Vírus no MSN - Análise HiJackThis

Flatex · 24-02-2010, 19:04

Quando clico pra entrar no msn, eu abro o gerenciador de tarefas, passa uns 10 segundos e eu vejo q o processo "wlcomm.exe" começa a ocupar 100% do CPU, ele é necessário pro msn entrar, mas está infectado e o msn nao entra, já tentei de tudo e nao consigo corrigir isso. estou quase indo pra formatação do PC por causa disso.

analisem meu log do hijackthis pra ver se ainda tem salvação sem precisar formatar =X

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:49:51, on 24/2/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.21148)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\windows\Explorer.EXE
C:\Arquivos de programas\Bonjour\mDNSResponder.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBService.exe
C:\windows\system32\nvsvc32.exe
C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe
C:\windows\system32\svchost.exe
C:\windows\AGRSMMSG.exe
C:\Documents and Settings\Usuário\Meus documentos\Downloads\DGMShoter.exe
C:\windows\system32\ctfmon.exe
C:\arquivos de programas\valve\steam\steam.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\windows\System32\svchost.exe
C:\WINDOWS\system32\msiexec.exe
C:\Arquivos de programas\ESET\ESET NOD32 antivírus\ekrn.exe
C:\Arquivos de programas\ESET\ESET NOD32 antivírus\egui.exe
C:\windows\system32\wuauclt.exe
C:\Documents and Settings\Usuário\Meus documentos\Downloads\HiJackThis.exe
C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe
C:\32788R22FWJFW\cmd.cfxxe
C:\32788R22FWJFW\NirCmd.cfxxe
C:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe
C:\windows\system32\taskmgr.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Arquivos de programas\Internet Download Manager\IDMIECC.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Arquivos de programas\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.d ll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [snpstd] C:\windows\vsnpstd.exe
O4 - HKLM\..\Run: [egui] "C:\Arquivos de programas\ESET\ESET NOD32 antivírus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [DGM Screenshoter] C:\Documents and Settings\Usuário\Meus documentos\Downloads\DGMShoter.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\arquivos de programas\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [IDMan] C:\Arquivos de programas\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [Evidence Eliminator] C:\Arquivos de programas\Evidence Eliminator\ee.exe /m
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: Download all links with IDM - C:\Arquivos de programas\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - C:\Arquivos de programas\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - C:\Arquivos de programas\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.Microsoft.com/intl/br/access/allinone.asp
O17 - HKLM\System\CCS\Services\Tcpip\..\{28E3C715-175F-491F-8AF8-E40C839AEDE3}: NameServer = 200.149.55.140,200.200.32.147
O17 - HKLM\System\CS1\Services\Tcpip\..\{28E3C715-175F-491F-8AF8-E40C839AEDE3}: NameServer = 200.149.55.140,200.200.32.147
O17 - HKLM\System\CS2\Services\Tcpip\..\{28E3C715-175F-491F-8AF8-E40C839AEDE3}: NameServer = 200.149.55.140,200.200.32.147
O17 - HKLM\System\CS3\Services\Tcpip\..\{28E3C715-175F-491F-8AF8-E40C839AEDE3}: NameServer = 200.149.55.140,200.200.32.147
O17 - HKLM\System\CS4\Services\Tcpip\..\{28E3C715-175F-491F-8AF8-E40C839AEDE3}: NameServer = 200.149.55.140,200.200.32.147
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Arquivos de programas\Bonjour\mDNSResponder.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Arquivos de programas\ESET\ESET NOD32 antivírus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Arquivos de programas\ESET\ESET NOD32 antivírus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\ARQUIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMIndexingService.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Nero AG - (no file)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\windows\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\windows\System32\TUProgSt.exe

--
End of file - 8072 bytes

Felipe_88 · 24-02-2010, 19:09

Olá, Flatex!

Você já tentou instalar o Combofix ai no seu PC?

Parece que você tentou suar o combofix por aí....

Flatex · 24-02-2010, 19:17

Sim, já tentei com o ComboFix, mesmo assim não adiantou :/
o que mais posso tentar?

Felipe_88 · 24-02-2010, 19:34

Abra novamente o hijackthis clique em » Do a system scam only marque a(s) seguinte(s) linha(s) abaixo, clique em Fix checked:

Citação:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

*Baixe o programa do link abaixo e salve-o no desktop:
http://www.besttechie.net/tools/mbam-setup.exe
*Instale o programa
*Selecione a linguagem Português (Brasil)
*Selecione apenas a caixa: "Atualizar MalwareBytes'Anti-Malware"
*Se alguma atualização existir o download será automático
*Não faça ainda scan!!!
*Aviso: Scan Demora comforme a quantidade de arquivos na maquina.
*Reinicie o PC em Modo de Segurança
*Execute o programa e na aba "Scanner", selecione a opção "Realizar um scan completo"
*Clique em "Examinar"
*Ao término do scan, clique em "OK" > "Mostrar Resultados"
*Selecione todas as entradas e clique em "Remover Selecionados"
*Após a remoção poderá ser interrogado se deseja remover objetos da memória. Clique "SIM"
*Um log será apresentado com o resultado das ações
*Alguns malwares são rebeldes e necessitam de uma reinicialização para a remoção. Caso isto seja solicitado, clique para reiniciar o PC. Caso não seja solicitado, Reinice por conta propria.
*Execute novamente o programa Malwarebytes Anti-malware e na aba "Log", abra o arquivo que está lá, copie e cole o resultado do scan aqui no fórum junto com novo log do hijack.

Ficamos no aguardo!

Flatex · 24-02-2010, 22:32

Então...
Esse MalwareBytes não detectou nada dessa vez, mas é pq eu já tinha usado ele ontem e mesmo assim o problema continuava... segue o log dele:

Malwarebytes' Anti-Malware 1.44
Versão do banco de dados: 3782
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 7.0.5730.11

24/2/2010 00:50:11
mbam-log-2010-02-24 (00-50-11).txt

Tipo de Verificação: Completa (C:\|)
Objetos verificados: 244580
Tempo decorrido: 58 minute(s), 19 second(s)

Processos da Memória infectados: 0
Módulos de Memória Infectados: 0
Chaves do Registro infectadas: 0
Valores do Registro infectados: 0
Ítens do Registro infectados: 2
Pastas infectadas: 0
Arquivos infectados: 17

Processos da Memória infectados:
(Nenhum ítem malicioso foi detectado)

Módulos de Memória Infectados:
(Nenhum ítem malicioso foi detectado)

Chaves do Registro infectadas:
(Nenhum ítem malicioso foi detectado)

Valores do Registro infectados:
(Nenhum ítem malicioso foi detectado)

Ítens do Registro infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL \CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Pastas infectadas:
(Nenhum ítem malicioso foi detectado)

Arquivos infectados:
C:\e.cmd (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\i.bat (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\ij.bat (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\ncyrf.bat (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Arquivos de programas\CyberScript32\msnmirc\dll\nHTMLn.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Usuário\Meus documentos\Downloads\SSWv6.71.dll (Worm.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Usuário\Meus documentos\Downloads\SSWv6.71.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Documents and Settings\Usuário\Meus documentos\Downloads\TradGTASA_1.0.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\Usuário\Meus documentos\Downloads\ROM\Nintendo 64\Nova pasta\Nova pasta\Project64 1.7.0.55E\msvcr70.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\LinhaDefensiva\QUA\Arquivos\system32\owner.exe. vir (Password.Stealer) -> Quarantined and deleted successfully.
C:\LinhaDefensiva\QUA\Arquivos\system32\winn32t.ex e.vir (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\d10w1 (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\d10w2 (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\h4714System.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\m2nl.bat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\rcukd.cmd (Trojan.Agent) -> Quarantined and deleted successfully.
C:\o1.com (Spyware.OnlineGames) -> Quarantined and deleted successfully.

como nao removeu nada dessa vez, não adianta postar outro log do hijack pq vai ser o mesmo.

só pra deixar avisado, antes de postar o log eu já tinha usado esses programas: MalwareBytes, BankerFix, ComboFix e Spyware Doctor.

nenhum deles resolveram o problema ..

Wings · 24-02-2010, 22:55

E por quê vc acha que o wlcomm.exe está contaminado?

O Malwarebytes removeu bastante coisa.

Flatex · 25-02-2010, 0:15

Tipo, antes de acontecer isso o msn funcionava normalmente, e eu nao lembro de ter clicado em nenhum link e nem de ter baixado nada q infectasse..
é estranho pq nenhum anti-virus ou anti-malware consegue remover. eu tentei removendo o proprio arquivo da pasta, mas sem ele o msn nao funciona, nao sei mais o que fazer...

Felipe_88 · 25-02-2010, 6:19

Flatex,

O MalwaresBytes removeu algumas viroses...

Eu acredito que ele não está infectado, porém, vamos fazer uma análise:

*Envie o arquivo abaixo para análise em http://virscan.org

Citação:

C:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe

*Cole os links contendo o rewsultado.

Flatex · 25-02-2010, 12:37

http://virscan.org/report/f9e6a03fcf...018eb7517.html

Não detectou nada, então só pode ser que outro arquivo esteja infectado, não o wlcomm.exe...

Felipe_88 · 26-02-2010, 9:03

Flatex,

Vamos dar uma analisada com o Combofix..

*Baixe o ComboFix e salve-o no desktop
*Duplo-clique no arquivo Combofix.exe
*Aceite o contrato

*Se o console de recuperação do Windows já estiver instalado, o ComboFix irá continuar o processo automaticamente. Caso não esteja uma janela, conforme abaixo, será aberta. Clique em [SIM] para aceitar a instalação do mesmo.

*Após a instalação, clique em [SIM] para continuar.

*Importante: enquanto o ComboFix estiver em execução, não use o mouse nem o teclado!!..... Para interromper o procedimento tecle N ou 2 e depois ENTER.

*O programa será fechado automaticamente

*Cole o relatório criado em C:\combofix.txt

Ficamos no aguardo!

24-02-2010, 19:04	#1 (permalink)
Flatex Newbie Registrado em: May 2007 Mensagens: 31 Reputação: 0	Vírus no MSN - Análise HiJackThis Quando clico pra entrar no msn, eu abro o gerenciador de tarefas, passa uns 10 segundos e eu vejo q o processo "wlcomm.exe" começa a ocupar 100% do CPU, ele é necessário pro msn entrar, mas está infectado e o msn nao entra, já tentei de tudo e nao consigo corrigir isso. estou quase indo pra formatação do PC por causa disso. analisem meu log do hijackthis pra ver se ainda tem salvação sem precisar formatar =X Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:49:51, on 24/2/2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.21148) Boot mode: Normal Running processes: C:\windows\System32\smss.exe C:\windows\system32\winlogon.exe C:\windows\system32\services.exe C:\windows\system32\lsass.exe C:\windows\system32\svchost.exe C:\windows\System32\svchost.exe C:\windows\system32\spoolsv.exe C:\windows\Explorer.EXE C:\Arquivos de programas\Bonjour\mDNSResponder.exe C:\Arquivos de programas\Java\jre6\bin\jqs.exe C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBService.exe C:\windows\system32\nvsvc32.exe C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe C:\windows\system32\svchost.exe C:\windows\AGRSMMSG.exe C:\Documents and Settings\Usuário\Meus documentos\Downloads\DGMShoter.exe C:\windows\system32\ctfmon.exe C:\arquivos de programas\valve\steam\steam.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\windows\System32\svchost.exe C:\WINDOWS\system32\msiexec.exe C:\Arquivos de programas\ESET\ESET NOD32 antivírus\ekrn.exe C:\Arquivos de programas\ESET\ESET NOD32 antivírus\egui.exe C:\windows\system32\wuauclt.exe C:\Documents and Settings\Usuário\Meus documentos\Downloads\HiJackThis.exe C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe C:\32788R22FWJFW\cmd.cfxxe C:\32788R22FWJFW\NirCmd.cfxxe C:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe C:\windows\system32\taskmgr.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Arquivos de programas\Internet Download Manager\IDMIECC.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Arquivos de programas\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.d ll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [snpstd] C:\windows\vsnpstd.exe O4 - HKLM\..\Run: [egui] "C:\Arquivos de programas\ESET\ESET NOD32 antivírus\egui.exe" /hide /waitservice O4 - HKCU\..\Run: [DGM Screenshoter] C:\Documents and Settings\Usuário\Meus documentos\Downloads\DGMShoter.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe O4 - HKCU\..\Run: [Steam] "c:\arquivos de programas\valve\steam\steam.exe" -silent O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [IDMan] C:\Arquivos de programas\Internet Download Manager\IDMan.exe /onboot O4 - HKCU\..\Run: [Evidence Eliminator] C:\Arquivos de programas\Evidence Eliminator\ee.exe /m O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O8 - Extra context menu item: Download all links with IDM - C:\Arquivos de programas\Internet Download Manager\IEGetAll.htm O8 - Extra context menu item: Download FLV video content with IDM - C:\Arquivos de programas\Internet Download Manager\IEGetVL.htm O8 - Extra context menu item: Download with IDM - C:\Arquivos de programas\Internet Download Manager\IEExt.htm O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~1\Office12\EXCEL.EXE/3000 O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~1\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.Microsoft.com/intl/br/access/allinone.asp O17 - HKLM\System\CCS\Services\Tcpip\..\{28E3C715-175F-491F-8AF8-E40C839AEDE3}: NameServer = 200.149.55.140,200.200.32.147 O17 - HKLM\System\CS1\Services\Tcpip\..\{28E3C715-175F-491F-8AF8-E40C839AEDE3}: NameServer = 200.149.55.140,200.200.32.147 O17 - HKLM\System\CS2\Services\Tcpip\..\{28E3C715-175F-491F-8AF8-E40C839AEDE3}: NameServer = 200.149.55.140,200.200.32.147 O17 - HKLM\System\CS3\Services\Tcpip\..\{28E3C715-175F-491F-8AF8-E40C839AEDE3}: NameServer = 200.149.55.140,200.200.32.147 O17 - HKLM\System\CS4\Services\Tcpip\..\{28E3C715-175F-491F-8AF8-E40C839AEDE3}: NameServer = 200.149.55.140,200.200.32.147 O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Arquivos de programas\Bonjour\mDNSResponder.exe O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Arquivos de programas\ESET\ESET NOD32 antivírus\EHttpSrv.exe O23 - Service: ESET Service (ekrn) - ESET - C:\Arquivos de programas\ESET\ESET NOD32 antivírus\ekrn.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\ARQUIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMIndexingService.exe O23 - Service: nProtect GameGuard Service (npggsvc) - Nero AG - (no file) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\windows\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\windows\System32\TUProgSt.exe -- End of file - 8072 bytes

24-02-2010, 19:09	#2 (permalink)
Felipe_88 Ubbergeek Registrado em: Sep 2008 Localização: Secrecy City Idade: 23 Mensagens: 4.111 Reputação: 421	Olá, Flatex! Você já tentou instalar o Combofix ai no seu PC? Parece que você tentou suar o combofix por aí.... Última edição por Felipe_88 : 24-02-2010 às 19:25.

24-02-2010, 22:32	#5 (permalink)
Flatex Newbie Registrado em: May 2007 Mensagens: 31 Reputação: 0	Então... Esse MalwareBytes não detectou nada dessa vez, mas é pq eu já tinha usado ele ontem e mesmo assim o problema continuava... segue o log dele: Malwarebytes' Anti-Malware 1.44 Versão do banco de dados: 3782 Windows 5.1.2600 Service Pack 3 (Safe Mode) Internet Explorer 7.0.5730.11 24/2/2010 00:50:11 mbam-log-2010-02-24 (00-50-11).txt Tipo de Verificação: Completa (C:\\|) Objetos verificados: 244580 Tempo decorrido: 58 minute(s), 19 second(s) Processos da Memória infectados: 0 Módulos de Memória Infectados: 0 Chaves do Registro infectadas: 0 Valores do Registro infectados: 0 Ítens do Registro infectados: 2 Pastas infectadas: 0 Arquivos infectados: 17 Processos da Memória infectados: (Nenhum ítem malicioso foi detectado) Módulos de Memória Infectados: (Nenhum ítem malicioso foi detectado) Chaves do Registro infectadas: (Nenhum ítem malicioso foi detectado) Valores do Registro infectados: (Nenhum ítem malicioso foi detectado) Ítens do Registro infectados: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL \CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. Pastas infectadas: (Nenhum ítem malicioso foi detectado) Arquivos infectados: C:\e.cmd (Spyware.OnlineGames) -> Quarantined and deleted successfully. C:\i.bat (Spyware.OnlineGames) -> Quarantined and deleted successfully. C:\ij.bat (Spyware.OnlineGames) -> Quarantined and deleted successfully. C:\ncyrf.bat (Spyware.OnlineGames) -> Quarantined and deleted successfully. C:\Arquivos de programas\CyberScript32\msnmirc\dll\nHTMLn.dll (Trojan.Agent) -> Quarantined and deleted successfully. C:\Documents and Settings\Usuário\Meus documentos\Downloads\SSWv6.71.dll (Worm.Agent) -> Quarantined and deleted successfully. C:\Documents and Settings\Usuário\Meus documentos\Downloads\SSWv6.71.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully. C:\Documents and Settings\Usuário\Meus documentos\Downloads\TradGTASA_1.0.exe (Trojan.Dropper) -> Quarantined and deleted successfully. C:\Documents and Settings\Usuário\Meus documentos\Downloads\ROM\Nintendo 64\Nova pasta\Nova pasta\Project64 1.7.0.55E\msvcr70.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully. C:\LinhaDefensiva\QUA\Arquivos\system32\owner.exe. vir (Password.Stealer) -> Quarantined and deleted successfully. C:\LinhaDefensiva\QUA\Arquivos\system32\winn32t.ex e.vir (Trojan.Dropper) -> Quarantined and deleted successfully. C:\WINDOWS\system32\d10w1 (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\system32\d10w2 (Trojan.Dropper) -> Quarantined and deleted successfully. C:\WINDOWS\system32\h4714System.txt (Malware.Trace) -> Quarantined and deleted successfully. C:\m2nl.bat (Trojan.Agent) -> Quarantined and deleted successfully. C:\rcukd.cmd (Trojan.Agent) -> Quarantined and deleted successfully. C:\o1.com (Spyware.OnlineGames) -> Quarantined and deleted successfully. como nao removeu nada dessa vez, não adianta postar outro log do hijack pq vai ser o mesmo. só pra deixar avisado, antes de postar o log eu já tinha usado esses programas: MalwareBytes, BankerFix, ComboFix e Spyware Doctor. nenhum deles resolveram o problema .. Última edição por Flatex : 24-02-2010 às 22:48.

24-02-2010, 22:55	#6 (permalink)
Wings Highlander Registrado em: Apr 2007 Mensagens: 15.651 Reputação: 2819	E por quê vc acha que o wlcomm.exe está contaminado? O Malwarebytes removeu bastante coisa. __________________

		FórumGdH > Software, Segurança e Mac (Apple) > Análise de logs e remoção de vírus (arquivos maliciosos)
Vírus no MSN - Análise HiJackThis

1. Por favor análise de log...( resolvido )
Mais resultados? Use nossa pesquisa.

24-02-2010, 19:17	#3 (permalink)
Flatex Newbie Registrado em: May 2007 Mensagens: 31 Reputação: 0	Sim, já tentei com o ComboFix, mesmo assim não adiantou :/ o que mais posso tentar?

25-02-2010, 0:15	#7 (permalink)
Flatex Newbie Registrado em: May 2007 Mensagens: 31 Reputação: 0	Tipo, antes de acontecer isso o msn funcionava normalmente, e eu nao lembro de ter clicado em nenhum link e nem de ter baixado nada q infectasse.. é estranho pq nenhum anti-virus ou anti-malware consegue remover. eu tentei removendo o proprio arquivo da pasta, mas sem ele o msn nao funciona, nao sei mais o que fazer...

25-02-2010, 12:37	#9 (permalink)
Flatex Newbie Registrado em: May 2007 Mensagens: 31 Reputação: 0	http://virscan.org/report/f9e6a03fcf...018eb7517.html Não detectou nada, então só pode ser que outro arquivo esteja infectado, não o wlcomm.exe...

26-02-2010, 9:03	#10 (permalink)
Felipe_88 Ubbergeek Registrado em: Sep 2008 Localização: Secrecy City Idade: 23 Mensagens: 4.111 Reputação: 421	Flatex, Vamos dar uma analisada com o Combofix.. Baixe o ComboFix* e salve-o no desktop Duplo-clique no arquivo Combofix.exe Aceite o contrato Se o console de recuperação do Windows já estiver instalado, o ComboFix irá continuar o processo automaticamente. Caso não esteja uma janela, conforme abaixo, será aberta. Clique em [SIM] para aceitar a instalação do mesmo. Após a instalação, clique em [SIM] para continuar. Importante: enquanto o ComboFix estiver em execução, não use o mouse nem o teclado!!..... Para interromper o procedimento tecle N ou 2 e depois ENTER. O programa será fechado automaticamente *Cole o relatório criado em C:\combofix.txt Ficamos no aguardo!

Opções do Tópico
Exibir Versão para Impressão Envie essa página por e-mail