[sungod000]

Oi, meu computador parece ter algum malware que eu descobri quando o meu tio ligado a sua chave USB. Avast escanear encontrado algumas coisas, mas não podia limpar / removê-lo. Defender scan iria congelar após cerca de 7 minutos. MBAM e verificação completa também congelou após cerca de 5 minutos, mas a rápida varredura foi ok. Aqui estão os logs:

Avast:
18/06/2009 11:07:37 AM usuário 3652 Sign of "Win32: Ups [Cryp]" foi encontrado em "D: \ recycler \ S-1-5-21-1214440339-602162358-839522115-1003 \ Dd16 \ Outlook.pst \ Personal Folders \ Top of Personal Folders \ Inbox \ UPS Tracking Number 7124353990 \ UPS_INVOICE_978172.zip \ UPS_INVOICE_9781 72.exe "arquivo.
18/06/2009 11:06:59 AM usuário 3652 Sign of "Win32: Ups [Cryp]" foi encontrado em "D: \ recycler \ S-1-5-21-1214440339-602162358-839522115-1003 \ Dd16 \ Outlook.pst \ Personal Folders \ Top of Personal Folders \ Itens Excluídos \ UPS Tracking Number 7124353990 \ UPS_INVOICE_978172.zip \ UPS_INVOICE_9781 72.exe "arquivo.
18/06/2009 11:06:59 AM usuário 3652 Sign of "Win32: Ups [Cryp]" foi encontrado em "D: \ recycler \ S-1-5-21-1214440339-602162358-839522115-1003 \ Dd16 \ Outlook.pst \ Personal Folders \ Top of Personal Folders \ Itens Excluídos \ UPS Tracking Number 0762005263 \ invoice_8712.zip \ INVOICE_8712.exe "arquivo.
18/06/2009 11:06:58 AM usuário 3652 Sign of "Win32: Agent-AAPS [Trj]" foi encontrado em "D: \ recycler \ S-1-5-21-1214440339-602162358-839522115-1003 \ Dd16 \ Outlook.pst \ Personal Folders \ Top of Personal Folders \ Itens Excluídos \ UPS Tracking Number 3508422599 \ ups_invoice.zip \ ups_invoice.exe "arquivo.
18/06/2009 10:42:55 AM usuário 3652 Sign of "Win32: Trojan-gen (Other)" foi encontrado em "C: \ Documents and Settings \ usuário \ Local Settings \ Application Data \ Microsoft \ Outlook \ Outlookinfo @ fcagroup.com (IMAP)-00000005.pst \ info@fcagroup.com \ Top of Personal Folders \ [Gmail] \ Todos os e-mails \ Really cool fotos \ pussy.zip \ pussy.exe "arquivo.
18/06/2009 10:42:41 AM usuário 3652 Sign of "Win32: Ups [Cryp]" foi encontrado em "C: \ Documents and Settings \ usuário \ Local Settings \ Application Data \ Microsoft \ Outlook \ Outlookinfo @ fcagroup . com (IMAP)-00000005.pst \ info@fcagroup.com \ Top of Personal Folders \ [Gmail] \ Todos os e-mails \ UPS: Seu Tracking # 358010698330 \ PDF76512.zip \ PDF76512.exe "arquivo.
18/06/2009 10:42:41 AM usuário 3652 Sign of "Win32: Ups [Cryp]" foi encontrado em "C: \ Documents and Settings \ usuário \ Local Settings \ Application Data \ Microsoft \ Outlook \ Outlookinfo @ fcagroup . com (IMAP)-00000005.pst \ info@fcagroup.com \ Top of Personal Folders \ [Gmail] \ Todos os e-mails \ UPS: Seu Tracking # 145132932471 \ PDF76512.zip \ PDF76512.exe "arquivo.
18/06/2009 10:42:23 AM usuário 3652 Sign of "Win32: Ups [Cryp]" foi encontrado em "C: \ Documents and Settings \ usuário \ Local Settings \ Application Data \ Microsoft \ Outlook \ Outlookinfo @ fcagroup . com (IMAP)-00000005.pst \ info@fcagroup.com \ Top of Personal Folders \ [Gmail] \ Todos os e-mails \ UPS: Seu Tracking # 239293259082 \ EXL6512721.zip \ EXL6512721.exe "arquivo.
17/06/2009 5:36:18 PM SYSTEM 1328 Sign of "BV: AutoRun-T [Wrm]" foi encontrado em "F: \ Autorun.inf" file.




SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Produzido em 06/19/2009 às 10:43

Aplicação Versão: 4/26/1004

Core Rules Database Version: 3947
Trace Rules Database Version: 1889

Scan type: Complete Scan
Total Scan Time: 00:36:36

Memória itens digitalizados: 631
Memória ameaças detectadas: 0
Secretaria itens digitalizados: 6110
Secretaria ameaças detectadas: 0
Arquivo itens digitalizados: 46796
Arquivo ameaças detectadas: 9

Adware.Tracking Cookie
C: \ Documents and Settings \ \ Cookies \ usuário @ xiti [1]. Txt
C: \ Documents and Settings \ \ Cookies \ usuário @ revsci [2]. Txt
C: \ Documents and Settings \ \ Cookies \ usuário @ tribalfusion [2]. Txt
C: \ Documents and Settings \ \ Cookies \ usuário @ RealMedia [2]. Txt
C: \ Documents and Settings \ \ Cookies \ user@microsoftwindows.112.2o 7 [1]. Txt
C: \ Documents and Settings \ \ Cookies \ user@pandasoftware.112.2o7 [1]. Txt
C: \ Documents and Settings \ \ Cookies \ user@adopt.euroclick [2]. Txt
C: \ Documents and Settings \ \ Cookies \ usuário @ specificclick [2]. Txt
C: \ Documents and Settings \ \ Cookies \ usuário @ 247realmedia [1]. Txt





Malwarebytes' Anti-Malware 1,38
Database version: 2308
5/1/2600 Windows Service Pack 3

19/06/2009 11:01:44 AM
mbam-log-2009-06-19 (11-01-44). txt

Scan type: Quick Scan
Objetos digitalizados: 87063
Tempo decorrido: 2 minuto (s), 24 segundo (s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Valores do Registro infectados: 0
Dados de Registro Items Infected: 0
Pastas infectadas: 0
Arquivos infectados: 0

Memory Processes Infected:
(N º itens maliciosos detectados)

Memory Modules Infected:
(N º itens maliciosos detectados)

Registry Keys Infected:
(N º itens maliciosos detectados)

Valores do Registro infectados:
(N º itens maliciosos detectados)

Dados de Registro Items Infected:
(N º itens maliciosos detectados)

Folders Infected:
(N º itens maliciosos detectados)

Arquivos Infectados:
(N º itens maliciosos detectados)





Logfile da Trend Micro HijackThis v2.0.2
Scan guardado em 11:04:24, em 19/06/2009
Plataforma: Windows XP SP3 (WinNT 5/01/2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Executando processos:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ Services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ Windows Defender \ MsMpEng.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe
C: \ Program Files \ Alwil Software \ Avast4 \ aswUpdSv.exe
C: \ Program Files \ Alwil Software \ Avast4 \ ashServ.exe
C: \ WINDOWS \ system32 \ spoolsv.exe
C: \ WINDOWS \ system32 \ cisvc.exe
C: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe
C: \ Program Files \ Hamachi \ hamachi.exe
C: \ WINDOWS \ system32 \ Cidaemon.exe
C: \ Program Files \ Java \ jre6 \ bin \ jqs.exe
C: \ Program Files \ Common Files \ Microsoft Shared \ VS7DEBUG \ Mdm.exe
C: \ WINDOWS \ system32 \ nvsvc32.exe
C: \ WINDOWS \ Explorer.EXE
C: \ Program Files \ Pervasive Software \ PSQL \ bin \ w3dbsmgr.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ SearchIndexer.exe
C: \ WINDOWS \ system32 \ fxssvc.exe
C: \ Program Files \ Alwil Software \ Avast4 \ ashMaiSv.exe
C: \ Program Files \ Alwil Software \ Avast4 \ ashWebSv.exe
C: \ WINDOWS \ RTHDCPL.EXE
C: \ PROGRA ~ 1 \ ALWILS ~ 1 \ Avast4 \ ashDisp.exe
C: \ Program Files \ Zone Labs \ ZoneAlarm \ zlclient.exe
C: \ WINDOWS \ Samsung \ PanelMgr \ SSMMgr.exe
C: \ WINDOWS \ Twain_32 \ Samsung \ SCX4x28 \ Scan2pc.exe
C: \ Program Files \ Java \ jre6 \ bin \ jusched.exe
C: \ WINDOWS \ system32 \ ctfmon.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ Program Files \ Skype \ Phone \ Skype.exe
C: \ Program Files \ Windows Desktop Search \ WindowsSearch.exe
C: \ Program Files \ Hamachi \ hamachi.exe
C: \ Program Files \ 2BrightSparks \ SyncBack \ SyncBack.exe
C: \ Program Files \ Skype \ Plugin Manager \ skypePM.exe
C: \ WINDOWS \ system32 \ taskmgr.exe
C: \ Program Files \ SUPERAntiSpyware \ SUPERAntiSpyware.exe
C: \ WINDOWS \ system32 \ NOTEPAD.EXE
C: \ Program Files \ Mozilla Firefox \ firefox.exe
C: \ WINDOWS \ system32 \ SearchProtocolHost.exe
C: \ Program Files \ Trend Micro \ HijackThis \ sniper.exe

R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.dhl.ca/ca/wfHomeLoggedIn.aspx
F2 - REG: system.ini: UserInit = C: \ WINDOWS \ system32 \ userinit.exe, userinit. Exe
O1 - Hosts: 66.98.148.65 auto.search.msn.com
O1 - Hosts: 66.98.148.65 auto.search.msn.es
O2 - BHO: Spybot-S & D IE Protection - (53707962-6F74-2D53-2644-206D7942484F) - C: \ PROGRA ~ 1 \ SpyBot ~ 1 \ SDHelper.dll
O2 - BHO: Java (tm) Plug-In 2 SSV Helper - (DBC80044-A445-435b-BC74-9C25C1C588A9) - C: \ Program Files \ Java \ jre6 \ bin \ jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - (E7E6F031-17CE-4C07-BC86-EABFE594F69C) - C: \ Program Files \ Java \ jre6 \ lib \ implantar \ jqs \ IE \ jqs_plugin.dll
O4 - HKLM \ .. \ Run: [NvCplDaemon] RUNDLL32.EXE C: \ WINDOWS \ system32 \ NvCpl.dll, NvStartup
O4 - HKLM \ .. \ Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM \ .. \ Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM \ .. \ Run: [DiskeeperSystray] "C: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkIcon.exe"
O4 - HKLM \ .. \ Run: [avast!] C: \ PROGRA ~ 1 \ ALWILS ~ 1 \ Avast4 \ ashDisp.exe
O4 - HKLM \ .. \ Run: [Windows Defender] "C: \ Program Files \ Windows Defender \ MSASCui.exe"-hide
O4 - HKLM \ .. \ Run: [ZoneAlarm Client] "C: \ Program Files \ Zone Labs \ ZoneAlarm \ zlclient.exe"
O4 - HKLM \ .. \ Run: [Samsung PanelMgr] C: \ WINDOWS \ Samsung \ PanelMgr \ SSMMgr.exe / autorun
O4 - HKLM \ .. \ Run: [4x28 Scan2PC] "C: \ WINDOWS \ Twain_32 \ Samsung \ SCX4x28 \ Scan2pc.e xe"
O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files \ Java \ jre6 \ bin \ jusched.exe"
O4 - HKLM \ .. \ RunOnce: [Malwarebytes' Anti-Malware] C: \ Program Files \ Malwarebytes' Anti-Malware \ mbamgui.exe / instalação / silêncio
O4 - HKCU \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ ctfmon.exe
O4 - HKCU \ .. \ Run: [Skype] "C: \ Program Files \ Skype \ Phone \ Skype.exe" / nosplash / minimizada
O4 - HKUS \ S-1-5-19 \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-20 \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS \ S-1-5-18 \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ CTFMON.EXE (User 'SYSTEM')
O4 - HKUS \. DEFAULT \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ CTFMON.EXE (User 'Default user')
O4 - Startup: hamachi.lnk = C: \ Program Files \ Hamachi \ hamachi.exe
O4 - Startup: Atalho para Mapa Drive.lnk = C: \ Documents and Settings \ \ Desktop \ Mapa Drive.bat
O4 - Startup: SyncBack.lnk = C: \ Program Files \ 2BrightSparks \ SyncBack \ SyncBack.exe
O4 - Global Startup: Windows Search.lnk = C: \ Program Files \ Windows Desktop Search \ WindowsSearch.exe
O8 - Extra context menu item: E & xportar para o Microsoft Excel - res: / / C: \ PROGRA ~ 1 \ MICROS ~ 2 \ OFFICE11 \ EXCEL.EXE/3000
O8 - Extra context menu item: Web Captação - C: \ Program Files \ SmarThru Office \ WebCapture.dll
O9 - Extra button: Research - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ MICROS ~ 2 \ OFFICE11 \ REFIEBAR.DLL
O9 - Extra button: (no name) - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 1 \ SpyBot ~ 1 \ SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 1 \ SpyBot ~ 1 \ SDHelper.dll
O9 - Extra button: (no name) - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @ Xpsp3res.dll, -20001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe
O9 - Extra button: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O16 - DPF: (56762DEC-6B0D-4AB4-A8AD-989993B5D08B) -- http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: (6414512B-B978-451D-A0D8-FCFDF33E833C) (WUWebControl Class) -- http://www.update.microsoft.com/wind...?1203273577140
O18 - Protocol: skype4com - (FFC8B962-9B40-4DFF-9458-1830C7DD7F5D) - C: \ PROGRA ~ 1 \ common ~ 1 \ Skype \ SKYPE4 ~ 1.DLL
O20 - Winlogon Notify:! SASWinLogon - C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll
O23 - Service: Adobe LM Service - Unknown owner - C: \ Program Files \ Common Files \ Adobe Systems Shared \ Service \ Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashWebSv.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe
O23 - Service: Hamachi Service (HamachiService) - LogMeIn Inc. - C: \ Program Files \ Hamachi \ hamachi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C: \ Program Files \ Java \ jre6 \ bin \ jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C: \ WINDOWS \ system32 \ nvsvc32.exe
O23 - Service: Pervasive PSQL Workgroup Engine (psqlWGE) - Pervasive Software Inc. - C: \ Program Files \ Pervasive Software \ PSQL \ bin \ w3dbsmgr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe

--
Fim do processo - 7353 bytes

[sjb007]

Viva lá, e bem-vindos ao Computador Juice

Eu sou Steve e eu vou estar ajudando você thoughout esta correcção.

Antes de começar a correção, leia este post completamente. Se há alguma coisa que você não entenda, peça gentilmente suas perguntas antes de prosseguir. É importante que você não perca um passo. Faça tudo na ordem correta / seqüência.

Vamos começar com ComboFix.exe. Por favor visite esta página para download links e instruções para o funcionamento da ferramenta:

http://www.bleepingcomputer.com/comb...o-use-combofix

Verifique se você tem todos os deficientes anti vírus e anti malware programas para que eles não interferem com o funcionamento do ComboFix.

Inclua a C: \ ComboFix.txt na sua próxima resposta para uma análise mais aprofundada.

[sungod000]

Ei, obrigado pela ajuda. Aqui está o log:

ComboFix 09-06-21.01 - user 22/06/2009 10:29.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.2046.1511 [GMT -4:00]
Executando de: C: \ Documents and Settings \ \ Desktop \ ComboFix.exe
AV: avast! antivírus 4/8/1335 [VPS 090621-0] * On-access scanning deficientes * (Atualizado) (7591DB91-41F0-48A3-B128-1A293FD8233D)
FW: ZoneAlarm Firewall desativado * * (829BDA32-94B3-44F4-8446-F8FCFF809F8B)
.

((((((((((((((((((((((((((((((((((((((( Outros Supressões ))))))))) ))))))))))))))))))))))))))))))))))))))))
.

c: \ windows \ system32 \ winsusrm.dll

.
((((((((((((((((((((((((( Arquivos criados a partir de 2009/05/22 a 2009/06/22 ))))))))))) ))))))))))))))))))))
.

2009/06/19 15:34. 2009/06/19 15:34 -------- d ----- w-C: \ Program Files \ Microsoft ActiveSync
2009/06/19 14:07. 2009/06/19 14:07 -------- d ----- w-c: \ Documents and Settings \ usuário \ Application Data \ Malwarebytes
2009/06/19 14:07. 2009/06/17 15:27 38,160 ---- aw-c: \ windows \ system32 \ drivers \ mbamswissarmy.sys
2009/06/19 14:07. 2009/06/19 14:07 -------- d ----- w-C: \ Program Files \ Malwarebytes' Anti-Malware
2009/06/19 14:07. 2009/06/19 14:07 -------- d ----- w-c: \ Documents and Settings \ All Users \ Application Data \ Malwarebytes
2009/06/19 14:07. 2009/06/17 15:27 19,096 ---- aw-c: \ windows \ system32 \ drivers \ mbam.sys
2009/06/19 13:58. 2009/06/19 13:58 117,760 ---- aw-c: \ Documents and Settings \ usuário \ Application Data \ SUPERAntiSpyware.com \ SUPERAntiSpyware \ SDDLLS \ UIREPAIR.DLL
2009/06/19 13:57. 2009/06/19 13:57 -------- d ----- w-c: \ Documents and Settings \ All Users \ Application Data \ SUPERAntiSpyware.com
2009/06/19 13:57. 2009/06/19 13:57 -------- d ----- w-C: \ Program Files \ SUPERAntiSpyware
2009/06/19 13:57. 2009/06/19 13:57 -------- d ----- w-c: \ Documents and Settings \ usuário \ Application Data \ SUPERAntiSpyware.com
2009/06/19 13:57. 2009/06/19 13:57 -------- d ----- w-C: \ Program Files \ Common Files \ Wise Installation Wizard
2009/06/10 17:39. 2009/06/10 17:39 152,576 ---- aw-c: \ Documents and Settings \ usuário \ Application Data \ domingo \ Java \ jre1.6.0_14 \ lzma.dll
2009/06/10 00:53. 2009/06/10 00:53 -------- d ----- w-c: \ Documents and Settings \ All Users \ Dados de aplicativos \ NCH Software
2009/05/29 11:46. 2008/04/14 09:42 26,624 ---- aw-c: \ Documents and Settings \ LocalService \ Application Data \ Microsoft \ UPnP Device Host \ upnphost \ udhisapi.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2009/06/22 14:22. 2009/04/28 15:03 -------- d ----- w-c: \ Documents and Settings \ usuário \ Application Data \ Skype
2009/06/22 13:56. 2008/02/17 21:01 -------- d ----- w-c: \ Documents and Settings \ usuário \ Application Data \ Hamachi
2009/06/22 12:02. 2009/04/28 15:18 -------- d ----- w-c: \ Documents and Settings \ usuário \ Application Data \ skypePM
2009/06/19 13:35. 2008/02/17 22:39 -------- d ----- w-c: \ Documents and Settings \ All Users \ Application Data \ Spybot - Search & Destroy
2009/06/18 19:10. 2008/06/19 15:20 31.703.397 ---- aw-c: \ windows \ Internet Logs \ tvDebug.zip
2009/06/12 07:08. 2008/12/03 14:46 -------- d ----- w-C: \ Program Files \ Windows Desktop Search
2009/06/10 17:39. 2009/03/26 15:12 -------- d ----- w-C: \ Program Files \ Java
2009/06/10 16:58. 2008/12/30 17:22 -------- d ----- w-c: \ Documents and Settings \ usuário \ Application Data \ FileZilla
2009/05/30 21:05. 2008/08/28 17:15 -------- d ----- w-C: \ Program Files \ MK PowerTools
2009/05/25 04:24. 2008/05/27 03:18 350,208 ---- aw-c: \ windows \ system32 \ mssph.dll
2009/05/21 15:33. 2008/12/06 16:44 410,984 ---- aw-c: \ windows \ system32 \ deploytk.dll
2009/05/12 19:12. 2008/02/17 18:05 26,144 ---- aw-c: \ windows \ system32 \ spupdsvc.exe
2009/05/07 15:32. 2004/08/03 16:56 345,600 ---- aw-c: \ windows \ system32 \ Localspl.dll
2009/05/01 16:37. 2009/02/07 19:53 -------- d ----- w-c: \ Documents and Settings \ usuário \ Application Data \ Unyte
2009/04/29 04:46. 2004/08/03 16:56 666,624 ---- aw-c: \ windows \ system32 \ wininet.dll
2009/04/29 04:46. 2004/08/03 16:56 81,920 ---- aw-c: \ windows \ system32 \ ieencode.dll
2009/04/28 15:18. 2009-04-28 15:18 56 --- ha-w-c: \ windows \ system32 \ ezsidmv.dat
2009/04/28 15:02. 2009/04/28 15:02 -------- d ----- w-C: \ Program Files \ Common Files \ Skype
2009/04/28 15:02. 2009/04/28 15:02 -------- d ----- r-C: \ Program Files \ Skype
2009/04/28 15:02. 2009/04/28 15:02 -------- d ----- w-c: \ Documents and Settings \ All Users \ Application Data \ Skype
2009/04/17 12:26. 2004/08/03 15:17 1.847.168 ---- aw-c: \ windows \ system32 \ win32k.sys
2009/04/15 14:51. 2004/08/03 16:56 585,216 ---- aw-c: \ windows \ system32 \ rpcrt4.dll
2009/04/09 02:09. 2009-04-09 02:04 664 ---- aw-c: \ windows \ system32 \ d3d9caps.dat
2009/04/01 21:57. 2008/02/17 22:30 4,212 --- ha-w-c: \ windows \ system32 \ zllictbl.dat
2009/04/01 21:21. 2009/04/01 21:21 152,576 ---- aw-c: \ Documents and Settings \ usuário \ Application Data \ domingo \ Java \ jre1.6.0_13 \ lzma.dll
2009/03/31 21:41. 2009-03-31 21:41 0 ---- aw-c: \ windows \ system32 \ WSSPOOL.TMP
2009/03/26 15:11. 2009/03/26 15:11 152,576 ---- aw-c: \ Documents and Settings \ usuário \ Application Data \ domingo \ Java \ jre1.6.0_12 \ lzma.dll
2008/06/23 22:36. 2008-06-23 22:36 0 ---- aw-C: \ Program Files \ gditst
2008/05/22 20:04. 2008-05-22 20:04 190 ---- aw-C: \ Program Files \ Common Files \ psasetup.log
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* Nota * entradas vazias & legit entradas padrão não são mostrados
REGEDIT4

[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ actuais ntVersion \ Run]
"CTFMON.EXE" = "c: \ windows \ system32 \ ctfmon.exe" [2008-04-14 15360]
"Skype" = "C: \ Program Files \ Skype \ Phone \ Skype.exe" [2009-04-21 24264488]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Run]
"NvCplDaemon" = "c: \ windows \ system32 \ NvCpl.dll" [2007-09-17 8491008]
"DiskeeperSystray" = "C: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkIcon.exe" [2006-10-04 163840]
"avast!" = "c: \ progra ~ 1 \ ALWILS ~ 1 \ Avast4 \ ashDisp. exe" [2009-02-05 81000]
"ZoneAlarm Client" = "C: \ Program Files \ Zone Labs \ ZoneAlarm \ zlclient.exe" [2009-02-16 981384]
"Samsung PanelMgr" = "c: \ windows \ Samsung \ PanelMgr \ SSMMgr.exe" [2008-07-31 536576]
"4x28 Scan2PC" = "c: \ windows \ Twain_32 \ Samsung \ SCX4x28 \ Scan 2pc.exe" [2008-09-29 495616]
"SunJavaUpdateSched" = "C: \ Program Files \ Java \ jre6 \ bin \ jusched.exe" [2009-05-21 148888]
"RTHDCPL" = "RTHDCPL.EXE" - c: \ windows \ RTHDCPL.exe [2007-04-26 16132608]

[HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ Cur rentVersion \ Run]
"CTFMON.EXE" = "c: \ windows \ system32 \ CTFMON.EXE" [2008-04-14 15360]

c: \ Documents and Settings \ usuário \ Menu Iniciar \ Programas \ Startup \
hamachi.lnk - C: \ Program Files \ Hamachi \ hamachi.exe [2008/2/17 625952]
Atalho para Mapa Drive.lnk - c: \ Documents and Settings \ usuário \ Desktop \ Mapa Drive.bat [2008/7/30 42]
SyncBack.lnk - C: \ Program Files \ 2BrightSparks \ SyncBack \ SyncBack.exe [2008-11-15 2936064]

c: \ Documents and Settings \ All Users \ Menu Iniciar \ Programas \ Startup \
Windows Search - C: \ Program Files \ Windows Desktop Search \ WindowsSearch.exe [2008/5/26 123904]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entversion \ explorer \ ShellExecuteHooks]
"(56F9679E-7826-4C84-81F3-532071A8BCC5)" = "C: \ Program Files \ Windows Desktop Search \ MSNLNamespaceMgr.dll" [2009-05-25 304128]
"(5AE067D3-9AFB-48E0-853A-EBB7F4A000DA)" = "C: \ Program Files \ SUPERAntiSpyware \ SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ notificar \! SASWinLogon]
2008/12/22 16:05 356,352 ---- aw-C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contro l \ safeboot \ Minimal \ WinDefend]
@ = "Service"

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Security Center \ Monitoring \ ZoneLabsFirewall]
"DisableMonitoring" = dword: 00000001

[HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo licy \ standardprofile]
"EnableFirewall" = 0 (0x0)

[HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo licy \ standardprofile \ AuthorizedApplications \ List]
"% windir% \ \ system32 \ \ Sessmgr.exe" =
"% windir% \ \ Network Diagnostic \ \ xpnetdiag.exe" =
"c: \ \ WINDOWS \ \ system32 \ \ fxsclnt.exe" =
"c: \ \ Arquivos de Programas \ \ Pervasive Software \ \ PSQL \ \ bin \ \ w3dbsmgr.exe" =
"c: \ \ WINDOWS \ \ twain_32 \ \ Samsung \ \ ScanMgr.exe" =
"c: \ \ WINDOWS \ \ twain_32 \ \ Samsung \ \ SCX4x28 \ \ Scan2Pc. exe" =
"c: \ \ WINDOWS \ \ twain_32 \ \ Samsung \ \ SCX4x28 \ \ Sscan2io. exe" =
"c: \ \ Arquivos de Programas \ \ Skype \ \ Phone \ \ Skype.exe" =

[HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo licy \ standardprofile \ GloballyOpenPorts \ List]
"3389: TCP" = 3389: TCP: @ Xpsp2res.dll, -22.009

R1 aswSP; avast! Auto-Defesa, c: \ windows \ system32 \ drivers \ aswSP.sys [07/04/2008 10:44 114768]
R1 SASDIFSV; SASDIFSV; C: \ Program Files \ SUPERAntiSpyware \ sasdifsv.sys [26/05/2009 10:05 PM 9968]
R1 SASKUTIL; SASKUTIL; C: \ Program Files \ SUPERAntiSpyware \ SASKUTIL.SYS [26/05/2009 10:05 AM 72944]
R2 aswFsBlk; aswFsBlk; c: \ windows \ system32 \ drivers \ aswF sBlk.sys [07/04/2008 10:44 20.560]
R2 HamachiService; Hamachi Service; C: \ Program Files \ Hamachi \ hamachi.exe [17/02/2008 5:01 625952]
R2 psqlWGE; Pervasive PSQL Workgroup Engine; C: \ Program Files \ Pervasive Software \ PSQL \ bin \ w3dbsmgr.exe [06/06/2008 1:03 435488]
R2 WinDefend; Windows Defender; C: \ Program Files \ Windows Defender \ MsMpEng.exe [03/11/2006 8:19 13592]
R3 SASENUM; SASENUM; C: \ Program Files \ SUPERAntiSpyware \ SASENUM.SYS [26/05/2009 10:05 PM 7408]
S1 KPSYSDRV; KPSYSDRV; c: \ windows \ system32 \ drivers \ Kpsy sdrv.sys [23/06/2008 6:36 17016]
S2 BulkUsb; Genesys Logic controlador USB NT 5.0, c: \ windows \ system32 \ drivers \ usbprn.sys [23/06/2008 6:27 7552]
S2 SSPORT; SSPORT; \? \ C: \ windows \ system32 \ Drivers \ SSPO RT.sys -> c: \ windows \ system32 \ Drivers \ SSPORT.sys [?]
S3 Moarer; Moarer; [X]

--- Outros Serviços / drivers em Memória ---

* NewlyCreated * - SASDIFSV
* NewlyCreated * - SASENUM
* NewlyCreated * - SASKUTIL
.
Conteúdo da 'Tarefas agendadas' pasta

2009/06/22 c: \ windows \ Tasks \ MP Scheduled Scan.job
- C: \ Program Files \ Windows Defender \ MpCmdRun.exe [2006-11-04 00:20]

2009/06/22 c: \ windows \ Tasks \ SyncBack Outlook.job
- C: \ Program Files \ 2BrightSparks \ SyncBack \ SyncBack.exe [2008-11-15 16:19]
.
.
Scan Suplementar ------- -------
.
uStart Page = hxxp: / / www.dhl.ca / ca / wfHomeLoggedIn.aspx
IE: E & xportar para o Microsoft Excel - C: \ PROGRA ~ 1 \ MICROS ~ 2 \ OFFICE11 \ EXCEL.EXE/3000
IE: Web Captação - C: \ Program Files \ SmarThru Office \ WebCapture.dll
FF - ProfilePath --
.

************************************************** ************************

CatchMe 0.3.1398 W2K/XP/Vista - rootkit / stealth malware detector por Gmer, http://www.gmer.net
Rootkit scan 2009/06/22 10:31
5/1/2600 Windows Service Pack 3 NTFS

digitalizar processos escondidos ...

escaneamento automático entradas escondidas ...

digitalizar os arquivos ocultos ...

varredura foi concluída com êxito
ficheiros ocultos: 0

************************************************** ************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Pervasive Software \ PSQL]
Negado @:) (Everyone)
@ = ""
.
Conclusão tempo: 2009/06/22 10:32
ComboFix-quarantined-files.txt 2009/06/22 14:32

Pré-Run: 32245211136 bytes livres
Post-Run: 32239325184 bytes livres

WindowsXP-KB310994-SP2-Pro-Bootdisk-PTG.exe
[boot loader]
timeout = 2
default = multi (0) disk (0) rdisk (0) partition (1) \ WINDOW S
[sistemas operacionais]
c: \ cmdcons \ bootsect.dat = "Microsoft Windows Recovery Console" / cmdcons
multi (0) disk (0) rdisk (0) partition (1) \ WINDOWS = "Micro soft Windows XP Professional" / noexecute = OptIn / fastdetect

164 --- --- EOF 2009/06/18 19:28

[sjb007]

Howdy lá

Neste próximo post eu quero que você execute um antivírus on-line, primeiro permite retirar algumas indesejadas lixo ....

Faça o download ATF Cleaner por Atribune.
Este programa é para Windows XP e Windows 2000 apenas

Dê um clique duplo ATF-Cleaner.exe para executar o programa.
Sob Principal escolher: Selecionar Tudo
Clique no Esvaziar Selecionados botão.

Se você usar o navegador Firefox
Clique Firefox no topo e escolher: Selecionar Tudo
Clique no Esvaziar Selecionados botão.
NOTA: Se você gostaria de manter o seu senhas salvas, clique Não na prompt.

Se você usar o navegador Opera
Clique Opera no topo e escolher: Selecionar Tudo
Clique no Esvaziar Selecionados botão.
NOTA: Se você gostaria de manter o seu senhas salvas, clique Não na prompt.

Clique Sair no menu principal para fechar o programa.
Para Suporte Técnico, Dê um duplo clique no endereço de e-mail localizado no fundo de cada menu.

Estabelecer uma ligação à Internet e realizar uma varredura em linha com Internet Explorer em Kaspersky Online Scanner.

** Vista usuários - clique direito IE / Firefox ícone e executado como administrador

Clique Aceitar, Quando for solicitado para fazer o download e instalar o programa e arquivos de dados de malware definições.

• Clique Correr Segurança no prompt.
• O programa irá então começar o download e instalar e também irá atualizar o banco de dados.
• Por favor, seja paciente pois isto pode levar vários minutos.
• Após concluir a atualização, clique em Meu Computador no âmbito do verde Scan barra para a esquerda para iniciar a digitalização.
• Depois de concluir a verificação, ele irá mostrar se o seu sistema tenha sido infectado. Ela não oferece uma opção para limpar / desinfectar. Nós só exigir um relatório a partir dele.
• Fazer NÃO estar alarmado com o que você vê no relatório. Muitos dos que considera ter sido quarentena.
• Clique Ver relatório scan na parte inferior.
• Clique no Relatório Salvar Como... botão.
• Clique no Salvar como Texto botão para salvar o arquivo para seu desktop de modo que você possa publicá-la em sua próxima resposta.

Esta animação irá guiá-lo através do processo:


** Nota **

Para otimizar o tempo e varredura mais sensato produzir um relatório de revisão:
Feche todos os programas abertos
Desligue o scanner em tempo real de qualquer programa antivírus existentes durante o desempenho da varredura on-line. Você pode desconectar da Internet quando você iniciar a digitalização.

Nota para o Internet Explorer 7 usuários: Se a qualquer momento você tem dificuldade para visualizar o botão de aceitar a licença, clique sobre a ferramenta Zoom localizado na parte inferior direita da janela do IE e definir o zoom para 75%. Uma vez aceite a licença, redefina a 100%.

Correios de volta com os resultados de Kasperksy, também actualizar-me sobre a forma como as coisas estão a correr

[sungod000]

http://www.dhl.ca/ca/wfHomeLoggedIn.aspx R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 http://www.eset.eu/buxus/docs/OnlineScanner.cab O16 - DPF: (6414512B-B978-451D-A0D8-FCFDF33E833C) (WUWebControl Class) -- http://www.update.microsoft.com/wind...?1203273577140 O18 - Protocol: skype4com - (FFC8B962-9B40-4DFF-9458-1830C7DD7F5D) - C: \ PROGRA ~ 1 \ common ~ 1 \ Skype \ SKYPE4 ~ 1.DLL O20 - Winlogon Notify:! SASWinLogon - C: \ Arquivos de Programas \ SUPERAntiSpyware \ SASWINLO.dll O23 - Service: Adobe LM Service - Unknown owner - C: \ Program Files \ Common Files \ Adobe Systems Shared \ Service \ Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashWebSv.exe O23 - Service: Diskeeper - Diskeeper Corporation - C: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe O23 - Service: Hamachi Service ( HamachiService) - LogMeIn Inc. - C: \ Program Files \ Hamachi \ hamachi.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C: \ Program Files \ Java \ jre6 \ bin \ jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C: \ WINDOWS \ system32 \ nvsvc32.exe O23 - Service: Pervasive PSQL Workgroup Engine (psqlWGE) - Pervasive Software Inc. - C: \ Program Files \ Pervasive Software \ PSQL \ bin \ w3dbsmgr.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe - End of file - 7090 bytes

[sjb007]

Oi lá

Precisamos, realmente, para executar uma varredura completa do sistema na unidade para verificar se não há nada sobra.

Uma coisa que faço é que a comunicação on-line scanner pego em um esquema phishing e-mail. Ele não nos diz exactamente o que é um mas dizem-nos que está em sua caixa de entrada. Phishing scams tentativa de atrair-te para colocar seus dados em sites de forma que os criminosos podem obter as informações e utilizá-lo para seu próprio benefício. Para obter mais informações sobre phishing ler este artigo aqui. O e-mail em questão pode parecer como se veio a partir do seu próprio banco ou outra instituição financeira e vai mesmo proceder logotipos roubado do site original. Nunca log bancário em qualquer site ou qualquer outro site a partir de links de e-mails. Sempre ir para a página inicial e efetuar o login da sua. Aconselho que você esvaziar sua pasta Itens eliminados juntamente com outros e-mails suspeitos.

Vamos tentar uma verificação completa usando um scanner diferentes.

Realize uma varredura on-line com Panda ActiveScan

• Clique em Scan Your PC Now
• A "pop up" janela irá aparecer, ou uma nova página será aberta.
• Clique em Registar
• Escolha a opção que você gosta mais, mas recomendamos o registo gratuito.
• Clique em Registar
• Digite seu endereço de e-mail e criar uma senha.
• Selecione "Não quero receber qualquer tipo de informação. "(Se você não quiser receber essas informações)
• Clique em Enviar
• Confirmar registo, e continuar introduzindo o seu nome de usuário e senha e, em seguida, clique em Digite
• Selecione Full Scan, clique em Agora Scan
• Aguarde que os elementos para ser carregado e instalado. Não feche esta janela ou ir para outra página, embora seja o download. Você pode continuar usando a Internet, abrindo uma outra janela do seu browser.
• Se encontrar qualquer malware pode desinfectar, o Desinfecte botão será ativado. Clique em Desinfecte
• Por favor, ignore a oferta para comprar o programa. Clique em Exportar para
  
• Exportar o log e salvá-lo em seu desktop.
• Por favor, postar o conteúdo desse registo para a sua resposta.

* Desligue o scanner em tempo real de qualquer programa antivírus existentes durante o desempenho da varredura on-line.

Avast utilizadores nota:

Por favor, continuem com o scan online no Panda se você receber um alerta. É um falso positivo a partir de Avast Panda Antivirus porque não encriptar seu vírus banco de dados.

Por alguma razão o HJT log que você enviou está ilegível, em vez eu quero que você publique um tipo diferente de registo

Faça o download DDS e salvá-lo em seu desktop.

• Desative qualquer script bloqueio protecção
• Dê um clique duplo dds.scr para executar a ferramenta.
• Quando terminar, DDS.txt será aberta.
• Clique Sim na próxima pronta para Opcional Scan.
• Salve os dois relatórios para o seu desktop.

Post dois toros de volta na sua próxima resposta

Também inclui o panda escanear os resultados e manter-me atualizado sobre o status do sistema