[Arquivado] &nbspVirus

Olá, karoline ferreira!

Siga conforme orientado:

REGRA Nº 02 - Utilizando O Hijackthis.

>
Olá, karoline ferreira!

Siga conforme orientado:

REGRA Nº 02 - Utilizando O Hijackthis.

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 15:53:34, on 11/1/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Eset\nod32kui.exe

C:\Arquivos de programas\C&E\OSD\osd.exe

C:\Arquivos de programas\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Arquivos de programas\Nero\Nero 9\InCD\InCD.exe

C:\Arquivos de programas\Nero\Nero 9\InCD\NBHGui.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4T1.EXE

C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe

C:\Arquivos de programas\NetRatingsNetSight\NetSight\NielsenOnline.exe

C:\Arquivos de programas\NetRatingsNetSight\NetSight\NielsenOnline.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\sistray.exe

C:\Arquivos de programas\Nero\Nero 9\InCD\InCDSrv.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Arquivos comuns\Nero\Nero BackItUp 4\NBService.exe

C:\Arquivos de programas\Nero\Nero 9\InCD\NBHRegInCDSrv.exe

C:\Arquivos de programas\Eset\nod32krn.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\notepad.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Mozilla Firefox\plugin-container.exe

C:\WINDOWS\system32\mspaint.exe

C:\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 217.149.120.6:80

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Arquivos de programas\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [OSD] C:\Arquivos de programas\C&E\OSD\osd.exe

O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [synTPEnh] C:\Arquivos de programas\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [inCD] C:\Arquivos de programas\Nero\Nero 9\InCD\InCD.exe

O4 - HKLM\..\Run: [NBHGui] C:\Arquivos de programas\Nero\Nero 9\InCD\NBHGui.exe

O4 - HKLM\..\Run: [EPSON Stylus C45 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4T1.EXE /P23 "EPSON Stylus C45 Series" /O6 "USB001" /M "Stylus C45"

O4 - HKLM\..\Run: [ink Monitor] C:\Arquivos de programas\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [NielsenOnline] C:\Arquivos de programas\NetRatingsNetSight\NetSight\NielsenOnline.exe

O4 - HKLM\..\Run: [updateReminder] C:\Arquivos de programas\Eset\UpdateReminder.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Arquivos de programas\Google\Update\GoogleUpdate.exe

O23 - Service: InCD Helper (InCDSrv) - Nero AG - C:\Arquivos de programas\Nero\Nero 9\InCD\InCDSrv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: Nero BackItUp Scheduler 3 - Unknown owner - C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBService.exe (file missing)

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Arquivos de programas\Arquivos comuns\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: Nero Registry InCD Service (NeroRegInCDSrv) - Nero AG - C:\Arquivos de programas\Nero\Nero 9\InCD\NBHRegInCDSrv.exe

O23 - Service: NMIndexingService - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMIndexingService.exe (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Arquivos de programas\Eset\nod32krn.exe

--

End of file - 6527 bytes

karoline ferreira,

*Baixe o MalwareBytes Anti-Malware e salve-o no desktop

*Instale o programa

*Se alguma atualização existir,o download será automático. Aguarde...

*O programa será aberto automaticamente.

*Na aba [Verificação], selecione a opção [Verificação completa]

*Clique em [Verificar] e selecione as partições a serem examinadas (geralmente C:\ e D:\)

*Ao término do scan, poderá ser interrogado se deseja remover objetos da memória. Clique [sIM] > [OK] > [Mostrar Resultados]

*Clique em [Remover Selecionados]

*Um relatório (mbam-log-ano-mês-data.txt) será apresentado.

*Cole-o na sua próxima resposta

>
karoline ferreira,

*Baixe o MalwareBytes Anti-Malware e salve-o no desktop

*Instale o programa

*Se alguma atualização existir,o download será automático. Aguarde...

*O programa será aberto automaticamente.

*Na aba [Verificação], selecione a opção [Verificação completa]

*Clique em [Verificar] e selecione as partições a serem examinadas (geralmente C:\ e D:\)

*Ao término do scan, poderá ser interrogado se deseja remover objetos da memória. Clique [sIM] > [OK] > [Mostrar Resultados]

*Clique em [Remover Selecionados]

*Um relatório (mbam-log-ano-mês-data.txt) será apresentado.

*Cole-o na sua próxima resposta

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

Versão da Base de Dados: 5507

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

12/1/2011 17:03:20

mbam-log-2011-01-12 (17-03-20).txt

Tipo de Verificação: Verificação Completa (C:\|D:\|)

Objetos escaneados: 164350

Tempo decorrido: 17 minuto(s), 9 segundo(s)

Processos de Memória Infectados: 0

Módulos de Memória Infectados: 0

Chaves de Registro Infectadas: 1

Valores de Registro Infectados: 1

Itens de Dados no Registro Infectados: 2

Pastas Infectadas: 7

Arquivos Infectados: 5

Processos de Memória Infectados:

(Não foram detectados ítens maliciosos)

Módulos de Memória Infectados:

(Não foram detectados ítens maliciosos)

Chaves de Registro Infectadas:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Valores de Registro Infectados:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> Quarantined and deleted successfully.

Itens de Dados no Registro Infectados:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (PUM.Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Pastas Infectadas:

c:\arquivos de programas\funwebproducts (Adware.MyWebSearch) -> Quarantined and deleted successfully.

c:\arquivos de programas\funwebproducts\Installr (Adware.MyWebSearch) -> Quarantined and deleted successfully.

c:\arquivos de programas\funwebproducts\Installr\2.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully.

c:\arquivos de programas\funwebproducts\Installr\3.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully.

c:\arquivos de programas\funwebproducts\Installr\4.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully.

c:\arquivos de programas\funwebproducts\Installr\Cache (Adware.MyWebSearch) -> Quarantined and deleted successfully.

c:\arquivos de programas\funwebproducts\Installr\setups (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Arquivos Infectados:

c:\arquivos de programas\funwebproducts\Installr\2.bin\NPFUNWEB.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.

c:\arquivos de programas\funwebproducts\Installr\3.bin\NPFUNWEB.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.

c:\arquivos de programas\funwebproducts\Installr\4.bin\NPFUNWEB.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.

c:\arquivos de programas\funwebproducts\Installr\Cache\01BA3E7A.exe (Adware.MyWebSearch) -> Quarantined and deleted successfully.

c:\arquivos de programas\funwebproducts\Installr\Cache\files.ini (Adware.MyWebSearch) -> Quarantined and deleted successfully.

karoline ferreira,

*Baixe o ComboFix e salve-o no desktop

* Desative seu antivírus temporariamente:

*Execute o Combofix e aceite o contrato

*Se o console de recuperação do Windows já estiver instalado, o ComboFix continuará o processo automaticamente. Caso contrário, clique em [sIM] para a sua instalação.

/applications/core/interface/imageproxy/imageproxy.php?img=http://i.imagehost.org/0741/recovery-console-prompt.jpg&key=e82a02a7669077650b575129b2877919986cc4825b1687eb2ffdb0009aaf6732" alt="recovery-console-prompt.jpg" />

*Clique em [sIM] para continuar.

/applications/core/interface/imageproxy/imageproxy.php?img=http://i.imagehost.org/0744/recovery-console-installed.jpg&key=ea128ab96f17dd81ce75cb7ce84d8f5e2e8b2b0e5321caf560d0276a9f2199c4" alt="recovery-console-installed.jpg" />

*Aguarde a conclusão de todas as etapas

/applications/core/interface/imageproxy/imageproxy.php?img=http://d.imagehost.org/0428/etapas.jpg&key=250c1a0bc69aad66089043d6d8150402761d8cb6b9d93671998163470db4d210" alt="etapas.jpg" />

*Enquanto o ComboFix estiver em execução, evite usar o mouse e o teclado!!..... Para interromper o procedimento tecle N ou 2 e depois ENTER.

*O programa será fechado automaticamente e um relatório (C:\combofix.txt) será apresentado. Cole-o na próxima resposta.

No Aguardo.

>
karoline ferreira,

*Baixe o ComboFix e salve-o no desktop

* Desative seu antivírus temporariamente:

*Execute o Combofix e aceite o contrato

*Se o console de recuperação do Windows já estiver instalado, o ComboFix continuará o processo automaticamente. Caso contrário, clique em [sIM] para a sua instalação.

/applications/core/interface/imageproxy/imageproxy.php?img=http://i.imagehost.org/0741/recovery-console-prompt.jpg&key=e82a02a7669077650b575129b2877919986cc4825b1687eb2ffdb0009aaf6732" alt="recovery-console-prompt.jpg" />

*Clique em [sIM] para continuar.

/applications/core/interface/imageproxy/imageproxy.php?img=http://i.imagehost.org/0744/recovery-console-installed.jpg&key=ea128ab96f17dd81ce75cb7ce84d8f5e2e8b2b0e5321caf560d0276a9f2199c4" alt="recovery-console-installed.jpg" />

*Aguarde a conclusão de todas as etapas

/applications/core/interface/imageproxy/imageproxy.php?img=http://d.imagehost.org/0428/etapas.jpg&key=250c1a0bc69aad66089043d6d8150402761d8cb6b9d93671998163470db4d210" alt="etapas.jpg" />

*Enquanto o ComboFix estiver em execução, evite usar o mouse e o teclado!!..... Para interromper o procedimento tecle N ou 2 e depois ENTER.

*O programa será fechado automaticamente e um relatório (C:\combofix.txt) será apresentado. Cole-o na próxima resposta.

No Aguardo.

ComboFix 11-01-12.04 - Administrador 13/01/2011 18:48:00.1.1 - x86

Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.893.499 [GMT -2:00]

Executando de: c:\documents and settings\Administrador\Desktop\ComboFix.exe

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system32\msconfig.exe

.

(((((((((((((((( Arquivos/Ficheiros criados de 2010-12-13 to 2011-01-13 ))))))))))))))))))))))))))))

.

2011-01-13 20:33 . 2011-01-10 21:29 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\PhotoScape

2011-01-12 18:43 . 2011-01-12 18:43 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\Malwarebytes

2011-01-12 18:43 . 2010-12-20 20:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2011-01-12 18:43 . 2011-01-12 18:43 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

2011-01-12 18:43 . 2011-01-12 18:43 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware

2011-01-12 18:43 . 2010-12-20 20:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-01-11 17:51 . 2011-01-11 17:51 388608 ----a-w- C:\HiJackThis.exe

2011-01-10 21:30 . 2011-01-10 21:30 -------- d-----w- c:\windows\system32\wbem\Repository

2011-01-06 20:33 . 2011-01-06 20:33 -------- d-----w- c:\documents and settings\Administrador\.thumbnails

2011-01-03 22:21 . 2011-01-12 01:09 -------- d-----w- c:\documents and settings\Administrador\.gimp-2.6

2011-01-03 22:20 . 2011-01-10 22:03 -------- d-----w- c:\arquivos de programas\GIMP-2.0

2010-12-27 15:05 . 2008-04-14 12:00 26624 ----a-w- c:\documents and settings\LocalService\Dados de aplicativos\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

2010-12-27 14:51 . 2008-04-14 12:00 221184 ----a-w- c:\windows\system32\wmpns.dll

2010-12-27 14:51 . 2010-12-27 14:51 -------- d-----w- c:\arquivos de programas\Windows Media Connect 2

2010-12-27 14:48 . 2011-01-10 22:24 -------- d-----w- c:\windows\system32\LogFiles

2010-12-27 14:48 . 2010-12-27 14:49 -------- d-----w- c:\windows\system32\drivers\UMDF

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

------- Sigcheck -------

[-] 2008-05-05 . ACCF5A9A1FFAA490F33DBA1C632B95E1 . 361344 . . [5.1.2600.5512] . . c:\windows\system32\drivers\tcpip.sys

[-] 2008-05-05 . 4A242109B08C4355E72860807F151BF4 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

c:\windows\System32\drivers\beep.sys ... está faltando !!

c:\windows\System32\wscntfy.exe ... está faltando !!

c:\windows\System32\regsvc.dll ... está faltando !!

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

Nota entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\NBHShellExt]

@="{8D2223A2-B3C6-4e32-B096-CDD11F628C60}"

[HKEY_CLASSES_ROOT\CLSID\{8D2223A2-B3C6-4e32-B096-CDD11F628C60}]

2008-09-19 19:53 98328 ----a-w- c:\arquivos de programas\Nero\Nero 9\InCD\NBHshx.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"nod32kui"="c:\arquivos de programas\Eset\nod32kui.exe" [2010-07-28 949376]

"SkyTel"="SkyTel.EXE" [2007-08-03 1826816]

"OSD"="c:\arquivos de programas\C&E\OSD\osd.exe" [2007-08-28 671801]

"SiSPower"="SiSPower.dll" [2010-01-06 53248]

"SynTPEnh"="c:\arquivos de programas\Synaptics\SynTP\SynTPEnh.exe" [2005-08-25 737369]

"RTHDCPL"="RTHDCPL.EXE" [2007-08-20 16384512]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]

"InCD"="c:\arquivos de programas\Nero\Nero 9\InCD\InCD.exe" [2008-09-19 1111064]

"NBHGui"="c:\arquivos de programas\Nero\Nero 9\InCD\NBHGui.exe" [2008-09-19 2079256]

"EPSON Stylus C45 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I4T1.EXE" [2004-01-14 99840]

"Ink Monitor"="c:\arquivos de programas\EPSON\Ink Monitor\InkMonitor.exe" [2004-03-31 258114]

"SunJavaUpdateSched"="c:\arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe" [2010-05-14 248552]

"NielsenOnline"="c:\arquivos de programas\NetRatingsNetSight\NetSight\NielsenOnline.exe" [2009-10-30 47456]

"UpdateReminder"="c:\arquivos de programas\Eset\UpdateReminder.exe" [2010-11-03 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_3"="advpack.dll" [2009-03-08 128512]

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

Utility Tray.lnk - c:\windows\system32\sistray.exe [2010-7-28 262144]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"HideRunAsVerb"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveTrack"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoSMHelp"= 1 (0x1)

"ForceClassicControlPanel"= 1 (0x1)

"NoResolveTrack"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\WINDOWS\\system32\\ftp.exe"=

"c:\\Arquivos de programas\\uTorrent\\uTorrent.exe"=

"c:\\Arquivos de programas\\Google\\Google Earth\\plugin\\geplugin.exe"=

"c:\\Arquivos de programas\\Java\\jre6\\launch4j-tmp\\wowd.exe"=

R1 nnrnstdi;nnrnstdi;c:\windows\system32\drivers\nnrnstdi.sys [20/9/2010 18:12 15360]

R1 nod32drv;nod32drv;c:\windows\system32\drivers\nod32drv.sys [28/7/2010 18:30 15424]

R2 NeroRegInCDSrv;Nero Registry InCD Service;c:\arquivos de programas\Nero\Nero 9\InCD\NBHRegInCDSrv.exe [19/9/2008 17:53 108568]

R3 km_filter;km_filter;c:\windows\system32\drivers\km_filter.sys [20/9/2010 18:12 10368]

S0 nielprt;Nielsen Patch Service;c:\windows\system32\DRIVERS\nielprt.sys --> c:\windows\system32\DRIVERS\nielprt.sys [?]

S2 gupdate;Google Update Service (gupdate);c:\arquivos de programas\Google\Update\GoogleUpdate.exe [19/9/2010 11:39 136176]

S3 NielGfx;Nielsen USB GFX;c:\windows\system32\drivers\nielgfx.sys --> c:\windows\system32\drivers\nielgfx.sys [?]

NETSVCS PRECISA DE REPAROS - Entradas atuais mostradas

6to4

AppMgmt

AudioSrv

Browser

CryptSvc

DMServer

DHCP

EventSystem

FastUserSwitchingCompatibility

HidServ

Ias

Iprip

Irmon

LanmanServer

LanmanWorkstation

Netman

Nla

Ntmssvc

NWCWorkstation

Nwsapagent

Rasauto

Rasman

Remoteaccess

Schedule

SENS

Sharedaccess

SRService

Tapisrv

Themes

WZCSVC

Wmi

WmdmPmSp

winmgmt

xmlprov

napagent

hkmsvc

BITS

wuauserv

ShellHWDetection

WmdmPmSN

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

.

Conteúdo da pasta 'Tarefas Agendadas'

2011-01-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

• c:\arquivos de programas\Google\Update\GoogleUpdate.exe [2010-09-19 13:38]

2011-01-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

• c:\arquivos de programas\Google\Update\GoogleUpdate.exe [2010-09-19 13:38]

2011-01-14 c:\windows\Tasks\User_Feed_Synchronization-{3D56E767-D2BC-4909-9EEF-B5610F3EAA59}.job

• c:\windows\system32\msfeedssync.exe [2009-03-08 07:31]

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.google.com.br/

uDefault_Search_URL = hxxp://www.google.com/ie

uInternet Settings,ProxyServer = 217.149.120.6:80

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\Office12\EXCEL.EXE/3000

LSP: c:\windows\system32\imon.dll

FF - ProfilePath - c:\documents and settings\Administrador\Dados de aplicativos\Mozilla\Firefox\Profiles\f4v8fqe4.default\

FF - prefs.js: browser.search.defaulturl - hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15305

FF - prefs.js: browser.startup.homepage - www.google.com.br

FF - prefs.js: keyword.URL - hxxp://utils.babylon.com/abt/index.php?url=

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\arquivos de programas\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\arquivos de programas\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\arquivos de programas\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\arquivos de programas\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\arquivos de programas\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}

FF - Ext: Adicional de Seguranca CAIXA: {87F8774F-B485-47E2-A755-A40A8A5E886D} - %profile%\extensions\{87F8774F-B485-47E2-A755-A40A8A5E886D}

FF - Ext: Java Quick Starter: jqs@sun.com - c:\arquivos de programas\Java\jre6\lib\deploy\jqs\ff

FF - Ext: Nielsen: {D908A1CC-54B4-4af9-9BB4-964F5BD3CDB7} - c:\arquivos de programas\NetRatingsNetSight\NetSight\meter1\FFAddon

.

• - - - ORFÃOS REMOVIDOS - - - -

HKLM-Run-NWEReboot - (no file)

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2011-01-13 18:50

Windows 5.1.2600 Service Pack 3 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

**************************************************************************

.

--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

[HKEY_USERS\S-1-5-21-299502267-688789844-1801674531-500\Software\Microsoft\Internet Explorer\User Preferences]

@Denied: (2) (Administrator)

"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,90,33,64,f5,0f,4d,53,43,b4,e6,ae,\

"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,90,33,64,f5,0f,4d,53,43,b4,e6,ae,\

"6256FFB019F8FDFBD36745B06F4540E9AEAF222A25"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,90,33,64,f5,0f,4d,53,43,b4,e6,ae,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

• - - - - - - > 'lsass.exe'(540)

c:\windows\system32\imon.dll

c:\arquivos de programas\Eset\pr_imon.dll

.

Tempo para conclusão: 2011-01-13 18:51:27

ComboFix-quarantined-files.txt 2011-01-13 20:51

Pré-execução: 5 pasta(s) 74.645.004.288 bytes disponíveis

Pós execução: 7 pasta(s) 74.634.735.616 bytes disponíveis

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

• - End Of File - - 0A9DB5DC3DCFB86BEC7AC5B751CE2D39

karoline ferreira,

1º

*Baixe o SystemLook e salve-o no desktop

*Execute o SystemLook

*Cole o código abaixo no espaço em branco:

:filefindbeep.sys

wscntfy.exe

regsvc.dll

Clique em [Look]Cole o relatório SystemLook.txt localizado no desktop

SystemLook 04.09.10 by jpshortstuff

Log created at 00:48 on 14/01/2011 by Administrador

Administrator - Elevation successful

========== filefind ==========

Searching for "beep.sys"

No files found.

Searching for "wscntfy.exe"

No files found.

Searching for "regsvc.dll"

No files found.

-= EOF =-

>
karoline ferreira,

1º

*Baixe o SystemLook e salve-o no desktop

*Execute o SystemLook

*Cole o código abaixo no espaço em branco:

:filefindbeep.sys

wscntfy.exe

regsvc.dll

Clique em [Look]Cole o relatório SystemLook.txt localizado no desktop

SystemLook 04.09.10 by jpshortstuff

Log created at 00:48 on 14/01/2011 by Administrador

Administrator - Elevation successful

========== filefind ==========

Searching for "beep.sys"

No files found.

Searching for "wscntfy.exe"

No files found.

Searching for "regsvc.dll"

No files found.

-= EOF =-

:) Oi karoline! Desculpe-nos pela demora. O Felipe_88 teve que sair por uns dias, então estarei cuidando do seu caso.

:seta: Siga, por gentileza, esta dica:

Tutorial do Norman Malware Cleaner

Na sua próxima resposta poste o conteúdo do log do Norman Malware Cleaner juntamente com um novo log do Hijackthis e nos diga como está o seu PC depois disto.

Ficamos na espera.

>
:) Oi karoline! Desculpe-nos pela demora. O Felipe_88 teve que sair por uns dias, então estarei cuidando do seu caso.

:seta: Siga, por gentileza, esta dica:

Tutorial do Norman Malware Cleaner

Na sua próxima resposta poste o conteúdo do log do Norman Malware Cleaner juntamente com um novo log do Hijackthis e nos diga como está o seu PC depois disto.

Ficamos na espera.

Olá baixei o programa fiz como esta na tutorial mais na hora para colocar para scaner nao aparece a opçao o que faço?????

Olá baixei o programa fiz como esta na tutorial mais na hora para colocar para scaner nao aparece a opçao o que faço?????

:seta: Faça então, por gentileza, o download do Norman Malware Cleaner no endereço abaixo (coloquei o nome dele como Jovem Campeão para que se algum virus tentar bloquear a execução dele possamos enganá-lo):

http://www.4shared.com/file/FkoYOYgJ/jovem_campeo.html?

Ao acessar este site acima, clique no botão Download now > aguarde a contagem regressiva > Clique na opção: Click here to download this file.

Depois disto é só executá-lo normalmente como é ensinado no tutorial dele que tinha te passado e depois poste os logs pedidos.

Tópico Arquivado

Como o autor não respondeu por mais de 30 dias, o tópico foi arquivado.

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.