TR/Crypt.XPACK.gen Trojan

Segue o log do Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 16:57:51, on 19/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition

Classic\sched.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition

Classic\avguard.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition

Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Discador iBest Internet Ilimitada\discador.exe
C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Sidney Marcus\Meus documentos\Como proteger o

micro\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

&http://home.microsoft.com/intl/br/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL

= [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

- C:\Arquivos de programas\Adobe\Acrobat

5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir

PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [iBest.baloon] "C:\Arquivos de programas\Discador

iBest Internet Ilimitada\baloon.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de

programas\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&xportar para o Microsoft Excel -

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O9 - Extra button: Enviar para o OneNote -

{2670000A-7350-4f3c-8081-5663EE0C6C49} -

C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote -

{2670000A-7350-4f3c-8081-5663EE0C6C49} -

C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de

programas\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: C:\Arquivos de programas\Internet

Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF:

SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus

scanner) -

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0

Installer Class) -

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner

Control) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI

Utility Class) -

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O17 -

HKLM\System\CCS\Services\Tcpip\..\{55B8D9DD-51A0-45DF-9B94-E4EC23A549A5

}: NameServer = 200.204.0.138 200.204.0.10
O17 -

HKLM\System\CS1\Services\Tcpip\..\{55B8D9DD-51A0-45DF-9B94-E4EC23A549A5

}: NameServer = 200.204.0.138 200.204.0.10
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} -

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945}

- C:\ARQUIV~1\ARQUIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O21 - SSODL: msnmsg - {DA191DE0-AA86-4ED0-4B87-293D48B2AE99} -

C:\Program Files\Messenger\msgmr.dll (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler

(AntiVirScheduler) - Avira GmbH - C:\Arquivos de

programas\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard

(AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir

PersonalEdition Classic\avguard.exe

É isso!

Muito bem, o estado do seu computador já está muito melhor do que antes.

Acesse o site abaixo e faça um escaneamento completo com o Ewido Online e remova os malwares que ele possa encontrar:

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
OBS.: Utilize o navegador Internet Explorer para fazer o escaneamento com o antivírus online acima.

Depois disso poste um novo log do Hijackthis e nos diga por gentileza como está o seu computador e se foram detectados e removidos alguns virus de seu PC pelo Ewido Online. Ficamos no aguardo.

Foram removidos 17 spywares pelo Ewido.

Segue o novo log do Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 22:41:20, on 19/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Avira\AntiVir PersonalEdition

Classic\sched.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition

Classic\avguard.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition

Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Discador iBest Internet Ilimitada\baloon.exe
C:\Arquivos de programas\Discador iBest Internet Ilimitada\discador.exe
C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Sidney Marcus\Meus documentos\Como proteger o

micro\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

&http://home.microsoft.com/intl/br/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL

= [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

- C:\Arquivos de programas\Adobe\Acrobat

5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir

PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [iBest.baloon] "C:\Arquivos de programas\Discador

iBest Internet Ilimitada\baloon.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de

programas\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&xportar para o Microsoft Excel -

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O9 - Extra button: Enviar para o OneNote -

{2670000A-7350-4f3c-8081-5663EE0C6C49} -

C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote -

{2670000A-7350-4f3c-8081-5663EE0C6C49} -

C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de

programas\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: C:\Arquivos de programas\Internet

Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF:

SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan

Control) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus

scanner) -

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0

Installer Class) -

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner

Control) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI

Utility Class) -

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O17 -

HKLM\System\CCS\Services\Tcpip\..\{55B8D9DD-51A0-45DF-9B94-E4EC23A549A5

}: NameServer = 200.204.0.138 200.204.0.10
O17 -

HKLM\System\CS1\Services\Tcpip\..\{55B8D9DD-51A0-45DF-9B94-E4EC23A549A5

}: NameServer = 200.204.0.138 200.204.0.10
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} -

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945}

- C:\ARQUIV~1\ARQUIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O21 - SSODL: msnmsg - {DA191DE0-AA86-4ED0-4B87-293D48B2AE99} -

C:\Program Files\Messenger\msgmr.dll (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler

(AntiVirScheduler) - Avira GmbH - C:\Arquivos de

programas\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard

(AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir

PersonalEdition Classic\avguard.exe

É isso!

O seu log não está mostrando mais infecções. O PC ainda está com algum problema ou algo de estranho? Caso esteja tudo certo faça o seguinte:

delete a ferramenta SDFix e a pasta C:\SDFix<-a PASTA

Depois disso faça o seguinte:

Desative e ative novamente a [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

• Utilize navegadores alternativos e mais seguros, como estes abaixo:
  
  [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] e [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
  
• Utilize uma Firewall - É extremamente importante na proteção ao seu computador.
  Boas opções grátis são:
  [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] ou
  [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
  
• Atualize o seu Windows. Você está usando o Service Pack 2 e já existe o Service Pack 3.
  
  Para isso é só ir no menu: Iniciar - Painel de Controle - Atualizações automáticas - Marque a primeira opção: Automática (recomendado) e selecione os dias e horários que você está com o seu computador funcionando e conectado na internet para que as atualizações do Windows possam ser baixadas e instaladas.
  Você também pode atualizar o Windows indo no menu: Iniciar -Todos os programas - Windows Update - E aí é só seguir os passos que o Windows
  Update vai te passando para atualizar o seu computador.
  
• Visite o [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] e veja o estado dos seus programas no que diz respeito às actualizações.
  
• Faça a atualização frequente do Avira Antivir e do Malwarebytes Anti-malware e faça um escaneamento semanal do seu PC com eles.
  
• Instale estes programas e use-os agora e semanalmente para deixar seu computador mais eficiente e otimizado:
  
  [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
  _____________________________
  
  

Instale o Spyware Doctor gratuito no link abaixo e mantenha-o também sempre atualizado e faça um escaneamento semanal de seu PC com ele:

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Siga também as dicas destes tutoriais para deixar seu PC mais protegido e eficiente:

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Foi um prazer ajudar.

Boa noite, Antonio!

Meu pc não apresentou nenhum problema.
Agradeço de coração a sua paciência e seus conhecimentos que foram muito claros e eficazes.
Com certeza farei meu registro nesse link passado por você e precisando vou com certeza recorrer novamente aos seus ensinamentos.

Muito obrigado!

Caso Resolvido!

Caso o autor do tópico necessite, o mesmo será reaberto, para isso deverá entrar em contato com um dos membros da [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] solicitando o desbloqueio.