Ir para conteúdo

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

Soraya Lourenço

[Resolvido] &nbsppc lento - virus aparentemente removidos

Por , em Tópicos Resolvidos (Seguranca & Malwares)

Recommended Posts

Soraya Lourenço    0

Soraya Lourenço
Postado

Boa noite!

 

Estou tendo problemas no pc. Ele esta lento.

Desde q o Avira 2011 detectou WORM/Conficker.IH[worm] num arquivo chamado zbdondnd.dll,'W32/VB.BU' [virus]em C:\WINDOWS\system32\explorer.exe' e RKIT/Conficker.A[trojan] em C:\WINDOWS\system32\01.tmp

Aparentemente eles foram removidos.

Mas o avira continua avisando

 

c:\windows\system32\zbdondnd.dll

[NOTA] A entrada do registro está invisível.

 

Segue log do HiJackThis:

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 23:06:19, on 14/4/2011

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avshadow.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\VTTimer.exe

C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Windows Media Player\wmplayer.exe

C:\WINDOWS\system32\dllhost.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\HiJackThis\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx

F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARQUIV~1\MI1933~1\Office12\GRA8E1~1.DLL

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 10.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe

O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: AudioDeck.lnk = C:\Arquivos de programas\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MI1933~1\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Arquivos de programas\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html

O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MI1933~1\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MI1933~1\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MI1933~1\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{56F8B7A6-EB07-40AC-B7AC-71CFFB9A6A32}: NameServer = 200.222.0.34 200.202.193.75

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MI1933~1\Office12\GR99D3~1.DLL

O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Avira AntiVir Agendamento (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

 

--

End of file - 5968 bytes

 

att.

Compartilhar este post

Link para o post
Compartilhar em outros sites

wings    22

wings
Postado

Olá Soraya Lourenço

 

 

*Baixe o MalwareBytes e salve-o no desktop

*Instale o programa e aguarde a atualização

*O programa será aberto automaticamente

*Na aba [Verificação], selecione [Verificação completa]

*Clique [Verificar] e selecione a partição onde o Windows está instalado

*Ao finalizar o scan, clique [sIM] > [OK] > [Ver Resultados] > [Remover Selecionados]

*Cole o relatório apresentado

 

Caso já tenhas o Malwarebytes instalado....

 

*Abra o Malwarebytes, clique [Atualização] > [baixar Atualizações]

*Na aba [Verificação], selecione [x] Verificação completa

*Clique [Verificar] e selecione a partição onde o Windows está instalado

*Ao finalizar o scan, clique [sIM] > [OK] > [Ver Resultados] > [Remover Selecionados]

*Cole o relatório apresentado

Compartilhar este post

Link para o post
Compartilhar em outros sites

Soraya Lourenço    0

Soraya Lourenço
Postado

Boa noite!

 

Segue o log gerado pelo malwarebytes: (o scan demorou muito)

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Versão da Base de Dados: 6424

 

Windows 5.1.2600 Service Pack 2

Internet Explorer 8.0.6001.18702

 

23/4/2011 22:07:25

mbam-log-2011-04-23 (22-07-25).txt

 

Tipo de Verificação: Verificação Completa (C:\|)

Objetos escaneados: 196667

Tempo decorrido: 8 hora(s), 51 minuto(s), 50 segundo(s)

 

Processos de Memória Infectados: 0

Módulos de Memória Infectados: 0

Chaves de Registro Infectadas: 0

Valores de Registro Infectados: 2

Itens de Dados no Registro Infectados: 1

Pastas Infectadas: 0

Arquivos Infectados: 3

 

Processos de Memória Infectados:

(Não foram detectados ítens maliciosos)

 

Módulos de Memória Infectados:

(Não foram detectados ítens maliciosos)

 

Chaves de Registro Infectadas:

(Não foram detectados ítens maliciosos)

 

Valores de Registro Infectados:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\explorer.exe (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wsctf.exe (Trojan.Agent) -> Quarantined and deleted successfully.

 

Itens de Dados no Registro Infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (PUM.Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

 

Pastas Infectadas:

(Não foram detectados ítens maliciosos)

 

Arquivos Infectados:

C:\System Volume Information\_restore{46626EAB-2B1E-42CD-A506-C8722D6704E5}\RP30\A0006330.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{46626EAB-2B1E-42CD-A506-C8722D6704E5}\RP30\A0006336.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{46626EAB-2B1E-42CD-A506-C8722D6704E5}\RP31\A0006408.exe (Trojan.Agent) -> Quarantined and deleted successfully.

 

Tinham telas q apareciam assim q eu ligava o computador. Elas desapareceram.

Mas o PC esta muito mais lento depois q instalei o malwarebytes.

Compartilhar este post

Link para o post
Compartilhar em outros sites

wings    22

wings
Postado

1.

*Baixe o ATF Cleaner e salve-o no desktop

*Execute-o

*Selecione:

[X] Select All

*Clique [Empty Selected]

*Feche o ATF-Cleaner

 

2.

*Acesse o site ConfickerWorkingGroup

 

*No site, observe as figuras no quadro abaixo da frase "Conficker Eye Chart"

 

6da8ec4865.png

 

*Compare com o resultado da tabela abaixo da frase "How to interpret:"

 

ab384b90ed.png

 

*Informe o resultado.

 

3.

*Baixe o DDS e salve-o no desktop

*Execute-o e salve os relatórios no desktop (DDS.txt e Attach.txt)

*Cole o relatório DDS.txt

Compartilhar este post

Link para o post
Compartilhar em outros sites

Soraya Lourenço    0

Soraya Lourenço
Postado

Boa tarde!

 

Usei o ATF-Cleaner.

 

No site Conficker o resultado foi: Normal/Not Infected by Conficker (or using proxy)

 

Relatório do DDS:

 

.

DDS (Ver_11-03-05.01) - NTFSx86

Run by Mary at 14:49:43,04 on ter 26/04/2011

Internet Explorer: 8.0.6001.18702

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.239.19 [GMT -3:00]

.

AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

.

============== Running Processes ===============

.

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

svchost.exe

svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\system32\svchost.exe -k hpdevmgmt

C:\WINDOWS\System32\svchost.exe -k HPZ12

C:\WINDOWS\System32\svchost.exe -k HPZ12

C:\Arquivos de programas\Avira\AntiVir Desktop\avshadow.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\WINDOWS\system32\VTTimer.exe

C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

 

Boa tarde!

 

Usei o ATF-Cleaner.

 

No site Conficker o resultado foi: Normal/Not Infected by Conficker (or using proxy)

 

Relatório do DDS:

 

.

DDS (Ver_11-03-05.01) - NTFSx86

Run by Mary at 14:49:43,04 on ter 26/04/2011

Internet Explorer: 8.0.6001.18702

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.239.19 [GMT -3:00]

.

AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

.

============== Running Processes ===============

.

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

svchost.exe

svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\system32\svchost.exe -k hpdevmgmt

C:\WINDOWS\System32\svchost.exe -k HPZ12

C:\WINDOWS\System32\svchost.exe -k HPZ12

C:\Arquivos de programas\Avira\AntiVir Desktop\avshadow.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\WINDOWS\system32\VTTimer.exe

C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Mozilla Firefox\plugin-container.exe

C:\Documents and Settings\Mary\Desktop\dds.scr

.

============== Pseudo HJT Report ===============

.

uStart Page = hxxp://www.google.com.br/

uSearch Page = hxxp://search.live.com

uInternet Connection Wizard,ShellNext = iexplore

mSearchAssistant = hxxp://search.live.com/sphome.aspx

mURLSearchHooks: CUOLSearchHook Object: {1fe8243e-0a3a-41b9-b9ce-effee51974d3} - c:\arquivos de programas\arquivos comuns\uol\urlsearch\UOLSearchHook.dll

BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\arquivos de programas\arquivos comuns\adobe\acrobat\activex\AcroIEHelperShim.dll

BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File

BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\arquiv~1\mi1933~1\office12\GRA8E1~1.DLL

BHO: Auxiliar de Conexão do Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\arquivos de programas\arquivos comuns\microsoft shared\windows live\WindowsLiveLogin.dll

TB: {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File

uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe

uRun: [MSMSGS] "c:\arquivos de programas\messenger\msmsgs.exe" /background

mRun: [VTTimer] VTTimer.exe

mRun: [VTTrayp] VTtrayp.exe

mRun: [Adobe Reader Speed Launcher] "c:\arquivos de programas\adobe\reader 10.0\reader\Reader_sl.exe"

mRun: [Adobe ARM] "c:\arquivos de programas\arquivos comuns\adobe\arm\1.0\AdobeARM.exe"

mRun: [GrooveMonitor] "c:\arquivos de programas\microsoft office\office12\GrooveMonitor.exe"

mRun: [NeroFilterCheck] c:\windows\system32\NeroCheck.exe

mRun: [HP Software Update] c:\arquivos de programas\hp\hp software update\HPWuSchd2.exe

mRun: [avgnt] "c:\arquivos de programas\avira\antivir desktop\avgnt.exe" /min

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

StartupFolder: c:\docume~1\alluse~1\menuin~1\progra~1\inicia~1\audiod~1.lnk - c:\arquivos de programas\via technologies, inc\via audio driver setup program\audiodeck\AudioDeck.exe

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\mi1933~1\office12\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\arquivos de programas\google\google toolbar\component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\arquivos de programas\messenger\msmsgs.exe

IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\arquiv~1\mi1933~1\office12\ONBttnIE.dll

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\arquiv~1\mi1933~1\office12\REFIEBAR.DLL

DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

TCP: {56F8B7A6-EB07-40AC-B7AC-71CFFB9A6A32} = 200.222.0.34 200.202.193.75

Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - c:\arquiv~1\mi1933~1\office12\GR99D3~1.DLL

SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - c:\arquiv~1\mi1933~1\office12\GRA8E1~1.DLL

.

================= FIREFOX ===================

.

FF - ProfilePath - c:\docume~1\mary\dadosd~1\mozilla\firefox\profiles\l0azv6o9.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.com.br/

FF - prefs.js: network.proxy.type - 0

.

============= SERVICES / DRIVERS ===============

.

R1 avgio;avgio;c:\arquivos de programas\avira\antivir desktop\avgio.sys [2011-4-1 11608]

R2 AntiVirSchedulerService;Avira AntiVir Agendamento;c:\arquivos de programas\avira\antivir desktop\sched.exe [2011-4-1 135336]

R2 AntiVirService;Avira AntiVir Guard;c:\arquivos de programas\avira\antivir desktop\avguard.exe [2011-4-1 269480]

R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2011-4-1 61960]

S2 izeupq;Boot Server;c:\windows\system32\svchost.exe -k netsvcs [2004-8-4 14336]

S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]

S3 Vsp;Vsp;c:\windows\system32\drivers\vsp.sys [2011-1-17 3351]

.

=============== Created Last 30 ================

.

2011-04-23 13:42:48 -------- d-----w- c:\docume~1\mary\dadosd~1\Malwarebytes

2011-04-23 13:41:52 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2011-04-23 13:41:23 -------- d-----w- c:\docume~1\alluse~1\dadosd~1\Malwarebytes

2011-04-23 13:40:58 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-04-23 13:40:55 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware

2011-04-03 23:38:36 -------- d-----w- c:\docume~1\mary\config~1\dadosd~1\Deployment

2011-04-02 22:08:33 -------- d-----w- c:\arquivos de programas\Windows Live SkyDrive

2011-04-02 16:35:02 -------- d-----w- C:\HiJackThis

2011-04-02 01:25:07 -------- d-----w- c:\arquivos de programas\arquivos comuns\Windows Live

2011-04-01 21:58:56 -------- d-----w- c:\windows\system32\NtmsData

2011-04-01 21:16:15 -------- d-----w- c:\docume~1\mary\dadosd~1\Avira

2011-04-01 21:12:33 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2011-04-01 21:12:21 -------- d-----w- c:\docume~1\alluse~1\dadosd~1\Avira

2011-04-01 21:12:21 -------- d-----w- c:\arquivos de programas\Avira

2011-03-31 21:08:12 -------- d-----w- c:\docume~1\mary\config~1\dadosd~1\HP

.

==================== Find3M ====================

.

.

============= FINISH: 14:51:07,39 ===============

 

Até...

 

Boa tarde!

 

Usei o ATF-Cleaner.

 

No site Conficker o resultado foi: Normal/Not Infected by Conficker (or using proxy)

 

Relatório do DDS:

 

.

DDS (Ver_11-03-05.01) - NTFSx86

Run by Mary at 14:49:43,04 on ter 26/04/2011

Internet Explorer: 8.0.6001.18702

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.239.19 [GMT -3:00]

.

AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

.

============== Running Processes ===============

.

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

svchost.exe

svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\system32\svchost.exe -k hpdevmgmt

C:\WINDOWS\System32\svchost.exe -k HPZ12

C:\WINDOWS\System32\svchost.exe -k HPZ12

C:\Arquivos de programas\Avira\AntiVir Desktop\avshadow.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\WINDOWS\system32\VTTimer.exe

C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Mozilla Firefox\plugin-container.exe

C:\Documents and Settings\Mary\Desktop\dds.scr

.

============== Pseudo HJT Report ===============

.

uStart Page = hxxp://www.google.com.br/

uSearch Page = hxxp://search.live.com

uInternet Connection Wizard,ShellNext = iexplore

mSearchAssistant = hxxp://search.live.com/sphome.aspx

mURLSearchHooks: CUOLSearchHook Object: {1fe8243e-0a3a-41b9-b9ce-effee51974d3} - c:\arquivos de programas\arquivos comuns\uol\urlsearch\UOLSearchHook.dll

BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\arquivos de programas\arquivos comuns\adobe\acrobat\activex\AcroIEHelperShim.dll

BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File

BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\arquiv~1\mi1933~1\office12\GRA8E1~1.DLL

BHO: Auxiliar de Conexão do Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\arquivos de programas\arquivos comuns\microsoft shared\windows live\WindowsLiveLogin.dll

TB: {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File

uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe

uRun: [MSMSGS] "c:\arquivos de programas\messenger\msmsgs.exe" /background

mRun: [VTTimer] VTTimer.exe

mRun: [VTTrayp] VTtrayp.exe

mRun: [Adobe Reader Speed Launcher] "c:\arquivos de programas\adobe\reader 10.0\reader\Reader_sl.exe"

mRun: [Adobe ARM] "c:\arquivos de programas\arquivos comuns\adobe\arm\1.0\AdobeARM.exe"

mRun: [GrooveMonitor] "c:\arquivos de programas\microsoft office\office12\GrooveMonitor.exe"

mRun: [NeroFilterCheck] c:\windows\system32\NeroCheck.exe

mRun: [HP Software Update] c:\arquivos de programas\hp\hp software update\HPWuSchd2.exe

mRun: [avgnt] "c:\arquivos de programas\avira\antivir desktop\avgnt.exe" /min

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

StartupFolder: c:\docume~1\alluse~1\menuin~1\progra~1\inicia~1\audiod~1.lnk - c:\arquivos de programas\via technologies, inc\via audio driver setup program\audiodeck\AudioDeck.exe

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\mi1933~1\office12\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\arquivos de programas\google\google toolbar\component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\arquivos de programas\messenger\msmsgs.exe

IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\arquiv~1\mi1933~1\office12\ONBttnIE.dll

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\arquiv~1\mi1933~1\office12\REFIEBAR.DLL

DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

TCP: {56F8B7A6-EB07-40AC-B7AC-71CFFB9A6A32} = 200.222.0.34 200.202.193.75

Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - c:\arquiv~1\mi1933~1\office12\GR99D3~1.DLL

SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - c:\arquiv~1\mi1933~1\office12\GRA8E1~1.DLL

.

================= FIREFOX ===================

.

FF - ProfilePath - c:\docume~1\mary\dadosd~1\mozilla\firefox\profiles\l0azv6o9.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.com.br/

FF - prefs.js: network.proxy.type - 0

.

============= SERVICES / DRIVERS ===============

.

R1 avgio;avgio;c:\arquivos de programas\avira\antivir desktop\avgio.sys [2011-4-1 11608]

R2 AntiVirSchedulerService;Avira AntiVir Agendamento;c:\arquivos de programas\avira\antivir desktop\sched.exe [2011-4-1 135336]

R2 AntiVirService;Avira AntiVir Guard;c:\arquivos de programas\avira\antivir desktop\avguard.exe [2011-4-1 269480]

R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2011-4-1 61960]

S2 izeupq;Boot Server;c:\windows\system32\svchost.exe -k netsvcs [2004-8-4 14336]

S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]

S3 Vsp;Vsp;c:\windows\system32\drivers\vsp.sys [2011-1-17 3351]

.

=============== Created Last 30 ================

.

2011-04-23 13:42:48 -------- d-----w- c:\docume~1\mary\dadosd~1\Malwarebytes

2011-04-23 13:41:52 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2011-04-23 13:41:23 -------- d-----w- c:\docume~1\alluse~1\dadosd~1\Malwarebytes

2011-04-23 13:40:58 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-04-23 13:40:55 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware

2011-04-03 23:38:36 -------- d-----w- c:\docume~1\mary\config~1\dadosd~1\Deployment

2011-04-02 22:08:33 -------- d-----w- c:\arquivos de programas\Windows Live SkyDrive

2011-04-02 16:35:02 -------- d-----w- C:\HiJackThis

2011-04-02 01:25:07 -------- d-----w- c:\arquivos de programas\arquivos comuns\Windows Live

2011-04-01 21:58:56 -------- d-----w- c:\windows\system32\NtmsData

2011-04-01 21:16:15 -------- d-----w- c:\docume~1\mary\dadosd~1\Avira

2011-04-01 21:12:33 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2011-04-01 21:12:21 -------- d-----w- c:\docume~1\alluse~1\dadosd~1\Avira

2011-04-01 21:12:21 -------- d-----w- c:\arquivos de programas\Avira

2011-03-31 21:08:12 -------- d-----w- c:\docume~1\mary\config~1\dadosd~1\HP

.

==================== Find3M ====================

.

.

============= FINISH: 14:51:07,39 ===============

 

Até...

Compartilhar este post

Link para o post
Compartilhar em outros sites

wings    22

wings
Postado

*Delete o DDS e seus relatórios.

 

O log está limpo.

 

Como está o PC?

Compartilhar este post

Link para o post
Compartilhar em outros sites

Soraya Lourenço    0

Soraya Lourenço
Postado

Boa noite!

 

Deletei o DDS e seus relatórios.

 

O PC esta menos lento.

As janelas q apareciam do nada tambem sumiram.

A duvida q fica é:

Devo deletar os arquivos q estao em quarentena no malwarebyte?

 

Obrigado pela ajuda!!

Compartilhar este post

Link para o post
Compartilhar em outros sites

wings    22

wings
Postado

Sim...pode remover.

 

*Execute o Malwarebytes, clique na aba [Quarentena], selecione todos os resultados e clique [Apagar tudo]

*Clique na aba [Logs], selecione o relatório e clique [Apagar]

*Feche o Malwarebytes

 

 

Um abraço.

Compartilhar este post

Link para o post
Compartilhar em outros sites

Soraya Lourenço    0

Soraya Lourenço
Postado

Olá!

 

Excluir os arquivos da quarentena e o log.

Tem uma tela q ainda me perturba.

Fica piscando uma tela como se eu fosse mudar o contraste da tela do computador.

Antes ela aparecia com mais frequencia. Agora diminuiu. Mas ainda aparece.

 

E meu antivirus acusou esses arquivos a um tempo:

 

01/04

Vírus ou programa indesejado 'WORM/Conficker.IH [worm]'

detectado no arquivo 'C:\WINDOWS\system32\zbdondnd.dll.

Ação executada: Negar acesso

 

01/04

O arquivo 'C:\WINDOWS\system32\zbdondnd.dll'

continha um vírus ou programa indesejado 'WORM/Conficker.IH' [worm]

Ação(ões) executada(s):

Ocorreu um erro e o arquivo não foi excluído. ID do erro: 26003.

Não foi possível excluir o arquivo!

Tentando executar a ação usando a biblioteca ARK.

O arquivo foi movido para o diretório de quarentena sob o nome '571bc8aa.qua'.

 

01/04

O arquivo 'C:\WINDOWS\system32\explorer.exe'

continha um vírus ou programa indesejado 'W32/VB.BU' [virus]

Ação(ões) executada(s):

O arquivo foi excluído do reparo genérico devido ao tipo <W32>.

Não foi possível excluir o arquivo!

Tentando executar a ação usando a biblioteca ARK.

O arquivo foi excluído!

O arquivo foi excluído do reparo genérico devido ao tipo <W32>.

 

01/04

O arquivo 'C:\Documents and Settings\All Users\Dados de aplicativos\Avira\AntiVir Desktop\TEMP\AVSCAN-20110401-201153-E815F89D\ARK26.tmp'

continha um vírus ou programa indesejado 'W32/VB.BU' [virus]

Ação(ões) executada(s):

O arquivo foi excluído do reparo genérico devido ao tipo <W32>.

Não foi possível excluir o arquivo!

Tentando executar a ação usando a biblioteca ARK.

O arquivo foi excluído!

O arquivo foi excluído do reparo genérico devido ao tipo <W32>.

 

01/04

O arquivo 'C:\System Volume Information\_restore{46626EAB-2B1E-42CD-A506-C8722D6704E5}\RP52\A0019058.dll'

continha um vírus ou programa indesejado 'WORM/Conficker.IH' [worm]

Ação(ões) executada(s):

O arquivo foi excluído!

 

Início da varredura: sexta-feira, 1 de abril de 2011 18:58

 

Iniciando a pesquisa de objetos ocultos.

O reparo de rootkits só é possível no modo interativo!

c:\windows\system32\zbdondnd.dll

c:\windows\system32\zbdondnd.dll

[DETECÇÃO] Contém o padrão de reconhecimento do worm WORM/Conficker.IH

[NOTA] A entrada do registro está invisível.

Iniciar verificação em 'C:\WINDOWS\system32\zbdondnd.dll'

C:\WINDOWS\system32\zbdondnd.dll

[DETECÇÃO] Contém o padrão de reconhecimento do worm WORM/Conficker.IH

[NOTA] O arquivo foi movido para o diretório de quarentena sob o nome '571bc8aa.qua'.

 

 

Término da varredura: sexta-feira, 1 de abril de 2011 19:06

Tempo de uso: 07:54 Minuto(s)

 

A varredura foi concluída.

 

0 Diretórios verificados

40 Foi feita a varredura dos arquivos

3 Vírus e/ou programas indesejados foram encontrados

0 Os arquivos foram classificados como suspeitos

0 arquivos excluídos

0 Vírus e programas indesejados foram reparados

1 Os arquivos foram movidos para a quarentena

0 Os arquivos foram renomeados

0 Não é possível fazer a varredura dos arquivos

37 Arquivos não envolvidos

0 Os arquivamentos foram verificados

0 Avisos

0 Notas

31611 Os objetos foram verificados com a varredura do rootkit

1 Objetos ocultos foram encontrados

Iniciando a varredura do setor mestre de inicialização:

HD0 do setor mestre de inicialização

[iNFO] Nenhum vírus foi encontrado!

 

Iniciar a varredura dos setores de inicialização:

Setor de inicialização 'C:\'

[iNFO] Nenhum vírus foi encontrado!

 

Iniciando a varredura dos arquivos executáveis (registro).

C:\WINDOWS\system32\explorer.exe

[DETECÇÃO] Contém o padrão de reconhecimento do vírus do Windows W32/VB.BU

[NOTA] O arquivo foi excluído!

 

Foi feita a varredura do registro ( '369' arquivos ).

 

 

Iniciando a varredura do arquivo:

 

Iniciar verificação em 'C:\'

C:\Documents and Settings\All Users\Dados de aplicativos\Avira\AntiVir Desktop\TEMP\AVSCAN-20110401-201153-E815F89D\ARK26.tmp

[DETECÇÃO] Contém o padrão de reconhecimento do vírus do Windows W32/VB.BU

[NOTA] O arquivo foi excluído!

C:\System Volume Information\_restore{46626EAB-2B1E-42CD-A506-C8722D6704E5}\RP50\A0016000.exe

--> Object

[AVISO] Não foi possível ler o arquivo

[AVISO] Não foi possível ler o arquivo

C:\System Volume Information\_restore{46626EAB-2B1E-42CD-A506-C8722D6704E5}\RP52\A0019058.dll

[DETECÇÃO] Contém o padrão de reconhecimento do worm WORM/Conficker.IH

[NOTA] O arquivo foi excluído!

 

 

Término da varredura: sexta-feira, 1 de abril de 2011 21:24

Tempo de uso: 1:12:02 Hora(s)

 

A varredura foi concluída.

 

2988 Diretórios verificados

213391 Foi feita a varredura dos arquivos

4 Vírus e/ou programas indesejados foram encontrados

0 Os arquivos foram classificados como suspeitos

3 arquivos excluídos

0 Vírus e programas indesejados foram reparados

0 Os arquivos foram movidos para a quarentena

0 Os arquivos foram renomeados

0 Não é possível fazer a varredura dos arquivos

213387 Arquivos não envolvidos

1552 Os arquivamentos foram verificados

2 Avisos

1 Notas

259033 Os objetos foram verificados com a varredura do rootkit

1 Objetos ocultos foram encontrados

 

02/04

O arquivo 'C:\WINDOWS\system32\01.tmp'

continha um vírus ou programa indesejado 'RKIT/Conficker.A' [trojan]

Ação(ões) executada(s):

Não foi possível abrir o arquivo!

Está sendo realizada uma tentativa de varredura do arquivo com o auxílio do driver do instantâneo.

O arquivo foi excluído!

 

Início da varredura: sábado, 2 de abril de 2011 17:00

 

Iniciando a pesquisa de objetos ocultos.

c:\windows\system32\zbdondnd.dll

c:\windows\system32\zbdondnd.dll

[NOTA] A entrada do registro está invisível.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{56F8B7A6-EB07-40AC-B7AC-71CFFB9A6A32}\ntecontextlist

[NOTA] A entrada do registro está invisível.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{56F8B7A6-EB07-40AC-B7AC-71CFFB9A6A32}\dhcpipaddress

[NOTA] A entrada do registro está invisível.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{56F8B7A6-EB07-40AC-B7AC-71CFFB9A6A32}\dhcpipaddress

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{56F8B7A6-EB07-40AC-B7AC-71CFFB9A6A32}\nameserver

[NOTA] A entrada do registro está invisível.

 

Iniciando a varredura do arquivo:

 

Iniciar verificação em 'C:\'

C:\System Volume Information\_restore{46626EAB-2B1E-42CD-A506-C8722D6704E5}\RP50\A0016000.exe

--> Object

[AVISO] Não foi possível ler o arquivo

[AVISO] Não foi possível ler o arquivo

C:\WINDOWS\system32\01.tmp

[DETECÇÃO] Contém o padrão de reconhecimento do kit raiz RKIT/Conficker.A

[NOTA] O arquivo foi excluído!

 

 

Término da varredura: sábado, 2 de abril de 2011 17:44

Tempo de uso: 44:00 Minuto(s)

 

A varredura foi concluída.

 

3002 Diretórios verificados

210985 Foi feita a varredura dos arquivos

1 Vírus e/ou programas indesejados foram encontrados

0 Os arquivos foram classificados como suspeitos

1 arquivos excluídos

0 Vírus e programas indesejados foram reparados

0 Os arquivos foram movidos para a quarentena

0 Os arquivos foram renomeados

0 Não é possível fazer a varredura dos arquivos

210984 Arquivos não envolvidos

1554 Os arquivamentos foram verificados

2 Avisos

1 Notas

256920 Os objetos foram verificados com a varredura do rootkit

5 Objetos ocultos foram encontrados

 

Até...

Compartilhar este post

Link para o post
Compartilhar em outros sites

wings    22

wings
Postado

*Desative temporariamente seu antivírus

Clique com o botão direito do mouse no ícone do Avira ao lado do relógio

Clique na opção "Antivir Guard enable".

*Baixe o ComboFix e salve-o no desktop

*Execute-o e aceite o contrato

*Se o Console de Recuperação do Microsoft Windows não estiver instalado, aceite a sua instalação

*Após a instalação do Console, clique [sim] e aguarde a conclusão das etapas

*Não use o mouse nem o teclado durante as etapas, pois implicará na desconfiguração do seu desktop!

*Cole o relatório apresentado

Compartilhar este post

Link para o post
Compartilhar em outros sites

Soraya Lourenço    0

Soraya Lourenço
Postado

Boa noite, wings!!

 

Segue o relatorio:

 

ComboFix 11-04-28.01 - Mary 28/04/2011 22:24:14.1.1 - x86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.239.142 [GMT -3:00]

Executando de: c:\documents and settings\Mary\Desktop\ComboFix.exe

AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}

.

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\hijackthis\HiJackThis.exe

.

.

(((((((((((((((( Arquivos/Ficheiros criados de 2011-03-28 to 2011-04-29 ))))))))))))))))))))))))))))

.

.

2011-04-23 13:42 . 2011-04-23 13:42 -------- d-----w- c:\documents and settings\Mary\Dados de aplicativos\Malwarebytes

2011-04-23 13:41 . 2010-04-29 18:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2011-04-23 13:41 . 2011-04-23 13:41 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

2011-04-23 13:40 . 2010-04-29 18:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-04-23 13:40 . 2011-04-23 13:42 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware

2011-04-03 23:38 . 2011-04-03 23:51 -------- d-----w- c:\documents and settings\Mary\Configurações locais\Dados de aplicativos\Deployment

2011-04-02 22:08 . 2011-04-02 22:08 -------- d-----w- c:\arquivos de programas\Windows Live SkyDrive

2011-04-02 22:07 . 2011-04-02 22:09 -------- d-----w- c:\arquivos de programas\Windows Live

2011-04-02 16:35 . 2011-04-29 01:29 -------- d-----w- C:\HiJackThis

2011-04-02 01:25 . 2011-04-02 01:25 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Windows Live

2011-04-01 23:38 . 2011-04-01 23:38 -------- d-----r- c:\documents and settings\LocalService\Favoritos

2011-04-01 21:58 . 2011-04-27 02:03 -------- d-----w- c:\windows\system32\NtmsData

2011-04-01 21:16 . 2011-04-01 21:16 -------- d-----w- c:\documents and settings\Mary\Dados de aplicativos\Avira

2011-04-01 21:12 . 2011-03-04 19:11 137656 ----a-w- c:\windows\system32\drivers\avipbb.sys

2011-04-01 21:12 . 2011-03-04 17:42 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2011-04-01 21:12 . 2010-06-17 17:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2011-04-01 21:12 . 2010-06-17 17:29 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2011-04-01 21:12 . 2011-04-01 21:12 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Avira

2011-04-01 21:12 . 2011-04-01 21:12 -------- d-----w- c:\arquivos de programas\Avira

2011-03-31 21:08 . 2011-03-31 21:08 -------- d-----w- c:\documents and settings\Mary\Configurações locais\Dados de aplicativos\HP

.

.

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-03-18 18:04 . 2011-04-05 19:18 142296 ----a-w- c:\arquivos de programas\mozilla firefox\components\browsercomps.dll

.

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"VTTimer"="VTTimer.exe" [2005-03-07 53248]

"VTTrayp"="VTtrayp.exe" [2005-03-11 147456]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-01-30 35736]

"Adobe ARM"="c:\arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]

"GrooveMonitor"="c:\arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"HP Software Update"="c:\arquivos de programas\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]

"avgnt"="c:\arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" [2011-03-04 281768]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

.

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

AudioDeck.lnk - c:\arquivos de programas\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe [2011-1-17 581632]

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcstart.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"1466:TCP"= 1466:TCP:uzxda

.

R2 AntiVirSchedulerService;Avira AntiVir Agendamento;c:\arquivos de programas\Avira\AntiVir Desktop\sched.exe [1/4/2011 18:12 135336]

S2 izeupq;Boot Server;c:\windows\system32\svchost.exe -k netsvcs [4/8/2004 00:45 14336]

S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]

S3 Vsp;Vsp;c:\windows\system32\drivers\vsp.sys [17/1/2011 21:20 3351]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

izeupq

.

Conteúdo da pasta 'Tarefas Agendadas'

.

2011-04-23 c:\windows\Tasks\WebReg HP Photosmart C4400 series.job

- c:\arquivos de programas\HP\Digital Imaging\bin\hpqwrg.exe [2007-10-14 22:40]

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.google.com.br/

uInternet Connection Wizard,ShellNext = iexplore

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MI1933~1\Office12\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\arquivos de programas\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html

TCP: {56F8B7A6-EB07-40AC-B7AC-71CFFB9A6A32} = 200.222.0.34 200.202.193.75

FF - ProfilePath - c:\documents and settings\Mary\Dados de aplicativos\Mozilla\Firefox\Profiles\l0azv6o9.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.com.br/

FF - prefs.js: network.proxy.type - 0

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2011-04-28 22:30

Windows 5.1.2600 Service Pack 2 NTFS

.

Procurando processos ocultos ...

.

Procurando entradas auto inicializáveis ocultas ...

.

Procurando ficheiros/arquivos ocultos ...

.

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

.

**************************************************************************

.

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\izeupq]

"ServiceDll"="c:\windows\system32\zbdondnd.dll"

.

--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

Tempo para conclusão: 2011-04-28 22:32:45

ComboFix-quarantined-files.txt 2011-04-29 01:32

.

Pré-execução: 5 pasta(s) 31.742.373.888 bytes disponíveis

Pós execução: 8 pasta(s) 31.834.918.912 bytes disponíveis

.

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

.

- - End Of File - - 2FFF761052EEB5D099EBE8165396BA4E

 

Reativei o antivirus.

Compartilhar este post

Link para o post
Compartilhar em outros sites

wings    22

wings
Postado

*Abra o bloco de notas e cole nele o código abaixo:

File::

c:\windows\system32\zbdondnd.dll

Registry::

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\

GloballyOpenPorts\List]

"1466:TCP"=-

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\izeupq]

NetSvc::

izeupq

Driver::

izeupq

*Salve o arquivo no desktop como CFScript.txt

*Arraste-o para o Combofix conforme ilustração abaixo:

 

b2ea2c6367.gif

 

*Enquanto o combofix estiver em execução, não use o mouse nem o teclado!!

 

*Cole o relatório apresentado

Compartilhar este post

Link para o post
Compartilhar em outros sites

Soraya Lourenço    0

Soraya Lourenço
Postado

Ele perguntou se era pra atualizar, mas nao atualizei.

Depois de fazer o scan ele reiniciou a maquina. Isso é normal?

 

Ai esta o relatorio:

 

ComboFix 11-04-28.01 - Mary 29/04/2011 18:18:40.2.1 - x86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.239.94 [GMT -3:00]

Executando de: c:\documents and settings\Mary\Desktop\ComboFix.exe

Comandos utilizados :: c:\documents and settings\Mary\Desktop\CFScript.txt

AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}

* Criado um novo ponto de restauração

.

FILE ::

"c:\windows\system32\zbdondnd.dll"

.

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

.

((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Legacy_IZEUPQ

-------\Service_izeupq

.

.

(((((((((((((((( Arquivos/Ficheiros criados de 2011-03-28 to 2011-04-29 ))))))))))))))))))))))))))))

.

.

2011-04-29 19:07 . 2009-08-06 22:23 274288 ----a-w- c:\windows\system32\mucltui.dll

2011-04-29 19:07 . 2009-08-06 22:23 215920 ----a-w- c:\windows\system32\muweb.dll

2011-04-29 19:07 . 2011-04-29 19:07 -------- d-----w- c:\windows\LastGood.Tmp

2011-04-23 13:42 . 2011-04-23 13:42 -------- d-----w- c:\documents and settings\Mary\Dados de aplicativos\Malwarebytes

2011-04-23 13:41 . 2010-04-29 18:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2011-04-23 13:41 . 2011-04-23 13:41 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

2011-04-23 13:40 . 2010-04-29 18:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-04-23 13:40 . 2011-04-23 13:42 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware

2011-04-03 23:38 . 2011-04-03 23:51 -------- d-----w- c:\documents and settings\Mary\Configurações locais\Dados de aplicativos\Deployment

2011-04-02 22:08 . 2011-04-02 22:08 -------- d-----w- c:\arquivos de programas\Windows Live SkyDrive

2011-04-02 22:07 . 2011-04-02 22:09 -------- d-----w- c:\arquivos de programas\Windows Live

2011-04-02 16:35 . 2011-04-29 01:29 -------- d-----w- C:\HiJackThis

2011-04-02 01:25 . 2011-04-02 01:25 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Windows Live

2011-04-01 23:38 . 2011-04-01 23:38 -------- d-----r- c:\documents and settings\LocalService\Favoritos

2011-04-01 21:58 . 2011-04-27 02:03 -------- d-----w- c:\windows\system32\NtmsData

2011-04-01 21:16 . 2011-04-01 21:16 -------- d-----w- c:\documents and settings\Mary\Dados de aplicativos\Avira

2011-04-01 21:12 . 2011-03-04 19:11 137656 ----a-w- c:\windows\system32\drivers\avipbb.sys

2011-04-01 21:12 . 2011-03-04 17:42 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2011-04-01 21:12 . 2010-06-17 17:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2011-04-01 21:12 . 2010-06-17 17:29 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2011-04-01 21:12 . 2011-04-01 21:12 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Avira

2011-04-01 21:12 . 2011-04-01 21:12 -------- d-----w- c:\arquivos de programas\Avira

2011-03-31 21:08 . 2011-03-31 21:08 -------- d-----w- c:\documents and settings\Mary\Configurações locais\Dados de aplicativos\HP

.

.

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-03-18 18:04 . 2011-04-05 19:18 142296 ----a-w- c:\arquivos de programas\mozilla firefox\components\browsercomps.dll

.

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"VTTimer"="VTTimer.exe" [2005-03-07 53248]

"VTTrayp"="VTtrayp.exe" [2005-03-11 147456]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-01-30 35736]

"Adobe ARM"="c:\arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]

"GrooveMonitor"="c:\arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"HP Software Update"="c:\arquivos de programas\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]

"avgnt"="c:\arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" [2011-03-04 281768]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

.

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

AudioDeck.lnk - c:\arquivos de programas\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe [2011-1-17 581632]

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcstart.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"1466:TCP"= 1466:TCP:uzxda

.

R2 AntiVirSchedulerService;Avira AntiVir Agendamento;c:\arquivos de programas\Avira\AntiVir Desktop\sched.exe [1/4/2011 18:12 135336]

S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]

S3 Vsp;Vsp;c:\windows\system32\drivers\vsp.sys [17/1/2011 21:20 3351]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

.

Conteúdo da pasta 'Tarefas Agendadas'

.

2011-04-23 c:\windows\Tasks\WebReg HP Photosmart C4400 series.job

- c:\arquivos de programas\HP\Digital Imaging\bin\hpqwrg.exe [2007-10-14 22:40]

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.google.com.br/

uInternet Connection Wizard,ShellNext = iexplore

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MI1933~1\Office12\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\arquivos de programas\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html

FF - ProfilePath - c:\documents and settings\Mary\Dados de aplicativos\Mozilla\Firefox\Profiles\l0azv6o9.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.com.br/

FF - prefs.js: network.proxy.type - 0

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2011-04-29 18:29

Windows 5.1.2600 Service Pack 2 NTFS

.

Procurando processos ocultos ...

.

Procurando entradas auto inicializáveis ocultas ...

.

Procurando ficheiros/arquivos ocultos ...

.

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

.

**************************************************************************

.

--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

.

- - - - - - - > 'explorer.exe'(3180)

c:\windows\system32\ieframe.dll

c:\windows\system32\webcheck.dll

.

------------------------ Outros Processos em Execução ------------------------

.

c:\arquivos de programas\Avira\AntiVir Desktop\avguard.exe

c:\arquivos de programas\Avira\AntiVir Desktop\avshadow.exe

c:\windows\system32\VTTimer.exe

c:\windows\system32\VTtrayp.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Tempo para conclusão: 2011-04-29 18:32:54 - Máquina reiniciou

ComboFix-quarantined-files.txt 2011-04-29 21:32

ComboFix2.txt 2011-04-29 01:32

.

Pré-execução: 7 pasta(s) 31.834.341.376 bytes disponíveis

Pós execução: 8 pasta(s) 31.772.839.936 bytes disponíveis

.

- - End Of File - - 2710FE810ED7D9D82D17EB6C5BDEEC31

Compartilhar este post

Link para o post
Compartilhar em outros sites

wings    22

wings
Postado

1.

*Desative a Restauração do Sistema

 

*Clique com o botão direito do mouse em Meu Computador e selecione Propriedades

*Clique em Restauração do Sistema

*Selecione a opção:

[X] Desativar Restauração do Sistema

*Clique [Aplicar] > [sim] > [OK]

 

2.

*Baixe a atualização KB958644 e salve-a no desktop

*Instale-a. Caso seja informado(a) que a versão presente no seu PC é mais atual, cancele a instalação e siga para o passo seguinte.

 

3.

*Baixe o KidoKiller e salve-o no desktop

*Extraia o seu conteúdo para C:\

*Clique [iniciar] > [Executar] > copie e cole: C:\kk.exe -x -y -l conficker.txt -v

*Clique [OK]

*Ao término, o programa será fechado automaticamente.

*Cole o resumo localizado no final do relatório C:\conficker.txt

 

Exemplo:

15:25:43:548 1868 scanning Flash drives ...

15:25:43:638 1868

completed

15:25:43:638 1868 Infected jobs: 0

15:25:43:638 1868 Infected files: 1

15:25:43:638 1868 Infected threads: 7

15:25:43:638 1868 Spliced functions: 7

15:25:43:638 1868 Cured files: 1

15:25:43:638 1868 Fixed registry keys: 6

15:25:43:638 1868

Compartilhar este post

Link para o post
Compartilhar em outros sites

Soraya Lourenço    0

Soraya Lourenço
Postado

Consegui baixar KB958644 pelo site da microsoft.

 

Instalei o KidoKiller.

 

O relatório foi :

 

13:36:1:937 3124 scanning Flash drives ...

13:36:2:93 3124

completed

13:36:2:93 3124 Infected jobs: 0

13:36:2:328 3124 Infected files: 0

13:36:2:343 3124 Infected threads: 0

13:36:2:343 3124 Spliced functions: 0

13:36:2:343 3124 Cured files: 0

13:36:2:343 3124 Fixed registry keys: 0

13:36:2:343 3124

Compartilhar este post

Link para o post
Compartilhar em outros sites

wings    22

wings
Postado

1.

*Ative a Restauração do sistema

 

2.

*Delete os arquivos C:\conficker.txt e C:\KK.exe

 

3.

*Abra o bloco de notas e cole nele o código abaixo:

Registry::

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"1466:TCP"=-

*Salve o arquivo no desktop como CFScript.txt

*Arraste-o para o Combofix conforme ilustração abaixo:

 

b2ea2c6367.gif

 

*Enquanto o combofix estiver em execução, não use o mouse nem o teclado!!

 

*Cole o relatório apresentado

Compartilhar este post

Link para o post
Compartilhar em outros sites

Soraya Lourenço    0

Soraya Lourenço
Postado

Atualizei o combofix.

 

Segue o log:

 

ComboFix 11-04-30.06 - Mary 01/05/2011 14:43:45.3.1 - x86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.239.116 [GMT -3:00]

Executando de: c:\documents and settings\Mary\Desktop\ComboFix.exe

Comandos utilizados :: c:\documents and settings\Mary\Desktop\CFScript.txt

AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}

.

.

(((((((((((((((( Arquivos/Ficheiros criados de 2011-04-01 to 2011-05-01 ))))))))))))))))))))))))))))

.

.

2011-05-01 16:25 . 2011-05-01 16:25 -------- d-----w- c:\windows\LastGood

2011-05-01 03:41 . 2011-05-01 03:41 -------- d-----w- c:\windows\ie8updates

2011-04-29 19:07 . 2009-08-06 22:23 274288 ----a-w- c:\windows\system32\mucltui.dll

2011-04-29 19:07 . 2009-08-06 22:23 215920 ----a-w- c:\windows\system32\muweb.dll

2011-04-23 13:42 . 2011-04-23 13:42 -------- d-----w- c:\documents and settings\Mary\Dados de aplicativos\Malwarebytes

2011-04-23 13:41 . 2010-04-29 18:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2011-04-23 13:41 . 2011-04-23 13:41 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

2011-04-23 13:40 . 2010-04-29 18:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-04-23 13:40 . 2011-04-23 13:42 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware

2011-04-03 23:38 . 2011-04-03 23:51 -------- d-----w- c:\documents and settings\Mary\Configurações locais\Dados de aplicativos\Deployment

2011-04-02 22:08 . 2011-04-02 22:08 -------- d-----w- c:\arquivos de programas\Windows Live SkyDrive

2011-04-02 22:07 . 2011-04-02 22:09 -------- d-----w- c:\arquivos de programas\Windows Live

2011-04-02 16:35 . 2011-04-29 01:29 -------- d-----w- C:\HiJackThis

2011-04-02 01:25 . 2011-04-02 01:25 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Windows Live

2011-04-01 23:38 . 2011-04-01 23:38 -------- d-----r- c:\documents and settings\LocalService\Favoritos

2011-04-01 21:58 . 2011-04-27 02:03 -------- d-----w- c:\windows\system32\NtmsData

2011-04-01 21:16 . 2011-04-01 21:16 -------- d-----w- c:\documents and settings\Mary\Dados de aplicativos\Avira

2011-04-01 21:12 . 2011-03-04 19:11 137656 ----a-w- c:\windows\system32\drivers\avipbb.sys

2011-04-01 21:12 . 2011-03-04 17:42 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2011-04-01 21:12 . 2010-06-17 17:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2011-04-01 21:12 . 2010-06-17 17:29 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2011-04-01 21:12 . 2011-04-01 21:12 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Avira

2011-04-01 21:12 . 2011-04-01 21:12 -------- d-----w- c:\arquivos de programas\Avira

.

.

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-03-18 18:04 . 2011-04-05 19:18 142296 ----a-w- c:\arquivos de programas\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((( SnapShot@2011-04-29_01.30.23 )))))))))))))))))))))))))))))))))))))))))

.

+ 2004-08-04 03:45 . 2009-06-25 08:46 59392 c:\windows\system32\wdigest.dll

+ 2004-08-04 03:45 . 2009-06-25 08:46 56320 c:\windows\system32\secur32.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 48640 c:\windows\system32\mqupgrd.dll

- 2004-08-04 03:45 . 2004-08-04 03:45 48640 c:\windows\system32\mqupgrd.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 95744 c:\windows\system32\mqsec.dll

- 2004-08-04 03:45 . 2004-08-04 03:45 95744 c:\windows\system32\mqsec.dll

- 2004-08-04 03:45 . 2004-08-04 03:45 16896 c:\windows\system32\mqise.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 16896 c:\windows\system32\mqise.dll

- 2004-08-04 03:45 . 2004-08-04 03:45 47104 c:\windows\system32\mqdscli.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 47104 c:\windows\system32\mqdscli.dll

- 2004-08-04 03:45 . 2004-08-04 03:45 19968 c:\windows\system32\mqbkup.exe

+ 2004-08-04 03:45 . 2009-06-22 11:49 19968 c:\windows\system32\mqbkup.exe

+ 2004-08-04 01:58 . 2009-06-22 11:48 91776 c:\windows\system32\drivers\mqac.sys

+ 2004-08-04 01:59 . 2009-06-22 11:34 92544 c:\windows\system32\drivers\ksecdd.sys

+ 2004-08-04 03:45 . 2009-06-25 08:46 59392 c:\windows\system32\dllcache\wdigest.dll

+ 2004-08-04 03:45 . 2009-06-25 08:46 56320 c:\windows\system32\dllcache\secur32.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 48640 c:\windows\system32\dllcache\mqupgrd.dll

- 2004-08-04 03:45 . 2004-08-04 03:45 48640 c:\windows\system32\dllcache\mqupgrd.dll

- 2004-08-04 03:45 . 2004-08-04 03:45 95744 c:\windows\system32\dllcache\mqsec.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 95744 c:\windows\system32\dllcache\mqsec.dll

- 2004-08-04 03:45 . 2004-08-04 03:45 16896 c:\windows\system32\dllcache\mqise.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 16896 c:\windows\system32\dllcache\mqise.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 47104 c:\windows\system32\dllcache\mqdscli.dll

- 2004-08-04 03:45 . 2004-08-04 03:45 47104 c:\windows\system32\dllcache\mqdscli.dll

- 2004-08-04 03:45 . 2004-08-04 03:45 19968 c:\windows\system32\dllcache\mqbkup.exe

+ 2004-08-04 03:45 . 2009-06-22 11:49 19968 c:\windows\system32\dllcache\mqbkup.exe

+ 2004-08-04 01:58 . 2009-06-22 11:48 91776 c:\windows\system32\dllcache\mqac.sys

+ 2004-08-04 01:59 . 2009-06-22 11:34 92544 c:\windows\system32\dllcache\ksecdd.sys

+ 2011-05-01 03:41 . 2009-05-26 11:40 26488 c:\windows\$hf_mig$\KB978706\update\spcustom.dll

+ 2011-05-01 03:41 . 2009-05-26 11:40 18296 c:\windows\$hf_mig$\KB978706\spmsg.dll

+ 2011-05-01 03:41 . 2008-07-08 12:58 26488 c:\windows\$hf_mig$\KB975562\update\spcustom.dll

+ 2011-05-01 03:41 . 2008-07-08 12:58 18296 c:\windows\$hf_mig$\KB975562\spmsg.dll

+ 2011-05-01 03:40 . 2008-07-08 12:58 26488 c:\windows\$hf_mig$\KB975467\update\spcustom.dll

+ 2011-05-01 03:40 . 2008-07-08 12:58 18296 c:\windows\$hf_mig$\KB975467\spmsg.dll

+ 2011-05-01 03:39 . 2008-07-08 12:58 26488 c:\windows\$hf_mig$\KB968389\update\spcustom.dll

+ 2011-05-01 03:39 . 2008-07-08 12:58 18296 c:\windows\$hf_mig$\KB968389\spmsg.dll

+ 2009-06-25 08:41 . 2009-06-25 08:41 54272 c:\windows\$hf_mig$\KB968389\SP3QFE\wdigest.dll

+ 2009-06-25 08:41 . 2009-06-25 08:41 56832 c:\windows\$hf_mig$\KB968389\SP3QFE\secur32.dll

+ 2009-06-24 10:28 . 2009-06-24 10:28 92928 c:\windows\$hf_mig$\KB968389\SP3QFE\ksecdd.sys

+ 2009-06-25 08:27 . 2009-06-25 08:27 54272 c:\windows\$hf_mig$\KB968389\SP3GDR\wdigest.dll

+ 2009-06-25 08:27 . 2009-06-25 08:27 56832 c:\windows\$hf_mig$\KB968389\SP3GDR\secur32.dll

+ 2009-06-24 11:18 . 2009-06-24 11:18 92928 c:\windows\$hf_mig$\KB968389\SP3GDR\ksecdd.sys

+ 2009-06-25 08:18 . 2009-06-25 08:18 59392 c:\windows\$hf_mig$\KB968389\SP2QFE\wdigest.dll

+ 2009-06-25 08:18 . 2009-06-25 08:18 56320 c:\windows\$hf_mig$\KB968389\SP2QFE\secur32.dll

+ 2009-06-22 11:35 . 2009-06-22 11:35 92544 c:\windows\$hf_mig$\KB968389\SP2QFE\ksecdd.sys

+ 2011-05-01 03:41 . 2007-11-30 12:39 26488 c:\windows\$hf_mig$\KB960803\update\spcustom.dll

+ 2011-05-01 03:41 . 2007-11-30 12:39 18296 c:\windows\$hf_mig$\KB960803\spmsg.dll

+ 2004-08-04 03:45 . 2009-06-22 11:49 4608 c:\windows\system32\mqsvc.exe

- 2004-08-04 03:45 . 2004-08-04 03:45 4608 c:\windows\system32\mqsvc.exe

- 2004-08-04 03:45 . 2004-08-04 03:45 4608 c:\windows\system32\dllcache\mqsvc.exe

+ 2004-08-04 03:45 . 2009-06-22 11:49 4608 c:\windows\system32\dllcache\mqsvc.exe

+ 2004-08-04 03:45 . 2008-12-16 12:50 351232 c:\windows\system32\winhttp.dll

- 2004-08-04 03:45 . 2004-08-04 03:45 351232 c:\windows\system32\winhttp.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 169472 c:\windows\system32\Setup\msmqocm.dll

+ 2004-08-04 03:45 . 2009-06-25 08:46 168448 c:\windows\system32\schannel.dll

+ 2004-08-04 03:45 . 2009-08-05 09:06 205312 c:\windows\system32\mswebdvd.dll

+ 2004-08-04 03:45 . 2009-09-11 14:35 133632 c:\windows\system32\msv1_0.dll

+ 2011-01-17 21:27 . 2009-12-17 07:59 345600 c:\windows\system32\mspaint.exe

- 2011-01-17 21:27 . 2004-08-04 03:45 345600 c:\windows\system32\mspaint.exe

- 2004-08-04 03:45 . 2004-08-04 03:45 523776 c:\windows\system32\mqutil.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 523776 c:\windows\system32\mqutil.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 186880 c:\windows\system32\mqtrig.dll

- 2004-08-04 03:45 . 2004-08-04 03:45 186880 c:\windows\system32\mqtrig.dll

- 2004-08-04 03:45 . 2004-08-04 03:45 117248 c:\windows\system32\mqtgsvc.exe

+ 2004-08-04 03:45 . 2009-06-22 11:49 117248 c:\windows\system32\mqtgsvc.exe

+ 2004-08-04 03:45 . 2009-06-25 18:36 517120 c:\windows\system32\mqsnap.dll

- 2004-08-04 03:45 . 2004-08-04 03:45 123392 c:\windows\system32\mqrtdep.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 123392 c:\windows\system32\mqrtdep.dll

- 2004-08-04 03:45 . 2004-08-04 03:45 177152 c:\windows\system32\mqrt.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 177152 c:\windows\system32\mqrt.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 661504 c:\windows\system32\mqqm.dll

- 2004-08-04 03:45 . 2004-08-04 03:45 225280 c:\windows\system32\mqoa.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 225280 c:\windows\system32\mqoa.dll

- 2004-08-04 03:45 . 2004-08-04 03:45 138240 c:\windows\system32\mqad.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 138240 c:\windows\system32\mqad.dll

+ 2004-08-04 03:45 . 2009-06-25 08:46 727040 c:\windows\system32\lsasrv.dll

+ 2004-08-04 03:45 . 2009-06-25 08:46 298496 c:\windows\system32\kerberos.dll

+ 2004-08-04 03:45 . 2009-06-22 06:48 726528 c:\windows\system32\jscript.dll

- 2004-08-04 03:45 . 2009-03-08 06:33 726528 c:\windows\system32\jscript.dll

+ 2004-08-04 03:45 . 2008-10-23 13:00 283648 c:\windows\system32\gdi32.dll

- 2004-08-04 03:45 . 2004-08-04 03:45 351232 c:\windows\system32\dllcache\winhttp.dll

+ 2004-08-04 03:45 . 2008-12-16 12:50 351232 c:\windows\system32\dllcache\winhttp.dll

+ 2004-08-04 03:45 . 2009-06-25 08:46 168448 c:\windows\system32\dllcache\schannel.dll

+ 2004-08-04 03:45 . 2009-08-05 09:06 205312 c:\windows\system32\dllcache\mswebdvd.dll

+ 2004-08-04 03:45 . 2009-09-11 14:35 133632 c:\windows\system32\dllcache\msv1_0.dll

+ 2011-01-17 21:27 . 2009-12-17 07:59 345600 c:\windows\system32\dllcache\mspaint.exe

- 2011-01-17 21:27 . 2004-08-04 03:45 345600 c:\windows\system32\dllcache\mspaint.exe

+ 2004-08-04 03:45 . 2009-06-25 18:36 169472 c:\windows\system32\dllcache\msmqocm.dll

- 2004-08-04 03:45 . 2004-08-04 03:45 523776 c:\windows\system32\dllcache\mqutil.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 523776 c:\windows\system32\dllcache\mqutil.dll

- 2004-08-04 03:45 . 2004-08-04 03:45 186880 c:\windows\system32\dllcache\mqtrig.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 186880 c:\windows\system32\dllcache\mqtrig.dll

- 2004-08-04 03:45 . 2004-08-04 03:45 117248 c:\windows\system32\dllcache\mqtgsvc.exe

+ 2004-08-04 03:45 . 2009-06-22 11:49 117248 c:\windows\system32\dllcache\mqtgsvc.exe

+ 2004-08-04 03:45 . 2009-06-25 18:36 517120 c:\windows\system32\dllcache\mqsnap.dll

- 2004-08-04 03:45 . 2004-08-04 03:45 123392 c:\windows\system32\dllcache\mqrtdep.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 123392 c:\windows\system32\dllcache\mqrtdep.dll

- 2004-08-04 03:45 . 2004-08-04 03:45 177152 c:\windows\system32\dllcache\mqrt.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 177152 c:\windows\system32\dllcache\mqrt.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 661504 c:\windows\system32\dllcache\mqqm.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 225280 c:\windows\system32\dllcache\mqoa.dll

- 2004-08-04 03:45 . 2004-08-04 03:45 225280 c:\windows\system32\dllcache\mqoa.dll

+ 2004-08-04 03:45 . 2009-06-25 18:36 138240 c:\windows\system32\dllcache\mqad.dll

- 2004-08-04 03:45 . 2004-08-04 03:45 138240 c:\windows\system32\dllcache\mqad.dll

+ 2004-08-04 03:45 . 2009-06-25 08:46 727040 c:\windows\system32\dllcache\lsasrv.dll

+ 2004-08-04 03:45 . 2009-06-25 08:46 298496 c:\windows\system32\dllcache\kerberos.dll

+ 2004-08-04 03:45 . 2009-06-22 06:48 726528 c:\windows\system32\dllcache\jscript.dll

- 2004-08-04 03:45 . 2009-03-08 06:33 726528 c:\windows\system32\dllcache\jscript.dll

+ 2004-08-04 03:45 . 2008-10-23 13:00 283648 c:\windows\system32\dllcache\gdi32.dll

+ 2011-05-01 03:41 . 2008-07-08 12:58 395128 c:\windows\ie8updates\KB971961-IE8\spuninst\updspapi.dll

+ 2011-05-01 03:41 . 2008-07-08 12:58 233336 c:\windows\ie8updates\KB971961-IE8\spuninst\spuninst.exe

+ 2011-05-01 03:41 . 2009-03-08 06:33 726528 c:\windows\ie8updates\KB971961-IE8\jscript.dll

+ 2007-02-23 02:41 . 2007-02-23 02:41 304544 c:\windows\Downloaded Program Files\MessengerStatsPAClient.dll

+ 2011-05-01 03:41 . 2009-05-26 11:40 395128 c:\windows\$hf_mig$\KB978706\update\updspapi.dll

+ 2011-05-01 03:41 . 2009-05-26 11:40 760696 c:\windows\$hf_mig$\KB978706\update\update.exe

+ 2011-05-01 03:41 . 2009-05-26 11:40 233336 c:\windows\$hf_mig$\KB978706\spuninst.exe

+ 2009-12-17 07:38 . 2009-12-17 07:38 345600 c:\windows\$hf_mig$\KB978706\SP3QFE\mspaint.exe

+ 2009-12-17 07:41 . 2009-12-17 07:41 345600 c:\windows\$hf_mig$\KB978706\SP3GDR\mspaint.exe

+ 2009-12-17 07:52 . 2009-12-17 07:52 345600 c:\windows\$hf_mig$\KB978706\SP2QFE\mspaint.exe

+ 2011-05-01 03:41 . 2009-05-26 11:40 395128 c:\windows\$hf_mig$\KB975562\update\updspapi.dll

+ 2011-05-01 03:41 . 2009-05-26 11:40 760696 c:\windows\$hf_mig$\KB975562\update\update.exe

+ 2011-05-01 03:41 . 2008-07-08 12:58 233336 c:\windows\$hf_mig$\KB975562\spuninst.exe

+ 2011-05-01 03:40 . 2009-05-26 11:40 395128 c:\windows\$hf_mig$\KB975467\update\updspapi.dll

+ 2011-05-01 03:40 . 2009-05-26 11:40 760696 c:\windows\$hf_mig$\KB975467\update\update.exe

+ 2011-05-01 03:40 . 2008-07-08 12:58 233336 c:\windows\$hf_mig$\KB975467\spuninst.exe

+ 2009-09-11 14:15 . 2009-09-11 14:15 136704 c:\windows\$hf_mig$\KB975467\SP3QFE\msv1_0.dll

+ 2009-09-11 14:19 . 2009-09-11 14:19 136192 c:\windows\$hf_mig$\KB975467\SP3GDR\msv1_0.dll

+ 2009-02-06 18:46 . 2009-02-06 18:46 408064 c:\windows\$hf_mig$\KB975467\SP2QFE\netlogon.dll

+ 2009-09-11 14:13 . 2009-09-11 14:13 136192 c:\windows\$hf_mig$\KB975467\SP2QFE\msv1_0.dll

+ 2011-05-01 03:39 . 2009-05-26 11:40 395128 c:\windows\$hf_mig$\KB968389\update\updspapi.dll

+ 2011-05-01 03:39 . 2009-05-26 11:40 760696 c:\windows\$hf_mig$\KB968389\update\update.exe

+ 2011-05-01 03:39 . 2008-07-08 12:58 233336 c:\windows\$hf_mig$\KB968389\spuninst.exe

+ 2009-06-25 08:41 . 2009-06-25 08:41 147456 c:\windows\$hf_mig$\KB968389\SP3QFE\schannel.dll

+ 2009-06-25 08:41 . 2009-06-25 08:41 136704 c:\windows\$hf_mig$\KB968389\SP3QFE\msv1_0.dll

+ 2009-06-26 09:41 . 2009-06-26 09:41 732672 c:\windows\$hf_mig$\KB968389\SP3QFE\lsasrv.dll

+ 2009-06-25 08:41 . 2009-06-25 08:41 301568 c:\windows\$hf_mig$\KB968389\SP3QFE\kerberos.dll

+ 2009-06-25 08:27 . 2009-06-25 08:27 147456 c:\windows\$hf_mig$\KB968389\SP3GDR\schannel.dll

+ 2009-06-25 08:27 . 2009-06-25 08:27 136192 c:\windows\$hf_mig$\KB968389\SP3GDR\msv1_0.dll

+ 2009-06-25 08:27 . 2009-06-25 08:27 732672 c:\windows\$hf_mig$\KB968389\SP3GDR\lsasrv.dll

+ 2009-06-25 08:27 . 2009-06-25 08:27 301568 c:\windows\$hf_mig$\KB968389\SP3GDR\kerberos.dll

+ 2009-06-25 08:18 . 2009-06-25 08:18 168448 c:\windows\$hf_mig$\KB968389\SP2QFE\schannel.dll

+ 2009-02-06 18:46 . 2009-02-06 18:46 408064 c:\windows\$hf_mig$\KB968389\SP2QFE\netlogon.dll

+ 2009-06-25 08:18 . 2009-06-25 08:18 136192 c:\windows\$hf_mig$\KB968389\SP2QFE\msv1_0.dll

+ 2009-06-25 08:18 . 2009-06-25 08:18 732160 c:\windows\$hf_mig$\KB968389\SP2QFE\lsasrv.dll

+ 2009-06-25 08:18 . 2009-06-25 08:18 301568 c:\windows\$hf_mig$\KB968389\SP2QFE\kerberos.dll

+ 2011-05-01 03:41 . 2007-11-30 12:39 395128 c:\windows\$hf_mig$\KB960803\update\updspapi.dll

+ 2011-05-01 03:41 . 2007-11-30 12:39 760696 c:\windows\$hf_mig$\KB960803\update\update.exe

+ 2011-05-01 03:41 . 2007-11-30 12:39 233336 c:\windows\$hf_mig$\KB960803\spuninst.exe

+ 2008-12-16 12:23 . 2008-12-16 12:23 354304 c:\windows\$hf_mig$\KB960803\SP3QFE\winhttp.dll

+ 2008-12-16 12:31 . 2008-12-16 12:31 354304 c:\windows\$hf_mig$\KB960803\SP3GDR\winhttp.dll

+ 2008-12-16 12:39 . 2008-12-16 12:39 354304 c:\windows\$hf_mig$\KB960803\SP2QFE\winhttp.dll

+ 2004-08-04 03:45 . 2010-02-16 09:27 4734976 c:\windows\system32\wmp.dll

+ 2004-08-04 03:45 . 2010-02-05 18:40 1295872 c:\windows\system32\quartz.dll

+ 2004-08-04 03:45 . 2010-02-16 09:27 4734976 c:\windows\system32\dllcache\wmp.dll

+ 2004-08-04 03:45 . 2010-02-05 18:40 1295872 c:\windows\system32\dllcache\quartz.dll

+ 2010-02-05 18:28 . 2010-02-05 18:28 1296384 c:\windows\$hf_mig$\KB975562\SP3QFE\quartz.dll

+ 2010-02-05 18:26 . 2010-02-05 18:26 1296384 c:\windows\$hf_mig$\KB975562\SP3GDR\quartz.dll

+ 2010-02-05 18:24 . 2010-02-05 18:24 1296384 c:\windows\$hf_mig$\KB975562\SP2QFE\quartz.dll

.

-- Snapshot resetado para data atual --

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"VTTimer"="VTTimer.exe" [2005-03-07 53248]

"VTTrayp"="VTtrayp.exe" [2005-03-11 147456]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-01-30 35736]

"Adobe ARM"="c:\arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]

"GrooveMonitor"="c:\arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"HP Software Update"="c:\arquivos de programas\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]

"avgnt"="c:\arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" [2011-03-04 281768]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

.

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

AudioDeck.lnk - c:\arquivos de programas\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe [2011-1-17 581632]

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcstart.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

.

R2 AntiVirSchedulerService;Avira AntiVir Agendamento;c:\arquivos de programas\Avira\AntiVir Desktop\sched.exe [1/4/2011 18:12 135336]

S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]

S3 Vsp;Vsp;c:\windows\system32\drivers\vsp.sys [17/1/2011 21:20 3351]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

.

Conteúdo da pasta 'Tarefas Agendadas'

.

2011-04-30 c:\windows\Tasks\WebReg HP Photosmart C4400 series.job

- c:\arquivos de programas\HP\Digital Imaging\bin\hpqwrg.exe [2007-10-14 22:40]

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.google.com.br/

uInternet Connection Wizard,ShellNext = iexplore

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MI1933~1\Office12\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\arquivos de programas\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html

TCP: {56F8B7A6-EB07-40AC-B7AC-71CFFB9A6A32} = 200.222.0.34 200.202.193.75

FF - ProfilePath - c:\documents and settings\Mary\Dados de aplicativos\Mozilla\Firefox\Profiles\l0azv6o9.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.com.br/

FF - prefs.js: network.proxy.type - 0

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2011-05-01 14:50

Windows 5.1.2600 Service Pack 2 NTFS

.

Procurando processos ocultos ...

.

Procurando entradas auto inicializáveis ocultas ...

.

Procurando ficheiros/arquivos ocultos ...

.

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

.

**************************************************************************

.

--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

.

- - - - - - - > 'explorer.exe'(1100)

c:\windows\system32\ieframe.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\msi.dll

.

Tempo para conclusão: 2011-05-01 14:53:42

ComboFix-quarantined-files.txt 2011-05-01 17:53

ComboFix2.txt 2011-04-29 21:32

ComboFix3.txt 2011-04-29 01:32

.

Pré-execução: 7 pasta(s) 33.604.603.904 bytes disponíveis

Pós execução: 8 pasta(s) 33.625.395.200 bytes disponíveis

.

- - End Of File - - CE459E1CC568798B17C18C3C559999C0

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos Tópicos Resolvidos (Seguranca & Malwares)
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito