) - NTFSx86

Run by Lucas at 4:20:33,59 on --- 17/12/2010

Internet Explorer: 7.0.5730.11

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.1023.747 [GMT -2:00]

 

 

============== Running Processes ===============

 

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

svchost.exe

svchost.exe

C:\WINDOWS\system32\spoolsv.exe

svchost.exe

C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\Lucas\Desktop\dds.scr

 

============== Pseudo HJT Report ===============

 

uStart Page = hxxp://www.google.com.br/

BHO: QuickStores-Toolbar: {10edb994-47f8-43f7-ae96-f2ea63e9f90f} - mscoree.dll

BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\arquivos de programas\arquivos comuns\adobe\acrobat\activex\AcroIEHelperShim.dll

BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\arquiv~1\micros~3\office12\GRA8E1~1.DLL

BHO: Auxiliar de Conexão do Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\arquivos de programas\arquivos comuns\microsoft shared\windows live\WindowsLiveLogin.dll

TB: QuickStores-Toolbar: {10edb994-47f8-43f7-ae96-f2ea63e9f90f} - mscoree.dll

uRun: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "c:\arquivos de programas\arquivos comuns\nero\lib\NMBgMonitor.exe"

uRun: [msnmsgr] "c:\arquivos de programas\windows live\messenger\msnmsgr.exe" /background

mRun: [bigDog305] c:\windows\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)

mRun: [GrooveMonitor] "c:\arquivos de programas\microsoft office\office12\GrooveMonitor.exe"

mRun: [Adobe Reader Speed Launcher] "c:\arquivos de programas\adobe\reader 9.0\reader\Reader_sl.exe"

mRun: [Adobe ARM] "c:\arquivos de programas\arquivos comuns\adobe\arm\1.0\AdobeARM.exe"

mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

mRun: [nwiz] nwiz.exe /install

mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit

mRun: [NeroFilterCheck] c:\arquivos de programas\arquivos comuns\nero\lib\NeroCheck.exe

mRun: [NBKeyScan] "c:\arquivos de programas\nero\nero8\nero backitup\NBKeyScan.exe"

mRun: [unlockerAssistant] "c:\arquivos de programas\unlocker\UnlockerAssistant.exe"

mRun: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

mRun: [uSB Antivirus] c:\arquivos de programas\usb disk security\USBGuard.exe

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

dRunOnce: [nltide_2] regsvr32 /s /n /i:U shell32

StartupFolder: c:\docume~1\alluse~1\menuin~1\progra~1\inicia~1\ralink~1.lnk - c:\arquivos de programas\ralink\common\RaUI.exe

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\micros~3\office12\EXCEL.EXE/3000

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\arquivos de programas\messenger\msmsgs.exe

IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\arquiv~1\micros~3\office12\ONBttnIE.dll

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\arquiv~1\micros~3\office12\REFIEBAR.DLL

TCP: {EC5D72A5-7054-4BC6-8FD8-7059249580EC} = 10.0.1.254

Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - c:\arquiv~1\micros~3\office12\GR99D3~1.DLL

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\wpdshserviceobj.dll

SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - c:\arquiv~1\micros~3\office12\GRA8E1~1.DLL

 

================= FIREFOX ===================

 

FF - ProfilePath - c:\docume~1\lucas\dadosd~1\mozilla\firefox\profiles\0n840pdq.default\

 

---- FIREFOX POLICIES ----

FF - user.js: network.http.max-connections-per-server - 6

FF - user.js: network.http.max-persistent-connections-per-server - 3

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgba3a4f16a", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgba3a4fra", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified

c:\arquivos de programas\mozilla firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

 

============= SERVICES / DRIVERS ===============

 

R3 ZSMC0305;A4 TECH PC Camera V;c:\windows\system32\drivers\usbVM305.sys [2010-12-14 391688]

 

=============== Created Last 30 ================

 

2010-12-17 06:10:05 98816 ----a-w- c:\windows\sed.exe

2010-12-17 06:10:05 89088 ----a-w- c:\windows\MBR.exe

2010-12-17 06:10:05 256512 ----a-w- c:\windows\PEV.exe

2010-12-17 06:10:05 161792 ----a-w- c:\windows\SWREG.exe

2010-12-16 14:44:50 -------- d-----w- c:\windows\SxsCaPendDel

2010-12-16 02:33:59 -------- d-----w- c:\arquivos de programas\USB Disk Security

2010-12-15 22:55:26 -------- d-----w- c:\docume~1\lucas\dadosd~1\TuneUp Software

2010-12-15 22:55:07 -------- d-----w- c:\docume~1\alluse~1\dadosd~1\TuneUp Software

2010-12-15 22:55:03 -------- d-sh--w- c:\docume~1\alluse~1\dadosd~1\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}

2010-12-15 22:49:45 -------- d-----w- c:\arquivos de programas\arquivos comuns\Wise Installation Wizard

2010-12-15 19:43:44 -------- d-----w- c:\docume~1\alluse~1\dadosd~1\SUPERAntiSpyware.com

2010-12-15 19:42:21 165376 ----a-w- c:\windows\system32\unrar.dll

2010-12-15 19:42:20 232448 ----a-w- c:\windows\system32\mp3fhg.acm

2010-12-15 19:42:20 151552 ----a-w- c:\windows\system32\ac3acm.acm

2010-12-15 19:42:19 790528 ----a-w- c:\windows\system32\xvidcore.dll

2010-12-15 19:42:19 237568 ----a-w- c:\windows\system32\yv12vfw.dll

2010-12-15 19:42:19 134144 ----a-w- c:\windows\system32\xvidvfw.dll

2010-12-15 19:42:19 108032 ----a-w- c:\windows\system32\ff_vfw.dll

2010-12-15 19:42:16 -------- d-----w- c:\arquivos de programas\K-Lite Codec Pack

2010-12-15 18:50:31 -------- d-----w- c:\arquivos de programas\Unlocker

2010-12-15 18:36:18 26496 ----a-w- c:\windows\system32\dllcache\usbstor.sys

2010-12-15 14:42:54 -------- d-----w- c:\arquivos de programas\Microsoft

2010-12-15 14:41:53 142922064 ----a-w- c:\arquivos de programas\arquivos comuns\windows live\.cache\wlc2.tmp

2010-12-15 14:23:57 -------- d-----w- c:\arquivos de programas\Marcos Velasco Security

2010-12-15 03:52:35 -------- d-----w- c:\arquivos de programas\VS Revo Group

2010-12-15 03:09:11 -------- d-----w- c:\docume~1\lucas\config~1\dadosd~1\Ahead

2010-12-15 02:51:31 -------- d-----w- c:\docume~1\lucas\dadosd~1\Malwarebytes

2010-12-15 02:51:18 -------- d-----w- c:\docume~1\alluse~1\dadosd~1\Malwarebytes

2010-12-15 02:49:56 -------- d-----w- c:\docume~1\alluse~1\dadosd~1\Nero

2010-12-15 02:49:56 -------- d-----w- c:\arquivos de programas\Nero

2010-12-15 02:27:10 208896 ----a-w- c:\windows\system32\nvudisp.exe

2010-12-15 02:27:10 -------- d-----w- c:\windows\nview

2010-12-15 02:27:05 -------- d-----w- c:\windows\system32\ReinstallBackups

2010-12-15 02:27:00 208896 ----a-w- c:\windows\system32\NVUNINST.EXE

2010-12-15 02:26:59 729088 ----a-w- c:\arquivos de programas\arquivos comuns\installshield\professional\runtime\09\01\intel32\iKernel.dll

2010-12-15 02:26:59 69715 ----a-w- c:\arquivos de programas\arquivos comuns\installshield\professional\runtime\09\01\intel32\ctor.dll

2010-12-15 02:26:59 5632 ----a-w- c:\arquivos de programas\arquivos comuns\installshield\professional\runtime\09\01\intel32\DotNetInstaller.exe

2010-12-15 02:26:59 266240 ----a-w- c:\arquivos de programas\arquivos comuns\installshield\professional\runtime\09\01\intel32\iscript.dll

2010-12-15 02:26:59 192512 ----a-w- c:\arquivos de programas\arquivos comuns\installshield\professional\runtime\09\01\intel32\iuser.dll

2010-12-15 02:26:54 188548 ----a-w- c:\arquivos de programas\arquivos comuns\installshield\professional\runtime\09\01\intel32\iGdi.dll

2010-12-15 02:26:53 311428 ----a-w- c:\arquivos de programas\arquivos comuns\installshield\professional\runtime\09\01\intel32\setup.dll

2010-12-15 00:48:11 -------- d-----w- c:\docume~1\lucas\config~1\dadosd~1\Adobe

2010-12-15 00:47:38 -------- d-----w- c:\windows\system32\Adobe

2010-12-15 00:45:52 33104 ----a-w- c:\windows\system32\spool\prtprocs\w32x86\msonpppr.dll

2010-12-15 00:45:52 32592 ----a-w- c:\windows\system32\msonpmon.dll

2010-12-15 00:41:59 -------- d-----w- c:\arquivos de programas\IObit

2010-12-15 00:40:20 -------- d-----w- c:\windows\SHELLNEW

2010-12-15 00:40:10 -------- d-----w- c:\docume~1\lucas\config~1\dadosd~1\Microsoft Help

2010-12-14 15:05:58 81920 ----a-w- c:\windows\system32\VM305STI.dll

2010-12-14 15:05:58 57344 ----a-w- c:\windows\vm305_sti.exe

2010-12-14 15:05:58 391688 ----a-w- c:\windows\system32\drivers\usbVM305.sys

2010-12-14 15:05:58 176128 ----a-w- c:\windows\amcap.exe

2010-12-14 15:05:58 155722 ----a-w- c:\windows\system32\VM305Prp.Ax

2010-12-14 15:05:54 -------- d-----w- c:\arquivos de programas\Vimicro

2010-12-14 12:51:39 -------- d-----w- c:\windows\system32\xircom

2010-12-14 12:51:39 -------- d-----w- c:\windows\system32\wbem\snmp

2010-12-14 12:50:47 -------- d-----w- c:\windows\system32\wbem\repository\FS

2010-12-14 12:50:47 -------- d-----w- c:\windows\system32\wbem\Repository

2010-12-13 23:20:48 -------- d-sha-r- C:\cmdcons

2010-12-13 22:54:44 -------- d-----w- c:\documents and settings\lucas\Tracing

2010-12-13 22:54:00 -------- d-----w- c:\arquivos de programas\Windows Live SkyDrive

2010-12-13 22:48:59 -------- d-----w- c:\arquivos de programas\arquivos comuns\Windows Live

2010-12-13 22:26:55 -------- d-----w- c:\docume~1\lucas\config~1\dadosd~1\Mozilla

2010-12-13 22:24:36 -------- d-----w- c:\windows\pss

2010-12-13 22:15:23 -------- d-----w- c:\arquivos de programas\RALINK

2010-12-13 22:15:22 32768 ----a-w- c:\arquivos de programas\arquivos comuns\installshield\professional\runtime\Objectps.dll

2010-12-13 22:07:53 2944 ----a-w- c:\windows\system32\drivers\drmkaud.sys

2010-12-13 22:07:53 172416 ----a-w- c:\windows\system32\drivers\kmixer.sys

2010-12-13 22:07:52 54272 ----a-w- c:\windows\system32\drivers\swmidi.sys

2010-12-13 22:07:52 52864 ----a-w- c:\windows\system32\drivers\DMusic.sys

2010-12-13 22:07:51 6272 ----a-w- c:\windows\system32\drivers\splitter.sys

2010-12-13 22:07:51 142464 ----a-w- c:\windows\system32\drivers\aec.sys

2010-12-13 22:07:50 60800 ----a-w- c:\windows\system32\drivers\sysaudio.sys

2010-12-13 22:05:47 82944 ----a-w- c:\windows\system32\drivers\wdmaud.sys

2010-12-13 22:04:21 -------- d-----w- c:\arquivos de programas\CCleaner

2010-12-13 22:01:50 5824 ----a-w- c:\windows\system32\drivers\ASUSHWIO.SYS

 

==================== Find3M ====================

 

2010-10-22 11:43:18 499712 ----a-w- c:\windows\system32\msvcp71.dll

2010-10-22 11:43:18 348160 ----a-w- c:\windows\system32\msvcr71.dll

 

=================== ROOTKIT ====================

 

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net

Windows 5.1.2600 Disk: SAMSUNG_ rev.SU10 -> Harddisk0\DR0 -> \Device\Scsi\viamraid1Port2Path0Target2Lun0

 

device: opened successfully

user: MBR read successfully

 

Disk trace:

called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys SCSIPORT.SYS hal.dll viamraid.sys

c:\docume~1\lucas\config~1\temp\catchme.sys

c:\windows\system32\drivers\viamraid.sys VIA Technologies inc,.ltd VIA RAID driver

1 ntkrnlpa!IofCallDriver[0x804EE0F6] -> \Device\Harddisk0\DR0[0x86570AB8]

3 CLASSPNP[0xF762D05B] -> ntkrnlpa!IofCallDriver[0x804EE0F6] -> \Device\Scsi\viamraid1Port2Path0Target0Lun0[0x86585A38]

kernel: MBR read successfully

_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; STI ; PUSH AX; POP ES; PUSH AX; POP DS; CLD ; MOV SI, 0x7c1b; MOV DI, 0x61b; PUSH AX; PUSH DI; MOV CX, 0x1e5; REP MOVSB ; RETF ; MOV BP, 0x7be; MOV CL, 0x4; CMP [bP+0x0], CH; JL 0x2e; JNZ 0x3a; }

user != kernel MBR !!!

sectors 156368014 (+255): user != kernel

 

============= FINISH: 4:20:46,20 ===============

[Renato Utsch 24]

Olá!

 

Ah, bom, tenho quase certeza que esse rootkit para o qual o ComboFix aponta é para esse seu driver de WebCam. Talvez seja um falso positivo.

 

Por favor, desinstale o seu driver de WebCam e refaça o scan com o ComboFix. Me diga se o aviso quanto a rootkits ainda continua.

 

 

---

 

<< 2 >>

 

Siga o tutorial abaixo e execute o Ad-Remover. Utilize a opção clean e poste o log gerado.

 

Tutorial do Ad-Remover

 

 

Abraços :D

[lucasbsp 0]

olá entao....desinstalei a web mas mesmo assim deu a mesma mensagem e passei o outro programa ad-r uma coisa boa o recycler na unidade d: nao apareceu dessa vez quando passei o combofix segue os logs

 

ComboFix 10-12-16.04 - Lucas 17/12/2010 12:01:39.8.1 - x86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.1023.782 [GMT -2:00]

Executando de: c:\documents and settings\Lucas\Desktop\ComboFix.exe

.

 

(((((((((((((((( Arquivos/Ficheiros criados de 2010-11-17 to 2010-12-17 ))))))))))))))))))))))))))))

.

 

Nenhum ficheiro/arquivo criado durante este período

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-10-22 11:43 . 2010-10-22 11:43 499712 ----a-w- c:\windows\system32\msvcp71.dll

2010-10-22 11:43 . 2010-10-22 11:43 348160 ----a-w- c:\windows\system32\msvcr71.dll

.

 

------- Sigcheck -------

 

[-] 2007-09-03 . BD8686216E34E22C4ED45A2320B2BEA1 . 360576 . . [5.1.2600.2892] . . c:\windows\system32\drivers\tcpip.sys

 

[-] 2007-09-02 . DB3AA410ED1228B9DF98C06549AE0763 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll

 

[-] 2007-09-02 17:20 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\mspmsnsv.dll

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\arquivos de programas\Arquivos comuns\Nero\Lib\NMBgMonitor.exe" [2007-08-03 202024]

"msnmsgr"="c:\arquivos de programas\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"GrooveMonitor"="c:\arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]

"Adobe ARM"="c:\arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]

"nwiz"="nwiz.exe" [2006-10-22 1622016]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]

"NeroFilterCheck"="c:\arquivos de programas\Arquivos comuns\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]

"NBKeyScan"="c:\arquivos de programas\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-08-08 1828136]

"UnlockerAssistant"="c:\arquivos de programas\Unlocker\UnlockerAssistant.exe" [2010-07-04 17408]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2007-07-21 110592]

"USB Antivirus"="c:\arquivos de programas\USB Disk Security\USBGuard.exe" [2008-08-16 798720]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2007-07-21 15360]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

 

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

Ralink Wireless Utility.lnk - c:\arquivos de programas\RALINK\Common\RaUI.exe [2010-12-15 659456]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

 

S3 ZSMC0305;A4 TECH PC Camera V;c:\windows\system32\Drivers\usbVM305.sys --> c:\windows\system32\Drivers\usbVM305.sys [?]

.

.

------- Scan Suplementar -------

.

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~3\Office12\EXCEL.EXE/3000

TCP: {EC5D72A5-7054-4BC6-8FD8-7059249580EC} = 10.0.1.254

FF - ProfilePath - c:\documents and settings\Lucas\Dados de aplicativos\Mozilla\Firefox\Profiles\0n840pdq.default\

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\arquivos de programas\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - user.js: network.http.max-connections-per-server - 6

FF - user.js: network.http.max-persistent-connections-per-server - 3

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-12-17 12:04

Windows 5.1.2600 Service Pack 2 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

 

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net

Windows 5.1.2600 Disk: SAMSUNG_ rev.SU10 -> Harddisk0\DR0 -> \Device\Scsi\viamraid1Port2Path0Target2Lun0

 

device: opened successfully

user: MBR read successfully

 

Disk trace:

called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys SCSIPORT.SYS hal.dll viamraid.sys

c:\docume~1\Lucas\CONFIG~1\Temp\catchme.sys

c:\windows\system32\drivers\viamraid.sys VIA Technologies inc,.ltd VIA RAID driver

1 ntkrnlpa!IofCallDriver[0x804EE0F6] -> \Device\Harddisk0\DR0[0x86570AB8]

3 CLASSPNP[0xF762D05B] -> ntkrnlpa!IofCallDriver[0x804EE0F6] -> \Device\Scsi\viamraid1Port2Path0Target0Lun0[0x86585A38]

kernel: MBR read successfully

_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; STI ; PUSH AX; POP ES; PUSH AX; POP DS; CLD ; MOV SI, 0x7c1b; MOV DI, 0x61b; PUSH AX; PUSH DI; MOV CX, 0x1e5; REP MOVSB ; RETF ; MOV BP, 0x7be; MOV CL, 0x4; CMP [bP+0x0], CH; JL 0x2e; JNZ 0x3a; }

user != kernel MBR !!!

sectors 156368014 (+255): user != kernel

 

**************************************************************************

.

--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]

@DACL=(02 0000)

@=""

"Installed"="1"

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]

@DACL=(02 0000)

@=""

"Installed"="1"

"NoChange"="1"

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]

@DACL=(02 0000)

@=""

"Installed"="1"

.

Tempo para conclusão: 2010-12-17 12:05:27

ComboFix-quarantined-files.txt 2010-12-17 14:05

 

Pré-execução: 4 pasta(s) 72.526.426.112 bytes disponíveis

Pós execução: 5 pasta(s) 72.524.234.752 bytes disponíveis

 

- - End Of File - - 16975014DB56A33761836676DD43770D

======= REPORT FROM AD-REMOVER 2.0.0.2,C | ONLY XP/VISTA/7 =======

 

Updated by TeamXscript on 08/12/10 at 10:40

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

website: http://www.teamxscript.org

 

C:\Arquivos de programas\Ad-Remover\main.exe (CLEAN [1]) -> Launched at 12:05:42 on 17/12/2010, Normal boot

 

Microsoft Windows XP Professional Service Pack 2 (X86)

Lucas@LUCAS-9352B5E74 ( )

 

============== ACTION(S) ==============

 

 

 

(!) -- Temporary files deleted.

 

 

 

 

============== ADDITIONNAL SCAN ==============

 

** Mozilla Firefox Version [3.6.13 (pt-BR)] **

 

-- C:\Documents and Settings\Lucas\Dados de aplicativos\Mozilla\FireFox\Profiles\0n840pdq.default\Prefs.js --

browser.download.lastDir, C:\\Documents and Settings\\Lucas\\Desktop

browser.startup.homepage_override.mstone, rv:1.9.2.13

 

========================================

 

** Internet Explorer Version [7.0.5730.11] **

 

[HKCU\Software\Microsoft\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Do404Search: 0x01000000

Enable Browser Extensions: yes

Local Page: C:\WINDOWS\system32\blank.htm

Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896

Show_ToolBar: yes

Start Page: hxxp://fr.msn.com/

 

[HKLM\Software\Microsoft\Internet Explorer\Main]

Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Delete_Temp_Files_On_Exit: yes

Local Page: C:\WINDOWS\system32\blank.htm

Search bar: hxxp://search.msn.com/spbasic.htm

Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Start Page: hxxp://fr.msn.com/

 

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]

Tabs: res://ieframe.dll/tabswelcome.htm

Blank: res://mshtml.dll/blank.htm

 

========================================

 

C:\Arquivos de programas\Ad-Remover\Quarantine: 0 File(s)

C:\Arquivos de programas\Ad-Remover\Backup: 13 File(s)

 

C:\Ad-Report-CLEAN[1].txt - 17/12/2010 (484 Byte(s))

 

End at: 12:06:22, 17/12/2010

 

============== E.O.F ==============

[Master.Angel 0]

Boa tarde amigos, vou aproveitar e pegar o bonde andando.

 

Estou com o mesmo problema referido acima. Mas vou relatar o que tenho feito até agora.

 

Tenho dois hds, um pata de 80GB e um sata de 500GB. Só usava o hd pata até no mês de outubro. Até ai nenhum problema com o combofix, cd de xp, drivers, programas, tudo cem porcento, não acusando nada pelo combofix deste tal de rootkit.

 

Mas depois que instalei este sata juntamente com o pata, é ai que a coisa ficou feia. Esta mensagem do combofix não para de aparecer. Só não formatei o meu pata pq ele esta como backup dos meus dados e não tem espaço pra instalar xp e o hd pata não esta conectado a placa mãe.

 

O interessante é que no sata, instalei o win 7, o combofix não acusou nada. Desinstalei ele e instalei o xp. Em modo de segurança o combofix roda de boa e não acha nada. Mas no modo normal esta mensagem continua aparecendo.

 

Usei o hiren boot, Dr. Web,o cd de diagnostico da samsung utility, e mesmo assim não adiantou nada, só não fiz a formatação de nivel baixo. O programinha CrystalDiskInfo, ele tá acusando a seguinte mensagem " 05 - Reallocated Sector Count", mas o interessante é que usei o cd de diagnostico da samsung e em seus testes tava tudo ok, interessante não?

 

Usei também o kaspersky disk rescue 2010 que não encontrou nada, e a mensagem do combofix continua aparecendo. Outra coisa interessante é que depois de instalado o avira, e desinstalado o avira ele acusa no começo que o avira esta no sistema e precisa ser desativado.

 

Só pra ressaltar, com o outro hd pata, nunca tive este problema de mensagem do combofix, só que agora não posso testar ele porque ele esta como backup dos meus dados.

 

Fica ai mais algumas observações e vou continuar fazendo alguns testes aqui.

 

Abraços fraternos.

[lucasbsp 0]

olá lord notei de ontem pra hj q

 

olá lord notei de ontem pra hj que tem alguma coisa roubando minha conexão poi fiz o teste do ping

e ele esta muito alto sendo que nao tem nada atualizando conferi tudo e o icone do computador do lado direito

so fica com a a luz acessa constante mesmo sem abrir nada fiz um log do gmer e apareceu isso aguardo resposta

 

GMER 1.0.15.15530 - http://www.gmer.net

Rootkit scan 2010-12-19 16:28:16

Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Scsi\viamraid1Port2Path0Target0Lun0 SAMSUNG_ rev.SU10

Running: gmer.exe; Driver: C:\DOCUME~1\Lucas\CONFIG~1\Temp\kwnoqaow.sys

 

 

---- Kernel code sections - GMER 1.0.15 ----

 

.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF675D360, 0x24BB1D, 0xE8000020]

 

---- Registry - GMER 1.0.15 ----

 

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001f81000200

Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001f81000200 (not active ControlSet)

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL@

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL@Installed 1

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI@

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI@Installed 1

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI@NoChange 1

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS@

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS@Installed 1

 

---- EOF - GMER 1.0.15 ----

[Renato Utsch 24]

Ola! Master.Angel!

 

Por favor, leia esse tópico: Regra nº03 da seção.

 

Espero que seu problema seja resolvido.

 

 

Continuando...

 

 

Desculpe-me pela demora para responder...

 

lucasbsp, eu ia pedir para você rodar o Ad-R mesmo... hahah! Preveu minhas ações. Mas não faça isso de novo, ok?

 

(( Lembre-se de fazer tudo na ordem em que foi pedida... ))

 

[lembrançamental]

http://www.threatexpert.com/report.aspx?md5=d2b6595437032f7de7e0997b8e63ae88

[/lembrançamental]

 

 

Faça o seguinte, por favor:

 

<< 1 >>

 

Temporariamente e durante a execução destas instruções, é muito importante que mantenha desabilitados os seus programas de proteção (Antivirus, Antispyware e Firewall). Reative as proteções após a execução do(s) procedimento(s) abaixo mencionado(s).

 

• Delete o Combofix.exe do seu desktop e baixe uma nova versão AQUI, salvando no seu Desktop.
  
• Abra o seu Bloco de Notas, copie (control + c) e cole (control + v) todo o texto que está dentro do "Code":
  

  RegLock::
  [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
  [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
  [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
  [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
  
  Registry::
  [-HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
  [-HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
  [-HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
  [-HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
  

  
   
   
  

• Salve este arquivo como: CFScript.txt
  
  
• Tal com exemplificado na foto acima, arraste o arquivo CFScript.txt para dentro do ComboFix.exe.
  
• Se solicitado, pressione Enter para iniciar o processo de remoção.
  
• Não use o mouse nem o teclado quando o ComboFix estiver rodando.
  
• Quando a ferramenta terminar de rodar, gerará um log. Poste esse arquivo C:\ComboFix.txt.

 

 

<< 2 >>

 

Abra o Bloco de Notas, copie (CTRL + C) e copie (CTRL + V) o texto que abaixo está no "CODE":

 

@echo off
cls
title EvilScanner by LordEvil
echo.

set "REPORT=%HOMEDRIVE%\CodingRelatory.txt"

echo This file will scan your computer... please wait...

echo --- CODING BY LORD EVIL --- >> %REPORT%
echo Day: %date% ^| Time: %time% >> %REPORT%
echo -- Scan Results -- >> %REPORT%
echo. >> %REPORT%
echo. >> %REPORT%

echo.
echo Scanning the Registry...

echo ((((((((((( Registry Scan )))))))))) >> %REPORT%
echo. >> %REPORT%
echo HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{0036A2BA-F043-481d-81B1-BF9761EDB7DE} >> %REPORT%
REG QUERY HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{0036A2BA-F043-481d-81B1-BF9761EDB7DE} >> %REPORT%
echo. >> %REPORT%
echo HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{078EE8AC-3825-41eb-BADB-A8A4F21A6A56} >> %REPORT%
REG QUERY HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{078EE8AC-3825-41eb-BADB-A8A4F21A6A56} >> %REPORT%
echo. >> %REPORT%
echo HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents >> %REPORT%
REG QUERY HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents >> %REPORT%
echo. >> %REPORT%
echo HKCU\Software\Microsoft\Internet Explorer\Extensions\{6AD31948-2ED9-4A2B-85EA-105DD4F656B4} >> %REPORT%
REG QUERY HKCU\Software\Microsoft\Internet Explorer\Extensions\{6AD31948-2ED9-4A2B-85EA-105DD4F656B4} >> %REPORT%
echo. >> %REPORT%
echo HKCU\Software\Microsoft\Internet Explorer\SearchScopes >> %REPORT%
REG QUERY HKCU\Software\Microsoft\Internet Explorer\SearchScopes >> %REPORT%

echo ...Completed!
echo.
echo Scanning Directories...

echo. >> %REPORT%
echo ((((((((((( DirLook )))))))))) >> %REPORT%
echo. >> %REPORT%

echo %ProgramFiles%\Internet Explorer\ >> %REPORT%

echo (( >> %REPORT%
dir %ProgramFiles%\Internet Explorer\ >> %REPORT%
echo )) >> %REPORT%

echo ...Completed!
echo.
echo Scanning Files...

echo. >> %REPORT%
echo ((((((((((( FileFind )))))))))) >> %REPORT%
echo. >> %REPORT%

echo %ProgramFiles%\Internet Explorer\IEXPLOREPLUS.EXE >> %REPORT%
if exist %ProgramFiles%\Internet Explorer\IEXPLOREPLUS.EXE (echo This File exist) else (echo This File Does Not Exist) >> %REPORT%

echo. >> %REPORT%
echo ((((((((((( --- EOF --- )))))))))) >> %REPORT%
echo. >> %REPORT%

echo ...Completed!
echo.
echo Scan Completed!
echo.
echo The log will popup and will also be in %HOMEDRIVE%\CodingRelatory.txt
echo.
echo Press any key to continue...
echo.
pause > nul
echo Exiting...
start notepad %REPORT%
del %0
exit

 

• Escolha salvar como colocando em tipo de arquivo: todos os arquivos.
  
• Salve o arquivo com o nome Scanner.bat
  
• Ficará um ícone como este
  
• Duplo-clique em Scanner.bat e deixe o programa ser rodado. O icone deverá desaparecer do desktop.
  
• Poste o conteúdo da janela que abriu em sua próxima resposta.

 

 

<< 3 >>

 

Baixe novamente o Avira Anti-Rootkit Tool e instale no seu computador.

 

Execute-o e poste o log gerado.

 

 

<< 4 >>

 

Poste um novo log do DDS.

 

 

 

Abraços :D

[lucasbsp 0]

Sem problemas final de semana é assim mesmo rs.Pode deixar não vou utilizar o programa novamente! mensagem de rootkit novamente segue os dois logs o avira novamente tambem naum rodou abraços! :)

 

ComboFix 10-12-19.03 - Lucas 20/12/2010 15:10:46.11.1 - x86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.1023.783 [GMT -2:00]

Executando de: c:\documents and settings\Lucas\Desktop\ComboFix.exe

Comandos utilizados :: c:\documents and settings\Lucas\Desktop\CFScript.txt

.

 

(((((((((((((((( Arquivos/Ficheiros criados de 2010-11-20 to 2010-12-20 ))))))))))))))))))))))))))))

.

 

Nenhum ficheiro/arquivo criado durante este período

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-10-22 11:43 . 2010-10-22 11:43 499712 ----a-w- c:\windows\system32\msvcp71.dll

2010-10-22 11:43 . 2010-10-22 11:43 348160 ----a-w- c:\windows\system32\msvcr71.dll

.

 

------- Sigcheck -------

 

[-] 2007-09-03 . BD8686216E34E22C4ED45A2320B2BEA1 . 360576 . . [5.1.2600.2892] . . c:\windows\system32\drivers\tcpip.sys

 

[-] 2007-09-02 . DB3AA410ED1228B9DF98C06549AE0763 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll

 

[-] 2007-09-02 17:20 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\mspmsnsv.dll

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\arquivos de programas\Arquivos comuns\Nero\Lib\NMBgMonitor.exe" [2007-08-03 202024]

"msnmsgr"="c:\arquivos de programas\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"GrooveMonitor"="c:\arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]

"Adobe ARM"="c:\arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]

"nwiz"="nwiz.exe" [2006-10-22 1622016]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]

"NeroFilterCheck"="c:\arquivos de programas\Arquivos comuns\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]

"NBKeyScan"="c:\arquivos de programas\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-08-08 1828136]

"UnlockerAssistant"="c:\arquivos de programas\Unlocker\UnlockerAssistant.exe" [2010-07-04 17408]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2007-07-21 110592]

"USB Antivirus"="c:\arquivos de programas\USB Disk Security\USBGuard.exe" [2008-08-16 798720]

"BigDog305"="c:\windows\VM305_STI.EXE" [2007-04-09 57344]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2007-07-21 15360]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

 

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

Ralink Wireless Utility.lnk - c:\arquivos de programas\RALINK\Common\RaUI.exe [2010-12-15 659456]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

 

R1 AsUpIO;AsUpIO;c:\windows\system32\drivers\AsUpIO.sys [18/12/2010 03:04 11448]

R3 ZSMC0305;A4 TECH PC Camera V;c:\windows\system32\drivers\usbVM305.sys [19/12/2010 14:49 391688]

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.google.com.br/

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~3\Office12\EXCEL.EXE/3000

TCP: {EC5D72A5-7054-4BC6-8FD8-7059249580EC} = 10.0.1.254

FF - ProfilePath - c:\documents and settings\Lucas\Dados de aplicativos\Mozilla\Firefox\Profiles\0n840pdq.default\

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\arquivos de programas\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - user.js: network.http.max-connections-per-server - 6

FF - user.js: network.http.max-persistent-connections-per-server - 3

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-12-20 15:13

Windows 5.1.2600 Service Pack 2 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

BigDog305 = c:\windows\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)???????????????????0?????????@??????????????

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

 

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net

Windows 5.1.2600 Disk: SAMSUNG_ rev.SU10 -> Harddisk0\DR0 -> \Device\Scsi\viamraid1Port2Path0Target2Lun0

 

device: opened successfully

user: MBR read successfully

 

Disk trace:

called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys SCSIPORT.SYS hal.dll viamraid.sys

c:\docume~1\Lucas\CONFIG~1\Temp\catchme.sys

c:\windows\system32\drivers\viamraid.sys VIA Technologies inc,.ltd VIA RAID driver

1 ntkrnlpa!IofCallDriver[0x804EE0F6] -> \Device\Harddisk0\DR0[0x86576AB8]

3 CLASSPNP[0xF762D05B] -> ntkrnlpa!IofCallDriver[0x804EE0F6] -> \Device\Scsi\viamraid1Port2Path0Target0Lun0[0x86578A38]

kernel: MBR read successfully

_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; STI ; PUSH AX; POP ES; PUSH AX; POP DS; CLD ; MOV SI, 0x7c1b; MOV DI, 0x61b; PUSH AX; PUSH DI; MOV CX, 0x1e5; REP MOVSB ; RETF ; MOV BP, 0x7be; MOV CL, 0x4; CMP [bP+0x0], CH; JL 0x2e; JNZ 0x3a; }

user != kernel MBR !!!

sectors 156368014 (+255): user != kernel

 

**************************************************************************

.

Tempo para conclusão: 2010-12-20 15:14:35

ComboFix-quarantined-files.txt 2010-12-20 17:14

ComboFix2.txt 2010-12-20 17:02

 

Pré-execução: 4 pasta(s) 72.201.170.944 bytes disponíveis

Pós execução: 5 pasta(s) 72.198.635.520 bytes disponíveis

 

- - End Of File - - 78CA4324C7D19554DDC503E9F1D28A41

--- CODING BY LORD EVIL ---

Day: seg 20/12/2010 | Time: 15:17:05,42

-- Scan Results --

 

 

((((((((((( Registry Scan ))))))))))

 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{0036A2BA-F043-481d-81B1-BF9761EDB7DE}

 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{078EE8AC-3825-41eb-BADB-A8A4F21A6A56}

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

 

HKCU\Software\Microsoft\Internet Explorer\Extensions\{6AD31948-2ED9-4A2B-85EA-105DD4F656B4}

 

HKCU\Software\Microsoft\Internet Explorer\SearchScopes

 

((((((((((( DirLook ))))))))))

 

C:\Arquivos de programas\Internet Explorer\

((

))

 

((((((((((( FileFind ))))))))))

 

C:\Arquivos de programas\Internet Explorer\IEXPLOREPLUS.EXE

 

((((((((((( --- EOF --- ))))))))))

 

Sem problemas final de semana é assim mesmo rs.Pode deixar não vou utilizar o programa novamente! mensagem de rootkit novamente segue os dois logs o avira novamente tambem naum rodou deu a seguinte mensagem "please note that this toll has beeb designed to detect hidden objects it can detect only active rootkits and not the inactive one stored inside files in that case the avira on-demand scanner tool must be used

 

please also note that some commercial products deliberately hide their own resourcers not all aplications which hide their tracks are malware" abraços! :)

 

ComboFix 10-12-19.03 - Lucas 20/12/2010 15:10:46.11.1 - x86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.1023.783 [GMT -2:00]

Executando de: c:\documents and settings\Lucas\Desktop\ComboFix.exe

Comandos utilizados :: c:\documents and settings\Lucas\Desktop\CFScript.txt

.

 

(((((((((((((((( Arquivos/Ficheiros criados de 2010-11-20 to 2010-12-20 ))))))))))))))))))))))))))))

.

 

Nenhum ficheiro/arquivo criado durante este período

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-10-22 11:43 . 2010-10-22 11:43 499712 ----a-w- c:\windows\system32\msvcp71.dll

2010-10-22 11:43 . 2010-10-22 11:43 348160 ----a-w- c:\windows\system32\msvcr71.dll

.

 

------- Sigcheck -------

 

[-] 2007-09-03 . BD8686216E34E22C4ED45A2320B2BEA1 . 360576 . . [5.1.2600.2892] . . c:\windows\system32\drivers\tcpip.sys

 

[-] 2007-09-02 . DB3AA410ED1228B9DF98C06549AE0763 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll

 

[-] 2007-09-02 17:20 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\mspmsnsv.dll

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\arquivos de programas\Arquivos comuns\Nero\Lib\NMBgMonitor.exe" [2007-08-03 202024]

"msnmsgr"="c:\arquivos de programas\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"GrooveMonitor"="c:\arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]

"Adobe ARM"="c:\arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]

"nwiz"="nwiz.exe" [2006-10-22 1622016]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]

"NeroFilterCheck"="c:\arquivos de programas\Arquivos comuns\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]

"NBKeyScan"="c:\arquivos de programas\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-08-08 1828136]

"UnlockerAssistant"="c:\arquivos de programas\Unlocker\UnlockerAssistant.exe" [2010-07-04 17408]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2007-07-21 110592]

"USB Antivirus"="c:\arquivos de programas\USB Disk Security\USBGuard.exe" [2008-08-16 798720]

"BigDog305"="c:\windows\VM305_STI.EXE" [2007-04-09 57344]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2007-07-21 15360]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

 

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

Ralink Wireless Utility.lnk - c:\arquivos de programas\RALINK\Common\RaUI.exe [2010-12-15 659456]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

 

R1 AsUpIO;AsUpIO;c:\windows\system32\drivers\AsUpIO.sys [18/12/2010 03:04 11448]

R3 ZSMC0305;A4 TECH PC Camera V;c:\windows\system32\drivers\usbVM305.sys [19/12/2010 14:49 391688]

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.google.com.br/

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~3\Office12\EXCEL.EXE/3000

TCP: {EC5D72A5-7054-4BC6-8FD8-7059249580EC} = 10.0.1.254

FF - ProfilePath - c:\documents and settings\Lucas\Dados de aplicativos\Mozilla\Firefox\Profiles\0n840pdq.default\

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\arquivos de programas\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - user.js: network.http.max-connections-per-server - 6

FF - user.js: network.http.max-persistent-connections-per-server - 3

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-12-20 15:13

Windows 5.1.2600 Service Pack 2 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

BigDog305 = c:\windows\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)???????????????????0?????????@??????????????

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

 

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net

Windows 5.1.2600 Disk: SAMSUNG_ rev.SU10 -> Harddisk0\DR0 -> \Device\Scsi\viamraid1Port2Path0Target2Lun0

 

device: opened successfully

user: MBR read successfully

 

Disk trace:

called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys SCSIPORT.SYS hal.dll viamraid.sys

c:\docume~1\Lucas\CONFIG~1\Temp\catchme.sys

c:\windows\system32\drivers\viamraid.sys VIA Technologies inc,.ltd VIA RAID driver

1 ntkrnlpa!IofCallDriver[0x804EE0F6] -> \Device\Harddisk0\DR0[0x86576AB8]

3 CLASSPNP[0xF762D05B] -> ntkrnlpa!IofCallDriver[0x804EE0F6] -> \Device\Scsi\viamraid1Port2Path0Target0Lun0[0x86578A38]

kernel: MBR read successfully

_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; STI ; PUSH AX; POP ES; PUSH AX; POP DS; CLD ; MOV SI, 0x7c1b; MOV DI, 0x61b; PUSH AX; PUSH DI; MOV CX, 0x1e5; REP MOVSB ; RETF ; MOV BP, 0x7be; MOV CL, 0x4; CMP [bP+0x0], CH; JL 0x2e; JNZ 0x3a; }

user != kernel MBR !!!

sectors 156368014 (+255): user != kernel

 

**************************************************************************

.

Tempo para conclusão: 2010-12-20 15:14:35

ComboFix-quarantined-files.txt 2010-12-20 17:14

ComboFix2.txt 2010-12-20 17:02

 

Pré-execução: 4 pasta(s) 72.201.170.944 bytes disponíveis

Pós execução: 5 pasta(s) 72.198.635.520 bytes disponíveis

 

- - End Of File - - 78CA4324C7D19554DDC503E9F1D28A41

--- CODING BY LORD EVIL ---

Day: seg 20/12/2010 | Time: 15:17:05,42

-- Scan Results --

 

 

((((((((((( Registry Scan ))))))))))

 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{0036A2BA-F043-481d-81B1-BF9761EDB7DE}

 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{078EE8AC-3825-41eb-BADB-A8A4F21A6A56}

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

 

HKCU\Software\Microsoft\Internet Explorer\Extensions\{6AD31948-2ED9-4A2B-85EA-105DD4F656B4}

 

HKCU\Software\Microsoft\Internet Explorer\SearchScopes

 

((((((((((( DirLook ))))))))))

 

C:\Arquivos de programas\Internet Explorer\

((

))

 

((((((((((( FileFind ))))))))))

 

C:\Arquivos de programas\Internet Explorer\IEXPLOREPLUS.EXE

 

((((((((((( --- EOF --- ))))))))))

[Renato Utsch 24]

Olá!

 

Por que você deu quote no próprio post?

 

<< 1 >>

 

Temporariamente e durante a execução destas instruções, é muito importante que mantenha desabilitados os seus programas de proteção (Antivirus, Antispyware e Firewall). Reative as proteções após a execução do(s) procedimento(s) abaixo mencionado(s).

 

• Delete o Combofix.exe do seu desktop e baixe uma nova versão AQUI, salvando no seu Desktop.
  
• Abra o seu Bloco de Notas, copie (control + c) e cole (control + v) todo o texto que está dentro do "Code":
  

  File::
  C:\Arquivos de programas\Internet Explorer\IEXPLOREPLUS.EXE
  
  Registry::
  [-HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{0036A2BA-F043-481d-81B1-BF9761EDB7DE}]
  [-HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{078EE8AC-3825-41eb-BADB-A8A4F21A6A56}]
  [-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
  [-HKCU\Software\Microsoft\Internet Explorer\Extensions\{6AD31948-2ED9-4A2B-85EA-105DD4F656B4}]
  [-HKCU\Software\Microsoft\Internet Explorer\SearchScopes]

  
   
  

• Salve este arquivo como: CFScript.txt
  
  
• Tal com exemplificado na foto acima, arraste o arquivo CFScript.txt para dentro do ComboFix.exe.
  
• Se solicitado, pressione Enter para iniciar o processo de remoção.
  
• Não use o mouse nem o teclado quando o ComboFix estiver rodando.
  
• Quando a ferramenta terminar de rodar, gerará um log. Poste esse arquivo C:\ComboFix.txt.

[lucasbsp 0]

Foi sem querer é pq esqueci de colocar a mensagem que deo o avira foi por isso

novamente a mensagem de rootkit ping esgotando e muito alto as vezes ocilando bastante sem acessar a internet segue o log abraços!

 

ComboFix 10-12-20.01 - Lucas 20/12/2010 23:44:56.12.1 - x86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.1023.782 [GMT -2:00]

Executando de: c:\documents and settings\Lucas\Desktop\ComboFix.exe

Comandos utilizados :: c:\documents and settings\Lucas\Desktop\CFScript.txt

* Criado um novo ponto de restauração

 

FILE ::

"c:\arquivos de programas\Internet Explorer\IEXPLOREPLUS.EXE"

.

 

(((((((((((((((( Arquivos/Ficheiros criados de 2010-11-21 to 2010-12-21 ))))))))))))))))))))))))))))

.

 

Nenhum ficheiro/arquivo criado durante este período

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-10-22 11:43 . 2010-10-22 11:43 499712 ----a-w- c:\windows\system32\msvcp71.dll

2010-10-22 11:43 . 2010-10-22 11:43 348160 ----a-w- c:\windows\system32\msvcr71.dll

.

 

------- Sigcheck -------

 

[-] 2007-09-03 . BD8686216E34E22C4ED45A2320B2BEA1 . 360576 . . [5.1.2600.2892] . . c:\windows\system32\drivers\tcpip.sys

 

[-] 2007-09-02 . DB3AA410ED1228B9DF98C06549AE0763 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll

 

[-] 2007-09-02 17:20 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\mspmsnsv.dll

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\arquivos de programas\Arquivos comuns\Nero\Lib\NMBgMonitor.exe" [2007-08-03 202024]

"msnmsgr"="c:\arquivos de programas\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"GrooveMonitor"="c:\arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]

"Adobe ARM"="c:\arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]

"nwiz"="nwiz.exe" [2006-10-22 1622016]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]

"NeroFilterCheck"="c:\arquivos de programas\Arquivos comuns\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]

"NBKeyScan"="c:\arquivos de programas\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-08-08 1828136]

"UnlockerAssistant"="c:\arquivos de programas\Unlocker\UnlockerAssistant.exe" [2010-07-04 17408]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2007-07-21 110592]

"USB Antivirus"="c:\arquivos de programas\USB Disk Security\USBGuard.exe" [2008-08-16 798720]

"BigDog305"="c:\windows\VM305_STI.EXE" [2007-04-09 57344]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2007-07-21 15360]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

 

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

Ralink Wireless Utility.lnk - c:\arquivos de programas\RALINK\Common\RaUI.exe [2010-12-15 659456]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

 

R1 AsUpIO;AsUpIO;c:\windows\system32\drivers\AsUpIO.sys [18/12/2010 03:04 11448]

R3 ZSMC0305;A4 TECH PC Camera V;c:\windows\system32\drivers\usbVM305.sys [19/12/2010 14:49 391688]

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.google.com.br/

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~3\Office12\EXCEL.EXE/3000

TCP: {EC5D72A5-7054-4BC6-8FD8-7059249580EC} = 10.0.1.254

FF - ProfilePath - c:\documents and settings\Lucas\Dados de aplicativos\Mozilla\Firefox\Profiles\0n840pdq.default\

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\arquivos de programas\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - user.js: network.http.max-connections-per-server - 6

FF - user.js: network.http.max-persistent-connections-per-server - 3

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-12-20 23:47

Windows 5.1.2600 Service Pack 2 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

BigDog305 = c:\windows\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)???????????????????0?????????@??????????????

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

 

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net

Windows 5.1.2600 Disk: SAMSUNG_ rev.SU10 -> Harddisk0\DR0 -> \Device\Scsi\viamraid1Port2Path0Target2Lun0

 

device: opened successfully

user: MBR read successfully

 

Disk trace:

called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys SCSIPORT.SYS hal.dll viamraid.sys

c:\docume~1\Lucas\CONFIG~1\Temp\catchme.sys

c:\windows\system32\drivers\viamraid.sys VIA Technologies inc,.ltd VIA RAID driver

1 ntkrnlpa!IofCallDriver[0x804EE0F6] -> \Device\Harddisk0\DR0[0x86576AB8]

3 CLASSPNP[0xF762D05B] -> ntkrnlpa!IofCallDriver[0x804EE0F6] -> \Device\Scsi\viamraid1Port2Path0Target0Lun0[0x86578A38]

kernel: MBR read successfully

_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; STI ; PUSH AX; POP ES; PUSH AX; POP DS; CLD ; MOV SI, 0x7c1b; MOV DI, 0x61b; PUSH AX; PUSH DI; MOV CX, 0x1e5; REP MOVSB ; RETF ; MOV BP, 0x7be; MOV CL, 0x4; CMP [bP+0x0], CH; JL 0x2e; JNZ 0x3a; }

user != kernel MBR !!!

sectors 156368014 (+255): user != kernel

 

**************************************************************************

.

Tempo para conclusão: 2010-12-20 23:48:46

ComboFix-quarantined-files.txt 2010-12-21 01:48

 

Pré-execução: 4 pasta(s) 72.168.853.504 bytes disponíveis

Pós execução: 5 pasta(s) 72.169.062.400 bytes disponíveis

 

- - End Of File - - 6F970A6D3BDBD4354F1694AE02C2EC1B

[Renato Utsch 24]

Olá!

 

Que coisa, hein??

 

<< 1 >>

 

Acesse o site " Jotti's malware scan "

 

• Na caixa que fica em cima (File to upload & scan);
  
• Copie e cole o(s) seguinte(s) arquivo(s) um de cada vez:
  
  • c:\windows\system32\drivers\AsUpIO.sys

  [*]Clique no botão

  [*]O(s) arquivo(s) irá(serão) ser examinado(s) por diferentes softwares antivirus, por favor aguarde.

  [*]Copie e cole o(s) resultado(s).

 

Se o site acima estiver muito congestionado, tente num desses sites:

Alternativa 1

Alternativa 2

 

 

<< 2 >>

 

Poste um novo log do DDS.

 

 

Abraços :D

[lucasbsp 0]

Dei nome certo para tópico né rsrs dor de cabeça mesmo

bom lord estive pensando em duas opcões sei que hoje em dia é muito dificil mas não é impossivel

virus na bios estava pensando em atualizar ou então formatar novamente so que dessa vez salvar só

minhas musicas e fotos e videos apagar todos os meus .exe pois eles so podem tar neles o que que você me diz abrasss!

 

DDS (Ver_10-11-10.01) - NTFSx86

Run by Lucas at 11:06:30,84 on ter 21/12/2010

Internet Explorer: 7.0.5730.11

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.1023.560 [GMT -2:00]

 

 

============== Running Processes ===============

 

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

svchost.exe

svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

svchost.exe

C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Unlocker\UnlockerAssistant.exe

C:\WINDOWS\system32\rundll32.exe

C:\Arquivos de programas\USB Disk Security\USBGuard.exe

C:\WINDOWS\VM305_STI.EXE

C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMBgMonitor.exe

C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\RALINK\Common\RaUI.exe

C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMIndexingService.exe

C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMIndexStoreSvr.exe

C:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Mozilla Firefox\plugin-container.exe

C:\Arquivos de programas\Windows Media Player\wmplayer.exe

C:\Documents and Settings\Lucas\Desktop\dds.scr

 

============== Pseudo HJT Report ===============

 

uStart Page = hxxp://www.google.com.br/

BHO: QuickStores-Toolbar: {10edb994-47f8-43f7-ae96-f2ea63e9f90f} - mscoree.dll

BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\arquivos de programas\arquivos comuns\adobe\acrobat\activex\AcroIEHelperShim.dll

BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\arquiv~1\micros~3\office12\GRA8E1~1.DLL

BHO: Auxiliar de Conexão do Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\arquivos de programas\arquivos comuns\microsoft shared\windows live\WindowsLiveLogin.dll

TB: QuickStores-Toolbar: {10edb994-47f8-43f7-ae96-f2ea63e9f90f} - mscoree.dll

uRun: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "c:\arquivos de programas\arquivos comuns\nero\lib\NMBgMonitor.exe"

uRun: [msnmsgr] "c:\arquivos de programas\windows live\messenger\msnmsgr.exe" /background

uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe

mRun: [GrooveMonitor] "c:\arquivos de programas\microsoft office\office12\GrooveMonitor.exe"

mRun: [Adobe Reader Speed Launcher] "c:\arquivos de programas\adobe\reader 9.0\reader\Reader_sl.exe"

mRun: [Adobe ARM] "c:\arquivos de programas\arquivos comuns\adobe\arm\1.0\AdobeARM.exe"

mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

mRun: [nwiz] nwiz.exe /install

mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit

mRun: [NeroFilterCheck] c:\arquivos de programas\arquivos comuns\nero\lib\NeroCheck.exe

mRun: [NBKeyScan] "c:\arquivos de programas\nero\nero8\nero backitup\NBKeyScan.exe"

mRun: [unlockerAssistant] "c:\arquivos de programas\unlocker\UnlockerAssistant.exe"

mRun: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

mRun: [uSB Antivirus] c:\arquivos de programas\usb disk security\USBGuard.exe

mRun: [bigDog305] c:\windows\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

dRunOnce: [nltide_2] regsvr32 /s /n /i:U shell32

StartupFolder: c:\docume~1\alluse~1\menuin~1\progra~1\inicia~1\ralink~1.lnk - c:\arquivos de programas\ralink\common\RaUI.exe

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\micros~3\office12\EXCEL.EXE/3000

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\arquivos de programas\messenger\msmsgs.exe

IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\arquiv~1\micros~3\office12\ONBttnIE.dll

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\arquiv~1\micros~3\office12\REFIEBAR.DLL

TCP: {EC5D72A5-7054-4BC6-8FD8-7059249580EC} = 10.0.1.254

Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - c:\arquiv~1\micros~3\office12\GR99D3~1.DLL

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\wpdshserviceobj.dll

SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - c:\arquiv~1\micros~3\office12\GRA8E1~1.DLL

 

================= FIREFOX ===================

 

FF - ProfilePath - c:\docume~1\lucas\dadosd~1\mozilla\firefox\profiles\0n840pdq.default\

 

---- FIREFOX POLICIES ----

FF - user.js: network.http.max-connections-per-server - 6

FF - user.js: network.http.max-persistent-connections-per-server - 3

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgba3a4f16a", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgba3a4fra", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified

c:\arquivos de programas\mozilla firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

 

============= SERVICES / DRIVERS ===============

 

R1 AsUpIO;AsUpIO;c:\windows\system32\drivers\AsUpIO.sys [2010-12-18 11448]

R3 ZSMC0305;A4 TECH PC Camera V;c:\windows\system32\drivers\usbVM305.sys [2010-12-19 391688]

 

=============== Created Last 30 ================

 

2010-12-21 02:03:44 -------- d-----w- C:\DriveKey

2010-12-21 01:40:29 98816 ----a-w- c:\windows\sed.exe

2010-12-21 01:40:29 89088 ----a-w- c:\windows\MBR.exe

2010-12-21 01:40:29 256512 ----a-w- c:\windows\PEV.exe

2010-12-21 01:40:29 161792 ----a-w- c:\windows\SWREG.exe

2010-12-19 18:44:15 -------- d--h--w- c:\windows\system32\GroupPolicy

2010-12-19 16:50:01 -------- d-----w- c:\windows\EffectResources

2010-12-19 16:49:48 81920 ----a-w- c:\windows\system32\VM305STI.dll

2010-12-19 16:49:48 57344 ----a-w- c:\windows\vm305_sti.exe

2010-12-19 16:49:48 391688 ----a-w- c:\windows\system32\drivers\usbVM305.sys

2010-12-19 16:49:48 176128 ----a-w- c:\windows\amcap.exe

2010-12-19 16:49:48 155722 ----a-w- c:\windows\system32\VM305Prp.Ax

2010-12-19 16:49:43 -------- d-----w- c:\arquivos de programas\Vimicro

2010-12-18 05:04:23 24576 ----a-w- c:\windows\system32\AsIO.dll

2010-12-18 05:04:23 11448 ----a-w- c:\windows\system32\drivers\AsUpIO.sys

2010-12-18 05:04:23 11296 ----a-w- c:\windows\system32\drivers\AsIO.sys

2010-12-18 05:04:21 -------- d-----w- c:\arquivos de programas\ASUS

2010-12-17 14:05:41 -------- d-----w- c:\arquivos de programas\Ad-Remover

2010-12-16 14:44:50 -------- d-----w- c:\windows\SxsCaPendDel

2010-12-16 02:33:59 -------- d-----w- c:\arquivos de programas\USB Disk Security

2010-12-15 22:55:26 -------- d-----w- c:\docume~1\lucas\dadosd~1\TuneUp Software

2010-12-15 22:55:07 -------- d-----w- c:\docume~1\alluse~1\dadosd~1\TuneUp Software

2010-12-15 22:55:03 -------- d-sh--w- c:\docume~1\alluse~1\dadosd~1\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}

2010-12-15 22:49:45 -------- d-----w- c:\arquivos de programas\arquivos comuns\Wise Installation Wizard

2010-12-15 19:43:44 -------- d-----w- c:\docume~1\alluse~1\dadosd~1\SUPERAntiSpyware.com

2010-12-15 19:42:21 165376 ----a-w- c:\windows\system32\unrar.dll

2010-12-15 19:42:20 232448 ----a-w- c:\windows\system32\mp3fhg.acm

2010-12-15 19:42:20 151552 ----a-w- c:\windows\system32\ac3acm.acm

2010-12-15 19:42:19 790528 ----a-w- c:\windows\system32\xvidcore.dll

2010-12-15 19:42:19 237568 ----a-w- c:\windows\system32\yv12vfw.dll

2010-12-15 19:42:19 134144 ----a-w- c:\windows\system32\xvidvfw.dll

2010-12-15 19:42:19 108032 ----a-w- c:\windows\system32\ff_vfw.dll

2010-12-15 19:42:16 -------- d-----w- c:\arquivos de programas\K-Lite Codec Pack

2010-12-15 18:50:31 -------- d-----w- c:\arquivos de programas\Unlocker

2010-12-15 18:36:18 26496 ----a-w- c:\windows\system32\dllcache\usbstor.sys

2010-12-15 14:42:54 -------- d-----w- c:\arquivos de programas\Microsoft

2010-12-15 14:41:53 142922064 ----a-w- c:\arquivos de programas\arquivos comuns\windows live\.cache\wlc2.tmp

2010-12-15 14:23:57 -------- d-----w- c:\arquivos de programas\Marcos Velasco Security

2010-12-15 03:52:35 -------- d-----w- c:\arquivos de programas\VS Revo Group

2010-12-15 03:09:11 -------- d-----w- c:\docume~1\lucas\config~1\dadosd~1\Ahead

2010-12-15 02:51:31 -------- d-----w- c:\docume~1\lucas\dadosd~1\Malwarebytes

2010-12-15 02:51:18 -------- d-----w- c:\docume~1\alluse~1\dadosd~1\Malwarebytes

2010-12-15 02:49:56 -------- d-----w- c:\docume~1\alluse~1\dadosd~1\Nero

2010-12-15 02:49:56 -------- d-----w- c:\arquivos de programas\Nero

2010-12-15 02:27:10 208896 ----a-w- c:\windows\system32\nvudisp.exe

2010-12-15 02:27:10 -------- d-----w- c:\windows\nview

2010-12-15 02:27:05 -------- d-----w- c:\windows\system32\ReinstallBackups

2010-12-15 02:27:00 208896 ----a-w- c:\windows\system32\NVUNINST.EXE

2010-12-15 02:26:59 729088 ----a-w- c:\arquivos de programas\arquivos comuns\installshield\professional\runtime\09\01\intel32\iKernel.dll

2010-12-15 02:26:59 69715 ----a-w- c:\arquivos de programas\arquivos comuns\installshield\professional\runtime\09\01\intel32\ctor.dll

2010-12-15 02:26:59 5632 ----a-w- c:\arquivos de programas\arquivos comuns\installshield\professional\runtime\09\01\intel32\DotNetInstaller.exe

2010-12-15 02:26:59 266240 ----a-w- c:\arquivos de programas\arquivos comuns\installshield\professional\runtime\09\01\intel32\iscript.dll

2010-12-15 02:26:59 192512 ----a-w- c:\arquivos de programas\arquivos comuns\installshield\professional\runtime\09\01\intel32\iuser.dll

2010-12-15 02:26:54 188548 ----a-w- c:\arquivos de programas\arquivos comuns\installshield\professional\runtime\09\01\intel32\iGdi.dll

2010-12-15 02:26:53 311428 ----a-w- c:\arquivos de programas\arquivos comuns\installshield\professional\runtime\09\01\intel32\setup.dll

2010-12-15 00:48:11 -------- d-----w- c:\docume~1\lucas\config~1\dadosd~1\Adobe

2010-12-15 00:47:38 -------- d-----w- c:\windows\system32\Adobe

2010-12-15 00:45:52 33104 ----a-w- c:\windows\system32\spool\prtprocs\w32x86\msonpppr.dll

2010-12-15 00:45:52 32592 ----a-w- c:\windows\system32\msonpmon.dll

2010-12-15 00:41:59 -------- d-----w- c:\arquivos de programas\IObit

2010-12-15 00:40:20 -------- d-----w- c:\windows\SHELLNEW

2010-12-15 00:40:10 -------- d-----w- c:\docume~1\lucas\config~1\dadosd~1\Microsoft Help

2010-12-14 12:51:39 -------- d-----w- c:\windows\system32\xircom

2010-12-14 12:51:39 -------- d-----w- c:\windows\system32\wbem\snmp

2010-12-14 12:50:47 -------- d-----w- c:\windows\system32\wbem\repository\FS

2010-12-14 12:50:47 -------- d-----w- c:\windows\system32\wbem\Repository

2010-12-13 23:20:48 -------- d-sha-r- C:\cmdcons

2010-12-13 22:54:44 -------- d-----w- c:\documents and settings\lucas\Tracing

2010-12-13 22:54:00 -------- d-----w- c:\arquivos de programas\Windows Live SkyDrive

2010-12-13 22:48:59 -------- d-----w- c:\arquivos de programas\arquivos comuns\Windows Live

2010-12-13 22:26:55 -------- d-----w- c:\docume~1\lucas\config~1\dadosd~1\Mozilla

2010-12-13 22:24:36 -------- d-----w- c:\windows\pss

2010-12-13 22:15:23 -------- d-----w- c:\arquivos de programas\RALINK

2010-12-13 22:15:22 32768 ----a-w- c:\arquivos de programas\arquivos comuns\installshield\professional\runtime\Objectps.dll

2010-12-13 22:07:53 2944 ----a-w- c:\windows\system32\drivers\drmkaud.sys

2010-12-13 22:07:53 172416 ----a-w- c:\windows\system32\drivers\kmixer.sys

2010-12-13 22:07:52 54272 ----a-w- c:\windows\system32\drivers\swmidi.sys

2010-12-13 22:07:52 52864 ----a-w- c:\windows\system32\drivers\DMusic.sys

2010-12-13 22:07:51 6272 ----a-w- c:\windows\system32\drivers\splitter.sys

2010-12-13 22:07:51 142464 ----a-w- c:\windows\system32\drivers\aec.sys

2010-12-13 22:07:50 60800 ----a-w- c:\windows\system32\drivers\sysaudio.sys

2010-12-13 22:05:47 82944 ----a-w- c:\windows\system32\drivers\wdmaud.sys

2010-12-13 22:04:21 -------- d-----w- c:\arquivos de programas\CCleaner

2010-12-13 22:01:50 5824 ----a-w- c:\windows\system32\drivers\ASUSHWIO.SYS

 

==================== Find3M ====================

 

2010-10-22 11:43:18 499712 ----a-w- c:\windows\system32\msvcp71.dll

2010-10-22 11:43:18 348160 ----a-w- c:\windows\system32\msvcr71.dll

 

=================== ROOTKIT ====================

 

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net

Windows 5.1.2600 Disk: SAMSUNG_ rev.SU10 -> Harddisk0\DR0 -> \Device\Scsi\viamraid1Port2Path0Target2Lun0

 

device: opened successfully

user: MBR read successfully

 

Disk trace:

called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys SCSIPORT.SYS hal.dll viamraid.sys

c:\windows\system32\drivers\viamraid.sys VIA Technologies inc,.ltd VIA RAID driver

1 ntkrnlpa!IofCallDriver[0x804EE0F6] -> \Device\Harddisk0\DR0[0x86576AB8]

3 CLASSPNP[0xF762D05B] -> ntkrnlpa!IofCallDriver[0x804EE0F6] -> \Device\Scsi\viamraid1Port2Path0Target0Lun0[0x86578A38]

kernel: MBR read successfully

_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; STI ; PUSH AX; POP ES; PUSH AX; POP DS; CLD ; MOV SI, 0x7c1b; MOV DI, 0x61b; PUSH AX; PUSH DI; MOV CX, 0x1e5; REP MOVSB ; RETF ; MOV BP, 0x7be; MOV CL, 0x4; CMP [bP+0x0], CH; JL 0x2e; JNZ 0x3a; }

user != kernel MBR !!!

sectors 156368014 (+255): user != kernel

 

============= FINISH: 11:06:53,21 ===============

[Renato Utsch 24]

Olá!

 

Desculpe-me pela demora para responder. Estava procurando um método para limpar seu pc...

 

Se você quiser fazer isso, pode fazer. Não consegui encontrar nada no seu computador. O que quer que esteja infectando seu computador está bem escondido. E sei que está aí. Em algum lugar.

 

 

Bom, como última alternativa, tente isso: http://www.baixaki.com.br/download/avg-anti-rootkit.htm

 

 

Tente ver se ele acha alguma coisa ;D

 

Abraços :D

[lucasbsp 0]

LOrd a coisa ta estranha msm formatei os dois hds estao limpos salvei meu backup em um hd de bolso mas ainda naum transferi ele pro pc entao os dois estao limpo as unicas coisas que instalei foi o driver de audio da asus e o driver de internet ralink passei o combofix a mensagem de rootkit aparentemente saiu mas encontrou no final msssc.dll

 

segue o log do combofix

ComboFix 10-12-30.01 - Lucas 30/12/2010 18:11:17.1.1 - x86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.1023.771 [GMT -2:00]

Executando de: c:\documents and settings\Lucas\Desktop\ComboFix.exe

.

 

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\msssc.dll

 

.

(((((((((((((((( Arquivos/Ficheiros criados de 2010-11-28 to 2010-12-30 ))))))))))))))))))))))))))))

.

 

Nenhum ficheiro/arquivo criado durante este período

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

 

------- Sigcheck -------

 

[-] 2007-09-03 . BD8686216E34E22C4ED45A2320B2BEA1 . 360576 . . [5.1.2600.2892] . . c:\windows\system32\drivers\tcpip.sys

 

[-] 2007-09-02 . DB3AA410ED1228B9DF98C06549AE0763 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll

 

[-] 2007-09-02 17:20 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\mspmsnsv.dll

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Smapp"="c:\arquivos de programas\Analog Devices\SoundMAX\Smtray.exe" [2003-05-05 143360]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2007-07-21 15360]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

 

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

Ralink Wireless Utility.lnk - c:\arquivos de programas\RALINK\Common\RaUI.exe [2010-12-30 659456]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

 

 

--- =Outros Serviços/Drivers Na Memória ---

 

*NewlyCreated* - AEGISP

*NewlyCreated* - BROWSER

*NewlyCreated* - FASTUSERSWITCHINGCOMPATIBILITY

*NewlyCreated* - FLTMGR

*NewlyCreated* - HELPSVC

*NewlyCreated* - IMAPISERVICE

*NewlyCreated* - LANMANSERVER

*NewlyCreated* - NDISUIO

*NewlyCreated* - POLICYAGENT

*NewlyCreated* - RASACD

*NewlyCreated* - RASMAN

*NewlyCreated* - RDPCDD

*NewlyCreated* - RDPNP

*NewlyCreated* - SCHEDULE

*NewlyCreated* - SENS

*NewlyCreated* - SHELLHWDETECTION

*NewlyCreated* - SOUNDMAX_AGENT_SERVICE_(DEFAULT)

*NewlyCreated* - SR

*NewlyCreated* - SRSERVICE

*NewlyCreated* - SRV

*NewlyCreated* - SSDPSRV

*NewlyCreated* - TERMSERVICE

*NewlyCreated* - THEMES

*NewlyCreated* - WUAUSERV

*NewlyCreated* - WZCSVC

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://google.com.br/

TCP: {84D8B222-BC02-421A-AD2D-A4F8014C373B} = 10.0.1.254

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-12-30 18:13

Windows 5.1.2600 Service Pack 2 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

 

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net

Windows 5.1.2600 Disk: SAMSUNG_ rev.SU10 -> Harddisk0\DR0 -> \Device\Scsi\viamraid1Port2Path0Target2Lun0

 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user != kernel MBR !!!

sectors 156368014 (+255): user != kernel

 

**************************************************************************

.

Tempo para conclusão: 2010-12-30 18:13:54

ComboFix-quarantined-files.txt 2010-12-30 20:13

 

Pré-execução: 4 pasta(s) 76.100.358.144 bytes disponíveis

Pós execução: 5 pasta(s) 76.100.067.328 bytes disponíveis

 

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(1)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(1)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

 

- - End Of File - - 1A9F3FD0942489D932564829DE06CCC5

[Power Max 54]

:) Olá lucasbsp!

 

O Lord Evil teve que fazer uma viagem, então estarei cuidando deste caso até que ele possa retornar.

_______________________

 

:seta: Quando o Lord Evil pediu para você fazer um escaneamento com o Kaspersky Virus Removal Tool, você disse:

 

O kaspersky deu ok.

Mas você notou se ele removeu alguns virus?

________________________

 

:seta: Siga, por gentileza, as dicas abaixo:

 

Tutorial do Malwarebytes Anti-Malware

 

Tutorial do Norman Malware Cleaner

________________________

 

:seta: Na sua próxima resposta poste este log do Malwarebytes juntamente com um novo log do Hijackthis e o log do Norman Malware Cleaner e nos diga como está o seu PC após estes procedimentos.

 

Ficamos no aguardo.

[lucasbsp 0]

Sim nao encontrou nada neles segue os logs!

 

Norman Malware Cleaner

Version 1.8.3

Copyright © 1990 - 2010, Norman ASA. Built 2011/01/03 06:23:53

 

Norman Scanner Engine Version: 6.06.12

Nvcbin.def Version: 6.06.00, Date: 2011/01/03 06:23:53, Variants: 8738767

 

Scan started: 2011/01/03 12:04:14

 

Running pre-scan cleanup routine:

Operating System: Microsoft Windows XP Professional 5.1.2600 Service Pack 2

Logged on user: LUCAS-0B4EAFCE6\Lucas

 

Set registry value: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = -> ""

Removed registry value: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System -> DisableRegistryTools = 0x00000000

Removed registry value: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer -> NoDrives = 0x00000000

Removed registry value: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer -> NoDrives = 0x00000000

 

Scanning kernel...

 

Kernel scan complete

 

 

Scanning bootsectors...

 

Number of sectors found: 1

Number of sectors scanned: 1

Number of sectors not scanned: 0

Number of infections found: 0

Number of infections removed: 0

Total scanning time: 1s 109ms

 

 

Scanning running processes and process memory...

 

Number of processes/threads found: 2386

Number of processes/threads scanned: 2386

Number of processes/threads not scanned: 0

Number of infected processes/threads terminated: 0

Total scanning time: 2m 13s

 

 

Scanning file system...

 

Scanning: prescan

 

Scanning: C:\*.*

 

C:\Documents and Settings\Lucas\Desktop\ccsetup302.exe/noname.nsis/file0/file130 (Error whilst scanning file: I/O Error (0x00220005))

 

C:\Documents and Settings\Lucas\Meus documentos\Lucas\backup\pc lukrao\Minhas musicas¨@\lançamentos de radio\as +\Ice Cube - Go To Church - (feat. Snoop Dogg & Lil' John).mp3/file27 (Error whilst scanning file: I/O Error (0x00220005))

 

C:\Documents and Settings\Lucas\Meus documentos\Lucas\backup\pc lukrao\Minhas musicas¨@\lançamentos de radio\as +\Lilly Allen - Smile.mp3/noname.nsis/file0/file6 (Error whilst scanning file: I/O Error (0x00220005))

 

C:\Documents and Settings\Lucas\Meus documentos\Lucas\backup\pc lukrao\Minhas musicas¨@\lançamentos de radio\as +\Lilly Allen - Smile.mp3/noname.nsis/file0/file6/NERO_V~1.004 (Error whilst scanning file: I/O Error (0x00220005))

 

C:\Documents and Settings\Lucas\Meus documentos\Lucas\backup\pc lukrao\Minhas musicas¨@\lançamentos de radio\as +\Lilly Allen - Smile.mp3/noname.nsis/file0/file6/NERO_V~2.003 (Error whilst scanning file: I/O Error (0x00220005))

 

C:\Documents and Settings\Lucas\Meus documentos\Lucas\backup\pc lukrao\Minhas musicas¨@\lançamentos de radio\as +\Lilly Allen - Smile.mp3/noname.nsis/file0/file6/NEROMO~1.001 (Error whilst scanning file: I/O Error (0x00220005))

 

C:\Documents and Settings\Lucas\Meus documentos\Lucas\backup\pc lukrao\Minhas musicas¨@\lançamentos de radio\lançamentos musicais\Ashley Tisdale - Be Good To Me.mp3/noname.nsis/file0/file6 (Error whilst scanning file: I/O Error (0x00220005))

 

C:\Documents and Settings\Lucas\Meus documentos\Lucas\backup\pc lukrao\Minhas musicas¨@\lançamentos de radio\lançamentos musicais\Ashley Tisdale - Be Good To Me.mp3/noname.nsis/file0/file6/NERO_V~1.004 (Error whilst scanning file: I/O Error (0x00220005))

 

C:\Documents and Settings\Lucas\Meus documentos\Lucas\backup\pc lukrao\Minhas musicas¨@\lançamentos de radio\lançamentos musicais\Ashley Tisdale - Be Good To Me.mp3/noname.nsis/file0/file6/NERO_V~2.003 (Error whilst scanning file: I/O Error (0x00220005))

 

C:\Documents and Settings\Lucas\Meus documentos\Lucas\backup\pc lukrao\Minhas musicas¨@\lançamentos de radio\lançamentos musicais\Ashley Tisdale - Be Good To Me.mp3/noname.nsis/file0/file6/NEROMO~1.001 (Error whilst scanning file: I/O Error (0x00220005))

 

C:\System Volume Information\_restore{093BA692-4342-4D63-A7A5-F456CDB59562}\RP11\A0002645.reg (Infected with REG/Small.A)

Deleted file

 

Scanning: postscan

 

 

Running post-scan cleanup routine:

 

Number of files found: 93851

Number of archives unpacked: 1094

Number of files scanned: 93834

Number of files not scanned: 17

Number of files skipped due to exclude list: 0

Number of infected files found: 1

Number of infected files repaired/deleted: 1

Number of infections removed: 1

Total scanning time: 45m 55s

 

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Versão da Base de Dados: 5448

 

Windows 5.1.2600 Service Pack 2

Internet Explorer 6.0.2900.2180

 

3/1/2011 14:40:18

mbam-log-2011-01-03 (14-40-18).txt

 

Tipo de Verificação: Verificação Rápida

Objetos escaneados: 123303

Tempo decorrido: 1 minuto(s), 30 segundo(s)

 

Processos de Memória Infectados: 0

Módulos de Memória Infectados: 0

Chaves de Registro Infectadas: 0

Valores de Registro Infectados: 0

Itens de Dados no Registro Infectados: 0

Pastas Infectadas: 0

Arquivos Infectados: 0

 

Processos de Memória Infectados:

(Não foram detectados ítens maliciosos)

 

Módulos de Memória Infectados:

(Não foram detectados ítens maliciosos)

 

Chaves de Registro Infectadas:

(Não foram detectados ítens maliciosos)

 

Valores de Registro Infectados:

(Não foram detectados ítens maliciosos)

 

Itens de Dados no Registro Infectados:

(Não foram detectados ítens maliciosos)

 

Pastas Infectadas:

(Não foram detectados ítens maliciosos)

 

Arquivos Infectados:

(Não foram detectados ítens maliciosos)

[Power Max 54]

:seta: Acesse o site http://virscan.org/ e envie estes arquivos destacados em vermelho abaixo para serem analisados nele:

 

C:\Documents and Settings\Lucas\Desktop\ccsetup302.exe

C:\Documents and Settings\Lucas\Meus documentos\Lucas\backup\pc lukrao\Minhas musicas¨@\lançamentos de radio\as +\Ice Cube - Go To Church - (feat. Snoop Dogg & Lil' John).mp3

C:\Documents and Settings\Lucas\Meus documentos\Lucas\backup\pc lukrao\Minhas musicas¨@\lançamentos de radio\as +\Lilly Allen - Smile.mp3

C:\Documents and Settings\Lucas\Meus documentos\Lucas\backup\pc lukrao\Minhas musicas¨@\lançamentos de radio\lançamentos musicais\Ashley Tisdale - Be Good To Me.mp3

 

Aguarde a conclusão da análise e depois de concluida, copie o link que aparecerá na barra de endereços do seu navegador (após a análise de cada arquivo) e poste estes links em sua próxima resposta juntamente com os outros logs pedidos abaixo.

 

Obs: Caso o site acima esteja muito sobrecarregado ou com algum problema, é só você ir em um desses endereços abaixo e enviar os arquivos para análise:

 

http://www.virustotal.com/

http://virusscan.jotti.org/

http://www.viruschief.com/

__________________________

 

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Tipo de Verificação: Verificação Rápida

:!: No seu log do Malwarebytes está constando que você fez só uma verificação rápida com ele. Abra o Malwarebytes, atualize-o (faça um update), faça um Verificação Completa com ele, remova todos os problemas que ele encontrar e poste o novo log que ele irá criar em sua próxima resposta.

_________________________

 

:seta: No seu log está constando que seu PC está sem um antivirus e é muito importante ter um. Sugiro um ótimo antivirus gratuito para você, como o Avira AntiVir Personal Edition Classic 2010.

 

Para instalar, configurar e usar corretamente o Avira antivir é só seguir as dicas destes tutoriais:

 

Tutorial do Avira AntiVir Personal Edition Classic 2010 (Instalação e Configuração)

 

Tutorial do Avira AntiVir Personal Edition Classic 2010 (como usá-lo corretamente)

 

• Depois de instalar e configurar o Avira Antivir seguindo as dicas dos tutoriais acima, atualize-o (faça um update) e reinicie o seu computador e entre pelo Modo de Segurança (apertando a tecla F8 (ou a tecla F5 em alguns computadores) repetidas vezes quando o computador estiver reiniciando e escolhendo a opção Modo Seguro ou Modo de Segurança). Aí quando o computador tiver reiniciado, clique com o botão direito do mouse sobre o símbolo do Avira (aquele guarda-chuva vermelho aberto ao lado do relógio do Windows) e escolha a opção Iniciar o AntiVir > clique na opção Verif. sistema agora > e aguarde a conclusão do escaneamento.

 

Obs: Caso não seja possível fazer o escaneamento com o Avira Antivir no Modo Seguro do Windows, faça-o no modo normal.

_______________________________________________________________

 

:seta: Quando você tiver removido os virus que o Avira Antivir encontrar, reinicie o computador normalmente. Clique com o botão direito do mouse sobre o ícone do Avira (aquele guarda-chuva vermelho aberto ao lado do relógio do Windows) e escolha a opção Iniciar o AntiVir > clique na opção Relatórios > dê um duplo clique com o botão esquerdo do mouse sobre o log mais recente e clique no botão Arquivo de relatório > Depois será aberta uma tela com o log, então é só selecionar este Log (Clique no menu: Editar » Selecionar Tudo), depois disso volte novamente no menu: Editar » e clique na opção: Copiar) > Depois disso é só voltar aqui no fórum e postar este log do Avira Antivir juntamente com um novo log do Hijackthis, o novo log do Malwarebytes e os links com as análises dos arquivos no site VirScan para que eles possam ser analizados.

 

Ficamos no aguardo de sua resposta.

[lucasbsp 0]

Avira AntiVir Personal

Data do arquivo de relatório: terça-feira, 4 de janeiro de 2011 20:46

 

Fazendo a varredura quanto a 2324255 suspeitas de vírus e programas indesejados.

 

O programa está sendo executado como versão completa sem limitações.

Serviços on-line estão disponíveis:

 

Licenciado : Avira AntiVir Personal - FREE Antivirus

Número de série : 0000149996-ADJIE-0000001

Plataforma : Windows XP

Versão do Windows : (Service Pack 2) [5.1.2600]

Modo de inicialização : Normalmente inicializado

Nome de usuário : SYSTEM

Nome do computador : LUCAS-A23B82D1D

 

Informações da versão:

BUILD.DAT : 10.0.0.39 31820 Bytes 6/9/2010 09:36:00

AVSCAN.EXE : 10.0.3.1 434344 Bytes 3/9/2010 17:44:22

AVSCAN.DLL : 10.0.3.0 52584 Bytes 3/9/2010 17:44:32

LUKE.DLL : 10.0.2.3 104296 Bytes 3/9/2010 17:44:26

LUKERES.DLL : 10.0.0.1 13160 Bytes 3/9/2010 17:44:33

VBASE000.VDF : 7.10.0.0 19875328 Bytes 6/11/2009 12:05:36

VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 15:48:08

VBASE002.VDF : 7.11.0.1 2048 Bytes 14/12/2010 15:48:08

VBASE003.VDF : 7.11.0.2 2048 Bytes 14/12/2010 15:48:09

VBASE004.VDF : 7.11.0.3 2048 Bytes 14/12/2010 15:48:09

VBASE005.VDF : 7.11.0.4 2048 Bytes 14/12/2010 15:48:09

VBASE006.VDF : 7.11.0.5 2048 Bytes 14/12/2010 15:48:10

VBASE007.VDF : 7.11.0.6 2048 Bytes 14/12/2010 15:48:11

VBASE008.VDF : 7.11.0.7 2048 Bytes 14/12/2010 15:48:11

VBASE009.VDF : 7.11.0.8 2048 Bytes 14/12/2010 15:48:12

VBASE010.VDF : 7.11.0.9 2048 Bytes 14/12/2010 15:48:12

VBASE011.VDF : 7.11.0.10 2048 Bytes 14/12/2010 15:48:12

VBASE012.VDF : 7.11.0.11 2048 Bytes 14/12/2010 15:48:13

VBASE013.VDF : 7.11.0.52 128000 Bytes 16/12/2010 15:48:17

VBASE014.VDF : 7.11.0.91 226816 Bytes 20/12/2010 15:48:28

VBASE015.VDF : 7.11.0.122 136192 Bytes 21/12/2010 15:48:36

VBASE016.VDF : 7.11.0.156 122880 Bytes 24/12/2010 15:48:46

VBASE017.VDF : 7.11.0.185 146944 Bytes 27/12/2010 15:48:59

VBASE018.VDF : 7.11.0.228 132608 Bytes 30/12/2010 15:49:12

VBASE019.VDF : 7.11.1.5 148480 Bytes 3/1/2011 15:49:21

VBASE020.VDF : 7.11.1.6 2048 Bytes 3/1/2011 15:49:22

VBASE021.VDF : 7.11.1.7 2048 Bytes 3/1/2011 15:49:22

VBASE022.VDF : 7.11.1.8 2048 Bytes 3/1/2011 15:49:22

VBASE023.VDF : 7.11.1.9 2048 Bytes 3/1/2011 15:49:23

VBASE024.VDF : 7.11.1.10 2048 Bytes 3/1/2011 15:49:23

VBASE025.VDF : 7.11.1.11 2048 Bytes 3/1/2011 15:49:23

VBASE026.VDF : 7.11.1.12 2048 Bytes 3/1/2011 15:49:23

VBASE027.VDF : 7.11.1.13 2048 Bytes 3/1/2011 15:49:24

VBASE028.VDF : 7.11.1.14 2048 Bytes 3/1/2011 15:49:24

VBASE029.VDF : 7.11.1.15 2048 Bytes 3/1/2011 15:49:24

VBASE030.VDF : 7.11.1.16 2048 Bytes 3/1/2011 15:49:25

VBASE031.VDF : 7.11.1.21 38912 Bytes 4/1/2011 15:49:26

Versão do mecanismo : 8.2.4.134

AEVDF.DLL : 8.1.2.1 106868 Bytes 3/9/2010 17:44:20

AESCRIPT.DLL : 8.1.3.51 1286524 Bytes 4/1/2011 15:52:12

AESCN.DLL : 8.1.7.2 127349 Bytes 4/1/2011 15:51:52

AESBX.DLL : 8.1.3.2 254324 Bytes 4/1/2011 15:52:20

AERDL.DLL : 8.1.9.2 635252 Bytes 4/1/2011 15:51:49

AEPACK.DLL : 8.2.4.7 512375 Bytes 4/1/2011 15:51:30

AEOFFICE.DLL : 8.1.1.10 201084 Bytes 4/1/2011 15:51:16

AEHEUR.DLL : 8.1.2.60 3158392 Bytes 4/1/2011 15:51:11

AEHELP.DLL : 8.1.16.0 246136 Bytes 4/1/2011 15:50:01

AEGEN.DLL : 8.1.5.0 397685 Bytes 4/1/2011 15:49:54

AEEMU.DLL : 8.1.3.0 393589 Bytes 4/1/2011 15:49:44

AECORE.DLL : 8.1.19.0 196984 Bytes 4/1/2011 15:49:39

AEBB.DLL : 8.1.1.0 53618 Bytes 3/9/2010 17:44:16

AVWINLL.DLL : 10.0.0.0 19304 Bytes 3/9/2010 17:44:22

AVPREF.DLL : 10.0.0.0 44904 Bytes 3/9/2010 17:44:22

AVREP.DLL : 10.0.0.8 62209 Bytes 17/6/2010 17:29:08

AVREG.DLL : 10.0.3.2 53096 Bytes 3/9/2010 17:44:22

AVSCPLR.DLL : 10.0.3.1 83816 Bytes 3/9/2010 17:44:22

AVARKT.DLL : 10.0.0.14 227176 Bytes 3/9/2010 17:44:20

AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 3/9/2010 17:44:21

SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/6/2010 17:29:17

AVSMTP.DLL : 10.0.0.17 63848 Bytes 3/9/2010 17:44:22

NETNT.DLL : 10.0.0.0 11624 Bytes 17/6/2010 17:29:16

RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 16/2/2010 12:49:20

RCTEXT.DLL : 10.0.58.0 98664 Bytes 3/9/2010 17:44:33

 

Opções de configuração para a varredura:

Nome da tarefa......................................: Verif. compl. do sistema

Arquivo de configuração.............................: C:\Arquivos de programas\Avira\AntiVir Desktop\sysscan.avp

Registro............................................: baixo

Ação primária.......................................: reparar

Ação secundária.....................................: excluir

Fazer a varredura do setor mestre de inicialização..: ativado

Fazer a varredura do setor de inicialização.........: ativado

Setores de inicialização............................: C:,

Varredura do processo...............................: ativado

Varredura do processo estendida.....................: ativado

Fazer a varredura do registro.......................: ativado

Verificação por rootkits............................: ativado

Verificação da integridade dos arquivos de sistema..: desativado

Fazer a varredura de todos os arquivos..............: Todos os arquivos

Fazer a varredura dos arquivamentos.................: ativado

Profundidade de recursão............................: 20

Extensões inteligentes..............................: ativado

Heurística de macro.................................: ativado

Heurística do arquivo...............................: médio

Desviando categorias de risco.......................: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

 

Início da varredura: terça-feira, 4 de janeiro de 2011 20:46

 

Iniciando a pesquisa de objetos ocultos.

 

A varredura dos processos em execução será iniciada

Processo de varredura 'rsmsink.exe' – foi feita a varredura em '28' módulo(s)

Processo de varredura 'msdtc.exe' – foi feita a varredura em '41' módulo(s)

Processo de varredura 'dllhost.exe' – foi feita a varredura em '60' módulo(s)

Processo de varredura 'dllhost.exe' – foi feita a varredura em '46' módulo(s)

Processo de varredura 'vssvc.exe' – foi feita a varredura em '49' módulo(s)

Processo de varredura 'avscan.exe' – foi feita a varredura em '66' módulo(s)

Processo de varredura 'wuauclt.exe' – foi feita a varredura em '49' módulo(s)

Processo de varredura 'alg.exe' – foi feita a varredura em '33' módulo(s)

Processo de varredura 'wmiprvse.exe' – foi feita a varredura em '43' módulo(s)

Processo de varredura 'avshadow.exe' – foi feita a varredura em '26' módulo(s)

Processo de varredura 'SMAgent.exe' – foi feita a varredura em '13' módulo(s)

Processo de varredura 'avguard.exe' – foi feita a varredura em '53' módulo(s)

Processo de varredura 'RaUI.exe' – foi feita a varredura em '49' módulo(s)

Processo de varredura 'ctfmon.exe' – foi feita a varredura em '25' módulo(s)

Processo de varredura 'avgnt.exe' – foi feita a varredura em '44' módulo(s)

Processo de varredura 'SMTray.exe' – foi feita a varredura em '21' módulo(s)

Processo de varredura 'sched.exe' – foi feita a varredura em '43' módulo(s)

Processo de varredura 'spoolsv.exe' – foi feita a varredura em '51' módulo(s)

Processo de varredura 'Explorer.EXE' – foi feita a varredura em '79' módulo(s)

Processo de varredura 'svchost.exe' – foi feita a varredura em '44' módulo(s)

Processo de varredura 'svchost.exe' – foi feita a varredura em '28' módulo(s)

Processo de varredura 'svchost.exe' – foi feita a varredura em '142' módulo(s)

Processo de varredura 'svchost.exe' – foi feita a varredura em '39' módulo(s)

Processo de varredura 'svchost.exe' – foi feita a varredura em '51' módulo(s)

Processo de varredura 'lsass.exe' – foi feita a varredura em '59' módulo(s)

Processo de varredura 'services.exe' – foi feita a varredura em '44' módulo(s)

Processo de varredura 'winlogon.exe' – foi feita a varredura em '65' módulo(s)

Processo de varredura 'csrss.exe' – foi feita a varredura em '11' módulo(s)

Processo de varredura 'smss.exe' – foi feita a varredura em '2' módulo(s)

 

Iniciando a varredura do setor mestre de inicialização:

HD0 do setor mestre de inicialização

[iNFO] Nenhum vírus foi encontrado!

 

Iniciar a varredura dos setores de inicialização:

Setor de inicialização 'C:\'

[iNFO] Nenhum vírus foi encontrado!

 

Iniciando a varredura dos arquivos executáveis (registro).

Foi feita a varredura do registro ( '303' arquivos ).

 

 

Iniciando a varredura do arquivo:

 

Iniciar verificação em 'C:\'

 

 

Término da varredura: terça-feira, 4 de janeiro de 2011 21:00

Tempo de uso: 13:56 Minuto(s)

 

A varredura foi concluída.

 

1197 Diretórios verificados

54789 Foi feita a varredura dos arquivos

0 Vírus e/ou programas indesejados foram encontrados

0 Os arquivos foram classificados como suspeitos

0 arquivos excluídos

0 Vírus e programas indesejados foram reparados

0 Os arquivos foram movidos para a quarentena

0 Os arquivos foram renomeados

0 Não é possível fazer a varredura dos arquivos

54789 Arquivos não envolvidos

446 Os arquivamentos foram verificados

0 Avisos

0 Notas

135197 Os objetos foram verificados com a varredura do rootkit

0 Objetos ocultos foram encontrados

 

 

http://virscan.org/report/5a0f0fbc5b0cdb16b172c524c3bc5894.html

 

http://virscan.org/report/4b55bbec5838cfd77301cbfb44cfea69.html

 

http://virscan.org/report/624e66b2703833a78ab837a577cda2fd.html

 

 

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Versão da Base de Dados: 5461

 

Windows 5.1.2600 Service Pack 2

Internet Explorer 8.0.6001.18702

 

4/1/2011 23:30:58

mbam-log-2011-01-04 (23-30-54).txt

 

Tipo de Verificação: Verificação Completa (C:\|D:\|)

Objetos escaneados: 142886

Tempo decorrido: 23 minuto(s), 32 segundo(s)

 

Processos de Memória Infectados: 0

Módulos de Memória Infectados: 0

Chaves de Registro Infectadas: 0

Valores de Registro Infectados: 0

Itens de Dados no Registro Infectados: 3

Pastas Infectadas: 0

Arquivos Infectados: 0

 

Processos de Memória Infectados:

(Não foram detectados ítens maliciosos)

 

Módulos de Memória Infectados:

(Não foram detectados ítens maliciosos)

 

Chaves de Registro Infectadas:

(Não foram detectados ítens maliciosos)

 

Valores de Registro Infectados:

(Não foram detectados ítens maliciosos)

 

Itens de Dados no Registro Infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

 

Pastas Infectadas:

(Não foram detectados ítens maliciosos)

 

Arquivos Infectados:

(Não foram detectados ítens maliciosos)

 

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 23:35:12, on 4/1/2011

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMTray.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\RALINK\Common\RaUI.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avshadow.exe

C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

C:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Mozilla Firefox\plugin-container.exe

C:\WINDOWS\System32\vssvc.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\system32\dllhost.exe

C:\Documents and Settings\Lucas\Desktop\HiJackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [smapp] C:\Arquivos de programas\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware (reboot)] "C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Arquivos de programas\RALINK\Common\RaUI.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O17 - HKLM\System\CCS\Services\Tcpip\..\{109A35E1-DCA3-4752-A1F1-67C5E3327E0A}: NameServer = 10.0.1.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{109A35E1-DCA3-4752-A1F1-67C5E3327E0A}: NameServer = 10.0.1.254

O17 - HKLM\System\CS2\Services\Tcpip\..\{109A35E1-DCA3-4752-A1F1-67C5E3327E0A}: NameServer = 10.0.1.254

O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Avira AntiVir Agendamento (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

 

--

End of file - 4307 bytes

 

Olá Antonio ja estou ficando estressado pois ja vao se passar 1 mes que nao consigo tirar esse virus e nao sei aonde ele se infiltrou ja formatei e reformatei meus hds varias vezes ja troquei de cd de instalação criei outro disquete de boot e nao sei mais o que fazer segue o log do que o gmer encontrou

 

GMER 1.0.15.15530 - http://www.gmer.net

Rootkit scan 2011-01-05 00:40:57

Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Scsi\viamraid1Port2Path0Target2Lun0 SAMSUNG_ rev.JF10

Running: yjmcuub7.exe; Driver: C:\DOCUME~1\Lucas\CONFIG~1\Temp\kfayrpow.sys

 

 

---- System - GMER 1.0.15 ----

 

SSDT EF7C1F26 ZwCreateKey

SSDT EF7C1F1C ZwCreateThread

SSDT EF7C1F2B ZwDeleteKey

SSDT EF7C1F35 ZwDeleteValueKey

SSDT EF7C1F3A ZwLoadKey

SSDT EF7C1F08 ZwOpenProcess

SSDT EF7C1F0D ZwOpenThread

SSDT EF7C1F44 ZwReplaceKey

SSDT EF7C1F3F ZwRestoreKey

SSDT EF7C1F30 ZwSetValueKey

 

Code \??\C:\DOCUME~1\Lucas\CONFIG~1\Temp\catchme.sys pIofCallDriver

 

---- Kernel code sections - GMER 1.0.15 ----

 

? C:\DOCUME~1\Lucas\CONFIG~1\Temp\catchme.sys O sistema não pode encontrar o arquivo especificado. !

? C:\WINDOWS\system32\Drivers\PROCEXP113.SYS O sistema não pode encontrar o arquivo especificado. !

 

---- EOF - GMER 1.0.15 ----

[Power Max 54]

:seta: Você se esqueceu de enviar estes arquivos abaixo para análise e postar os links com os resultados destas análises:

C:\Documents and Settings\Lucas\Desktop\ccsetup302.exe

C:\Documents and Settings\Lucas\Meus documentos\Lucas\backup\pc lukrao\Minhas musicas¨@\lançamentos de radio\as +\Ice Cube - Go To Church - (feat. Snoop Dogg & Lil' John).mp3

C:\Documents and Settings\Lucas\Meus documentos\Lucas\backup\pc lukrao\Minhas musicas¨@\lançamentos de radio\as +\Lilly Allen - Smile.mp3

C:\Documents and Settings\Lucas\Meus documentos\Lucas\backup\pc lukrao\Minhas musicas¨@\lançamentos de radio\lançamentos musicais\Ashley Tisdale - Be Good To Me.mp3

_______________________

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

:seta: No log do Malwarebytes está constando que ele encontrou alguns problemas, mas que eles não foram removidos. Veja que aparece a frase "No action taken", isto é: nenhuma ação foi tomada.

 

Faça uma nova verificação completa com o malwarebytes, remova todos os problemas que ele encontrar e poste o novo log dele em sua próxima resposta.

_____________________

 

:seta: Siga também esta dica:

 

Tutorial do Spyware Doctor Starter Edition

 

Na sua próxima resposta poste este log do Spyware Doctor juntamente com um novo log do Hijackthis, o novo log do Malwarebytes, os links com as análises dos arquivos e nos diga como está o seu Pc depois disto.

 

Ficamos no aguardo.

[lucasbsp 0]

Olá Antonio o arquivo C:\Documents and Settings\Lucas\Desktop\ccsetup302.exe ja foi exluido mas segue em baixo os outros dois e o log dos outros programas o Spyware Doctor achou alguns arquivos aguardo resposta

 

http://virusscan.jotti.org/pt-br/scanresult/f4d669af5df0625e8af8a497b8abb4144309b1dc

 

http://virusscan.jotti.org/pt-br/scanresult/4f5016f5ad7e882f58fd06d05990c5b7fc7986d1

 

 

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Versão da Base de Dados: 5461

 

Windows 5.1.2600 Service Pack 2

Internet Explorer 8.0.6001.18702

 

5/1/2011 15:19:23

mbam-log-2011-01-05 (15-19-23).txt

 

Tipo de Verificação: Verificação Completa (C:\|)

Objetos escaneados: 149680

Tempo decorrido: 24 minuto(s), 46 segundo(s)

 

Processos de Memória Infectados: 0

Módulos de Memória Infectados: 0

Chaves de Registro Infectadas: 0

Valores de Registro Infectados: 0

Itens de Dados no Registro Infectados: 3

Pastas Infectadas: 0

Arquivos Infectados: 0

 

Processos de Memória Infectados:

(Não foram detectados ítens maliciosos)

 

Módulos de Memória Infectados:

(Não foram detectados ítens maliciosos)

 

Chaves de Registro Infectadas:

(Não foram detectados ítens maliciosos)

 

Valores de Registro Infectados:

(Não foram detectados ítens maliciosos)

 

Itens de Dados no Registro Infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Pastas Infectadas:

(Não foram detectados ítens maliciosos)

 

Arquivos Infectados:

(Não foram detectados ítens maliciosos)

 

 

PC Tools Spyware Doctor

 

Date

 

Status

5/1/2011 15:54:19:812

Serviço Iniciado

Aplicações de Serviço do Spyware Doctor iniciadas

5/1/2011 15:54:19:828

Mecanismo Antimalware

Configuração do mecanismo antimalware carregada com sucesso.

5/1/2011 15:54:33:625

Verificação Iniciada

Tipo de Verificação - Intelli-Scan

5/1/2011 15:54:35:31

Detectada uma infecção neste computador

Nome da Ameaça - Spyware.TrustyHound!rem

Tipo - Cookie

Nível de Risco - Médio

Infecção - adbrite.com/ adbrite.com

5/1/2011 15:54:35:687

Detectada uma infecção neste computador

Nome da Ameaça - Application.TrackingCookies

Tipo - Cookie

Nível de Risco - Baixo

Infecção - apmebf.com/ apmebf.com

5/1/2011 15:54:36:156

Detectada uma infecção neste computador

Nome da Ameaça - Application.TrackingCookies

Tipo - Cookie

Nível de Risco - Baixo

Infecção - bn.uol.com.br/ bn.uol.com.br

5/1/2011 15:54:39:93

Detectada uma infecção neste computador

Nome da Ameaça - Adware.Advertising

Tipo - Cookie

Nível de Risco - Baixo

Infecção - mediaplex.com/ mediaplex.com

5/1/2011 15:54:40:375

Detectada uma infecção neste computador

Nome da Ameaça - Application.TrackingCookies

Tipo - Cookie

Nível de Risco - Baixo

Infecção - tribalfusion.com/ tribalfusion.com

5/1/2011 15:54:40:515

Detectada uma infecção neste computador

Nome da Ameaça - Application.TrackingCookies

Tipo - Cookie

Nível de Risco - Baixo

Infecção - ultradownloads.uol.com.br/ ultradownloads.uol.com.br

5/1/2011 15:54:40:546

Detectada uma infecção neste computador

Nome da Ameaça - Application.TrackingCookies

Tipo - Cookie

Nível de Risco - Baixo

Infecção - uol.com.br/ uol.com.br

5/1/2011 15:54:53:343

Status do IntelliGuard

Todos os IntelliGuards foram Ativados

5/1/2011 15:55:01:515

Detectada uma infecção neste computador

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME, NextInstance

5/1/2011 15:55:01:531

Detectada uma infecção neste computador

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Service

5/1/2011 15:55:01:531

Detectada uma infecção neste computador

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Legacy

5/1/2011 15:55:01:531

Detectada uma infecção neste computador

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ConfigFlags

5/1/2011 15:55:01:531

Detectada uma infecção neste computador

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Class

5/1/2011 15:55:01:531

Detectada uma infecção neste computador

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ClassGUID

5/1/2011 15:55:01:546

Detectada uma infecção neste computador

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, DeviceDesc

5/1/2011 15:55:01:546

Detectada uma infecção neste computador

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Capabilities

5/1/2011 15:55:01:546

Detectada uma infecção neste computador

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Driver

5/1/2011 15:55:01:546

Detectada uma infecção neste computador

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Chave de Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000\LogConf

5/1/2011 15:55:01:562

Detectada uma infecção neste computador

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Chave de Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000\Control

5/1/2011 15:55:01:578

Detectada uma infecção neste computador

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Chave de Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000

5/1/2011 15:55:01:578

Detectada uma infecção neste computador

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Chave de Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME

5/1/2011 15:55:01:609

Detectada uma infecção neste computador

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Type

5/1/2011 15:55:01:609

Detectada uma infecção neste computador

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ErrorControl

5/1/2011 15:55:01:609

Detectada uma infecção neste computador

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Start

5/1/2011 15:55:01:609

Detectada uma infecção neste computador

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ImagePath

5/1/2011 15:55:01:609

Detectada uma infecção neste computador

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Group

5/1/2011 15:55:01:625

Detectada uma infecção neste computador

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, 0

5/1/2011 15:55:01:625

Detectada uma infecção neste computador

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, Count

5/1/2011 15:55:01:625

Detectada uma infecção neste computador

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, NextInstance

5/1/2011 15:55:01:625

Detectada uma infecção neste computador

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Chave de Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum

5/1/2011 15:55:01:625

Detectada uma infecção neste computador

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Chave de Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme

5/1/2011 15:55:05:468

Detectada uma infecção neste computador

Nome da Ameaça - Trojan.Generic

Tipo - Chave de Registro

Nível de Risco - Médio

Infecção - HKEY_USERS\S-1-5-21-343818398-1677128483-725345543-1003\Software\Wget

5/1/2011 15:55:43:531

Resultados do Immunizer

A seção do ActiveX foi imunizada. Itens 5114 processados.

5/1/2011 15:56:17:687

Detectada uma infecção neste computador

Nome da Ameaça - Spyware.TrustyHound!rem

Tipo - Valor de Registro Modificado

Nível de Risco - Médio

Infecção - HKEY_USERS\S-1-5-21-343818398-1677128483-725345543-1003\Software\Microsoft\Internet Explorer\SearchScopes, DefaultScope

5/1/2011 15:56:17:687

Detectada uma infecção neste computador

Nome da Ameaça - Spyware.TrustyHound!rem

Tipo - Valor de Registro Modificado

Nível de Risco - Médio

Infecção - HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search, SearchAssistant

5/1/2011 15:56:17:687

Detectada uma infecção neste computador

Nome da Ameaça - Spyware.TrustyHound!rem

Tipo - Valor de Registro Modificado

Nível de Risco - Médio

Infecção - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main, Search Page

5/1/2011 15:56:17:703

Detectada uma infecção neste computador

Nome da Ameaça - Spyware.TrustyHound!rem

Tipo - Valor de Registro Modificado

Nível de Risco - Médio

Infecção - HKEY_USERS\S-1-5-21-343818398-1677128483-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main, Search Page

5/1/2011 15:56:17:703

Detectada uma infecção neste computador

Nome da Ameaça - Spyware.TrustyHound!rem

Tipo - Valor de Registro Modificado

Nível de Risco - Médio

Infecção - HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main, Search Page

5/1/2011 15:56:17:812

Detectada uma infecção neste computador

Nome da Ameaça - Trojan.Generic

Tipo - Valor de Registro Modificado

Nível de Risco - Médio

Infecção - HKEY_USERS\S-1-5-21-343818398-1677128483-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt

5/1/2011 15:56:17:859

Verificação Concluída

Tipo de Verificação - Intelli-Scan

Itens Processados - 323063

Ameaças Detectadas - 5

Infecções Detectadas - 37

Infecções Ignoradas - 0

5/1/2011 15:58:39:359

Infecção em quarentena

Nome da Ameaça - Spyware.TrustyHound!rem

Tipo - Valor de Registro Modificado

Nível de Risco - Médio

Infecção - HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main, Search Page

5/1/2011 15:58:39:359

Infecção em quarentena

Nome da Ameaça - Spyware.TrustyHound!rem

Tipo - Valor de Registro Modificado

Nível de Risco - Médio

Infecção - HKEY_USERS\S-1-5-21-343818398-1677128483-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main, Search Page

5/1/2011 15:58:39:359

Infecção em quarentena

Nome da Ameaça - Spyware.TrustyHound!rem

Tipo - Valor de Registro Modificado

Nível de Risco - Médio

Infecção - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main, Search Page

5/1/2011 15:58:39:375

Infecção em quarentena

Nome da Ameaça - Spyware.TrustyHound!rem

Tipo - Valor de Registro Modificado

Nível de Risco - Médio

Infecção - HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search, SearchAssistant

5/1/2011 15:58:39:375

Infecção em quarentena

Nome da Ameaça - Spyware.TrustyHound!rem

Tipo - Valor de Registro Modificado

Nível de Risco - Médio

Infecção - HKEY_USERS\S-1-5-21-343818398-1677128483-725345543-1003\Software\Microsoft\Internet Explorer\SearchScopes, DefaultScope

5/1/2011 15:58:39:390

Infecção excluída

Nome da Ameaça - Spyware.TrustyHound!rem

Tipo - Valor de Registro Modificado

Nível de Risco - Médio

Infecção - HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main, Search Page

5/1/2011 15:58:39:390

Infecção excluída

Nome da Ameaça - Spyware.TrustyHound!rem

Tipo - Valor de Registro Modificado

Nível de Risco - Médio

Infecção - HKEY_USERS\S-1-5-21-343818398-1677128483-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main, Search Page

5/1/2011 15:58:39:390

Infecção excluída

Nome da Ameaça - Spyware.TrustyHound!rem

Tipo - Valor de Registro Modificado

Nível de Risco - Médio

Infecção - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main, Search Page

5/1/2011 15:58:39:390

Infecção excluída

Nome da Ameaça - Spyware.TrustyHound!rem

Tipo - Valor de Registro Modificado

Nível de Risco - Médio

Infecção - HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search, SearchAssistant

5/1/2011 15:58:39:390

Infecção excluída

Nome da Ameaça - Spyware.TrustyHound!rem

Tipo - Valor de Registro Modificado

Nível de Risco - Médio

Infecção - HKEY_USERS\S-1-5-21-343818398-1677128483-725345543-1003\Software\Microsoft\Internet Explorer\SearchScopes, DefaultScope

5/1/2011 15:58:39:390

Infecção excluída

Nome da Ameaça - Spyware.TrustyHound!rem

Tipo - Cookie

Nível de Risco - Médio

Infecção - adbrite.com/ adbrite.com

5/1/2011 15:58:39:406

Infecção excluída

Nome da Ameaça - Application.TrackingCookies

Tipo - Cookie

Nível de Risco - Baixo

Infecção - uol.com.br/ uol.com.br

5/1/2011 15:58:39:406

Infecção excluída

Nome da Ameaça - Application.TrackingCookies

Tipo - Cookie

Nível de Risco - Baixo

Infecção - ultradownloads.uol.com.br/ ultradownloads.uol.com.br

5/1/2011 15:58:39:406

Infecção excluída

Nome da Ameaça - Application.TrackingCookies

Tipo - Cookie

Nível de Risco - Baixo

Infecção - tribalfusion.com/ tribalfusion.com

5/1/2011 15:58:39:406

Infecção excluída

Nome da Ameaça - Application.TrackingCookies

Tipo - Cookie

Nível de Risco - Baixo

Infecção - bn.uol.com.br/ bn.uol.com.br

5/1/2011 15:58:39:406

Infecção excluída

Nome da Ameaça - Application.TrackingCookies

Tipo - Cookie

Nível de Risco - Baixo

Infecção - apmebf.com/ apmebf.com

5/1/2011 15:58:39:421

Infecção excluída

Nome da Ameaça - Adware.Advertising

Tipo - Cookie

Nível de Risco - Baixo

Infecção - mediaplex.com/ mediaplex.com

5/1/2011 15:58:39:468

Infecção em quarentena

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Chave de Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme

5/1/2011 15:58:39:468

Infecção em quarentena

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Chave de Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum

5/1/2011 15:58:39:484

Infecção em quarentena

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, NextInstance

5/1/2011 15:58:39:484

Infecção em quarentena

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, Count

5/1/2011 15:58:39:484

Infecção em quarentena

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, 0

5/1/2011 15:58:39:484

Infecção em quarentena

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Group

5/1/2011 15:58:39:500

Infecção em quarentena

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ImagePath

5/1/2011 15:58:39:500

Infecção em quarentena

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Start

5/1/2011 15:58:39:515

Infecção em quarentena

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ErrorControl

5/1/2011 15:58:39:515

Infecção em quarentena

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Type

5/1/2011 15:58:39:515

Infecção em quarentena

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Chave de Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME

5/1/2011 15:58:39:531

Infecção em quarentena

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Chave de Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000

5/1/2011 15:58:39:531

Infecção em quarentena

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Chave de Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000\Control

5/1/2011 15:58:39:546

Infecção em quarentena

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Chave de Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000\LogConf

5/1/2011 15:58:39:546

Infecção em quarentena

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Driver

5/1/2011 15:58:39:546

Infecção em quarentena

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Capabilities

5/1/2011 15:58:39:562

Infecção em quarentena

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, DeviceDesc

5/1/2011 15:58:39:562

Infecção em quarentena

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ClassGUID

5/1/2011 15:58:39:562

Infecção em quarentena

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Class

5/1/2011 15:58:39:578

Infecção em quarentena

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ConfigFlags

5/1/2011 15:58:39:578

Infecção em quarentena

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Legacy

5/1/2011 15:58:39:578

Infecção em quarentena

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Service

5/1/2011 15:58:39:593

Infecção em quarentena

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME, NextInstance

5/1/2011 15:58:39:609

Infecção excluída

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Chave de Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme

5/1/2011 15:58:39:609

Infecção excluída

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Chave de Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum

5/1/2011 15:58:39:609

Infecção excluída

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, NextInstance

5/1/2011 15:58:39:609

Infecção excluída

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, Count

5/1/2011 15:58:39:609

Infecção excluída

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, 0

5/1/2011 15:58:39:609

Infecção excluída

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Group

5/1/2011 15:58:39:609

Infecção excluída

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ImagePath

5/1/2011 15:58:39:609

Infecção excluída

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Start

5/1/2011 15:58:39:609

Infecção excluída

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ErrorControl

5/1/2011 15:58:39:609

Infecção excluída

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Type

5/1/2011 15:58:39:609

Infecção excluída

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Chave de Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME

5/1/2011 15:58:39:609

Infecção excluída

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Chave de Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000

5/1/2011 15:58:39:609

Infecção excluída

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Chave de Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000\Control

5/1/2011 15:58:39:609

Infecção excluída

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Chave de Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000\LogConf

5/1/2011 15:58:39:609

Infecção excluída

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Driver

5/1/2011 15:58:39:609

Infecção excluída

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Capabilities

5/1/2011 15:58:39:609

Infecção excluída

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, DeviceDesc

5/1/2011 15:58:39:609

Infecção excluída

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ClassGUID

5/1/2011 15:58:39:609

Infecção excluída

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Class

5/1/2011 15:58:39:625

Infecção excluída

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ConfigFlags

5/1/2011 15:58:39:625

Infecção excluída

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Legacy

5/1/2011 15:58:39:625

Infecção excluída

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Service

5/1/2011 15:58:39:625

Infecção excluída

Nome da Ameaça - Trojan-Downloader.Murlo

Tipo - Valor do Registro

Nível de Risco - Alto

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME, NextInstance

5/1/2011 15:58:39:640

Infecção em quarentena

Nome da Ameaça - Trojan.Generic

Tipo - Valor de Registro Modificado

Nível de Risco - Médio

Infecção - HKEY_USERS\S-1-5-21-343818398-1677128483-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt

5/1/2011 15:58:39:640

Infecção em quarentena

Nome da Ameaça - Trojan.Generic

Tipo - Chave de Registro

Nível de Risco - Médio

Infecção - HKEY_USERS\S-1-5-21-343818398-1677128483-725345543-1003\Software\Wget

5/1/2011 15:58:39:656

Infecção excluída

Nome da Ameaça - Trojan.Generic

Tipo - Valor de Registro Modificado

Nível de Risco - Médio

Infecção - HKEY_USERS\S-1-5-21-343818398-1677128483-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt

5/1/2011 15:58:39:656

Infecção excluída

Nome da Ameaça - Trojan.Generic

Tipo - Chave de Registro

Nível de Risco - Médio

Infecção - HKEY_USERS\S-1-5-21-343818398-1677128483-725345543-1003\Software\Wget

5/1/2011 15:58:41:703

Resumo de Infecções em Quarentena/Removidas

Quarentena - 30

Falha na Quarentena - 0

Removido - 37

Falha na Remoção - 0

5/1/2011 16:01:19:593

Serviço Interrompido

Aplicações de Serviço do Spyware Doctor Interrompidas

5/1/2011 16:01:46:125

Serviço Iniciado

Aplicações de Serviço do Spyware Doctor iniciadas

5/1/2011 16:01:46:125

Mecanismo Antimalware

Configuração do mecanismo antimalware carregada com sucesso.

5/1/2011 16:01:46:140

Status do IntelliGuard

Todos os IntelliGuards foram Ativados

5/1/2011 16:01:52:781

Resultados do Immunizer

A seção do ActiveX foi imunizada. Nenhum item foi processado.

5/1/2011 16:02:08:750

Verificação Iniciada

Tipo de Verificação - Intelli-Scan

5/1/2011 16:04:14:609

Verificação Concluída

Tipo de Verificação - Intelli-Scan

Itens Processados - 332857

Ameaças Detectadas - 0

Infecções Detectadas - 0

Infecções Ignoradas - 0

5/1/2011 16:04:35:812

Verificação Iniciada

Tipo de Verificação - Verificação Completa

5/1/2011 16:28:35:734

Smart Update

O Smart Update determinou que o Spyware Doctor está atualizado

5/1/2011 16:28:38:765

Verificação Concluída

Tipo de Verificação - Verificação Completa

Itens Processados - 377429

Ameaças Detectadas - 0

Infecções Detectadas - 0

Infecções Ignoradas - 0

5/1/2011 16:28:39:546

Resultados do Immunizer

A seção do ActiveX foi imunizada. Nenhum item foi processado.

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 17:55:40, on 5/1/2011

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\RALINK\Common\RaUI.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\system32\msdtc.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avshadow.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe

C:\Arquivos de programas\Spyware Doctor\pctsAuxs.exe

C:\Arquivos de programas\Spyware Doctor\pctsSvc.exe

C:\Arquivos de programas\Spyware Doctor\pctsTray.exe

C:\WINDOWS\System32\vssvc.exe

C:\WINDOWS\system32\dllhost.exe

C:\Documents and Settings\Lucas\Desktop\HiJackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [smapp] C:\Arquivos de programas\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware (reboot)] "C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKLM\..\Run: [iSTray] "C:\Arquivos de programas\Spyware Doctor\pctsTray.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Arquivos de programas\RALINK\Common\RaUI.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O17 - HKLM\System\CCS\Services\Tcpip\..\{109A35E1-DCA3-4752-A1F1-67C5E3327E0A}: NameServer = 10.0.1.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{109A35E1-DCA3-4752-A1F1-67C5E3327E0A}: NameServer = 10.0.1.254

O17 - HKLM\System\CS2\Services\Tcpip\..\{109A35E1-DCA3-4752-A1F1-67C5E3327E0A}: NameServer = 10.0.1.254

O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Avira AntiVir Agendamento (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Arquivos de programas\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Arquivos de programas\Spyware Doctor\pctsSvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

 

--

End of file - 4940 bytes

[Power Max 54]

:) Outros problemas foram removidos.

_____________________

 

:seta: Obs: Se o seu computador ficar lento depois da instalação do Spyware Doctor, clique com o botão do mouse sobre o ícone do Spyware Doctor na barra de tarefas (ao lado do relógio do Windows) e escolha a opção Sair. Aparecerá uma mensagem perguntando se você tem certeza de que deseja fechar o Spyware Doctor, clique em Ok.

 

Aí quando você quizer utilizar novamente o Spyware Doctor é só você ir no menu: Iniciar --> Todos os programas --> Spyware Doctor --> Spyware Doctor.

 

E depois de utilizá-lo basta você realizar o procedimento descrito acima para desativá-lo novamente.

_______________________

 

:seta: Siga, por gentileza, as dicas deste tutorial para fazer um escaneamento de seu PC pelo Nod32 Online:

 

Tutorial do antivirus Nod32 Online

 

Após o término do escaneamento será gerado um relatório (log) que estará no seguinte local do seu computador:

C:\Arquivos de programas\Eset\Eset Online Scanner\log.txt

 

Na sua próxima resposta poste este log do Nod32 Online juntamente com um novo log do Hijackthis e nos diga, por gentileza, como está o seu PC após seguir este procedimento. Ficamos no aguardo de sua resposta.