[Resolvido] &nbspmalware dando dor de cabeça

lucasbsp · Dezembro 10, 2010

olá estou ak novamente no topicio pedindo ajuda pois meu pc foi infectado novamente nao aguentei

e formatei meus hds e zerei a trilha de ambos lembrado que tenho c:80gb e D:160gb

mas nd adiantou e fui infectado sem ao menos acessar internet aguardo ajuda ancioso e obrigado pela Atenção!

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 21:04:56, on 10/12/2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.20627)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Unlocker\UnlockerAssistant.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Mozilla Firefox\plugin-container.exe

C:\Documents and Settings\Lucas\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [bigDog305] C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Arquivos de programas\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0B0AFB60-85F7-43BF-B8A4-8A5162720633}: NameServer = 10.0.1.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{0B0AFB60-85F7-43BF-B8A4-8A5162720633}: NameServer = 10.0.1.254

O17 - HKLM\System\CS2\Services\Tcpip\..\{0B0AFB60-85F7-43BF-B8A4-8A5162720633}: NameServer = 10.0.1.254

O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

--

End of file - 5274 bytes

Renato Utsch · Dezembro 11, 2010

Olá!

Seja bem vindo à seção de Remoção de Malwares do Fórum IMasters.

-------------

olá estou ak novamente no topicio pedindo ajuda pois meu pc foi infectado novamente nao aguentei
e formatei meus hds e zerei a trilha de ambos lembrado que tenho c:80gb e D:160gb

mas nd adiantou e fui infectado sem ao menos acessar internet aguardo ajuda ancioso e obrigado pela Atenção!

Primeiramente, tem quatro possibilidades (que eu me lembre agora) de isso acontecer:

1) O seu CD do Windows estar infectado;

2) Você conectou alguma mídia removível ou inseriu algum CD/DVD infetado;

3) Sua placa mãe, boot e derivados estarem infectados (a chance é bem pequena, hoje em dia é difícil ter malwares que fazem isso);

4) Você estar mentindo (não estou acusando ninguém, e ainda acho essa chance menor ainda, pois você não tem motivos para mentir)

Então, vamos à remoção?

Faça o Download do DDS e salve no Desktop (Área de trabalho).

Temporariamente desative os seus programas de proteção.
Duplo clique em dds.scr.
Irá surgir uma tela preta com algumas informações. Não clique em nada, apenas aguarde!
Quando terminar, duas janelas abrirão: DDS.txt e Attach.txt.
Salve o resultado e cole-o no seu tópico.

OBS: Caso o link disponibilizado não funcione, tente baixar o DDS por ESTE link.

Abraços :D

lucasbsp · Dezembro 11, 2010

Ok entendo, uma observação o meu hd de 160gb eh so de backup meus arquivos podem estar danificados?tenho bastante software

DDS (Ver_10-12-05.01) - NTFSx86

Run by Lucas at 0:22:59,89 on s b 11/12/2010

Internet Explorer: 7.0.5730.11 BrowserJavaVersion: 1.6.0_22

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.1023.717 [GMT -2:00]

============== Running Processes ===============

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\VM305_STI.EXE

C:\Arquivos de programas\Unlocker\UnlockerAssistant.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Mozilla Firefox\plugin-container.exe

C:\Documents and Settings\Lucas\Desktop\dds.scr

============== Pseudo HJT Report ===============

uStart Page = hxxp://www.google.com.br/

mWinlogon: SfcDisable=-99 (0xffffff9d)

BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File

BHO: Auxiliar de Conexão do Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\arquivos de programas\arquivos comuns\microsoft shared\windows live\WindowsLiveLogin.dll

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\arquivos de programas\java\jre6\bin\jp2ssv.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\arquivos de programas\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe

uRun: [msnmsgr] "c:\arquivos de programas\windows live\messenger\msnmsgr.exe" /background

mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

mRun: [nwiz] nwiz.exe /install

mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit

mRun: [bigDog305] c:\windows\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)

mRun: [unlockerAssistant] "c:\arquivos de programas\unlocker\UnlockerAssistant.exe"

mRun: [sunJavaUpdateSched] "c:\arquivos de programas\arquivos comuns\java\java update\jusched.exe"

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

dRunOnce: [nltide_2] regsvr32 /s /n /i:U shell32

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\arquivos de programas\messenger\msmsgs.exe

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

TCP: {0B0AFB60-85F7-43BF-B8A4-8A5162720633} = 10.0.1.254

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\wpdshserviceobj.dll

================= FIREFOX ===================

FF - ProfilePath - c:\docume~1\lucas\dadosd~1\mozilla\firefox\profiles\rx0n77di.default\

FF - plugin: c:\arquivos de programas\java\jre6\bin\new_plugin\npdeployJava1.dll

FF - plugin: c:\arquivos de programas\nos\bin\np_gp.dll

FF - HiddenExtension: Java Console: No Registry Reference - c:\arquivos de programas\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}

FF - Extension: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\arquivos de programas\mozilla firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Extension: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\arquivos de programas\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}

FF - Extension: Java Quick Starter: jqs@sun.com - c:\arquivos de programas\java\jre6\lib\deploy\jqs\ff

============= SERVICES / DRIVERS ===============

R3 ZSMC0305;A4 TECH PC Camera V;c:\windows\system32\drivers\usbVM305.sys [2010-12-10 391688]

S3 nosGetPlusHelper;getPlus® Helper 3004;c:\windows\system32\svchost.exe -k nosGetPlusHelper [2007-7-21 14336]

=============== Created Last 30 ================

2010-12-10 22:43:29 73728 ----a-w- c:\windows\system32\javacpl.cpl

2010-12-10 22:43:29 472808 ----a-w- c:\windows\system32\deployJava1.dll

2010-12-10 22:43:29 472808 ----a-w- c:\arquivos de programas\mozilla firefox\plugins\npdeployJava1.dll

2010-12-10 22:35:42 -------- d-----w- c:\arquivos de programas\Unlocker

2010-12-10 22:29:44 69714 ----a-w- c:\arquivos de programas\arquivos comuns\installshield\professional\runtime\11\00\intel32\ctor.dll

2010-12-10 22:29:44 5632 ----a-w- c:\arquivos de programas\arquivos comuns\installshield\professional\runtime\11\00\intel32\DotNetInstaller.exe

2010-12-10 22:29:44 274432 ----a-w- c:\arquivos de programas\arquivos comuns\installshield\professional\runtime\11\00\intel32\iscript.dll

2010-12-10 22:29:44 184320 ----a-w- c:\arquivos de programas\arquivos comuns\installshield\professional\runtime\11\00\intel32\iuser.dll

2010-12-10 22:29:43 753664 ----a-w- c:\arquivos de programas\arquivos comuns\installshield\professional\runtime\11\00\intel32\iKernel.dll

2010-12-10 22:29:43 200836 ----a-w- c:\arquivos de programas\arquivos comuns\installshield\professional\runtime\11\00\intel32\iGdi.dll

2010-12-10 22:29:42 331908 ----a-w- c:\arquivos de programas\arquivos comuns\installshield\professional\runtime\11\00\intel32\setup.dll

2010-12-10 22:26:19 -------- d-----w- c:\windows\system32\wbem\repository\FS

2010-12-10 22:26:19 -------- d-----w- c:\windows\system32\wbem\Repository

2010-12-10 22:26:13 -------- d-----w- c:\docume~1\lucas\config~1\dadosd~1\NOS

2010-12-10 22:23:20 -------- d-----w- c:\documents and settings\lucas\IECompatCache

2010-12-10 22:23:00 -------- d-----w- c:\documents and settings\lucas\PrivacIE

2010-12-10 22:13:55 -------- d-----w- c:\documents and settings\lucas\IETldCache

2010-12-10 22:10:53 -------- d-----w- c:\docume~1\alluse~1\dadosd~1\Messenger Plus!

2010-12-10 22:07:37 -------- d-----w- c:\arquivos de programas\Messenger Plus! Live

2010-12-10 22:01:06 -------- dc----w- c:\windows\ie8

2010-12-10 22:00:58 -------- d-----w- c:\docume~1\lucas\config~1\dadosd~1\Mozilla

2010-12-10 21:59:03 -------- d-----w- c:\arquivos de programas\Mozilla Firefox(2)

2010-12-10 21:45:51 -------- d-----w- c:\arquivos de programas\Marcos Velasco Security

2010-12-10 21:45:21 232448 ----a-w- c:\windows\system32\mp3fhg.acm

2010-12-10 21:45:21 151552 ----a-w- c:\windows\system32\ac3acm.acm

2010-12-10 21:45:16 -------- d-----w- c:\arquivos de programas\K-Lite Codec Pack

2010-12-10 21:42:39 -------- d-----w- c:\windows\EffectResources

2010-12-10 21:14:15 -------- d-----w- c:\windows\SHELLNEW

2010-12-10 21:12:10 -------- d-----w- c:\docume~1\lucas\config~1\dadosd~1\Adobe

2010-12-10 20:59:10 -------- d-----w- c:\documents and settings\lucas\Tracing

2010-12-10 20:58:36 -------- d-----w- c:\arquivos de programas\Microsoft

2010-12-10 20:58:21 -------- d-----w- c:\arquivos de programas\Windows Live SkyDrive

2010-12-10 20:57:18 142922064 ----a-w- c:\arquivos de programas\arquivos comuns\windows live\.cache\wlc1A.tmp

2010-12-10 20:56:56 -------- d-----w- c:\arquivos de programas\arquivos comuns\Windows Live

==================== Find3M ====================

2010-11-08 12:32:38 296448 ----a-w- C:\gmer.exe

=================== ROOTKIT ====================

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net

Windows 5.1.2600 Disk: SAMSUNG_ rev.SU10 -> Harddisk0\DR0 -> \Device\Scsi\viamraid1Port2Path0Target2Lun0

device: opened successfully

user: MBR read successfully

Disk trace:

called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys SCSIPORT.SYS hal.dll viamraid.sys

c:\windows\system32\drivers\viamraid.sys VIA Technologies inc,.ltd VIA RAID driver

1 ntkrnlpa!IofCallDriver[0x804EE0F6] -> \Device\Harddisk0\DR0[0x86370AB8]

3 CLASSPNP[0xF762D05B] -> ntkrnlpa!IofCallDriver[0x804EE0F6] -> \Device\Scsi\viamraid1Port2Path0Target0Lun0[0x86392A38]

kernel: MBR read successfully

_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; STI ; PUSH AX; POP ES; PUSH AX; POP DS; CLD ; MOV SI, 0x7c1b; MOV DI, 0x61b; PUSH AX; PUSH DI; MOV CX, 0x1e5; REP MOVSB ; RETF ; MOV BP, 0x7be; MOV CL, 0x4; CMP [bP+0x0], CH; JL 0x2e; JNZ 0x3a; }

user != kernel MBR !!!

sectors 156368014 (+255): user != kernel

============= FINISH: 0:23:18,32 ===============

UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.

IF REQUESTED, ZIP IT UP & ATTACH IT

DDS (Ver_10-12-05.01)

Microsoft Windows XP Professional

Boot Device: \Device\HarddiskVolume1

Install Date: 1/1/2002 01:03:39

System Uptime: 11/12/2010 00:18:13 (0 hours ago)

Motherboard: ASUSTeK Computer Inc. | | K8V-X SE

Processor: AMD Sempron Processor 2800+ | Socket 754 | 1602/200mhz

==== Disk Partitions =========================

A: is Removable

C: is FIXED (NTFS) - 75 GiB total, 68,174 GiB free.

D: is CDROM (CDFS)

E: is FIXED (NTFS) - 149 GiB total, 79,677 GiB free.

F: is Removable

==== Disabled Device Manager Items =============

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}

Description: VIA Compatable Fast Ethernet Adapter

Device ID: PCI\VEN_1106&DEV_3065&SUBSYS_80ED1043&REV_78\3&267A616A&0&90

Manufacturer: VIA Technologies, Inc.

Name: VIA Compatable Fast Ethernet Adapter

PNP Device ID: PCI\VEN_1106&DEV_3065&SUBSYS_80ED1043&REV_78\3&267A616A&0&90

Service: FETNDIS

==== System Restore Points ===================

RP1: 1/1/2002 01:05:23 - Ponto de verificação do sistema

RP2: 1/1/2002 00:07:16 - Installed Ralink Wireless LAN Card

RP3: 10/12/2010 19:12:42 - Installed Adobe Reader 9.3 - Português.

RP4: 10/12/2010 19:13:38 - Installed Microsoft Office Enterprise 2007

RP5: 10/12/2010 19:19:20 - Driver de impressão Send To Microsoft OneNote Driver instalado

RP6: 10/12/2010 19:50:58 - Instalado Java 6 Update 22

RP7: 10/12/2010 20:01:27 - Windows Internet Explorer 8 Instalado.

RP8: 10/12/2010 20:25:47 - Operação de restauração

RP9: 10/12/2010 20:43:18 - Instalado Java 6 Update 22

==== Installed Programs ======================

A4 Tech PC Camera V

Adobe Download Manager

Adobe Flash Player 10 Plugin

Arquivo do WinRAR

Assistente de Conexão do Windows Live

Atualização de Segurança para Windows XP (KB923689)

Atualização de Segurança para Windows XP (KB923789)

Atualização de Segurança para Windows XP (KB932168)

Atualização para Windows XP (KB931836)

Ferramenta de Carregamento do Windows Live

Java Auto Updater

Java 6 Update 22

Messenger Plus! Live

Microsoft Application Error Reporting

Microsoft Choice Guard

Mozilla Firefox (3.6.12)

MSVCRT

MSXML 4.0 SP2 (KB936181)

MSXML 6.0 Parser (KB933579)

NVIDIA Drivers

Ralink Wireless LAN Card

Segoe UI

SoundMAX

Unlocker 1.8.7

WebFldrs XP

Windows Live Call

Windows Live Communications Platform

Windows Live Essentials

Windows Live Messenger

==== End Of File ===========================

Renato Utsch · Dezembro 12, 2010

Ok entendo, uma observação o meu hd de 160gb eh so de backup meus arquivos podem estar danificados?tenho bastante software

A chance maior é de estarem infectados.

Por favor, siga as instruções abaixo:

<< 1 >>

Faça o download do Avira Anti-Rootkit e salve no seu Desktop.

Execute-o e poste o log gerado.

<< 2 >>

Faça o Download do GMER e salve no seu Desktop.

Extraia/tire do zip o arquivo para uma pasta própria.
Feito isso, desligue o PC da Internet e feche todos os programas.
Existe uma pequena hipótese desta aplicação desligar o seu PC. Por isso, salve qualquer trabalho que tenha aberto.
Clique duas vezes em
Se lhe for perguntado, permita que o driver gmer.sys seja rodado.
Se receber um aviso acerca de atividade de rootkit e se quer fazer um scan clique em NO.
Clique nas setas ao lado de Rootkit/Malware
No lado direito (debaixo de file, desmarque todos os drives exceto os seus discos, usualmente o C:\).
Certifique-se que todas as outras caixas, do lado direito do ecrã estejam marcadas, EXCETO para Show All
Clique em Scan e aguarde que o scan seja efetuado.
Nota: Antes do scan, certifique-se que todos os outros programas estejam fechados. Também não use o computador durante o scan.
Quando terminar, clique no botão Copiar e depois clique com o botão direito no seu Desktop, escolha Novo e depois -> Documento de Texto.
Ao ter criado o arquivo, abra-o e novamente botão direito do mouse clique Colar ou Ctrl+V.
Não se esqueça de colorir as linhas que aparecerem em vermelho com a tag [ color=red]linha que apareceu em vermelho[/color] (sem o espaço entre [ e color).
Salve o arquivo como gmer.txt e poste o conteúdo em sua próxima resposta.
Nota: Caso tenha problemas, tente executar o GMER em Modo Seguro (apertando F8, ou F5 em alguns computadores enquanto o computador liga)
Importante! Por favor não marque a caixa "Show all" durante o scan.

<< 3 >>

Siga o tutorial abaixo e execute o Kaspersky Removal Tool. Depois poste o log gerado.

Tutorial do Kaspersky Virus Removal Tool

Abraços :D

lucasbsp · Dezembro 13, 2010

Tentei passa o avira mas deu a seguinte msg> FALHA NA INICIALIZAÇÃO DO APLICATIVO DEVIDO A CONFIGURAÇÃO INCORRETA

O kaspersky deu ok.mais uma duvida meu pc eh dakeles que precisa de disco de boot para formatar será que o virus pode ter infectado meu disket de boot? abaixo segue o log do GMER

GMER 1.0.15.15530 - http://www.gmer.net

Rootkit scan 2010-12-13 13:08:39

Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Scsi\viamraid1Port2Path0Target0Lun0 SAMSUNG_ rev.SU10

Running: gmer.exe; Driver: C:\DOCUME~1\Lucas\CONFIG~1\Temp\kgxcrpow.sys

---- Kernel code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6F63360, 0x20469D, 0xE8000020]

---- EOF - GMER 1.0.15 ----

Renato Utsch · Dezembro 13, 2010

Tentei passa o avira mas deu a seguinte msg> FALHA NA INICIALIZAÇÃO DO APLICATIVO DEVIDO A CONFIGURAÇÃO INCORRETA
O kaspersky deu ok.mais uma duvida meu pc eh dakeles que precisa de disco de boot para formatar será que o virus pode ter infectado meu disket de boot?

Talvez...

Bom, qual o problema com seu computador, afinal?

Heh, fica difícil quando se tem um log limpo e sem sintomas. Qual o problema nele?

Abraços :D

lucasbsp · Dezembro 13, 2010

Então Lord Evil tem algum virus infiltrado no meu sistema pois ja aconteceu de eu entrar no msn e alguns contatos estarem off line para mim sendo que elas estavam on line na casa delas testei em outro pc e elas realmente estavam on e quando testo o combofix ele fala que existe presença de rootkit no pc pede pra reiniciar e quando reinicia ele nao consegue resolver o problema ae altomaticamente quando ele termina o scan eh gerado um recycler nos hd c: e d:

e eles sempre voltam no gmer dei uma olhada em files o gmer encontra eles mas nao eh possivel apagar pois mesmo selecionando a opoçao mostrar arquivos ocultos eles nao sao mostrado no sistema e esse virus rootkit ja foi detectado tambem pelo anti malware bytes queria saber o que posso fazer pois ja formatei meu hd varias vezes inclusive o de backup

Renato Utsch · Dezembro 13, 2010

Olá!

Ok, então façamos o seguinte. Já possui o ComboFix instalado?

Se tiver, delete o ComboFix.exe do desktop e em sua próxima resposta cole todos os logs localizados em C:\QooBox.

Abraços :D

lucasbsp · Dezembro 13, 2010

DEtalhe quando começei a usar o combofix apareceu a seguinte janela perto do relogio arquivo comrompido pev.exe ralink .ink

Adobe Flash Player 10 Plugin

Arquivo do WinRAR

Assistente de Conexão do Windows Live

Atualização de Segurança para Windows XP (KB923689)

Atualização de Segurança para Windows XP (KB923789)

Atualização de Segurança para Windows XP (KB932168)

Atualização para Windows XP (KB931836)

CCleaner

Ferramenta de Carregamento do Windows Live

Microsoft Application Error Reporting

Microsoft Choice Guard

Mozilla Firefox (3.6.12)

MSVCRT

MSXML 4.0 SP2 (KB936181)

MSXML 6.0 Parser (KB933579)

Ralink Wireless LAN Card

Segoe UI

SoundMAX

WebFldrs XP

Windows Live Call

Windows Live Communications Platform

Windows Live Essentials

Windows Live Messenger

2010-12-13 23:26:57 . 2010-12-13 23:26:57 5,737 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg

2010-12-13 23:15:58 . 2010-12-13 23:25:10 102 ----a-w- C:\Qoobox\Quarantine\catchme.log

2010-12-13 22:02:36 . 2010-12-13 22:02:36 44 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\system32\msssc.dll.vir

Renato Utsch · Dezembro 14, 2010

Olá!

Após deletar a pasta c:\Qoobox e o arquivo ComboFix.exe do seu desktop, siga as instruções abaixo:

Por favor, siga o tutorial no link abaixo:

#### Como usar o ComboFix ####

Sugiro que imprima as instruções abaixo pois não poderá lê-las enquanto utiliza a ferramenta.

Siga o tutorial e execute o ComboFix.
Quando a ferramenta terminar de rodar, gerará um log (o arquivo C:\ComboFix.txt). Copie e cole o conteúdo desse arquivo na sua proxima resposta.

NÃO utilize a ferramenta por conta própria. É uma ferramenta poderosa criada pra lidar com infecções sofisticadas e caso não a utilize corretamente poderá danificar o seu computador.

Existem vários malwares que impedem a execução correta da ferramenta e com isso danificar gravemente o computador. Analistas habilitados a utilizar o ComboFix conhecem esses casos e sabem lidar com estas situações.

De forma alguma saia do ComboFix usando o "X" do programa. Caso queira sair, tecle "N".

Muitos dos Analistas não respondem a topicos em que vejam que o ComboFix foi utilizado sem supervisão.

Existem varias ferramentas anti-malware generalistas em que os autores ao elaborarem a programação das mesmas, estão pensando nos usuários finais e para serem usadas sem supervisão. O Combofix não é uma ferramenta desse tipo, e assim sendo e até por respeito ao autor da ferramenta, não utilize sem supervisão.

Abraços :D

lucasbsp · Dezembro 14, 2010

OLá então quando o combofix começou a procurar por ficheiros depois de alguns minutos sem mostrar nem uma etapa completada mostrou a seguinte mensagem " O COMBOFIX DETECTOU A PRESENÇA DE ATIVIDADE DE ROOTKIT PRECISA RENICIAR A MAQUINA" abaixo segue o log do mesmo,lembrando que foi gerado mais uma vez um recylcler na unidade D: aguardando resposta!

ComboFix 10-12-13.07 - Lucas 14/12/2010 12:53:46.2.1 - x86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.1023.831 [GMT -2:00]

Executando de: c:\documents and settings\Lucas\Desktop\ComboFix.exe

.

(((((((((((((((( Arquivos/Ficheiros criados de 2010-11-14 to 2010-12-14 ))))))))))))))))))))))))))))

.

Nenhum ficheiro/arquivo criado durante este período

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

------- Sigcheck -------

[-] 2007-09-03 . BD8686216E34E22C4ED45A2320B2BEA1 . 360576 . . [5.1.2600.2892] . . c:\windows\system32\drivers\tcpip.sys

[-] 2007-09-02 . DB3AA410ED1228B9DF98C06549AE0763 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll

[-] 2007-09-02 17:20 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\mspmsnsv.dll

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"msnmsgr"="c:\arquivos de programas\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2007-07-21 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

Ralink Wireless Utility.lnk - c:\arquivos de programas\RALINK\Common\RaUI.exe [2010-12-13 598016]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

.

------- Scan Suplementar -------

.

TCP: {302CAE8F-C94A-4702-8B15-EBD7AF030BE1} = 10.0.1.254

FF - ProfilePath - c:\documents and settings\Lucas\Dados de aplicativos\Mozilla\Firefox\Profiles\alop6vg0.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=IEFM1&q=

FF - prefs.js: browser.startup.homepage - hxxp://go.microsoft.com/fwlink/?LinkId=69157

FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?FORM=IEFM1&q=

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\arquivos de programas\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-12-14 12:55

Windows 5.1.2600 Service Pack 2 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net

Windows 5.1.2600 Disk: SAMSUNG_ rev.SU10 -> Harddisk0\DR0 -> \Device\Scsi\viamraid1Port2Path0Target2Lun0

device: opened successfully

user: MBR read successfully

Disk trace:

called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys SCSIPORT.SYS hal.dll viamraid.sys

c:\docume~1\Lucas\CONFIG~1\Temp\catchme.sys

c:\windows\system32\drivers\viamraid.sys VIA Technologies inc,.ltd VIA RAID driver

1 ntkrnlpa!IofCallDriver[0x804EE0F6] -> \Device\Harddisk0\DR0[0x86370AB8]

3 CLASSPNP[0xF762D05B] -> ntkrnlpa!IofCallDriver[0x804EE0F6] -> \Device\Scsi\viamraid1Port2Path0Target0Lun0[0x86392A38]

kernel: MBR read successfully

_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; STI ; PUSH AX; POP ES; PUSH AX; POP DS; CLD ; MOV SI, 0x7c1b; MOV DI, 0x61b; PUSH AX; PUSH DI; MOV CX, 0x1e5; REP MOVSB ; RETF ; MOV BP, 0x7be; MOV CL, 0x4; CMP [bP+0x0], CH; JL 0x2e; JNZ 0x3a; }

user != kernel MBR !!!

sectors 156368014 (+255): user != kernel

**************************************************************************

.

Tempo para conclusão: 2010-12-14 12:56:41

ComboFix-quarantined-files.txt 2010-12-14 14:56

Pré-execução: 4 pasta(s) 75.092.070.400 bytes disponíveis

Pós execução: 5 pasta(s) 75.705.298.944 bytes disponíveis

- - End Of File - - C7F01DE8604EF6E8225E50B19AFF0849

Renato Utsch · Dezembro 14, 2010

Isso não faz sentido!

O log do ComboFix não acusa infecções por rootkit. Fala que seu computador não foi reiniciado.

Bom, delete o ComboFix.exe do seu desktop e a pasta c:\QooBox.

Após isso, siga as instruções abaixo:

:seta: Sugiro que você salve ou imprima essas instruções abaixo, pois em alguns momentos você poderá precisar usar o computador sem o acesso à internet:

Faça o download do ComboFix

Salve-o no Desktop (área de trabalho).

* Desabilite as proteções residente de: antivírus, antispywares e firewall ( menos o do Windows! )

* Feche todas as janelas e execute a ferramenta.

* Ps: A execução, por comando, também é possível:

* Vá em Iniciar --> Executar --> Digite ou cole:

"%userprofile%\desktop\Combofix.exe" /killall

* Clique em Ok.

* Na solicitação: "Negação de garantia de software" --> Clique em Sim.

* Não possuindo o "Console de Recuperação",aceite optar pela instalação do mesmo.

* Terminando,clique Sim ou Yes. --> Aguarde.

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

:!: Caso aconteça a notificação de: Aplicativo Win32 inválido ou alguma mensagem parecida com esta, delete a ferramenta ComboFix.exe e faça, novamente, seu download.

* Salve-a no Desktop,renomeada como: Kombo.exe

* Ps: Nomeie durante o salvamento,e não após salvá-la!

* Ps: Surgindo alguma mensagem de erro, rode o ComboFix.exe em "Modo Seguro". <-- Link!

* Ps: Na presença de atividades rootkit,teremos a seguinte janela de notificação:

* Ps: Anote essas detecções, e dê o OK. Neste caso poste estas detecções que você terá anotado em sua próxima resposta juntamente com os logs pedidos.

* Ps: Para completar as remoções, talvez haja necessidade da ferramenta reiniciar o computador. <-- Aguarde!

* Ps: Para evitar problemas, siga todas as recomendações propostas.

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

* Abrir-se-á a janela Auto Scan. --> Aguarde!

* Para finalizar remoções, o ComboFix poderá reiniciar o computador.

* Se houver necessidade, digite a opção ( 1 ) --> Aperte Enter! --> Aguarde a conclusão!

* Durante o scan, evite manusear o mouse ou teclado! <-- Importante!

* Caso, por algum motivo de força maior, precise parar ou sair do ComboFix,tecle "N" ou "2" --> Aperte Enter.

<><><><><><><><><><><><>

O log do Combofix estará em C:\ComboFix.txt

Abraços :D

lucasbsp · Dezembro 14, 2010

Realmente nao faz sentindo mas alguma coisa tem....

tentei deletar a pasta c:\QooBox deu a seguinte mensagem não é possivel remover a basta backenv acesso negado.tive que desinstalar pelo executar combofix /uninstall bom fiz o procedimento exatamente como voce pediu quando o combofix começa a rodar

mostrando a seguinte frase PROCURANDO POR FICHEIROS/ARQUIVOS INFECTADOS.. fica assim durante uns 5min

sem mostrar nenhuma etapa concluida logo depois vem a mesma msg "O COMBOFIX DETECTOU A PRESENÇA DE ATIVIDADE DE ROOTKIT PRECISA RENICIAR A MAQUINA" dou ok na mensagem e o computado reinicia,quando ele liga novamente volta a mostra a tela do combofix procurando por ficheiros etc... ae começa a mostrar as estapas e mais uma vez o reclcyler foi criado na uidade D: em baixo segue log

Lembrando que esse arquivo que ele deletou eh do driver da minha web can que tinha instalado pouco antes de fazer a varredura. aguardo resposta abrass!

ComboFix 10-12-14.01 - Lucas 14/12/2010 20:22:48.3.1 - x86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.1023.826 [GMT -2:00]

Executando de: c:\documents and settings\Lucas\desktop\Combofix.exe

Comandos utilizados :: /killall

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\VM305Cap.exe

.

(((((((((((((((( Arquivos/Ficheiros criados de 2010-11-14 to 2010-12-14 ))))))))))))))))))))))))))))

.

Nenhum ficheiro/arquivo criado durante este período

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

------- Sigcheck -------

[-] 2007-09-03 . BD8686216E34E22C4ED45A2320B2BEA1 . 360576 . . [5.1.2600.2892] . . c:\windows\system32\drivers\tcpip.sys

[-] 2007-09-02 . DB3AA410ED1228B9DF98C06549AE0763 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll

[-] 2007-09-02 17:20 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\mspmsnsv.dll

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"msnmsgr"="c:\arquivos de programas\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2007-07-21 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BigDog305"="c:\windows\VM305_STI.EXE" [2007-04-09 57344]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2007-07-21 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

Ralink Wireless Utility.lnk - c:\arquivos de programas\RALINK\Common\RaUI.exe [2010-12-13 598016]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BigDog305]

2007-04-09 18:46 57344 ----a-w- c:\windows\vm305_sti.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

R3 ZSMC0305;A4 TECH PC Camera V;c:\windows\system32\drivers\usbVM305.sys [14/12/2010 13:05 391688]

.

------- Scan Suplementar -------

.

TCP: {302CAE8F-C94A-4702-8B15-EBD7AF030BE1} = 10.0.1.254

FF - ProfilePath - c:\documents and settings\Lucas\Dados de aplicativos\Mozilla\Firefox\Profiles\alop6vg0.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=IEFM1&q=

FF - prefs.js: browser.startup.homepage - hxxp://www.google.com.br

FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?FORM=IEFM1&q=

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\arquivos de programas\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-12-14 20:26

Windows 5.1.2600 Service Pack 2 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

BigDog305 = c:\windows\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)???????????????????0?????????@??????????????

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net

Windows 5.1.2600 Disk: SAMSUNG_ rev.SU10 -> Harddisk0\DR0 -> \Device\Scsi\viamraid1Port2Path0Target2Lun0

device: opened successfully

user: MBR read successfully

Disk trace:

called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys SCSIPORT.SYS hal.dll viamraid.sys

c:\windows\system32\drivers\viamraid.sys VIA Technologies inc,.ltd VIA RAID driver

1 ntkrnlpa!IofCallDriver[0x804EE0F6] -> \Device\Harddisk0\DR0[0x86370AB8]

3 CLASSPNP[0xF762D05B] -> ntkrnlpa!IofCallDriver[0x804EE0F6] -> \Device\Scsi\viamraid1Port2Path0Target0Lun0[0x86371998]

kernel: MBR read successfully

_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; STI ; PUSH AX; POP ES; PUSH AX; POP DS; CLD ; MOV SI, 0x7c1b; MOV DI, 0x61b; PUSH AX; PUSH DI; MOV CX, 0x1e5; REP MOVSB ; RETF ; MOV BP, 0x7be; MOV CL, 0x4; CMP [bP+0x0], CH; JL 0x2e; JNZ 0x3a; }

user != kernel MBR !!!

sectors 156368014 (+255): user != kernel

**************************************************************************

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'explorer.exe'(3044)

c:\windows\system32\wpdshserviceobj.dll

c:\windows\system32\portabledevicetypes.dll

c:\windows\system32\portabledeviceapi.dll

.

------------------------ Outros Processos em Execução ------------------------

.

c:\arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Tempo para conclusão: 2010-12-14 20:28:14 - Máquina reiniciou

ComboFix-quarantined-files.txt 2010-12-14 22:28

Pré-execução: 4 pasta(s) 75.523.567.616 bytes disponíveis

Pós execução: 5 pasta(s) 75.527.409.664 bytes disponíveis

- - End Of File - - 7D04BB8685A9B7F25B8DC94EE070F217

Renato Utsch · Dezembro 14, 2010

Olá!

Só pra você saber, a pasta Recycler é a pasta da Lixeira. As vezes alguns malwares são armazenados lá (caso mais comum em malwares de mídias removíveis), mas não sei se é seu caso.

De qualquer forma, poste um novo log do DDS.

PS: Qual a sua web cam?

Abraços :D

lucasbsp · Dezembro 15, 2010

Minha web eh A4 TECH PC CAMERA V

O reclycle de que eu me refiro so é criado assim que termina a varredura do combofix

DDS (Ver_10-11-10.01) - NTFSx86

Run by Lucas at 22:31:55,59 on ter 14/12/2010

Internet Explorer: 7.0.5730.11

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.1023.786 [GMT -2:00]

============== Running Processes ===============

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\VM305_STI.EXE

C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

C:\Arquivos de programas\RALINK\Common\RaUI.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Lucas\Desktop\dds.scr

============== Pseudo HJT Report ===============

BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File

BHO: Auxiliar de Conexão do Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\arquivos de programas\arquivos comuns\microsoft shared\windows live\WindowsLiveLogin.dll

uRun: [msnmsgr] "c:\arquivos de programas\windows live\messenger\msnmsgr.exe" /background

uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe

mRun: [bigDog305] c:\windows\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

dRunOnce: [nltide_2] regsvr32 /s /n /i:U shell32

StartupFolder: c:\docume~1\alluse~1\menuin~1\progra~1\inicia~1\ralink~1.lnk - c:\arquivos de programas\ralink\common\RaUI.exe

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\arquivos de programas\messenger\msmsgs.exe

TCP: {01DBA254-92D7-42AD-A743-361C4CAEB910} = 10.0.1.254

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\wpdshserviceobj.dll

================= FIREFOX ===================

FF - ProfilePath - c:\docume~1\lucas\dadosd~1\mozilla\firefox\profiles\alop6vg0.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=IEFM1&q=

FF - prefs.js: browser.startup.homepage - hxxp://www.google.com.br

FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?FORM=IEFM1&q=

---- FIREFOX POLICIES ----

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified

c:\arquivos de programas\mozilla firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

============= SERVICES / DRIVERS ===============

R3 ZSMC0305;A4 TECH PC Camera V;c:\windows\system32\drivers\usbVM305.sys [2010-12-14 391688]

=============== Created Last 30 ================

2010-12-15 00:25:24 -------- d-sh--w- C:\found.000

2010-12-14 22:18:31 98816 ----a-w- c:\windows\sed.exe

2010-12-14 22:18:31 89088 ----a-w- c:\windows\MBR.exe

2010-12-14 22:18:31 256512 ----a-w- c:\windows\PEV.exe

2010-12-14 22:18:31 161792 ----a-w- c:\windows\SWREG.exe

2010-12-14 15:05:58 81920 ----a-w- c:\windows\system32\VM305STI.dll

2010-12-14 15:05:58 57344 ----a-w- c:\windows\vm305_sti.exe

2010-12-14 15:05:58 391688 ----a-w- c:\windows\system32\drivers\usbVM305.sys

2010-12-14 15:05:58 176128 ----a-w- c:\windows\amcap.exe

2010-12-14 15:05:58 155722 ----a-w- c:\windows\system32\VM305Prp.Ax

2010-12-14 15:05:54 -------- d-----w- c:\arquivos de programas\Vimicro

2010-12-14 12:51:39 -------- d-----w- c:\windows\system32\xircom

2010-12-14 12:51:39 -------- d-----w- c:\windows\system32\wbem\snmp

2010-12-14 12:50:47 -------- d-----w- c:\windows\system32\wbem\repository\FS

2010-12-14 12:50:47 -------- d-----w- c:\windows\system32\wbem\Repository

2010-12-13 23:20:48 -------- d-sha-r- C:\cmdcons

2010-12-13 22:54:44 -------- d-----w- c:\documents and settings\lucas\Tracing

2010-12-13 22:54:14 -------- d-----w- c:\arquivos de programas\Microsoft

2010-12-13 22:54:00 -------- d-----w- c:\arquivos de programas\Windows Live SkyDrive

2010-12-13 22:52:58 142922064 ----a-w- c:\arquivos de programas\arquivos comuns\windows live\.cache\wlc2C.tmp

2010-12-13 22:48:59 -------- d-----w- c:\arquivos de programas\arquivos comuns\Windows Live

2010-12-13 22:24:36 -------- d-----w- c:\windows\pss

2010-12-13 22:07:53 2944 ----a-w- c:\windows\system32\drivers\drmkaud.sys

2010-12-13 22:07:53 172416 ----a-w- c:\windows\system32\drivers\kmixer.sys

2010-12-13 22:07:52 54272 ----a-w- c:\windows\system32\drivers\swmidi.sys

2010-12-13 22:07:52 52864 ----a-w- c:\windows\system32\drivers\DMusic.sys

2010-12-13 22:07:51 6272 ----a-w- c:\windows\system32\drivers\splitter.sys

2010-12-13 22:07:51 142464 ----a-w- c:\windows\system32\drivers\aec.sys

2010-12-13 22:07:50 60800 ----a-w- c:\windows\system32\drivers\sysaudio.sys

2010-12-13 22:05:47 82944 ----a-w- c:\windows\system32\drivers\wdmaud.sys

2010-12-13 22:04:21 -------- d-----w- c:\arquivos de programas\CCleaner

2010-12-13 22:01:50 5824 ----a-w- c:\windows\system32\drivers\ASUSHWIO.SYS

==================== Find3M ====================

=================== ROOTKIT ====================

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net

Windows 5.1.2600 Disk: SAMSUNG_ rev.SU10 -> Harddisk0\DR0 -> \Device\Scsi\viamraid1Port2Path0Target2Lun0

device: opened successfully

user: MBR read successfully

Disk trace:

called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys SCSIPORT.SYS hal.dll viamraid.sys

c:\windows\system32\drivers\viamraid.sys VIA Technologies inc,.ltd VIA RAID driver

1 ntkrnlpa!IofCallDriver[0x804EE0F6] -> \Device\Harddisk0\DR0[0x86370AB8]

3 CLASSPNP[0xF762D05B] -> ntkrnlpa!IofCallDriver[0x804EE0F6] -> \Device\Scsi\viamraid1Port2Path0Target0Lun0[0x86371998]

kernel: MBR read successfully

_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; STI ; PUSH AX; POP ES; PUSH AX; POP DS; CLD ; MOV SI, 0x7c1b; MOV DI, 0x61b; PUSH AX; PUSH DI; MOV CX, 0x1e5; REP MOVSB ; RETF ; MOV BP, 0x7be; MOV CL, 0x4; CMP [bP+0x0], CH; JL 0x2e; JNZ 0x3a; }

user != kernel MBR !!!

sectors 156368014 (+255): user != kernel

============= FINISH: 22:32:12,84 ===============

UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.

IF REQUESTED, ZIP IT UP & ATTACH IT

DDS (Ver_10-11-10.01)

Microsoft Windows XP Professional

Boot Device: \Device\HarddiskVolume1

Install Date: 13/12/2010 19:55:34

System Uptime: 14/12/2010 22:25:57 (0 hours ago)

Motherboard: ASUSTeK Computer Inc. | | K8V-X SE

Processor: AMD Sempron Processor 2800+ | Socket 754 | 1602/200mhz

==== Disk Partitions =========================

A: is Removable

C: is FIXED (NTFS) - 75 GiB total, 70,227 GiB free.

D: is FIXED (NTFS) - 149 GiB total, 86,251 GiB free.

E: is CDROM (CDFS)

==== Disabled Device Manager Items =============

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}

Description: VIA Compatable Fast Ethernet Adapter

Device ID: PCI\VEN_1106&DEV_3065&SUBSYS_80ED1043&REV_78\3&267A616A&0&90

Manufacturer: VIA Technologies, Inc.

Name: VIA Compatable Fast Ethernet Adapter

PNP Device ID: PCI\VEN_1106&DEV_3065&SUBSYS_80ED1043&REV_78\3&267A616A&0&90

Service: FETNDIS

==== System Restore Points ===================

RP6: 14/12/2010 19:56:41 - Ponto de verificação do sistema

RP7: 14/12/2010 20:36:47 - Installed Ralink Wireless LAN Card

==== Installed Programs ======================

A4 TECH PC Camera V

Adobe Flash Player 10 Plugin

Arquivo do WinRAR

Assistente de Conexão do Windows Live

Atualização de Segurança para Windows XP (KB923689)

Atualização de Segurança para Windows XP (KB923789)

Atualização de Segurança para Windows XP (KB932168)

Atualização para Windows XP (KB931836)

CCleaner

Ferramenta de Carregamento do Windows Live

Microsoft Application Error Reporting

Microsoft Choice Guard

Mozilla Firefox (3.6.12)

MSVCRT

MSXML 4.0 SP2 (KB936181)

MSXML 6.0 Parser (KB933579)

Ralink Wireless LAN Card

Segoe UI

SoundMAX

WebFldrs XP

Windows Live Call

Windows Live Communications Platform

Windows Live Essentials

Windows Live Messenger

==== Event Viewer Messages From Past Week ========

13/12/2010 19:57:09, Informações: Windows File Protection [64032] - A Proteção de arquivos do Windows não está ativa neste sistema.

==== End Of File ===========================

Renato Utsch · Dezembro 15, 2010

Olá!

Por favor, siga as instruções abaixo:

<< 1 >>

Acesse o site " Jotti's malware scan "

Na caixa que fica em cima (File to upload & scan);
Copie e cole o(s) seguinte(s) arquivo(s) um de cada vez:
- c:\windows\system32\drivers\aec.sys
- c:\windows\system32\drivers\sysaudio.sys
- c:\windows\system32\drivers\aec.sys
- c:\windows\system32\drivers\ASUSHWIO.SYS
[*]Clique no botão

[*]O(s) arquivo(s) irá(serão) ser examinado(s) por diferentes softwares antivirus, por favor aguarde.

[*]Copie e cole o(s) resultado(s).

Se o site acima estiver muito congestionado, tente num desses sites:

Alternativa 1

Alternativa 2

<< 2 >>

Temporariamente e durante a execução destas instruções, é muito importante que mantenha desabilitados os seus programas de proteção (Antivirus, Antispyware e Firewall). Reative as proteções após a execução do(s) procedimento(s) abaixo mencionado(s).

Delete o Combofix.exe do seu desktop e baixe uma nova versão AQUI, salvando no seu Desktop.
Abra o seu Bloco de Notas, copie (control + c) e cole (control + v) todo o texto que está dentro do "Code":
```
DDS::
BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
```
Salve este arquivo como: CFScript.txt
Tal com exemplificado na foto acima, arraste o arquivo CFScript.txt para dentro do ComboFix.exe.
Se solicitado, pressione Enter para iniciar o processo de remoção.
Não use o mouse nem o teclado quando o ComboFix estiver rodando.
Quando a ferramenta terminar de rodar, gerará um log. Poste esse arquivo C:\ComboFix.txt.

<< 3 >>

Poste um novo log do DDS (Poste só o DDS.txt, não precisa postar o Attach.txt!), feito após a execução do ComboFix.

Abraços :D

lucasbsp · Dezembro 15, 2010

o teste com o Jotti's malware scan nao encontrou nenhum virus em nenhum dos arquivos e

novamente o combofix deu a tela de rootkit e pediu para reninicar a maquina,detalhe foi criado agora o autorun.inf nas duas unidades c: e d: abaixo segue os logs aguardo resposta abraço

ComboFix 10-12-14.07 - Lucas 15/12/2010 13:09:29.4.1 - x86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.1023.788 [GMT -2:00]

Executando de: c:\documents and settings\Lucas\Desktop\ComboFix.exe

Comandos utilizados :: c:\documents and settings\Lucas\Desktop\CFScript.txt

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\msvrc20.dll

.

(((((((((((((((( Arquivos/Ficheiros criados de 2010-11-15 to 2010-12-15 ))))))))))))))))))))))))))))

.

2010-12-15 00:41 . 2010-12-15 00:41 -------- d-----w- C:\NVIDIA

2010-12-15 00:39 . 2010-12-15 00:39 -------- d-----r- C:\MSOCache

2010-12-15 00:25 . 2010-12-15 00:25 -------- d-----w- C:\found.000

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-10-22 11:43 . 2010-10-22 11:43 499712 ----a-w- c:\windows\system32\msvcp71.dll

2010-10-22 11:43 . 2010-10-22 11:43 348160 ----a-w- c:\windows\system32\msvcr71.dll

.

------- Sigcheck -------

[-] 2007-09-03 . BD8686216E34E22C4ED45A2320B2BEA1 . 360576 . . [5.1.2600.2892] . . c:\windows\system32\drivers\tcpip.sys

[-] 2007-09-02 . DB3AA410ED1228B9DF98C06549AE0763 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll

[-] 2007-09-02 17:20 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\mspmsnsv.dll

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\arquivos de programas\Arquivos comuns\Nero\Lib\NMBgMonitor.exe" [2007-08-03 202024]

"msnmsgr"="c:\arquivos de programas\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BigDog305"="c:\windows\VM305_STI.EXE" [2007-04-09 57344]

"GrooveMonitor"="c:\arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]

"Adobe ARM"="c:\arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]

"nwiz"="nwiz.exe" [2006-10-22 1622016]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]

"NeroFilterCheck"="c:\arquivos de programas\Arquivos comuns\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]

"NBKeyScan"="c:\arquivos de programas\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-08-08 1828136]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2007-07-21 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

Ralink Wireless Utility.lnk - c:\arquivos de programas\RALINK\Common\RaUI.exe [2010-12-13 659456]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

R3 ZSMC0305;A4 TECH PC Camera V;c:\windows\system32\drivers\usbVM305.sys [14/12/2010 13:05 391688]

.

Conteúdo da pasta 'Tarefas Agendadas'

2010-12-15 c:\windows\Tasks\AwcProUpdate.job

- c:\arquivos de programas\IObit\Advanced WindowsCare V2 Pro\AutoUpdate.exe [2010-12-15 13:28]

.

------- Scan Suplementar -------

.

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~3\Office12\EXCEL.EXE/3000

TCP: {01DBA254-92D7-42AD-A743-361C4CAEB910} = 10.0.1.254

FF - ProfilePath - c:\documents and settings\Lucas\Dados de aplicativos\Mozilla\Firefox\Profiles\alop6vg0.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=IEFM1&q=

FF - prefs.js: browser.startup.homepage - hxxp://www.google.com.br

FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?FORM=IEFM1&q=

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\arquivos de programas\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-12-15 13:12

Windows 5.1.2600 Service Pack 2 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net

Windows 5.1.2600 Disk: SAMSUNG_ rev.SU10 -> Harddisk0\DR0 -> \Device\Scsi\viamraid1Port2Path0Target2Lun0

device: opened successfully

user: MBR read successfully

Disk trace:

called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys SCSIPORT.SYS hal.dll viamraid.sys

c:\docume~1\Lucas\CONFIG~1\Temp\catchme.sys

c:\windows\system32\drivers\viamraid.sys VIA Technologies inc,.ltd VIA RAID driver

1 ntkrnlpa!IofCallDriver[0x804EE0F6] -> \Device\Harddisk0\DR0[0x8638BAB8]

3 CLASSPNP[0xF762D05B] -> ntkrnlpa!IofCallDriver[0x804EE0F6] -> \Device\Scsi\viamraid1Port2Path0Target0Lun0[0x8638CA38]

kernel: MBR read successfully

_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; STI ; PUSH AX; POP ES; PUSH AX; POP DS; CLD ; MOV SI, 0x7c1b; MOV DI, 0x61b; PUSH AX; PUSH DI; MOV CX, 0x1e5; REP MOVSB ; RETF ; MOV BP, 0x7be; MOV CL, 0x4; CMP [bP+0x0], CH; JL 0x2e; JNZ 0x3a; }

user != kernel MBR !!!

sectors 156368014 (+255): user != kernel

**************************************************************************

.

Tempo para conclusão: 2010-12-15 13:13:19

ComboFix-quarantined-files.txt 2010-12-15 15:13

ComboFix2.txt 2010-12-14 22:28

Pré-execução: 5 pasta(s) 69.856.821.248 bytes disponíveis

Pós execução: 9 pasta(s) 69.901.819.904 bytes disponíveis

- - End Of File - - 8C03851DED36F5007FF3A09AF90694E2

DDS (Ver_10-11-10.01) - NTFSx86

Run by Lucas at 13:16:36,35 on qua 15/12/2010

Internet Explorer: 7.0.5730.11

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.1023.733 [GMT -2:00]

============== Running Processes ===============

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\explorer.exe

C:\Arquivos de programas\RALINK\Common\RaUI.exe

C:\Documents and Settings\Lucas\Desktop\dds.scr

============== Pseudo HJT Report ===============

BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\arquivos de programas\arquivos comuns\adobe\acrobat\activex\AcroIEHelperShim.dll

BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\arquiv~1\micros~3\office12\GRA8E1~1.DLL

BHO: Auxiliar de Conexão do Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\arquivos de programas\arquivos comuns\microsoft shared\windows live\WindowsLiveLogin.dll

uRun: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "c:\arquivos de programas\arquivos comuns\nero\lib\NMBgMonitor.exe"

uRun: [msnmsgr] "c:\arquivos de programas\windows live\messenger\msnmsgr.exe" /background

mRun: [bigDog305] c:\windows\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)

mRun: [GrooveMonitor] "c:\arquivos de programas\microsoft office\office12\GrooveMonitor.exe"

mRun: [Adobe Reader Speed Launcher] "c:\arquivos de programas\adobe\reader 9.0\reader\Reader_sl.exe"

mRun: [Adobe ARM] "c:\arquivos de programas\arquivos comuns\adobe\arm\1.0\AdobeARM.exe"

mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

mRun: [nwiz] nwiz.exe /install

mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit

mRun: [NeroFilterCheck] c:\arquivos de programas\arquivos comuns\nero\lib\NeroCheck.exe

mRun: [NBKeyScan] "c:\arquivos de programas\nero\nero8\nero backitup\NBKeyScan.exe"

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

dRunOnce: [nltide_2] regsvr32 /s /n /i:U shell32

StartupFolder: c:\docume~1\alluse~1\menuin~1\progra~1\inicia~1\ralink~1.lnk - c:\arquivos de programas\ralink\common\RaUI.exe

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\micros~3\office12\EXCEL.EXE/3000

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\arquivos de programas\messenger\msmsgs.exe

IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\arquiv~1\micros~3\office12\ONBttnIE.dll

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\arquiv~1\micros~3\office12\REFIEBAR.DLL

TCP: {01DBA254-92D7-42AD-A743-361C4CAEB910} = 10.0.1.254

Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - c:\arquiv~1\micros~3\office12\GR99D3~1.DLL

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\wpdshserviceobj.dll

SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - c:\arquiv~1\micros~3\office12\GRA8E1~1.DLL

================= FIREFOX ===================

FF - ProfilePath - c:\docume~1\lucas\dadosd~1\mozilla\firefox\profiles\alop6vg0.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=IEFM1&q=

FF - prefs.js: browser.startup.homepage - hxxp://www.google.com.br

FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?FORM=IEFM1&q=

---- FIREFOX POLICIES ----

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgba3a4f16a", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgba3a4fra", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional

c:\arquivos de programas\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified

c:\arquivos de programas\mozilla firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

============= SERVICES / DRIVERS ===============

R3 ZSMC0305;A4 TECH PC Camera V;c:\windows\system32\drivers\usbVM305.sys [2010-12-14 391688]

=============== Created Last 30 ================

2010-12-15 14:42:54 -------- d-----w- c:\arquivos de programas\Microsoft

2010-12-15 14:41:53 142922064 ----a-w- c:\arquivos de programas\arquivos comuns\windows live\.cache\wlc2.tmp

2010-12-15 14:23:57 -------- d-----w- c:\arquivos de programas\Marcos Velasco Security

2010-12-15 03:52:35 -------- d-----w- c:\arquivos de programas\VS Revo Group

2010-12-15 03:09:11 -------- d-----w- c:\docume~1\lucas\config~1\dadosd~1\Ahead

2010-12-15 02:51:31 -------- d-----w- c:\docume~1\lucas\dadosd~1\Malwarebytes

2010-12-15 02:51:18 -------- d-----w- c:\docume~1\alluse~1\dadosd~1\Malwarebytes

2010-12-15 02:49:56 -------- d-----w- c:\docume~1\alluse~1\dadosd~1\Nero

2010-12-15 02:49:56 -------- d-----w- c:\arquivos de programas\Nero

2010-12-15 02:27:10 208896 ----a-w- c:\windows\system32\nvudisp.exe

2010-12-15 02:27:10 -------- d-----w- c:\windows\nview

2010-12-15 02:27:05 -------- d-----w- c:\windows\system32\ReinstallBackups

2010-12-15 02:27:00 208896 ----a-w- c:\windows\system32\NVUNINST.EXE

2010-12-15 02:26:59 729088 ----a-w- c:\arquivos de programas\arquivos comuns\installshield\professional\runtime\09\01\intel32\iKernel.dll

2010-12-15 02:26:59 69715 ----a-w- c:\arquivos de programas\arquivos comuns\installshield\professional\runtime\09\01\intel32\ctor.dll

2010-12-15 02:26:59 5632 ----a-w- c:\arquivos de programas\arquivos comuns\installshield\professional\runtime\09\01\intel32\DotNetInstaller.exe

2010-12-15 02:26:59 266240 ----a-w- c:\arquivos de programas\arquivos comuns\installshield\professional\runtime\09\01\intel32\iscript.dll

2010-12-15 02:26:59 192512 ----a-w- c:\arquivos de programas\arquivos comuns\installshield\professional\runtime\09\01\intel32\iuser.dll

2010-12-15 02:26:54 188548 ----a-w- c:\arquivos de programas\arquivos comuns\installshield\professional\runtime\09\01\intel32\iGdi.dll

2010-12-15 02:26:53 311428 ----a-w- c:\arquivos de programas\arquivos comuns\installshield\professional\runtime\09\01\intel32\setup.dll

2010-12-15 00:48:11 -------- d-----w- c:\docume~1\lucas\config~1\dadosd~1\Adobe

2010-12-15 00:47:38 -------- d-----w- c:\windows\system32\Adobe

2010-12-15 00:45:52 33104 ----a-w- c:\windows\system32\spool\prtprocs\w32x86\msonpppr.dll

2010-12-15 00:45:52 32592 ----a-w- c:\windows\system32\msonpmon.dll

2010-12-15 00:41:59 -------- d-----w- c:\arquivos de programas\IObit

2010-12-15 00:41:06 -------- d-----w- C:\NVIDIA

2010-12-15 00:40:20 -------- d-----w- c:\windows\SHELLNEW

2010-12-15 00:40:10 -------- d-----w- c:\docume~1\lucas\config~1\dadosd~1\Microsoft Help

2010-12-15 00:25:24 -------- d-----w- C:\found.000