Malware olhrwef.exe não sai!

Salve galera, sou novo aqui, não achei nenhum tópico relacionado a isso, por favor se eu estiver errado em alguma coisa me avisem e me desculpe!

E ai galera, eu baixei um programa por indicação chamado Malwarebytes' Anti-Malware.
Eu tenho 2 HD's, um particionado então técnicamente fico com 3, então o Malwarebytes' Anti-Malware fez uma varredura e achou o maldito "olhrwef.exe" exclui, em 2 HD's (sistema e documentos) ele saiu, porém o outro (Programas Instalados) não saiu, e eu sei porque antes quando o vírus estava em todos, eu não podia mostrar arquivos ocultos, agora no HD de documentos e do sistema eu posso, menos no do Programas Instalados, sem contar, quando eu abro o HD do Programas..., no "msconfig" o olhrwef.exe ativa. É só abrir o HD que o vírus ativa, e então não consigo mais mostrar arquivos ocultos.
Alguém sabe como tirar ele?
o Malwarebytes' Anti-Malware não encontra mais ele no HD, mas tenho certeza que ele ainda está!
Por favor me ajudem agradeço desde já.
Até mais!]

Olá Joker! Seja bem-vindo ao Fórum PC Brasil.

Siga este procedimento abaixo para que possamos orientá-lo na solução deste problema:

1) Crie uma pasta própria (como por exemplo C:\Arquivos de Programas\HijackThis).

Faça o download do [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] e no momento de salvá-lo escolha a opção de salvá-lo nesta pasta que você acabou de criar e descompacte o hijackthis.zip dentro dela.

Dê um duplo clique no instalador do Hijackthis > clique na opção I Accept.

Clique no botão: Do a system scan and save a logfile. Depois será aberta uma tela com o log, então é só selecionar este Log (Clique no menu: Editar » Selecionar Tudo), depois disso volte novamente no menu: Editar » e clique na opção: Copiar).

Depois disso é só voltar aqui no fórum e postar este log do Hijackthis para que ele possa ser analizado.

Ficamos no aguardo de sua resposta.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:13:43, on 19/2/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe
E:\Utilidades\RocketDock\RocketDock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe
C:\Arquivos de programas\Windows Live\Messenger\usnsvc.exe
C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE
C:\Arquivos de programas\uTorrent\uTorrent.exe
E:\Internet\DreaMule\emule.exe
E:\Multmídia\Winamp\winampa.exe
E:\Multmídia\Winamp\winamp.exe
D:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Multmídia\Winamp\winampa.exe
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [RocketDock] "E:\Utilidades\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll
O23 - Service: DF5Serv - Faronics Corporation - C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\DF5Serv.exe

--
End of file - 3623 bytes

Está ai cara, espero que consigo identificar e me ajudar a remover ele.
Até mais!

Abra o HijackThis, clique em Do a system scan only, marque a entrada abaixo e clique em Fix checked:

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
________________________________________________________________________________________

Baixe o programa Avenger no link abaixo e extraia o conteúdo para o desktop (área de trabalho):
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
*Selecione e copie (Ctrl+C) todo o código dentro do CÓDIGO (caixa branca) abaixo:

Código:

Files to delete:
C:\WINDOWS\system32\olhrwef.exe

*Execute o programa Avenger
*Clique em [Load Script] > [Paste from Clipboard]
*Clique em [Execute] > [OK]
*O PC será reiniciado
*Cole o relatório criado em C:\avenger.txt em sua próxima resposta juntamente com um novo log do Hijackthis e nos diga como está o PC depois disto.

LOG DO AVANGER
Logfile of The Avenger Version 2.0, (c) by Swandog46
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\olhrwef.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

OBS: Eu fiz isso umas 3x e o Vírus não saiu, ele ainda não deixa eu ver arquivos ocultos, e sempre fica ativo no "msnconfig".

LOG do hijackthis.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:39:04, on 19/2/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe
E:\Utilidades\RocketDock\RocketDock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
D:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [RocketDock] "E:\Utilidades\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll
O23 - Service: DF5Serv - Faronics Corporation - C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\DF5Serv.exe

--
End of file - 3321 bytes

Ele ainda permanece, cara num sei mais oque fazer, o avanger sempre fala que ele foi deletado, mas nunca deleta

Sugiro que você salve ou imprima essas instruções abaixo, pois em alguns momentos você poderá precisar usar o computador sem o acesso à internet:

- Faça o download do ComboFix e salve-o no desktop (área de trabalho):
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

OBS: Para que a ferramenta seja executada é necessário que esteja no desktop (área de trabalho)

Se tiver um Pendrive ou um drive de MP3 ou MP4, conecte no PC (se tiver mais de um, tem de conectar todos). Não os tire até completar todas as instruções.

* Desative, temporariamente, o seu antivírus;
* Feche todas as janelas abertas;
* Dê um duplo clique no arquivo ComboFix;
* Na próxima janela clique em Executar, aceite o contrato e aguarde até que o relatório seja gerado;
OBS: Caso não queira que seja instalado o console de recuperação do Windows, clique em "Não" e depois concorde que a verificação prossiga.
Ao ser instalado o console, na inicialização do sistema será apresentada a tela para seleção dos sistemas operacionais.
Mais informações sobre o Console: [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
* Caso ocorra algum erro, reinicie o computador em Modo Seguro (pressione a tecla F8 intermitentemente, ou F5 em alguns casos, durante a inicialização e escolha a opção Modo Seguro na tela que se apresenta) e repita o procedimento;
* O ComboFix "poderá" reiniciar o PC automaticamente para completar o processo de remoção.
* Quando terminar, será gerado um log, que estará em C:\ComboFix.txt.
* Não clique na Janela do ComboFix, nem o feche clicando no X, enquanto estiver rodando, não mova o mouse e não use o teclado, pois senão irá parar e seu desktop ficará em branco.
* Para parar ou sair do ComboFix, tecle "N".
* Se perder a conexão com a internet, reinicie o computador. Caso o problema persista, abra Conexões de Rede no Painel de Controle, clique com o botão direito do mouse sobre a sua conexão com a internet e em "Reparar";

Poste o log do Combofix que estará em C:\ComboFix.txt juntamente com um novo log do Hijackthis em sua próxima resposta e nos diga como está o seu PC e o pendrive depois disto.

Esse programa é feito a mão direita de Deus? Na lata tirou ^^, Valeu mesmo cara.
Vou por os LOG pra você ver se está tudo normal, mas me responda duas coisas?
Esse programa tira qual quer vírus? ou só Malwares e Spywares? Trojans nem pensar né?
Outra coisa, no LOG e no "msconfig" tem uma entrada chamada "ctfmon" oque é isso e oque ele faz?

LOG COMBOFIX

ComboFix 09-02-19.01 - Luan 2009-02-21 14:06:36.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1046.18.959.724 [GMT 4.5:30]
Executando de: d:\downloads\tirando vírus\ComboFix.exe
* Criado um novo ponto de restauro

ATENÇAO - ESTA MAQUINA NAO TEM O CONSOLE DE RECUPERAÇÃO INSTALADA !!
.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\logondll.dll
c:\windows\system32\nmdfgds0.dll
c:\windows\system32\nmdfgds1.dll
D:\Autorun.inf
D:\cv22.cmd
E:\Autorun.inf
E:\cv22.cmd

.
(((((((((((((((( Arquivos/Ficheiros criados de 2009-01-21 to 2009-02-21 ))))))))))))))))))))))))))))
.

2009-02-21 14:08 . 2009-02-21 14:08 <DIR> d-------- c:\windows\system32\xircom
2009-02-21 14:08 . 2009-02-21 14:08 <DIR> d-------- c:\arquivos de programas\microsoft frontpage
2009-02-20 16:30 . 2009-02-20 16:31 1,374 --a------ c:\windows\imsins.BAK
2009-02-19 22:44 . 2009-02-19 22:44 <DIR> d-------- c:\documents and settings\Luan\Dados de aplicativos\Winamp
2009-02-19 21:43 . 2008-08-14 15:04 138,496 --------- c:\windows\system32\dllcache\afd.sys
2009-02-19 21:27 . 2008-09-15 19:56 1,846,528 --------- c:\windows\system32\dllcache\win32k.sys
2009-02-19 21:26 . 2008-08-14 17:54 2,193,408 --------- c:\windows\system32\dllcache\ntoskrnl.exe
2009-02-19 21:26 . 2008-08-14 17:54 2,149,376 --------- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-02-19 21:26 . 2008-08-14 17:54 2,070,272 --------- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-02-19 21:26 . 2008-08-14 17:54 2,028,032 --------- c:\windows\system32\dllcache\ntkrpamp.exe
2009-02-19 21:21 . 2008-10-24 15:51 455,296 --------- c:\windows\system32\dllcache\mrxsmb.sys
2009-02-19 21:20 . 2008-12-11 15:27 333,952 --------- c:\windows\system32\dllcache\srv.sys
2009-02-19 00:19 . 2009-02-19 00:19 <DIR> d-------- C:\LinhaDefensiva
2009-02-18 23:41 . 2009-02-18 08:22 <DIR> d--h----- c:\documents and settings\Administrador\Modelos
2009-02-18 23:41 . 2009-02-18 05:18 <DIR> d-------- c:\documents and settings\Administrador\Meus documentos
2009-02-18 23:41 . 2009-02-18 05:18 <DIR> dr------- c:\documents and settings\Administrador\Menu Iniciar
2009-02-18 23:41 . 2009-02-18 05:18 <DIR> d-------- c:\documents and settings\Administrador\Favoritos
2009-02-18 23:41 . 2009-02-18 23:41 <DIR> d-------- c:\documents and settings\Administrador\Dados de aplicativos\Malwarebytes
2009-02-18 23:41 . 2009-02-18 23:41 <DIR> dr-h----- c:\documents and settings\Administrador\Dados de aplicativos
2009-02-18 23:41 . 2009-02-18 23:41 <DIR> d--h----- c:\documents and settings\Administrador\Configurações locais
2009-02-18 23:41 . 2009-02-18 05:18 <DIR> d--h----- c:\documents and settings\Administrador\Ambiente de rede
2009-02-18 23:41 . 2009-02-18 05:18 <DIR> d--h----- c:\documents and settings\Administrador\Ambiente de impressão
2009-02-18 23:41 . 2009-02-19 00:13 <DIR> d-------- c:\documents and settings\Administrador
2009-02-18 22:59 . 2009-02-18 22:59 <DIR> d-------- c:\documents and settings\Luan\Dados de aplicativos\Malwarebytes
2009-02-18 22:59 . 2009-02-18 22:59 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes
2009-02-18 22:59 . 2009-02-18 22:59 <DIR> d-------- c:\arquivos de programas\Malwarebytes' Anti-Malware
2009-02-18 22:59 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-18 22:59 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-18 19:48 . 2008-10-15 21:06 337,408 --------- c:\windows\system32\dllcache\netapi32.dll
2009-02-18 19:48 . 2008-10-03 14:34 247,326 --------- c:\windows\system32\dllcache\strmdll.dll
2009-02-18 19:47 . 2008-09-04 21:46 1,106,944 --------- c:\windows\system32\dllcache\msxml3.dll
2009-02-18 19:44 . 2009-02-18 19:44 <DIR> d-------- c:\documents and settings\Luan\Dados de aplicativos\IObit
2009-02-18 19:37 . 2009-02-18 19:37 <DIR> d-------- c:\arquivos de programas\Faronics
2009-02-18 19:37 . 2009-02-18 19:37 16,299,862 --------- C:\$Persi0.sys
2009-02-18 19:36 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll
2009-02-18 19:36 . 2008-10-16 14:06 208,744 --a------ c:\windows\system32\muweb.dll
2009-02-18 19:36 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui
2009-02-18 09:16 . 2009-02-18 09:16 <DIR> d--h----- c:\windows\system32\GroupPolicy
2009-02-18 09:12 . 2005-08-24 08:38 3,495,808 -ra------ c:\windows\system32\vtdisp.dll
2009-02-18 09:12 . 2005-08-24 08:46 1,875,968 -ra------ c:\windows\system32\vticd.dll
2009-02-18 09:12 . 2005-08-24 08:38 237,312 -ra------ c:\windows\system32\drivers\vtmini.sys
2009-02-18 09:09 . 2009-02-18 09:15 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\Macromedia
2009-02-18 09:07 . 2009-02-18 09:10 <DIR> d-------- c:\windows\Downloaded Installations

.
((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-18 04:29 --------- d-----w c:\arquivos de programas\Kaspersky Lab
2009-02-18 04:27 --------- d--h--w c:\arquivos de programas\InstallShield Installation Information
2009-02-18 04:27 --------- d-----w c:\arquivos de programas\Arquivos comuns\InstallShield
2009-02-18 04:24 --------- d-----w c:\arquivos de programas\VIAudioi
2009-02-18 04:06 --------- d-----w c:\arquivos de programas\VIA
2009-02-18 03:54 --------- d-----w c:\arquivos de programas\Serviços on-line
2009-02-18 03:54 --------- d-----w c:\arquivos de programas\Arquivos comuns\Serviços
2009-02-18 03:52 --------- d-----w c:\arquivos de programas\Windows Media Connect 2
2009-02-17 22:32 --------- d-----w c:\arquivos de programas\DAEMON Tools Lite
2009-02-17 22:30 717,296 ----a-w c:\windows\system32\drivers\sptd.sys
2009-02-17 22:30 --------- d-----w c:\documents and settings\Luan\Dados de aplicativos\DAEMON Tools
2009-02-17 22:23 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Messenger Plus!
2009-02-17 22:19 --------- d-----w c:\arquivos de programas\Messenger Plus! Live
2009-02-17 22:16 --------- dcsh--w c:\arquivos de programas\Arquivos comuns\WindowsLiveInstaller
2009-02-17 22:16 --------- d-----w c:\arquivos de programas\Windows Live
2009-02-17 22:01 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\WLInstaller
2009-02-17 21:55 --------- d-----w c:\arquivos de programas\TaskSwitchXP
2009-02-17 21:53 --------- d-----w c:\arquivos de programas\No-IP
2009-02-15 21:45 106,803 --sh--r C:\qphdin.com
.

------- Sigcheck -------

2008-10-11 01:12 361600 e88631e21a9caca06104802f9e915115 c:\windows\system32\drivers\tcpip.sys
.
(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por defeito não são mostradas.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TaskSwitchXP"="c:\arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-05 62976]
"RocketDock"="e:\utilidades\RocketDock\RocketDock.exe" [2007-09-02 495616]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2005-03-07 c:\windows\system32\VTTimer.exe]
"VTTrayp"="VTtrayp.exe" [2005-03-11 c:\windows\system32\VTTrayp.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"="shell32" [X]
"_nltide_3"="advpack.dll" [2008-06-23 c:\windows\system32\advpack.dll]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"ForceStartMenuLogOff"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"StartMenuLogoff"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk /k:C /k:D /k:E *

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VModes]
VModes AttachToDesktop [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AudioDeck]
--a------ 2006-09-05 18:28 540672 c:\arquivos de programas\VIAudioi\SBADeck\ADeck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2008-04-14 15:30 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-04-01 14:09 486856 c:\arquivos de programas\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-08-04 03:32 36352 e:\multmídia\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\DarkBro\\DarkBRO Cronus\\login-server.exe"=
"d:\\DarkBro\\DarkBRO Cronus\\char-server.exe"=
"d:\\DarkBro\\DarkBRO Cronus\\map-server.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\livecall.exe"=

R0 DeepFrz;DeepFrz;c:\windows\system32\drivers\DeepFrz.sys [2007-06-28 131472]
R0 ViBus;ViBus;c:\windows\system32\drivers\ViBus.sys [2009-02-18 16896]
R0 ViPrt;VIA SATA IDE Device Driver;c:\windows\system32\drivers\ViPrt.sys [2009-02-18 52224]
.
- - - - ORFÃOS REMOVIDOS - - - -

Notify-DfLogon - LogonDll.dll
MSConfigStartUp-cdoosoft - c:\windows\system32\olhrwef.exe


.
------- Scan Suplementar -------
.
uStart Page = about:blank
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Rootkit scan 2009-02-21 14:08:28
Windows 5.1.2600 Service Pack 3 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso
arquivos/ficheiros ocultos: 0

**************************************************************************
.
------------------------ Outros Processos em Execução ------------------------
.
c:\arquivos de programas\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
c:\arquivos de programas\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Tempo para conclusão: 2009-02-21 14:09:43 - Máquina reiniciou
ComboFix-quarantined-files.txt 2009-02-21 09:39:40

Pré-execução: 9 pasta(s) 11.958.046.720 bytes disponíveis
Pós execução: 9 pasta(s) 11,951,370,240 bytes disponíveis

170 --- E O F --- 2009-02-21 09:29:55



LOG Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:13:34, on 21/2/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe
E:\Utilidades\RocketDock\RocketDock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
D:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [RocketDock] "E:\Utilidades\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O23 - Service: DF5Serv - Faronics Corporation - C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\DF5Serv.exe

--
End of file - 2704 bytes

Vários problemas foram removidos pelo Combofix.

Delete a pasta qoobox que está localizada em C:\, delete também o Log ComboFix.txt também localizado em C:\.

Nota: Se tiver um pen drive, MP3, MP4, ou qualquer tipo de mídia removível, conecte-o(s) ao computador.

Selecione e copie todo este conteúdo abaixo dentro do CÓDIGO (começando da palavra Registry). Cole-o no Bloco de Notas de seu PC e salve-o no desktop como CFScript.txt

Código:

File::
C:\qphdin.com
Folder::
C:\LinhaDefensiva

Arraste o CFScript para o ComboFix como na imagem aqui abaixo e aguarde a execução automática da ferramenta:

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

● Se for solicitado à você, pressione Enter para iniciar o processo de remoção;
● Não use o mouse nem o teclado quando o ComboFix estiver rodando;
● Quando terminar, será gerado um novo log que estará em C:\ComboFix.txt;
● Talvez seu computador seja reiniciado automaticamente. Caso não ocorra, reinicie-o manualmente.

Na sua próxima resposta, cole o log que estará em C:\ComboFix.txt e nos diga como está o PC depois disto.

Ficamos no aguardo.

ComboFix 09-02-19.01 - Luan 2009-02-22 12:07:08.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1046.18.959.730 [GMT 4.5:30]
Executando de: D:\ComboFix.exe
Comandos utilizados :: D:\CFScript.txt
* Criado um novo ponto de restauro

ATENÇAO - ESTA MAQUINA NAO TEM O CONSOLE DE RECUPERAÇÃO INSTALADA !!

FILE ::
C:\qphdin.com
.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\LinhaDefensiva
c:\linhadefensiva\exec\download.exe
c:\linhadefensiva\exec\md5.exe
c:\linhadefensiva\exec\pv.exe
c:\linhadefensiva\exec\unzip.exe
c:\linhadefensiva\Iniciar-BankerFix.vbs
c:\linhadefensiva\lang\init\en.txt
c:\linhadefensiva\lang\init\ptb.txt
c:\linhadefensiva\leiame.txt
c:\linhadefensiva\readme.txt
c:\linhadefensiva\rotinas\update.vbs
c:\linhadefensiva\VERSION
c:\linhadefensiva\webversion.info
C:\qphdin.com

.
(((((((((((((((( Arquivos/Ficheiros criados de 2009-01-22 to 2009-02-22 ))))))))))))))))))))))))))))
.

2009-02-21 23:16 . 2006-10-03 21:35 17,972 --a------ c:\windows\system32\drivers\slnt.sys
2009-02-21 14:08 . 2009-02-21 14:08 <DIR> d-------- c:\windows\system32\xircom
2009-02-21 14:08 . 2009-02-21 14:08 <DIR> d-------- c:\arquivos de programas\microsoft frontpage
2009-02-20 16:30 . 2009-02-22 10:33 1,374 --a------ c:\windows\imsins.BAK
2009-02-19 22:44 . 2009-02-19 22:44 <DIR> d-------- c:\documents and settings\Luan\Dados de aplicativos\Winamp
2009-02-19 21:43 . 2008-08-14 15:04 138,496 --------- c:\windows\system32\dllcache\afd.sys
2009-02-19 21:27 . 2008-09-15 19:56 1,846,528 --------- c:\windows\system32\dllcache\win32k.sys
2009-02-19 21:26 . 2008-08-14 17:54 2,193,408 --------- c:\windows\system32\dllcache\ntoskrnl.exe
2009-02-19 21:26 . 2008-08-14 17:54 2,149,376 --------- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-02-19 21:26 . 2008-08-14 17:54 2,070,272 --------- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-02-19 21:26 . 2008-08-14 17:54 2,028,032 --------- c:\windows\system32\dllcache\ntkrpamp.exe
2009-02-19 21:21 . 2008-10-24 15:51 455,296 --------- c:\windows\system32\dllcache\mrxsmb.sys
2009-02-19 21:20 . 2008-12-11 15:27 333,952 --------- c:\windows\system32\dllcache\srv.sys
2009-02-18 23:41 . 2009-02-18 08:22 <DIR> d--h----- c:\documents and settings\Administrador\Modelos
2009-02-18 23:41 . 2009-02-18 05:18 <DIR> d-------- c:\documents and settings\Administrador\Meus documentos
2009-02-18 23:41 . 2009-02-18 05:18 <DIR> dr------- c:\documents and settings\Administrador\Menu Iniciar
2009-02-18 23:41 . 2009-02-18 05:18 <DIR> d-------- c:\documents and settings\Administrador\Favoritos
2009-02-18 23:41 . 2009-02-18 23:41 <DIR> d-------- c:\documents and settings\Administrador\Dados de aplicativos\Malwarebytes
2009-02-18 23:41 . 2009-02-18 23:41 <DIR> dr-h----- c:\documents and settings\Administrador\Dados de aplicativos
2009-02-18 23:41 . 2009-02-22 12:07 <DIR> d--h----- c:\documents and settings\Administrador\Configurações locais
2009-02-18 23:41 . 2009-02-18 05:18 <DIR> d--h----- c:\documents and settings\Administrador\Ambiente de rede
2009-02-18 23:41 . 2009-02-18 05:18 <DIR> d--h----- c:\documents and settings\Administrador\Ambiente de impressão
2009-02-18 23:41 . 2009-02-19 00:13 <DIR> d-------- c:\documents and settings\Administrador
2009-02-18 22:59 . 2009-02-18 22:59 <DIR> d-------- c:\documents and settings\Luan\Dados de aplicativos\Malwarebytes
2009-02-18 22:59 . 2009-02-18 22:59 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes
2009-02-18 22:59 . 2009-02-18 22:59 <DIR> d-------- c:\arquivos de programas\Malwarebytes' Anti-Malware
2009-02-18 22:59 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-18 22:59 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-18 19:48 . 2008-10-15 21:06 337,408 --------- c:\windows\system32\dllcache\netapi32.dll
2009-02-18 19:48 . 2008-10-03 14:34 247,326 --------- c:\windows\system32\dllcache\strmdll.dll
2009-02-18 19:47 . 2008-09-04 21:46 1,106,944 --------- c:\windows\system32\dllcache\msxml3.dll
2009-02-18 19:44 . 2009-02-18 19:44 <DIR> d-------- c:\documents and settings\Luan\Dados de aplicativos\IObit
2009-02-18 19:37 . 2009-02-18 19:37 <DIR> d-------- c:\arquivos de programas\Faronics
2009-02-18 19:37 . 2009-02-18 19:37 16,299,862 --------- C:\$Persi0.sys
2009-02-18 19:36 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll
2009-02-18 19:36 . 2008-10-16 14:06 208,744 --a------ c:\windows\system32\muweb.dll
2009-02-18 19:36 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui
2009-02-18 09:16 . 2009-02-18 09:16 <DIR> d--h----- c:\windows\system32\GroupPolicy
2009-02-18 09:12 . 2005-08-24 08:38 3,495,808 -ra------ c:\windows\system32\vtdisp.dll
2009-02-18 09:12 . 2005-08-24 08:46 1,875,968 -ra------ c:\windows\system32\vticd.dll
2009-02-18 09:12 . 2005-08-24 08:38 237,312 -ra------ c:\windows\system32\drivers\vtmini.sys
2009-02-18 09:09 . 2009-02-18 09:15 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\Macromedia
2009-02-18 09:07 . 2009-02-18 09:10 <DIR> d-------- c:\windows\Downloaded Installations

.
((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-18 04:29 --------- d-----w c:\arquivos de programas\Kaspersky Lab
2009-02-18 04:27 --------- d--h--w c:\arquivos de programas\InstallShield Installation Information
2009-02-18 04:27 --------- d-----w c:\arquivos de programas\Arquivos comuns\InstallShield
2009-02-18 04:24 --------- d-----w c:\arquivos de programas\VIAudioi
2009-02-18 04:06 --------- d-----w c:\arquivos de programas\VIA
2009-02-18 03:54 --------- d-----w c:\arquivos de programas\Serviços on-line
2009-02-18 03:54 --------- d-----w c:\arquivos de programas\Arquivos comuns\Serviços
2009-02-18 03:52 --------- d-----w c:\arquivos de programas\Windows Media Connect 2
2009-02-17 22:32 --------- d-----w c:\arquivos de programas\DAEMON Tools Lite
2009-02-17 22:30 717,296 ----a-w c:\windows\system32\drivers\sptd.sys
2009-02-17 22:30 --------- d-----w c:\documents and settings\Luan\Dados de aplicativos\DAEMON Tools
2009-02-17 22:23 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Messenger Plus!
2009-02-17 22:19 --------- d-----w c:\arquivos de programas\Messenger Plus! Live
2009-02-17 22:16 --------- dcsh--w c:\arquivos de programas\Arquivos comuns\WindowsLiveInstaller
2009-02-17 22:16 --------- d-----w c:\arquivos de programas\Windows Live
2009-02-17 22:01 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\WLInstaller
2009-02-17 21:55 --------- d-----w c:\arquivos de programas\TaskSwitchXP
2009-02-17 21:53 --------- d-----w c:\arquivos de programas\No-IP
2009-01-16 16:46 3,594,752 ------w c:\windows\system32\dllcache\mshtml.dll
2008-12-20 22:47 826,368 ----a-w c:\windows\system32\wininet.dll
2008-12-20 22:47 826,368 ------w c:\windows\system32\dllcache\wininet.dll
2008-12-20 22:47 671,232 ------w c:\windows\system32\dllcache\mstime.dll
2008-12-20 22:47 477,696 ------w c:\windows\system32\dllcache\mshtmled.dll
2008-12-20 22:47 44,544 ------w c:\windows\system32\dllcache\pngfilt.dll
2008-12-20 22:47 233,472 ------w c:\windows\system32\dllcache\webcheck.dll
2008-12-20 22:47 193,024 ------w c:\windows\system32\dllcache\msrating.dll
2008-12-20 22:47 105,984 ------w c:\windows\system32\dllcache\url.dll
2008-12-20 22:47 102,912 ------w c:\windows\system32\dllcache\occache.dll
2008-12-20 22:47 1,160,192 ------w c:\windows\system32\dllcache\urlmon.dll
2008-12-19 09:14 70,656 ------w c:\windows\system32\dllcache\ie4uinit.exe
2008-12-19 09:10 13,824 ------w c:\windows\system32\dllcache\ieudinit.exe
2008-12-19 05:25 634,024 ------w c:\windows\system32\dllcache\iexplore.exe
2008-12-19 05:23 161,792 ------w c:\windows\system32\dllcache\ieakui.dll
.

------- Sigcheck -------

2008-10-11 01:12 361600 e88631e21a9caca06104802f9e915115 c:\windows\system32\drivers\tcpip.sys
.
(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por defeito não são mostradas.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TaskSwitchXP"="c:\arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-05 62976]
"RocketDock"="e:\utilidades\RocketDock\RocketDock.exe" [2007-09-02 495616]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2005-03-07 c:\windows\system32\VTTimer.exe]
"VTTrayp"="VTtrayp.exe" [2005-03-11 c:\windows\system32\VTTrayp.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"="shell32" [X]
"_nltide_3"="advpack.dll" [2008-12-21 c:\windows\system32\advpack.dll]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"ForceStartMenuLogOff"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"StartMenuLogoff"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk /k:C /k:D /k:E *

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VModes]
VModes AttachToDesktop [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AudioDeck]
--a------ 2006-09-05 18:28 540672 c:\arquivos de programas\VIAudioi\SBADeck\ADeck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2008-04-14 15:30 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-04-01 14:09 486856 c:\arquivos de programas\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-08-04 03:32 36352 e:\multmídia\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\DarkBro\\DarkBRO Cronus\\login-server.exe"=
"d:\\DarkBro\\DarkBRO Cronus\\char-server.exe"=
"d:\\DarkBro\\DarkBRO Cronus\\map-server.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\livecall.exe"=

R0 DeepFrz;DeepFrz;c:\windows\system32\drivers\DeepFrz.sys [2007-06-28 131472]
R0 ViBus;ViBus;c:\windows\system32\drivers\ViBus.sys [2009-02-18 16896]
R0 ViPrt;VIA SATA IDE Device Driver;c:\windows\system32\drivers\ViPrt.sys [2009-02-18 52224]
R3 slnt;Kaiomy KM8139D 10/100Mbps PCI Fast Ethernet Adapter;c:\windows\system32\drivers\slnt.sys [2009-02-21 17972]
.
.
------- Scan Suplementar -------
.
uStart Page = about:blank
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Rootkit scan 2009-02-22 12:07:53
Windows 5.1.2600 Service Pack 3 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso
arquivos/ficheiros ocultos: 0

**************************************************************************
.
Tempo para conclusão: 2009-02-22 12:08:38
ComboFix-quarantined-files.txt 2009-02-22 07:38:36

Pré-execução: 9 pasta(s) 11.781.263.360 bytes disponíveis
Pós execução: 8 pasta(s) 11,777,523,712 bytes disponíveis

182 --- E O F --- 2009-02-22 06:08:17

[b]Está ai o LOG, acho que está tudo em ordem, valeu mesmo cara, esse foi o melhor fórum suporte que já encontrei, você realmente me ajudou.
Muito obrigado pela atenção e paciência.
Até mais!

valeu mesmo cara, esse foi o melhor fórum suporte que já encontrei, você realmente me ajudou.
Muito obrigado pela atenção e paciência.

Ficamos felizes que o nosso suporte está sendo útil.

Vá no menu: Iniciar - Executar - digite (ou copie e cole este comando abaixo) para desinstalar o Combofix:

combofix /u

Tecle Enter.
__________________________________________________________________________________________

Siga, por gentileza, as dicas deste tutorial para fazer um escaneamento de seu PC pelo Nod32 Online:

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Após o término do escaneamento será gerado um relatório (log) que estará no seguinte local do seu computador:
C:\Arquivos de programas\EsetOnlineScanner\log

Na sua próxima resposta poste este log do Nod32 Online juntamente com um novo log do Hijackthis e nos diga, por gentileza, como está o seu PC após seguir este procedimento.

Ficamos no aguardo de sua resposta.

Log NOD32
Detalhe: Ele não excluiu oque encontrou!
# version=4
# OnlineScanner.ocx=1.0.0.635
# OnlineScannerDLLA.dll=1, 0, 0, 79
# OnlineScannerDLLW.dll=1, 0, 0, 78
# OnlineScannerUninstaller.exe=1, 0, 0, 49
# vers_standard_module=3881 (20090223)
# vers_arch_module=1.064 (20080214)
# vers_adv_heur_module=1.066 (20070917)
# EOSSerial=8734bb5259bd894d80131f5ba7afe398
# end=finished
# remove_checked=true
# unwanted_checked=true
# utc_time=2009-02-24 11:32:47
# local_time=2009-02-24 04:02:47 (+0430, Hora padrão do Afeganistão)
# country="Brazil"
# osver=5.1.2600 NT Service Pack 3
# scanned=430755
# found=10
# scan_time=2668
C:\Qoobox\Quarantine\C\qphdin.com.vir Win32/PSW.OnLineGames.NMY trojan (unable to clean - deleted) 00000000000000000000000000000000
D:\qphdin.com Win32/PSW.OnLineGames.NMY trojan (unable to clean - deleted) 00000000000000000000000000000000
D:\ur0.com Win32/PSW.OnLineGames.NMY trojan (unable to clean - deleted) 00000000000000000000000000000000
D:\Minhas músicas\Heavy Metal\snake in grass annihilator.mp3 a variant of WMA/TrojanDownloader.GetCodec.gen trojan (cleaned) 35D893695B25546AEB775C079283A471
D:\Não Usados\Programas\GameMenu.rar Win32/Drowor.NAB virus (deleted) 00000000000000000000000000000000
D:\Não Usados\Programas\GameMenu.rar »RAR »GameMenu\br\f.exe Win32/Drowor.NAB virus (error while cleaning - operation unavailable for this type of object - error while deleting - operation unavailable for this type of object - was a part of the deleted object) 00000000000000000000000000000000
D:\Não Usados\Programas\GameMenu.rar »RAR »GameMenu\cn\f.exe Win32/Drowor.NAB virus (error while cleaning - operation unavailable for this type of object - error while deleting - operation unavailable for this type of object - was a part of the deleted object) 00000000000000000000000000000000
E:\qphdin.com Win32/PSW.OnLineGames.NMY trojan (unable to clean - deleted) 00000000000000000000000000000000
E:\ur0.com Win32/PSW.OnLineGames.NMY trojan (unable to clean - deleted) 00000000000000000000000000000000
E:\Game Menu\f.exe Win32/Drowor.NAB virus (unable to clean - deleted) 00000000000000000000000000000000

LOG Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:09:39, on 24/2/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Stardock\ObjectDock\ObjectDock.exe
C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
C:\Arquivos de programas\Windows Live\Messenger\usnsvc.exe
C:\Arquivos de programas\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Não Usados\Programas\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = C:\Arquivos de programas\Stardock\ObjectDock\ObjectDock.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O23 - Service: DF5Serv - Faronics Corporation - C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\DF5Serv.exe

--
End of file - 2957 bytes

* Exclua o relatório do Avenger que está em C:\avenger.txt

*Selecione e copie (Ctrl+C) todo o código dentro do CÓDIGO (caixa branca) abaixo:

Código:

Files to delete:
D:\qphdin.com
D:\ur0.com
D:\Minhas músicas\Heavy Metal\snake in grass annihilator.mp3
D:\Não Usados\Programas\GameMenu.rar
E:\qphdin.com
E:\ur0.com
E:\Game Menu\f.exe

Folders to delete:
C:\Qoobox

*Execute o programa Avenger
*Clique em [Load Script] > [Paste from Clipboard]
*Clique em [Execute] > [OK]
*O PC será reiniciado
*Cole o novo relatório criado em C:\avenger.txt em sua próxima resposta e nos diga como está o PC depois disto.

Não Encontrou!!

Certamente o Avenger não encontrou os arquivos porque eles já foram excluidos pelo Nod32 Online.
_________________________

Faça o seguinte, por gentileza:

Siga, por gentileza as dicas deste tutorial para fazer uma limpeza de seu PC com o Spyware Doctor:

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Na sua próxima resposta poste este log do Spyware Doctor juntamente com um novo log do Hijackthis e nos diga como está o seu Pc depois disto.

Ficamos no aguardo.

Tópico arquivado.

Como o autor não respondeu ao tópico por mais de 20 dias, o mesmo foi arquivado.

Caso você seja o autor do tópico e quer que o mesmo seja reaberto, envie uma mensagem privada para um membro da [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] com um link para este tópico e justifique porque você precisa dele reaberto.