[Resolvido]Erro: Generic Host Process For Win 32

[kuroi]

não sei qual é secao mais indicada pra essa duvida, fiquei em duvida entre aqui e Outros Assuntos, mas acho que se encaxa melhor aqui.

é o seguinte, acho que esse erro é relacionado com o speedy. de tempos em tempos no meu pc aparece a seguinte janela de erro:

tem que vez que não aparece uma o dia intero. mas tem dia que eu saio de casa e quando volto tem mais de 10 dessas abertas.

o problema maior é que quando eu clico não enviar, a conexao com o speedy cai. tipo, o icone da conexao continua ativa e diz que esta conectado. mas ele não carrega mais nd, e se eu tentar desconectar e conectar de novo, ele não conecta, tenhjo que reiniciar o pc.

a solucao que eu arranjei é puxar a janelinha pro canto do monitor onde ela some, mas é um saco, ficam mais de 10 janelas abertas e não para de aparecer.

me falaram que isso acontece porque uso a conexao do speedy que vem do cd. tipo é um software que instalo que conecta na internet. e que eu deveria criar a conexao direto pelo windows no painel de controle e, conectando por ai, o problema seria resolvido.

fiz isso mas não resolveu, alguém sabe o que pode ser?

EDITADO:

talvez isso ajude, na janela anterior, se clico em "Clique Aqui" ele abre essa outra janela:

parece que esse problema esta relacionado com o processo svchost.exe, que alias também tem varios desses rodando no meu windows. o que ele faz??

EDITADO DE NOVO:

esquci de dizer, mas as vezes também aparece essa janelinha aqui:

apesar de ser muito mais rara que a primeira, também aparece bastante. e também se eu clico qualquer botao nela ou se clico pra fechar, ele abre uma janela do Visual Studio 2005 (que tenho insttalado no pc) pra eu debugar o erro. se fecho essa janela do vs, a conexao também cai exatamente como acima.

Editado Julho 17, 2007 por kuroi

[kuroi]

o que é exatamente isso que vou fazer?? qual o problema com o bittorrent??

[RenatoMejias]

O Trojan Zonebac, copia arquivos legítmos para pastas baks e coloca no lugar um arquivo com o mesmo nome porém de tamanho diferente na pasta raiz, assim o antivírus fica acusando algo em arquivos que você sabe que é legítimo. No seu log mostrou que há alguns arquivos nas pasta bak, porém o bittorrent encontrou um arquivo pai, significa que ele não foi infectado. Portanto não há necessidade de mover ele.

Siga com os procedimentos.

[kuroi]

a ta, valeu.

move-zoneback.txt

RENOMEADOR DE BAKS

Restaura arquivos de backup do Trojan.Zonebac

©2007 Linha Defensiva | http://www.linhadefensiva.org

Backups: C:\bak-backups2-08-2007 23-29

-----------------------------------------------------------------------

Chaves do Registro:

HKLM\..\Run: [avast!]C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

HKCU\..\Run: [MSMSGS] C:\Arquivos de programas\Messenger\msmsgs.exe /background

HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe

HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

HKCU\..\Run: [eMuleAutoStart] C:\Arquivos de programas\eMule\emule.exe -AutoStart

Procurando: C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

--> Tamanho: 75392

--> Pasta BAK não encontrada

Procurando: C:\WINDOWS\system32\NvCpl.dll

--> Tamanho: 7311360

--> Pasta BAK não encontrada

Procurando: C:\Arquivos de programas\Messenger\msmsgs.exe

--> Tamanho: 1667584

--> Pasta BAK não encontrada

Procurando: C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe

--> Tamanho: 90112

--> Pasta BAK não encontrada

Procurando: C:\WINDOWS\system32\ctfmon.exe

--> Tamanho: 15360

--> Pasta BAK não encontrada

Procurando: C:\Arquivos de programas\eMule\emule.exe

--> Tamanho: 5001216

--> Pasta BAK não encontrada

Pastas BAK Restantes:

C:\Arquivos de programas\BitTorrent\bak - 43008 bytes

--> bittorrent.exe - 43008 bytes [ Encontrado pai: 01/03/2007 20:11:22 ]

hijackthis.log

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:31:13, on 02/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Punk\ScreenMates\MULTISP.EXE

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\Programas\Wamp\wampmanager.exe

C:\Arquivos de programas\WorldCommunityGrid\UD.EXE

c:\Programas\Wamp\apache2\bin\httpd.exe

C:\Arquivos de programas\WorldCommunityGrid\ud_10245647.exe

C:\WINDOWS\System32\svchost.exe

C:\Programas\Wamp\apache2\bin\httpd.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\WorldCommunityGrid\ud_10245647_0.dir\wcg_hpf2_rosetta.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\notepad.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://m.busca.uol.com.br/ie/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://plyrics.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://farejador.ig.com.br/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://farejador.ig.com.br

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R3 - URLSearchHook: CUOLSearchHook Object - {1FE8243E-0A3A-41B9-B9CE-EFFEE51974D3} - C:\Arquivos de programas\Arquivos comuns\uol\urlsearch\UOLSearchHook.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [avast!]C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Arquivos de programas\eMule\emule.exe -AutoStart

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: MULTISP.lnk = C:\Punk\ScreenMates\MULTISP.EXE

O4 - Startup: Speedy.lnk = ?

O4 - Startup: WampServer.lnk = C:\Programas\Wamp\wampmanager.exe

O4 - Startup: World Community Grid Agent.lnk = C:\Arquivos de programas\WorldCommunityGrid\UD.EXE

O4 - Global Startup: Acrobat Assistant.lnk = C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.MSN.com/binary/Messe...nt.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{75A911B0-4E04-4FF4-8B24-74AEAD63DBA2}: NameServer = 85.255.116.121 85.255.112.69

O20 - AppInit_DLLs:

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: wampapache - Apache Software Foundation - c:\Programas\Wamp\apache2\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

--

End of file - 6622 bytes

[kuroi]

ou renato, tive um pau no media player e ai fiz a restauracao do sistema pro dia 1. ai então fiz de novo todo o procedimento do ultimo post.

move-zonebac.txt

RENOMEADOR DE BAKS

Restaura arquivos de backup do Trojan.Zonebac

©2007 Linha Defensiva | http://www.linhadefensiva.org

Backups: C:\bak-backups3-08-2007 20-45

-----------------------------------------------------------------------

Chaves do Registro:

HKLM\..\Run: [avast!]C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

HKCU\..\Run: [MSMSGS] C:\Arquivos de programas\Messenger\msmsgs.exe /background

HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe

HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

HKCU\..\Run: [eMuleAutoStart] C:\Arquivos de programas\eMule\emule.exe -AutoStart

Procurando: C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

--> Tamanho: 75392

--> Pasta BAK não encontrada

Procurando: C:\WINDOWS\system32\NvCpl.dll

--> Tamanho: 7311360

--> Pasta BAK não encontrada

Procurando: C:\Arquivos de programas\Messenger\msmsgs.exe

--> Tamanho: 1667584

--> Pasta BAK não encontrada

Procurando: C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe

--> Tamanho: 90112

--> Pasta BAK não encontrada

Procurando: C:\WINDOWS\system32\ctfmon.exe

--> Tamanho: 15360

--> Pasta BAK não encontrada

Procurando: C:\Arquivos de programas\eMule\emule.exe

--> Tamanho: 5001216

--> Pasta BAK não encontrada

Pastas BAK Restantes:

C:\Arquivos de programas\BitTorrent\bak - 43008 bytes

--> bittorrent.exe - 43008 bytes [ Encontrado pai: 01/03/2007 20:11:22 ]

hijackthis.log

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:47:57, on 03/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe

C:\Arquivos de programas\eMule\emule.exe

C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Punk\ScreenMates\MULTISP.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\Programas\Wamp\wampmanager.exe

C:\Arquivos de programas\WorldCommunityGrid\UD.EXE

c:\Programas\Wamp\apache2\bin\httpd.exe

C:\Arquivos de programas\WorldCommunityGrid\ud_10245647.exe

C:\WINDOWS\System32\svchost.exe

C:\Programas\Wamp\apache2\bin\httpd.exe

C:\Arquivos de programas\WorldCommunityGrid\ud_10245647_0.dir\wcg_hpf2_rosetta.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\notepad.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://m.busca.uol.com.br/ie/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://plyrics.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://farejador.ig.com.br/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://farejador.ig.com.br

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R3 - URLSearchHook: CUOLSearchHook Object - {1FE8243E-0A3A-41B9-B9CE-EFFEE51974D3} - C:\Arquivos de programas\Arquivos comuns\uol\urlsearch\UOLSearchHook.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [avast!]C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Arquivos de programas\eMule\emule.exe -AutoStart

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: MULTISP.lnk = C:\Punk\ScreenMates\MULTISP.EXE

O4 - Startup: Speedy.lnk = ?

O4 - Startup: WampServer.lnk = C:\Programas\Wamp\wampmanager.exe

O4 - Startup: World Community Grid Agent.lnk = C:\Arquivos de programas\WorldCommunityGrid\UD.EXE

O4 - Global Startup: Acrobat Assistant.lnk = C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.MSN.com/binary/Messe...nt.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{75A911B0-4E04-4FF4-8B24-74AEAD63DBA2}: NameServer = 85.255.116.121 85.255.112.69

O20 - AppInit_DLLs:

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: wampapache - Apache Software Foundation - c:\Programas\Wamp\apache2\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

--

End of file - 6566 bytes

[RenatoMejias]

Rode o move-zonebac.vbs e irá aparecer um prompt "Mover arquivos detectados genericamente?" [sim/Não]

Dê o Sim e depois OK.

Baixe o DelDomains

Baixe o ResetProtocolDefaults

Reinicie o PC e aperte F8 intermitentemente. No menu escolha: modo seguro.

Clique com o botão direito em cima do DelDomains.inf e escolha: Instalar. Não irá notar nada acontecer, mas é normal.

Dê um duplo-clique no ResetProtocolDefaults.reg e aceite a incorporação ao registro.

Delete a pasta bak-backups que está em C:\

Reinicie.

Provavelmente há um trojan DNS Changer ainda, vamos fazer um scan online para encontrar-lo.

Faça um Online Scan em kaspersky Virusscanner

• Clique em
• Quando questionando para instalar o componente ActiveX, clique em
• Aguarde a instalação e a actualização e depois clique em
• Clique agora em
• Nas opções do scan (settings), certifique-se que as entradas abaixo estão selecionadas:
  • Scan using the following Anti-Virus database:
  Extended (if available otherwise Standard)

• Scan Options:

Scan Archives

Scan Mail Bases

Clique Clique em My Computer para que seja feito um Scan completo no seu Sistema.Será iniciado o scan e poderá demorar um pouco. Seja paciente e aguarde.No final do Scan, clique no botão Save as TextSalve o log com os resultados e poste-ona sua próxima resposta.Gere e cole também um novo log do HijackThis.Obs: faça o scan com o Internet Explorer.

[kuroi]

log do kaspersky:

-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER REPORT

Sunday, August 05, 2007 11:44:13 AM

Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner version: 5.0.83.0

Kaspersky Anti-Virus database last update: 5/08/2007

Kaspersky Anti-Virus database records: 373014

-------------------------------------------------------------------------------

Scan Settings:

Scan using the following antivirus database: extended

Scan Archives: true

Scan Mail Bases: true

Scan Target - My Computer:

A:\

C:\

D:\

Scan Statistics:

Total number of scanned objects: 127681

Number of viruses found: 12

Number of infected objects: 29 / 0

Number of suspicious objects: 0

Duration of the scan process: 05:14:03

Infected Object Name / Virus Name / Last Action

C:\Arquivos de programas\Alwil Software\Avast4\DATA\aswResp.dat Object is locked skipped

C:\Arquivos de programas\Alwil Software\Avast4\DATA\Avast4.db Object is locked skipped

C:\Arquivos de programas\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked skipped

C:\Arquivos de programas\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked skipped

C:\Arquivos de programas\Alwil Software\Avast4\DATA\log\nshield.log Object is locked skipped

C:\Arquivos de programas\Alwil Software\Avast4\DATA\report\Proteção residente.txt Object is locked skipped

C:\Arquivos de programas\Microsoft SQL Server\MSSQL.1\MSSQL\Data\master.mdf Object is locked skipped

C:\Arquivos de programas\Microsoft SQL Server\MSSQL.1\MSSQL\Data\mastlog.ldf Object is locked skipped

C:\Arquivos de programas\Microsoft SQL Server\MSSQL.1\MSSQL\Data\model.mdf Object is locked skipped

C:\Arquivos de programas\Microsoft SQL Server\MSSQL.1\MSSQL\Data\modellog.ldf Object is locked skipped

C:\Arquivos de programas\Microsoft SQL Server\MSSQL.1\MSSQL\Data\msdbdata.mdf Object is locked skipped

C:\Arquivos de programas\Microsoft SQL Server\MSSQL.1\MSSQL\Data\msdblog.ldf Object is locked skipped

C:\Arquivos de programas\Microsoft SQL Server\MSSQL.1\MSSQL\Data\tempdb.mdf Object is locked skipped

C:\Arquivos de programas\Microsoft SQL Server\MSSQL.1\MSSQL\Data\templog.ldf Object is locked skipped

C:\Arquivos de programas\Microsoft SQL Server\MSSQL.1\MSSQL\LOG\ERRORLOG Object is locked skipped

C:\Arquivos de programas\Microsoft SQL Server\MSSQL.1\MSSQL\LOG\log_807.trc Object is locked skipped

C:\Arquivos de programas\SnadBoy's Revelation v2\Revelation.exe Infected: not-a-virus:PSWTool.Win32.SnadBoy.2011 skipped

C:\Arquivos de programas\SnadBoy's Revelation v2\RevelationHelper.dll Infected: not-a-virus:PSWTool.Win32.SnadBoy.2011 skipped

C:\CD\CDRW\ctrlremoto.zip/Server/Test Infected: Backdoor.Win32.VB.hu skipped

C:\CD\CDRW\ctrlremoto.zip ZIP: infected - 1 skipped

C:\Documents and Settings\All Users\Dados de aplicativos\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped

C:\Documents and Settings\All Users\Dados de aplicativos\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped

C:\Documents and Settings\LocalService\Configurações locais\Dados de aplicativos\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\LocalService\Configurações locais\Dados de aplicativos\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\Configurações locais\Histórico\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Configurações locais\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\Microsoft\Configurações locais\Dados de aplicativos\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\Microsoft\Configurações locais\Dados de aplicativos\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\Microsoft\Configurações locais\Histórico\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Microsoft\Configurações locais\Histórico\History.IE5\MSHist012007080520070806\index.dat Object is locked skipped

C:\Documents and Settings\Microsoft\Configurações locais\Temp\~DF7389.tmp Object is locked skipped

C:\Documents and Settings\Microsoft\Configurações locais\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Microsoft\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\Microsoft\Dados de aplicativos\BitTorrent\bittorrent.log Object is locked skipped

C:\Documents and Settings\Microsoft\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\Microsoft\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\Microsoft\UserData\index.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Configurações locais\Dados de aplicativos\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Configurações locais\Dados de aplicativos\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\Configurações locais\Histórico\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Configurações locais\Temp\Perflib_Perfdata_160.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Configurações locais\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

C:\Instaladores\RevelationV2.exe/WISE0012.BIN Infected: not-a-virus:PSWTool.Win32.SnadBoy.2011 skipped

C:\Instaladores\RevelationV2.exe/WISE0013.BIN Infected: not-a-virus:PSWTool.Win32.SnadBoy.2011 skipped

C:\Instaladores\RevelationV2.exe WiseSFX: infected - 2 skipped

C:\Instaladores\RevelationV2.zip/SetupRevelationV2.exe/WISE0012.BIN Infected: not-a-virus:PSWTool.Win32.SnadBoy.2011 skipped

C:\Instaladores\RevelationV2.zip/SetupRevelationV2.exe/WISE0013.BIN Infected: not-a-virus:PSWTool.Win32.SnadBoy.2011 skipped

C:\Instaladores\RevelationV2.zip/SetupRevelationV2.exe Infected: not-a-virus:PSWTool.Win32.SnadBoy.2011 skipped

C:\Instaladores\RevelationV2.zip ZIP: infected - 3 skipped

C:\Programas\Wamp\logs\access.log Object is locked skipped

C:\Programas\Wamp\logs\apache_error.log Object is locked skipped

C:\Programas\Wamp\logs\mysql_error.log Object is locked skipped

C:\Programas\Wamp\mysql\data\ibdata1 Object is locked skipped

C:\Programas\Wamp\mysql\data\ib_logfile0 Object is locked skipped

C:\Programas\Wamp\mysql\data\ib_logfile1 Object is locked skipped

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

C:\System Volume Information\_restore{E1398412-379D-4CE3-BEFF-6744051889AF}\RP327\A0070334.exe Infected: Trojan-Spy.Win32.Banker.ciy skipped

C:\System Volume Information\_restore{E1398412-379D-4CE3-BEFF-6744051889AF}\RP328\A0070461.exe Infected: Trojan-Clicker.Win32.Agent.jh skipped

C:\System Volume Information\_restore{E1398412-379D-4CE3-BEFF-6744051889AF}\RP328\A0070481.exe Infected: Trojan-Spy.Win32.Banker.ciy skipped

C:\System Volume Information\_restore{E1398412-379D-4CE3-BEFF-6744051889AF}\RP328\A0070499.exe Infected: Trojan-PSW.Win32.Delf.que skipped

C:\System Volume Information\_restore{E1398412-379D-4CE3-BEFF-6744051889AF}\RP350\A0073933.exe Infected: Virus.Win32.Agent.ab skipped

C:\System Volume Information\_restore{E1398412-379D-4CE3-BEFF-6744051889AF}\RP358\A0077503.exe Infected: Backdoor.Win32.VB.kb skipped

C:\System Volume Information\_restore{E1398412-379D-4CE3-BEFF-6744051889AF}\RP366\A0082135.exe Infected: Trojan.Win32.DNSChanger.hd skipped

C:\System Volume Information\_restore{E1398412-379D-4CE3-BEFF-6744051889AF}\RP366\A0082151.exe Infected: Trojan-Spy.Win32.Banker.ciy skipped

C:\System Volume Information\_restore{E1398412-379D-4CE3-BEFF-6744051889AF}\RP379\change.log Object is locked skipped

C:\Temas\167540.exe/WISE0017.BIN Infected: not-a-virus:AdWare.Win32.NewDotNet skipped

C:\Temas\167540.exe/WISE0019.BIN Infected: not-a-virus:AdTool.Win32.WhenU.a skipped

C:\Temas\167540.exe/WISE0024.BIN Infected: not-a-virus:AdWare.Win32.Relevant.a skipped

C:\Temas\167540.exe WiseSFX: infected - 3 skipped

C:\Temas\167540.exe WiseSFX Dropper: infected - 3 skipped

C:\Temas\akira98_tt.exe/WISE0017.BIN Infected: Trojan-Downloader.Win32.Small.bke skipped

C:\Temas\akira98_tt.exe/WISE0018.BIN Infected: not-a-virus:AdWare.Win32.NewDotNet skipped

C:\Temas\akira98_tt.exe WiseSFX: infected - 2 skipped

C:\Temas\akira98_tt.exe WiseSFX Dropper: infected - 2 skipped

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped

C:\WINDOWS\Sti_Trace.log Object is locked skipped

C:\WINDOWS\system32\config\Antivirus.Evt Object is locked skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\default Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\software Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\system Object is locked skipped

C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\h323log.txt Object is locked skipped

C:\WINDOWS\system32\hyjco.exe Infected: Trojan.Win32.DNSChanger.hd skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped

C:\WINDOWS\Temp\ib2 Object is locked skipped

C:\WINDOWS\Temp\ib3 Object is locked skipped

C:\WINDOWS\Temp\ib4 Object is locked skipped

C:\WINDOWS\Temp\ib7 Object is locked skipped

C:\WINDOWS\Temp\ib8 Object is locked skipped

C:\WINDOWS\Temp\Perflib_Perfdata_4d8.dat Object is locked skipped

C:\WINDOWS\Temp\_avast4_\Webshlock.txt Object is locked skipped

C:\WINDOWS\wiadebug.log Object is locked skipped

C:\WINDOWS\wiaservc.log Object is locked skipped

C:\WINDOWS\WindowsUpdate.log Object is locked skipped

Scan process completed.

hijackthis.log

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:07:10, on 05/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe

C:\Arquivos de programas\eMule\emule.exe

C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Punk\ScreenMates\MULTISP.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\Programas\Wamp\wampmanager.exe

C:\Arquivos de programas\WorldCommunityGrid\UD.EXE

c:\Programas\Wamp\apache2\bin\httpd.exe

C:\Arquivos de programas\WorldCommunityGrid\ud_8401401.exe

C:\Arquivos de programas\WorldCommunityGrid\ud_8401401_0.dir\WCGrid_AutoDock.exe

C:\WINDOWS\System32\svchost.exe

C:\Programas\Wamp\apache2\bin\httpd.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://m.busca.uol.com.br/ie/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://plyrics.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://farejador.ig.com.br/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://farejador.ig.com.br

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R3 - URLSearchHook: CUOLSearchHook Object - {1FE8243E-0A3A-41B9-B9CE-EFFEE51974D3} - C:\Arquivos de programas\Arquivos comuns\uol\urlsearch\UOLSearchHook.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Arquivos de programas\eMule\emule.exe -AutoStart

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: MULTISP.lnk = C:\Punk\ScreenMates\MULTISP.EXE

O4 - Startup: Speedy.lnk = ?

O4 - Startup: WampServer.lnk = C:\Programas\Wamp\wampmanager.exe

O4 - Startup: World Community Grid Agent.lnk = C:\Arquivos de programas\WorldCommunityGrid\UD.EXE

O4 - Global Startup: Acrobat Assistant.lnk = C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...can_unicode.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.MSN.com/binary/Messe...nt.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{75A911B0-4E04-4FF4-8B24-74AEAD63DBA2}: NameServer = 85.255.116.121 85.255.112.69

O20 - AppInit_DLLs:

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: wampapache - Apache Software Foundation - c:\Programas\Wamp\apache2\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

--

End of file - 6709 bytes

[RenatoMejias]

Finalmente encontramos o DNS Changer. Bem, vamos lá, no log consta algumas entradas que apesar de não serem consideradas malwares, elas são suspeitas. Por isso recomendo que você delete-as:

Abra o Bloco de Notas, copie estas linhas e salve.

C:\Arquivos de programas\SnadBoy's Revelation v2\Revelation.exe

C:\Arquivos de programas\SnadBoy's Revelation v2\RevelationHelper.dll

C:\CD\CDRW\ctrlremoto.zip

C:\Instaladores\RevelationV2.exe

C:\Instaladores\RevelationV2.zip

C:\Temas\167540.exe

C:\Temas\akira98_tt.exe

C:\WINDOWS\system32\hyjco.exe

Abra o KillBox e marque a função Delete on Reboot. Abra o Bloco de notas, selecione e copie as linhas salvas. No KillBox, clique em File, depois em Paste from Clipboard, Clique no botão All Files e clique no botão . Depois clique em Não.

Reincie normalmente.

Reinicie em Modo de Segurança (Pressione intermitentemente F8 durante a inicialização, no menu que aparecer escolha através da seta de navegação, Modo Seguro).

Abra o Hijackthis, clique em Do scan a system only, marque as entradas abaixo e clique no botão Fix Checked.

O17 - HKLM\System\CCS\Services\Tcpip\..\{75A911B0-4E04-4FF4-8B24-74AEAD63DBA2}: NameServer = 85.255.116.121 85.255.112.69

Reinicie e poste um novo Log do Hijackthis feito em Modo Normal.

[kuroi]

opa, então renato, como eu disse antes a chave do 017 não aparece mais em modo de seguranca. ela so aparece em modo normal e so depois que eu conectar o speedy. então, eu pus fix checked em modo normal mesmo, mas depois reinicei de novo e quando fiz outro log ele tava la ainda.

quando ao controle remoto é um codigo fonte vb que eu baixei que nem lembro mais o que faz, então não apaguei ele com o killbox, acho que não deve ter problema, quando tiver um tempo vo dar uma estudada nele.

mas e quanto a esse monte de virus que o kaspersky disse que esta no volume information?? o dnschanger ta entre eles.

C:\System Volume Information\_restore{E1398412-379D-4CE3-BEFF-6744051889AF}\RP327\A0070334.exe Infected: Trojan-Spy.Win32.Banker.ciy skipped

C:\System Volume Information\_restore{E1398412-379D-4CE3-BEFF-6744051889AF}\RP328\A0070461.exe Infected: Trojan-Clicker.Win32.Agent.jh skipped

C:\System Volume Information\_restore{E1398412-379D-4CE3-BEFF-6744051889AF}\RP328\A0070481.exe Infected: Trojan-Spy.Win32.Banker.ciy skipped

C:\System Volume Information\_restore{E1398412-379D-4CE3-BEFF-6744051889AF}\RP328\A0070499.exe Infected: Trojan-PSW.Win32.Delf.que skipped

C:\System Volume Information\_restore{E1398412-379D-4CE3-BEFF-6744051889AF}\RP350\A0073933.exe Infected: Virus.Win32.Agent.ab skipped

C:\System Volume Information\_restore{E1398412-379D-4CE3-BEFF-6744051889AF}\RP358\A0077503.exe Infected: Backdoor.Win32.VB.kb skipped

C:\System Volume Information\_restore{E1398412-379D-4CE3-BEFF-6744051889AF}\RP366\A0082135.exe Infected: Trojan.Win32.DNSChanger.hd skipped

C:\System Volume Information\_restore{E1398412-379D-4CE3-BEFF-6744051889AF}\RP366\A0082151.exe Infected: Trojan-Spy.Win32.Banker.ciy skipped

C:\System Volume Information\_restore{E1398412-379D-4CE3-BEFF-6744051889AF}\RP379\change.log Object is locked skipped

novo log:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:07:34, on 05/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe

C:\Arquivos de programas\eMule\emule.exe

C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Punk\ScreenMates\MULTISP.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\Programas\Wamp\wampmanager.exe

C:\Arquivos de programas\WorldCommunityGrid\UD.EXE

c:\Programas\Wamp\apache2\bin\httpd.exe

C:\Arquivos de programas\WorldCommunityGrid\ud_8401401.exe

C:\WINDOWS\System32\svchost.exe

C:\Programas\Wamp\apache2\bin\httpd.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\WorldCommunityGrid\ud_8401401_0.dir\WCGrid_AutoDock.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://m.busca.uol.com.br/ie/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://plyrics.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://farejador.ig.com.br/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://farejador.ig.com.br

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R3 - URLSearchHook: CUOLSearchHook Object - {1FE8243E-0A3A-41B9-B9CE-EFFEE51974D3} - C:\Arquivos de programas\Arquivos comuns\uol\urlsearch\UOLSearchHook.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Arquivos de programas\eMule\emule.exe -AutoStart

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: MULTISP.lnk = C:\Punk\ScreenMates\MULTISP.EXE

O4 - Startup: Speedy.lnk = ?

O4 - Startup: WampServer.lnk = C:\Programas\Wamp\wampmanager.exe

O4 - Startup: World Community Grid Agent.lnk = C:\Arquivos de programas\WorldCommunityGrid\UD.EXE

O4 - Global Startup: Acrobat Assistant.lnk = C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...can_unicode.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.MSN.com/binary/Messe...nt.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{75A911B0-4E04-4FF4-8B24-74AEAD63DBA2}: NameServer = 85.255.116.121 85.255.112.69

O20 - AppInit_DLLs:

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: wampapache - Apache Software Foundation - c:\Programas\Wamp\apache2\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

--

End of file - 6903 bytes

EDITADO: a e só pra dexar claro, o hyjco foi apagado sim.

Editado Agosto 6, 2007 por kuroi

[RenatoMejias]

Eu havia deixado algumas tarefas para ver depois, creio que elas reinstaram algum malware.

Baixe o FixWareout.exe e salve na área de trabalho.

Dê um duplo-clique em FixWareout.exe para proceder à instalação. Clique no botão Next e depois em Install.

Verifique se a caixa Run fixit está marcada e depois clique em Finish.

Siga as instruções do programa e quando perguntar se quer reiniciar (restart), dê o Sim.

Vai demorar um pouco para reiniciar e carregar completamente, aguarde. Verifique se há em C:\ um report.txt. Veja o caminho: C:\fixwareout\report.txt.

Faça novamente um novo scan com o ComboFix.

[kuroi]

[RenatoMejias]

Clique com o botão direito em cima do DelDomains.inf e escolha: Instalar. Não irá notar nada acontecer, mas é normal.

Dê um duplo-clique no ResetProtocolDefaults.reg e aceite a incorporação ao registro.

Acesse o Painel de Controle -> Conexões de rede -> escolha a sua conexão: Banda Larga, Dial-up ou Conexão local.

Clique com o botão direito do mouse em cima da conexão, em Propriedades.

Escolha Rede -> Protocolo TCP/IP e clique em Propriedades.

Marque: Obter o endereço dos servidores DNS automaticamente.

Clique em OK em todas as janelas para confirmar as alterações.

Abra o seu Bloco de Notas, copie (control + c) e cole (control + v) todo o texto que está dentro do "Quote":

File::

C:\WINDOWS\tasks\At1.job

C:\WINDOWS\tasks\At10.job

C:\WINDOWS\tasks\At11.job

C:\WINDOWS\tasks\At12.job

C:\WINDOWS\tasks\At13.job

C:\WINDOWS\tasks\At14.job

C:\WINDOWS\tasks\At15.job

C:\WINDOWS\tasks\At16.job

C:\WINDOWS\tasks\At17.job

C:\WINDOWS\tasks\At18.job

C:\WINDOWS\tasks\At19.job

C:\WINDOWS\tasks\At2.job

C:\WINDOWS\tasks\At20.job

C:\WINDOWS\tasks\At21.job

C:\WINDOWS\tasks\At22.job

C:\WINDOWS\tasks\At23.job

C:\WINDOWS\tasks\At24.job

C:\WINDOWS\tasks\At25.job

C:\WINDOWS\tasks\At26.job

C:\WINDOWS\tasks\At27.job

C:\WINDOWS\tasks\At28.job

C:\WINDOWS\tasks\At29.job

C:\WINDOWS\tasks\At3.job

C:\WINDOWS\tasks\At30.job

C:\WINDOWS\tasks\At31.job

C:\WINDOWS\tasks\At32.job

C:\WINDOWS\tasks\At33.job

C:\WINDOWS\tasks\At34.job

C:\WINDOWS\tasks\At35.job

C:\WINDOWS\tasks\At36.job

C:\WINDOWS\tasks\At37.job

C:\WINDOWS\tasks\At38.job

C:\WINDOWS\tasks\At39.job

C:\WINDOWS\tasks\At4.job

C:\WINDOWS\tasks\At40.job

C:\WINDOWS\tasks\At41.job

C:\WINDOWS\tasks\At42.job

C:\WINDOWS\tasks\At43.job

C:\WINDOWS\tasks\At44.job

C:\WINDOWS\tasks\At45.job

C:\WINDOWS\tasks\At46.job

C:\WINDOWS\tasks\At47.job

C:\WINDOWS\tasks\At48.job

C:\WINDOWS\tasks\At5.job

C:\WINDOWS\tasks\At6.job

C:\WINDOWS\tasks\At7.job

C:\WINDOWS\tasks\At8.job

C:\WINDOWS\tasks\At9.job

• Salve este arquivo como: CFScript.txt

  

• Tal como exemplificado na foto acima, arraste o arquivo CFScript.txt para o ComboFix.exe

• Quando a ferramenta terminar de rodar, gerará um log. Anexe esse arquivo C:\ComboFix.txt de acordo com estas instruções.

• Faça também um novo log do HijackThis para colocar na sua resposta.

[kuroi]

ué?? porque tive que anexar??

hijackthis.log

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:30:16, on 07/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\ctfmon.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe

C:\Arquivos de programas\eMule\emule.exe

C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Punk\ScreenMates\MULTISP.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\Programas\Wamp\wampmanager.exe

C:\Arquivos de programas\WorldCommunityGrid\UD.EXE

c:\Programas\Wamp\apache2\bin\httpd.exe

C:\Arquivos de programas\WorldCommunityGrid\ud_8401401.exe

C:\WINDOWS\System32\svchost.exe

C:\Programas\Wamp\apache2\bin\httpd.exe

C:\Arquivos de programas\WorldCommunityGrid\ud_8401401_0.dir\WCGrid_AutoDock.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\explorer.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://plyrics.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://farejador.ig.com.br/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://farejador.ig.com.br

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R3 - URLSearchHook: CUOLSearchHook Object - {1FE8243E-0A3A-41B9-B9CE-EFFEE51974D3} - C:\Arquivos de programas\Arquivos comuns\uol\urlsearch\UOLSearchHook.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [avast!]C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Arquivos de programas\eMule\emule.exe -AutoStart

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: MULTISP.lnk = C:\Punk\ScreenMates\MULTISP.EXE

O4 - Startup: Speedy.lnk = ?

O4 - Startup: WampServer.lnk = C:\Programas\Wamp\wampmanager.exe

O4 - Startup: World Community Grid Agent.lnk = C:\Arquivos de programas\WorldCommunityGrid\UD.EXE

O4 - Global Startup: Acrobat Assistant.lnk = C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...can_unicode.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.MSN.com/binary/Messe...nt.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{75A911B0-4E04-4FF4-8B24-74AEAD63DBA2}: NameServer = 85.255.116.121 85.255.112.69

O20 - AppInit_DLLs:

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: wampapache - Apache Software Foundation - c:\Programas\Wamp\apache2\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

--

End of file - 6710 bytes

EDITADO:

opa, renato, como eu falei da outra vez, aqui eu tava usando a conexao com o speedy que veio do cd, mas quando eu clico em propriedades nela ela não abre nenhuma janela. ai peguei a outra conexao que eu disse que tinha criado na mao e ai fiz o que você falou nela. mas quando fui fazer o scan do hijackthis, esqueci que ainda tava logado na outra.

quando conecto pela conexao que eu fiz na mao, o log é esse:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:46:02, on 07/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe

C:\Arquivos de programas\eMule\emule.exe

C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Punk\ScreenMates\MULTISP.EXE

C:\Programas\Wamp\wampmanager.exe

C:\Arquivos de programas\WorldCommunityGrid\UD.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\WorldCommunityGrid\ud_8401401.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

C:\Arquivos de programas\WorldCommunityGrid\ud_8401401_0.dir\WCGrid_AutoDock.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

c:\Programas\Wamp\apache2\bin\httpd.exe

C:\Programas\Wamp\apache2\bin\httpd.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://plyrics.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://farejador.ig.com.br/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://farejador.ig.com.br

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R3 - URLSearchHook: CUOLSearchHook Object - {1FE8243E-0A3A-41B9-B9CE-EFFEE51974D3} - C:\Arquivos de programas\Arquivos comuns\uol\urlsearch\UOLSearchHook.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [avast!]C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Arquivos de programas\eMule\emule.exe -AutoStart

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: MULTISP.lnk = C:\Punk\ScreenMates\MULTISP.EXE

O4 - Startup: WampServer.lnk = C:\Programas\Wamp\wampmanager.exe

O4 - Startup: World Community Grid Agent.lnk = C:\Arquivos de programas\WorldCommunityGrid\UD.EXE

O4 - Global Startup: Acrobat Assistant.lnk = C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...can_unicode.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.MSN.com/binary/Messe...nt.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{75A911B0-4E04-4FF4-8B24-74AEAD63DBA2}: NameServer = 200.204.0.10 200.204.0.138

O20 - AppInit_DLLs:

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: wampapache - Apache Software Foundation - c:\Programas\Wamp\apache2\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

--

End of file - 6829 bytes

EDITADO DE NOVO:

alias, mesmo conectado com a outra conexao, e aparecer esse ip 200 no hijackthis, problema não resolvido ainda.

ComboFix.txt

Editado Agosto 7, 2007 por kuroi

[RenatoMejias]

Desculpe pelo "anexar", é que uso esse fix também no LinhaDefensiva, ai as vezes esqueço de editar.

Quanto ao IP ser 200 está correto, pois estamos no Brasil. Veja esta lista do Abusar.org:

http://www.abusar.org/dns.html

200.204.0.10

Telefônica

200.204.0.138

O computador ainda apresenta algum problema?

[kuroi]

opa, beleza.

O computador ainda apresenta algum problema?

então... apresenta sim.. esse aqui: http://scriptbrasil.com.br/forum/index.php...st&p=438040

como eu falei... mesmo apesar de conectado no ip 200 a janelinha continua aparecendo... tem mais alguma ideia??

valeu pela ajuda ate aqui.

[RenatoMejias]

Kuroi, instale essas atualizações da MS:

KB894391

KB918899

KB921883

KB925486

Se não resolver, poste um novo log.

[kuroi]

valeu, instalei aqui.

mas é cedo pra falar se deu certo. vamos esperar mais uns dois ou tres dias, ai eu deixo uma resposta aqui.

[RenatoMejias]

Ok, estarei no aguardo.

[kuroi]

a agora sim!! o update do windows deu certo, já faz uns quatro dias que não aparece mais aquele erro.

bom, num entendi direito também, mas parece que no processo todo, também tiramos uns virus do meu pc

então valeu aí pela ajuda e pode fechar o tópico!!

e fala pro anderson que ele é gay!!

valeu!!

[RenatoMejias]

mas parece que no processo todo, também tiramos uns virus do meu pc

"Uns virus"? Na verdade foram vários, hahahaha:

1. WareOut
2. Bankers
3. Zonebac
4. Trojan DNS Changer
5. Uma infecção que ainda não sei a classificação, porém que se agendava para se reinstalar
6. Dialer

Ou seja, foi uma limpeza em massa, :D

e fala pro anderson que ele é gay!!

Se preocupa não, darei o recado. :)

[kuroi]

é, hahah, como eu disse hahaha não entendi direito

valeu

[RenatoMejias]

Mas para finalizar:

Desabilite e Reabilite a Restauração do Sistema: Se você estiver usando Windows ME ou XP então deverá desabilitar e reabilitar a restauração do sistema para não haver infecções nos seus pontos de restauração.

Você poderá encontrar instruções de como habilitar e desabilitar a restauração do sistema aqui:

Windows ME

ou

Windows XP

Depois,

Estes processos limparão todos seus Arquivos Temporários, seus Arquivos Temporários da Internet, e ajudará a manter seu computador seguro. Por favor, siga estes dez procedimentos:

Procedimento 1: Delete seus arquivos temporários

Para limpar seus arquivos temporários, clique em Iniciar > Executar digite %temp% e dê Ok.

Isto deve abrir o diretório temporário que sua máquina usa. Delete todos os arquivos encontrados. Se acusar erro ao deletar algum arquivo ignore-o e delete todos os outros. Se você tiver problemas para deletar algum arquivo, reinicie em Modo Seguro e repita esse procedimento.

Procedimento 2: Delete seus Arquivos Temporários da Internet

Agora abra seu Internet Explorer, clique em Ferramentas > Opções da Internet. Na aba Geral clique no botão Excluir, agora referente aos Arquivos Temporários da Internet clique no botão Excluir Arquivos e espere acabar, pode demorar alguns minutos.

Procedimento 3: Instale um Antivírus

É muito importante que seu computador tenha um antivírus instalado. Ele pode salvar você de terríveis problemas com malwares no futuro.

Entenda como funciona um antivírus

Veja essa lista de Antivírus

Procedimento 4: Atualize seu antivírus

É imperativo que você atualize seu antivírus pelo menos uma vez por semana (ou mais se desejar). Se você não atualizar seu antivírus ele talvez não seja capaz de detectar novas variações que possam surgir.

Procedimento 5: Use um Firewall

Não se precisa detalhar a importância de se ter um firewall instalado. Sem um firewall seu computador estará suscetível a um ataque cracker. Instale um firewall e coloque-o na configuração default (padrão), isto poderá reduzir o risco.

Veja essa lista de firewalls

Procedimento 6: Visite o site do Windows Update regulamente

É muito importante que você visite o site http://www.windowsupdate.com regularmente. Isso garantirá que você sempre estará com as últimas atualizações de segurança instalada no seu computador. Se tiver novas atualizações para instalar, instale-as imediatamente, reinicie seu computador, e entre no site novamente até que não tenham mais atualizações críticas.

Procedimento 7: Instale um AntiSpyware

É muito importante para se manter seguro de programas espiões que podem infectar seu computador.

Veja essa lista de antispywares (em inglês)

Procedimento 8: Instale o CCleaner

O CCleaner é um excelente utilitário de limpeza para o computador, que fará ajudará no desempenho do computador.

Faça o download dele aqui CCleaner

• Abra o programa e clique em Executar Limpeza;
• Após isto, clique em Erros >> Procurar erros >> Corrigir Erros

Procedimento 9: Atualize todos estes programas regularmente

Atualize todos os programas aqui listado regularmente. Sem atualizações regulares você NÃO ESTARÁ protegido quando novos programas maliciosos forem lançados.

Procedimento 10: Seja cauteloso

Grande parte dos problemas relacionados com malwares é por culpa do próprio usuário, na internet precisamos ser cautelosos pode onde navegamos e onde clicamos, na dúvida pergunte, aqui no fórum dispomos de várias seções que podem ajudar-lhe nisso.

Mais algum problema com o computador?

[RenatoMejias]

Caso Resolvido.

Caso o autor queira a reabertura do tópico, envie uma MP com o link para um moderador da seção.