[Arquivado] &nbspanalise de log

Soraya Lourenço · Dezembro 16, 2010

Olá!

Problemas com antivirus. Uso o Avira e Malwarebytes.

Mas um vírus fez com q o PC parece de reconhecer o Avira.

Ele esta instalado, mas o computador não o reconhece e diz q ele foi desinstalado.

Escaneie o PC com o malwarebyte e ele detectou 2 trojan, 1 virus e 1 malware.

Mas mesmo assim o Avira continua sem conseguir ser acessado, "desconfio" q o malware tambem foi contaminado.

Posto o log do HijackThis abaixo para verificação:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 18:15:21, on 15/12/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Arquivos de programas\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Flash Video Decoder for FLV - {4378780F-2D28-4964-8F12-3BD90DEB47C1} - C:\WINDOWS\system32\flash10flv.dll (file missing)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Flash Video Decoder for FLV - {622AE586-10A4-4382-B72F-31C218867D9E} - C:\WINDOWS\system32\flash10flv.dll (file missing)

O2 - BHO: (no name) - {6620F9D5-F86C-4E21-88EE-D9910C9AC64C} - c:\windows\system32\swonlln.dll (file missing)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll (file missing)

O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Arquivos de programas\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll (file missing)

O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe

O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKCU\..\Run: [NVIDIA driver monitor] C:\WINDOWS\nvsvc32.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &Download All using 4shared Desktop - C:\Arquivos de programas\4shared Desktop\down_all.htm

O9 - Extra button: Seleção HP Smart - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Arquivos de programas\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{9BA26C15-BDF6-460B-ADE0-E46F82E77D33}: NameServer = 200.222.0.34 200.202.193.75

O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Avira AntiVir Programador (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

--

End of file - 5079 bytes

OBS: Os vírus foram encontrados nas chaves do sistema.

Att.

Felipe_88 · Dezembro 16, 2010

Olá, Soraya Lourenço!

Vamos por etapa:

1º

*Baixe o ComboFix e salve-o no desktop

* Desative seu antivírus temporariamente:

*Execute o Combofix e aceite o contrato

*Se o console de recuperação do Windows já estiver instalado, o ComboFix continuará o processo automaticamente. Caso contrário, clique em [sIM] para a sua instalação.

*Clique em [sIM] para continuar.

*Aguarde a conclusão de todas as etapas

*Enquanto o ComboFix estiver em execução, evite usar o mouse e o teclado!!..... Para interromper o procedimento tecle N ou 2 e depois ENTER.

*O programa será fechado automaticamente e um relatório (C:\combofix.txt) será apresentado. Cole-o na próxima resposta.

No Aguardo.

Soraya Lourenço · Dezembro 16, 2010

Boa tarde, Felipe!

Ufa!! Consegui.

Segue o log do ComboFix:

ComboFix 10-12-15.07 - J 16/12/2010 18:03:35.1.1 - x86

Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.239.74 [GMT -2:00]

Executando de: c:\documents and settings\J\Desktop\ComboFix.exe

AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\autorun.inf

c:\windows\mdlu.dl

c:\windows\system32\flash10flv.dll

c:\windows\system32\spool\prtprocs\w32x86\LXADPP.DLL

A cópia de c:\windows\system32\drivers\dmio.sys foi encontrada e desinfectada

Cópia restaurada de - Kitty had a snack :P

.

((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_ABP470N5

-------\Legacy_SSHNAS

(((((((((((((((( Arquivos/Ficheiros criados de 2010-11-16 to 2010-12-16 ))))))))))))))))))))))))))))

.

2010-12-16 18:16 . 2009-03-30 11:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys

2010-12-16 18:16 . 2009-02-13 13:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2010-12-16 18:16 . 2009-02-13 13:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2010-12-16 18:15 . 2010-12-16 18:15 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Avira

2010-12-16 18:15 . 2010-12-16 18:15 -------- d-----w- c:\arquivos de programas\Avira

2010-12-16 01:29 . 2010-12-16 01:29 -------- d-----w- C:\rsit

2010-12-16 00:36 . 2010-12-16 00:36 -------- d-----w- c:\documents and settings\J\Dados de aplicativos\Malwarebytes

2010-12-16 00:34 . 2010-04-29 17:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-12-16 00:34 . 2010-12-16 17:32 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware

2010-12-16 00:34 . 2010-12-16 00:34 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

2010-12-16 00:34 . 2010-04-29 17:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-12-15 14:55 . 2010-12-15 14:55 -------- d-----w- c:\arquivos de programas\CONEXANT

2010-12-15 14:55 . 2004-09-29 17:35 219136 ----a-w- c:\windows\system32\drivers\HSFHWBS2.sys

2010-12-15 14:55 . 2004-09-29 17:34 702592 ----a-w- c:\windows\system32\drivers\HSF_CNXT.sys

2010-12-15 14:55 . 2004-09-29 17:33 1036928 ----a-w- c:\windows\system32\drivers\HSF_DP.sys

2010-12-15 14:55 . 2004-08-04 17:34 39018 ----a-w- c:\windows\system32\hsfci011.dll

2010-12-15 14:55 . 2004-03-17 14:04 13059 ----a-w- c:\windows\system32\drivers\mdmxsdk.sys

2010-12-15 14:55 . 2004-03-17 14:00 86016 ----a-w- c:\windows\system32\mdmxsdk.dll

2010-12-15 14:54 . 2004-07-16 02:20 69715 ----a-w- c:\arquivos de programas\Arquivos comuns\InstallShield\Professional\RunTime\10\01\Intel32\ctor.dll

2010-12-15 14:54 . 2004-07-16 02:19 266240 ----a-w- c:\arquivos de programas\Arquivos comuns\InstallShield\Professional\RunTime\10\01\Intel32\iscript.dll

2010-12-15 14:54 . 2004-07-16 02:18 172032 ----a-w- c:\arquivos de programas\Arquivos comuns\InstallShield\Professional\RunTime\10\01\Intel32\iuser.dll

2010-12-15 14:54 . 2010-12-15 14:54 180356 ----a-w- c:\arquivos de programas\Arquivos comuns\InstallShield\Professional\RunTime\10\01\Intel32\iGdi.dll

2010-12-15 14:54 . 2004-07-16 02:20 733184 ----a-w- c:\arquivos de programas\Arquivos comuns\InstallShield\Professional\RunTime\10\01\Intel32\iKernel.dll

2010-12-15 14:54 . 2004-07-16 02:18 5632 ----a-w- c:\arquivos de programas\Arquivos comuns\InstallShield\Professional\RunTime\10\01\Intel32\DotNetInstaller.exe

2010-12-15 14:54 . 2010-12-15 14:54 303236 ----a-w- c:\arquivos de programas\Arquivos comuns\InstallShield\Professional\RunTime\10\01\Intel32\setup.dll

2010-12-10 21:33 . 2010-12-10 21:33 -------- d-sh--w- c:\documents and settings\J\IECompatCache

2010-12-10 21:32 . 2010-12-10 21:32 -------- d-sh--w- c:\documents and settings\J\IETldCache

2010-11-24 13:54 . 2010-11-24 14:22 60416 ----a-w- c:\windows\ALCFDRTM.VER

2010-11-24 13:54 . 2010-11-24 13:54 60416 ----a-w- c:\windows\ALCFDRTM.EXE

2010-11-24 13:54 . 2010-11-24 13:54 -------- d-----w- c:\windows\system32\Lang

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-11-09 18:52 . 2010-11-09 18:52 0 ----a-w- c:\windows\system32\alk26.tmp

2010-11-09 18:42 . 2010-11-09 18:42 0 ----a-w- c:\windows\system32\alk25.tmp

.

------- Sigcheck -------

[-] 2008-12-23 . 5AFEEB90A6BD5885608F05E27CBEC1F8 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMan"="SOUNDMAN.EXE" [2005-09-22 90112]

"avgnt"="c:\arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=

"c:\\arquivos de programas\\avira\\antivir desktop\\avcenter.exe"=

"c:\\Arquivos de programas\\Avira\\AntiVir Desktop\\avgnt.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Programador;c:\arquivos de programas\Avira\AntiVir Desktop\sched.exe [16/12/2010 16:15 108289]

S2 qtapnmbb;IEEE-1284.4 HPZid412Monitor;c:\windows\System32\svchost.exe -k netsvcs [13/4/2008 19:21 14336]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

qtapnmbb

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.google.com.br/

uInternet Connection Wizard,ShellNext = iexplore

IE: &Download All using 4shared Desktop - c:\arquivos de programas\4shared Desktop\down_all.htm

.

- - - - ORFÃOS REMOVIDOS - - - -

BHO-{4378780F-2D28-4964-8F12-3BD90DEB47C1} - c:\windows\system32\flash10flv.dll

BHO-{622AE586-10A4-4382-B72F-31C218867D9E} - c:\windows\system32\flash10flv.dll

BHO-{6620F9D5-F86C-4E21-88EE-D9910C9AC64C} - c:\windows\system32\swonlln.dll

HKLM-Run-PrinTray - c:\windows\System32\spool\DRIVERS\W32X86\2\printray.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-12-16 18:10

Windows 5.1.2600 Service Pack 3 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

**************************************************************************

.

--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'explorer.exe'(3992)

c:\windows\system32\ieframe.dll

c:\windows\system32\webcheck.dll

.

------------------------ Outros Processos em Execução ------------------------

.

c:\windows\system32\LEXBCES.EXE

c:\windows\system32\LEXPPS.EXE

c:\arquivos de programas\Avira\AntiVir Desktop\avguard.exe

c:\windows\SOUNDMAN.EXE

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Tempo para conclusão: 2010-12-16 18:14:23 - Máquina reiniciou

ComboFix-quarantined-files.txt 2010-12-16 20:14

Pré-execução: 6 pasta(s) 36.401.594.368 bytes disponíveis

Pós execução: 8 pasta(s) 36.482.998.272 bytes disponíveis

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 8B7092D2BCD28FEBF78165074A55973D

Alguns programas voltaram a funcionar normalmente. E o PC está mais rápido.

?????:

É comun o ComboFix detectar um rootkit e pedir para reiniciar?

Ele no início do escaneamento detectou um rootkit.

Há algum problema nisto? Pois, eu já havia visto outro post no forum. E o Moderador disse não ser comun.

?????

Att.

Felipe_88 · Dezembro 17, 2010

Soraya Lourenço,

1º

*Clique em [iniciar] > [Executar] > digite: services.msc

*Localize o Serviço qtapnmbb , dê um duplo clique nele e em "Tipo de inicialização" clique em [Desativado]. Clique também em [Parar]

*Execute o HijackThis, clique em [Open the Misc Tools Section > Delete an NT service...], coloque o serviço qtapnmbb e clique em [Ok]. Quando perguntado se deseja reiniciar agora, clique em [sIM]

*Reinicie o computador.

2º

*Configure o Windows para mostrar pastas e arquivos ocultos.

*Envie o arquivo abaixo para análise em http://virscan.org

c:\windows\system32\alk25.tmp
c:\windows\system32\alk26.tmp

Cole o link contendo o resultado da análise.

No aguardo!

Soraya Lourenço · Dezembro 18, 2010

Boa noite, Felipe!

Não encontrei o serviço qtapnmbb.

Ele não existe.

O q fazer?

Felipe_88 · Dezembro 19, 2010

Soraya Lourenço,

Poste o resultado da análise;

No aguardo!

Soraya Lourenço · Dezembro 20, 2010

Segue a relatório:

c:\windows\system32\alk25.tmp:

relatório: ERROR: Não foi possível encontrar o arquivo enviado!

c:\windows\system32\alk26.tmp

relatório: ERROR: Não foi possível encontrar o arquivo enviado!

Econtrei esses 2 arquivos:

ŸÏŸÏ e Ÿ÷Ÿ÷

ambos sem extensão.

Felipe_88 · Dezembro 20, 2010

Soraya Lourenço,

1º

* Faça o download da ferramenta abaixo:

http://dlpro.antivir.com/down/windows/antivir_rootkit.zip

* Extraia o conteúdo para o desktop;

Execute o [avirarkd] e clique em [start Scan];

* Concluído o scan clique em [View Report] e poste o relatório aqui;

2º

Execute novamente o combofix e poste o resultado.

No aguardo!

Soraya Lourenço · Dezembro 22, 2010

Olá!

Enquanto eu tentava executar o Avirarkd, outro programa pedia pra ser executado.

Os nomes dos programas eram:

bvhqzjgt.exe

grxitwoi.exe

ikybaqtp.exe

hqejzqab.exe

umfpwsvd.exe

Esse ultimo, eu executei pra poder rodar o avirarkd. Segue abaixo os relatórios:

Relatório do Avirarkd:

Avira AntiRootkit Tool (1.1.0.1)

========================================================================================================

- Scan started quarta-feira, 22 de dezembro de 2010 - 12:51:09

========================================================================================================

--------------------------------------------------------------------------------------------------------

Configuration:

--------------------------------------------------------------------------------------------------------

- [X] Scan files

- [X] Scan registry

- [X] Scan processes

- [ ] Fast scan

- Working disk total size : 38.33 GB

- Working disk free size : 33.77 GB (88 %)

--------------------------------------------------------------------------------------------------------

Scan task finished. No hidden objects detected!

--------------------------------------------------------------------------------------------------------

Files: 0/21947

Registry items: 0/175031

Processes: 0/24

Scan time: 00:02:33

--------------------------------------------------------------------------------------------------------

Active processes:

- lvlhhmmb.exe (PID 3884) (Avira AntiRootkit Tool)

- System (PID 4)

- smss.exe (PID 448)

- csrss.exe (PID 504)

- winlogon.exe (PID 528)

- services.exe (PID 572)

- lsass.exe (PID 584)

- svchost.exe (PID 748)

- svchost.exe (PID 804)

- svchost.exe (PID 844)

- svchost.exe (PID 912)

- svchost.exe (PID 1004)

- explorer.exe (PID 1172)

- sched.exe (PID 1396)

- avguard.exe (PID 1624)

- soundman.exe (PID 1676)

- avgnt.exe (PID 1688)

- svchost.exe (PID 1868)

- wscntfy.exe (PID 1056)

- ntvdm.exe (PID 160)

- lexbces.exe (PID 3080)

- lexpps.exe (PID 3028)

- spoolsv.exe (PID 932)

- avirarkd.exe (PID 3088)

========================================================================================================

- Scan finished quarta-feira, 22 de dezembro de 2010 - 12:53:43

========================================================================================================

Relatório do Combofix:

ComboFix 10-12-15.07 - J 22/12/2010 12:57:55.3.1 - x86

Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.239.94 [GMT -2:00]

Executando de: c:\documents and settings\J\Desktop\ComboFix.exe

AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}

.

- MODO DE FUNCIONALIDADE REDUZIDA -

.

(((((((((((((((( Arquivos/Ficheiros criados de 2010-11-22 to 2010-12-22 ))))))))))))))))))))))))))))

.

2010-12-22 14:11 . 2001-01-23 16:16 48640 ----a-w- c:\windows\system32\Lexunst1.exe

2010-12-22 14:11 . 1997-10-09 14:08 79872 ----a-w- c:\windows\system32\lex_psu.exe

2010-12-20 18:57 . 2010-12-20 18:57 -------- d-----w- c:\documents and settings\J\Dados de aplicativos\Malwarebytes

2010-12-20 18:57 . 2010-03-30 02:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-12-20 18:57 . 2010-12-20 18:57 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

2010-12-20 18:57 . 2010-03-30 02:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-12-20 18:57 . 2010-12-20 18:57 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware

2010-12-18 21:34 . 2010-12-20 19:22 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\HP

2010-12-18 21:29 . 2010-12-20 19:22 -------- d-----w- c:\arquivos de programas\HP