Usamos cookies para medir audiência e melhorar sua experiência. Você pode aceitar ou recusar a qualquer momento. Veja sobre o iMasters.
Olá!
Estou com suspeitas que essa maquina esteja com virus.
Segue abaixo o log do HiJackThis
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:17:06, on 4/6/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Arquivos de programas\Synaptics\SynTP\SynTPStart.exe
C:\Arquivos de programas\Motorola\SMSERIAL\sm56hlpr.exe
C:\Arquivos de programas\Winamp\winampa.exe
C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe
C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://badoo.com/startpage/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.office11br.cjb.net/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2010\ievkbd.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [synTPStart] C:\Arquivos de programas\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [sMSERIAL] C:\Arquivos de programas\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Arquivos de programas\Winamp\winampa.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RaidCall] C:\Arquivos de programas\raidcall\raidcall.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [beholder] C:\WINDOWS\system32\Beholder.exe
O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [badoo Desktop] C:\Documents and Settings\All Users\Dados de aplicativos\Badoo\Badoo Desktop\1.6.48.1082\Badoo.Desktop.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\cauan\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [modpro.exe] C:\Documents and Settings\All Users\Dados de aplicativos\modpro.exe
O4 - HKCU\..\Run: [wina] C:\Documents and Settings\All Users\Dados de aplicativos\wina.exe
O4 - HKCU\..\Run: [wodpro.exe] C:\Documents and Settings\All Users\Dados de aplicativos\wodpro.exe
O4 - HKCU\..\Run: [wood.exe] C:\Documents and Settings\All Users\Dados de aplicativos\wood.exe
O4 - Startup: 2086C1D172.LNK = C:\Documents and Settings\cauan\Dados de aplicativos\windows\homologado.exe
O4 - Startup: Adobe Gamma.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: winnmidiaplyair.exe
O4 - Startup: ™¨ž™ž£hibg.exe
O4 - Startup: ™¨ž™ž£iiai.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HotKeyDriver.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: &Teclado virtual - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Veri&ficação de URLs - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O20 - AppInit_DLLs: C:\ARQUIV~1\KASPER~1\KASPER~1\mzvkbd3.dll
O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\ARQUIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Arquivos de programas\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.17\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.5.8\bin\mysqld.exe
--
End of file - 8916 bytes
:lol:
Wings,
Seguqe abaixo o log do mbam e do BankerFix
BankerFix:
-------------------------------------------------------
BankerFix 3.1 VALKYRIE - Removedor de Bankers
Linha Defensiva | http://www.linhadefensiva.org
http://www.linhadefensiva.org/bankerfix/
-------------------------------------------------------
Data: 2012-06-05 - 02:37
-------------------------------------------------------
Lista de Definição: 2012-03-19-1 | CORE: 2012-01-27-1
=======================================================
Arquivo infectado detectado: C:\Documents and Settings\All Users\Dados de aplicativos\cno.txt
Arquivo infectado removido com sucesso!
Arquivo infectado detectado: C:\Documents and Settings\All Users\Dados de aplicativos\la.txt
Arquivo infectado removido com sucesso!
Arquivo infectado detectado: C:\Documents and Settings\All Users\Dados de aplicativos\li.txt
Arquivo infectado removido com sucesso!
Arquivo infectado detectado: C:\Documents and Settings\All Users\Dados de aplicativos\lobi.exe
Arquivo infectado removido com sucesso!
Arquivo infectado detectado: C:\Documents and Settings\All Users\Dados de aplicativos\ls.txt
Arquivo infectado removido com sucesso!
----- Fim -------------------------
MBAM
Malwarebytes Anti-Malware (Trial) 1.61.0.1400
www.malwarebytes.org
Versão da Base de Dados: v2012.06.05.01
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
cauan :: CASA-8F00745240 [administrador]
Proteção: Permitir
5/6/2012 00:36:47
mbam-log-2012-06-05 (00-36-47).txt
Tipo de Verificação: Verificação Completa
Opções de verificações ativadas: Memória | Inicialização | Registro | Sistema de arquivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM
Opções de verificação desativadas: P2P
Objetos escaneados: 247786
Tempo decorrido: 41 minuto(s), 56 segundo(s)
Processos de Memória Detectados: 3
C:\Documents and Settings\All Users\Dados de aplicativos\wood.exe (Trojan.Banker) -> 1908 -> Será deletado na próxima inicialização.
C:\WINDOWS\system32\Hosts (Trojan.Agent) -> 172 -> Será deletado na próxima inicialização.
C:\Documents and Settings\All Users\Dados de aplicativos\modpro.exe (Trojan.Banker) -> 1168 -> Será deletado na próxima inicialização.
Módulos de Memória Detectados: 0
(Não foram detectados ítens maliciosos)
Chaves de Registro Detectadas: 3
HKCU\SOFTWARE\RZDVL2F27W (Trojan.FakeAlert) -> Enviado para a Quarentena e deletado com sucesso.
HKCU\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Enviado para a Quarentena e deletado com sucesso.
HKCU\Software\QNB2EB90WX (Malware.Trace) -> Enviado para a Quarentena e deletado com sucesso.
Valores de Registro Detectadas: 4
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|wood.exe (Trojan.Banker) -> Data: C:\Documents and Settings\All Users\Dados de aplicativos\wood.exe -> Enviado para a Quarentena e deletado com sucesso.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|wina (Trojan.FakeMS) -> Data: C:\Documents and Settings\All Users\Dados de aplicativos\wina.exe -> Enviado para a Quarentena e deletado com sucesso.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|modpro.exe (Trojan.Banker) -> Data: C:\Documents and Settings\All Users\Dados de aplicativos\modpro.exe -> Enviado para a Quarentena e deletado com sucesso.
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Beholder (Trojan.Banker) -> Data: C:\WINDOWS\system32\Beholder.exe -> Enviado para a Quarentena e deletado com sucesso.
Itens de Dados no Registro Detectadas: 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Ruim: (1) Bom: (0) -> Enviado para a Quarentena e reparado com sucesso.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Ruim: (1) Bom: (0) -> Enviado para a Quarentena e reparado com sucesso.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Ruim: (1) Bom: (0) -> Enviado para a Quarentena e reparado com sucesso.
Pastas Detectadas: 0
(Não foram detectados ítens maliciosos)
Arquivos Detectados: 23
C:\Documents and Settings\cauan\Desktop\Cauan\IH_Resetter_2.3.exe (Trojan.Agent.CK) -> Nenhuma ação foi feita.
C:\Documents and Settings\cauan\Desktop\Cauan\Photoshp CS2\Photshop CS2 keygen\photoshop cs2 keygen.exe (Trojan.Agent.CK) -> Nenhuma ação foi feita.
C:\Documents and Settings\cauan\Desktop\Cauan\Flash.Professional.v8.0\keygen.exe (Riskware.Tool.CK) -> Nenhuma ação foi feita.
C:\Documents and Settings\All Users\Dados de aplicativos\wood.exe (Trojan.Banker) -> Será deletado na próxima inicialização.
C:\Documents and Settings\All Users\Dados de aplicativos\wina.exe (Trojan.FakeMS) -> Enviado para a Quarentena e deletado com sucesso.
C:\Documents and Settings\All Users\Dados de aplicativos\wini.exe (Spyware.Banker) -> Enviado para a Quarentena e deletado com sucesso.
C:\Documents and Settings\All Users\Dados de aplicativos\wins.exe (Spyware.Banker) -> Enviado para a Quarentena e deletado com sucesso.
C:\Documents and Settings\All Users\Dados de aplicativos\Year.exe (Trojan.Banker) -> Enviado para a Quarentena e deletado com sucesso.
C:\Documents and Settings\cauan\Menu Iniciar\Programas\Inicializar\winnmidiaplyair.exe (Trojan.Agent) -> Enviado para a Quarentena e deletado com sucesso.
C:\WINDOWS\system32\sugg.exe (Spyware.Banker) -> Enviado para a Quarentena e deletado com sucesso.
C:\WINDOWS\system32\hookDll.dll (Trojan.Agent) -> Enviado para a Quarentena e deletado com sucesso.
C:\WINDOWS\system32\atualizado.log (Malware.Trace) -> Enviado para a Quarentena e deletado com sucesso.
C:\WINDOWS\system32\Hosts (Trojan.Agent) -> Será deletado na próxima inicialização.
C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job (Trojan.Downloader) -> Enviado para a Quarentena e deletado com sucesso.
C:\Documents and Settings\cauan\Dados de aplicativos\Microsoft\kb8532.exe (Trojan.Agent.Gen) -> Enviado para a Quarentena e deletado com sucesso.
C:\Documents and Settings\All Users\Dados de aplicativos\modpro.exe (Trojan.Banker) -> Será deletado na próxima inicialização.
C:\Documents and Settings\cauan\Dados de aplicativos\drivers\rtl3264.vxd (Trojan.Banker.Gen) -> Enviado para a Quarentena e deletado com sucesso.
C:\Documents and Settings\cauan\Dados de aplicativos\drivers\rtl745G.vxd (Trojan.Banker.Gen) -> Enviado para a Quarentena e deletado com sucesso.
C:\Documents and Settings\cauan\Dados de aplicativos\drivers\rtl8194.vxd (Trojan.Banker.Gen) -> Enviado para a Quarentena e deletado com sucesso.
C:\Documents and Settings\cauan\Dados de aplicativos\drivers\rtl9976.vxd (Trojan.Banker.Gen) -> Enviado para a Quarentena e deletado com sucesso.
C:\Documents and Settings\All Users\Dados de aplicativos\Sunday.exe (PasswordStealer.Agent) -> Enviado para a Quarentena e deletado com sucesso.
C:\Documents and Settings\cauan\Dados de aplicativos\windows\homologado.exe (Trojan.Banker) -> Enviado para a Quarentena e deletado com sucesso.
C:\WINDOWS\system32\Beholder.exe (Trojan.Banker) -> Enviado para a Quarentena e deletado com sucesso.
(fim)
o/
Bom dia!
1.
*Execute o Malwarebytes, clique na aba [Quarentena], selecione todos os resultados e clique [Apagar tudo]
*Clique na aba [Logs], selecione o relatório e clique [Apagar]
*Feche o Malwarebytes
2.
*Delete o BankerFix e a pasta C:\LinhaDefensiva
3.
Baixe o RegBak (...da Acelogix*)
*Extraia para o desktop
*Na pasta do programa, execute o regbak
*Usuários do Windows Vista ou do Windows 7 devem clicar com o botão direito do mouse no arquivo e selecionar Executar como administrador
*Clique [browse...] e selecione C:\
*Clique [Criar Nova Pasta]
*Dê o nome de Backup
*Clique [OK]
*Clique [Avançar] > [start] e aguarde o término
*Feche o RegBak
4.
*Desative temporariamente seu antivírus
Baixe o ComboFix (...de sUBs*) e salve-o no desktop (Área de Trabalho)
*Execute-o e aceite o contrato.
*Usuários do Windows Vista ou do Windows 7 devem clicar com o botão direito do mouse no arquivo e selecionar Executar como administrador
*Usuários do Windows XP: Se o Console de Recuperação do Microsoft Windows não estiver instalado, aceite a sua instalação. Após a instalação do Console, clique [sim].
*Aguarde a conclusão das etapas...pode demorar!
1) Não use o mouse nem o teclado durante as etapas!!
2) Para interromper o scan, tecle N
*Cole o relatório apresentado
Segue abaixo o log do ComboFix:
ComboFix 12-06-07.03 - cauan 07/06/2012 10:33:48.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.893.206 [GMT -3:00]
Executando de: c:\documents and settings\cauan\Desktop\ComboFix.exe
AV: Kaspersky Anti-Virus Disabled/Outdated {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.
.
((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Dados de aplicativos\lg.txt
c:\documents and settings\All Users\Dados de aplicativos\massa
c:\documents and settings\All Users\Dados de aplicativos\wodpro.exe
c:\documents and settings\cauan\Dados de aplicativos\Windows
c:\documents and settings\cauan\google.000historico01.txt
c:\documents and settings\cauan\google.001historico10.txt
c:\documents and settings\cauan\google.024historico11.txt
c:\documents and settings\cauan\google.093historico05.txt
c:\documents and settings\cauan\google.186historico02.txt
c:\documents and settings\cauan\google.298historico04.txt
c:\documents and settings\cauan\google.635historico08.txt
c:\documents and settings\cauan\google.654historico03.txt
c:\documents and settings\cauan\google.729historico07.txt
c:\documents and settings\cauan\google.987historico09.txt
c:\documents and settings\cauan\™¨ž™ž£hibg.txt
c:\documents and settings\cauan\™¨ž™ž£iiai.txt
c:\documents and settings\cauan\™¥š¥ ahib.txt
c:\documents and settings\cauan\™¥š¥ aiic.txt
c:\documents and settings\cauan\™¥š¥ ajid.txt
c:\documents and settings\cauan\™¥š¥ akie.txt
c:\documents and settings\cauan\™¥š¥ alif.txt
c:\documents and settings\cauan\™¥š¥ amig.txt
c:\documents and settings\cauan\™¥š¥ anih.txt
c:\documents and settings\cauan\™¥š¥ aoii.txt
c:\documents and settings\cauan\™¥š¥ apij.txt
c:\documents and settings\cauan\™¥š¥ bgjahi.txt
D:\AUTORUN.INF
.
.
(((((((((((((((( Arquivos/Ficheiros criados de 2012-05-07 to 2012-06-07 ))))))))))))))))))))))))))))
.
.
2012-06-07 13:19 . 2012-06-07 13:19 -------- d-----w- C:\backup
2012-06-05 05:37 . 2012-06-05 05:37 -------- d-----w- C:\LinhaDefensiva
2012-06-05 03:33 . 2012-06-05 03:33 -------- d-----w- c:\documents and settings\cauan\Dados de aplicativos\Malwarebytes
2012-06-05 03:33 . 2012-06-05 03:33 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes
2012-06-05 03:33 . 2012-06-05 03:33 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware
2012-06-05 03:33 . 2012-04-04 18:56 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
.
.
.
((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-04 20:22 . 2012-02-02 13:56 422400 ----a-w- c:\windows\system32\Winlogon
2012-06-04 20:22 . 2012-02-02 13:56 281088 ----a-w- c:\windows\system32\Alg
2012-04-30 21:14 . 2012-04-30 21:14 16997 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\menu2.js
2012-04-30 21:14 . 2012-04-30 21:14 1810 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\api.js
2012-05-07 20:01 . 2011-07-13 04:22 97208 ----a-w- c:\arquivos de programas\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
Nota entradas vazias e legítimas por padrão não são apresentadas.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe" [2005-10-28 94208]
"Badoo Desktop"="c:\documents and settings\All Users\Dados de aplicativos\Badoo\Badoo Desktop\1.6.48.1082\Badoo.Desktop.exe" [2011-10-05 1051760]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSPower"="SiSPower.dll" [2007-10-03 53248]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-23 16804864]
"SynTPStart"="c:\arquivos de programas\Synaptics\SynTP\SynTPStart.exe" [2007-08-17 102400]
"SMSERIAL"="c:\arquivos de programas\Motorola\SMSERIAL\sm56hlpr.exe" [2007-01-19 634880]
"WinampAgent"="c:\arquivos de programas\Winamp\winampa.exe" [2011-12-09 74752]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"RaidCall"="c:\arquivos de programas\raidcall\raidcall.exe" [2012-03-28 2596536]
"HP Software Update"="c:\arquivos de programas\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152]
"SunJavaUpdateSched"="c:\arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe" [2011-06-09 254696]Envie os arquivos abaixo para análise em http://www.virustotal.com.br
c:\documents and settings\cauan\Dados de aplicativos\windows\homologado.exe
c:\documents and settings\cauan\Menu Iniciar\Programas\Inicializar\™¨ž™ž£hibg.exe
c:\documents and settings\cauan\Menu Iniciar\Programas\Inicializar\™¨ž™ž£iiai.exe
*Cole os links dos resultados.
>
Envie os arquivos abaixo para análise em http://www.virustotal.com.br
c:\documents and settings\cauan\Dados de aplicativos\windows\homologado.exe
c:\documents and settings\cauan\Menu Iniciar\Programas\Inicializar\™¨ž™ž£hibg.exe
c:\documents and settings\cauan\Menu Iniciar\Programas\Inicializar\™¨ž™ž£iiai.exe
*Cole os links dos resultados.
Link para os dois ultimos.
Na ordem de cima pra baixo ;x
Não consegui fazer o scan do primeiro arquivo no virustotal.Não acho ele no diretorio que você postou...
1.
Envie o arquivo para análise:
c:\documents and settings\cauan\Menu Iniciar\Programas\Inicializar\
2086C1D172.LNK
2.
*Delete os arquivos:
c:\documents and settings\cauan\Menu Iniciar\Programas\Inicializar\™¨ž™ž£hibg.exe
c:\documents and settings\cauan\Menu Iniciar\Programas\Inicializar\™¨ž™ž£iiai.exe
3.
*Novo log do hijack
>
1.
Envie o arquivo para análise:
c:\documents and settings\cauan\Menu Iniciar\Programas\Inicializar\
2086C1D172.LNK
2.
*Delete os arquivos:
c:\documents and settings\cauan\Menu Iniciar\Programas\Inicializar\™¨ž™ž£hibg.exe
c:\documents and settings\cauan\Menu Iniciar\Programas\Inicializar\™¨ž™ž£iiai.exe
3.
*Novo log do hijack
Wings..
1º: O virustotal está acusando que o "caminho" para o arquivo não existe cara...Ele ta lá, mais o virustotal não está abrindo O.o
2º: Já foram deletados pelo anti virus.
3º: Log do HijackThis
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:43:31, on 9/6/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Arquivos de programas\Synaptics\SynTP\SynTPStart.exe
C:\Arquivos de programas\Motorola\SMSERIAL\sm56hlpr.exe
C:\Arquivos de programas\Winamp\winampa.exe
C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe
C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://badoo.com/startpage/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.office11br.cjb.net/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2010\ievkbd.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [synTPStart] C:\Arquivos de programas\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [sMSERIAL] C:\Arquivos de programas\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Arquivos de programas\Winamp\winampa.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe"--
End of file - 7906 bytes
1.
*Execute o hijack, clique [Do a system scan only], selecione a entrada abaixo e clique [Fix checked]
O4 - Startup: 2086C1D172.LNK = C:\Documents and Settings\cauan\Dados de aplicativos\windows\homologado.exe
*Feche o hijack
2.
*Renomei o Combofix para Uninstall
*Execute-o, aguarde a mensagem ComboFix foi desinstalado e clique [OK]
*Delete o arquivo C:\Combofix.txt
3.
*Novo log do hijack
Boa noite !
Segue abaixo novo log do HijackThis.
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 18:08:23, on 11/6/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Arquivos de programas\Synaptics\SynTP\SynTPStart.exe
C:\Arquivos de programas\Motorola\SMSERIAL\sm56hlpr.exe
C:\Arquivos de programas\Winamp\winampa.exe
C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe
C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://badoo.com/startpage/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.office11br.cjb.net/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2010\ievkbd.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [synTPStart] C:\Arquivos de programas\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [sMSERIAL] C:\Arquivos de programas\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Arquivos de programas\Winamp\winampa.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe"--
End of file - 7560 bytes
o/
Boa noite FreedomFSA
O log está limpo.
1.
*Delete a pasta C:\Backup
2. Desative a Restauração do Sistema
*Clique com o botão direito do mouse em Meu Computador e selecione Propriedades
*Clique em Restauração do Sistema
*Selecione a opção Desativar Restauração do Sistema
*Clique [Aplicar] > [sim] > [OK]
3. Ative novamente a Restauração do Sistema
*Desmarque a opção Desativar Restauração do Sistema
*Clique [Aplicar] > [sim] > [OK]
Um abraço.
Wings.
Deletei a pasta e fiz o que foi pedido sobre a restauração do sistema.
:D
PROBLEMA RESOLVIDO
Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico.
Olá FreedomFSA
1.
Baixe o Bankerfix (...da Linha Defensiva*) e salve-o no desktop (Área de Trabalho)
*Execute-o. Usuários do Windows Vista ou do Windows 7 devem clicar com o botão direito do mouse no arquivo e selecionar Executar como administrador
*Clique [sim] para instalar
/applications/core/interface/imageproxy/imageproxy.php?img=http://i50.tinypic.com/350j91u.jpg&key=5736ad2eaba04151e1b3f71b79bf50cefcf4772776514f333141fba6513e70be" alt="350j91u.jpg" />
*Clique [OK] para baixar
/applications/core/interface/imageproxy/imageproxy.php?img=http://i50.tinypic.com/2a5m1wx.jpg&key=bfdbd2bb27faea3f44fb010b577d44aa00dd524232bed95392955c375a9a6e5d" alt="2a5m1wx.jpg" />
*Clique [OK] para executar
/applications/core/interface/imageproxy/imageproxy.php?img=http://i49.tinypic.com/wrneat.jpg&key=3289ed41971712f14c6fb8d8e9180e347889712520103eabe90fd98c956bba1a" alt="wrneat.jpg" />
*Tecle [ENTER]
/applications/core/interface/imageproxy/imageproxy.php?img=http://i44.tinypic.com/v61cnn.jpg&key=353cd2f113be6a077ff116dd9a238b378a4138957a353d5f3b6cb476f8dd9c56" alt="v61cnn.jpg" />
*Ao finalizar, tecle [ENTER]
/applications/core/interface/imageproxy/imageproxy.php?img=http://i49.tinypic.com/s3ip6q.jpg&key=5391cab665b689a4141a8d79cfd19d63aa0a8186e1f8bd13443ab34ac135acd0" alt="s3ip6q.jpg" />
*Cole o relatório ano_mês_dia.txt localizado na pasta C:\LinhaDefensiva\relatorios
2.
*Instale o MalwareBytes
*Aguarde a atualização e o programa será aberto automaticamente
*Selecione [Verificação completa]
/applications/core/interface/imageproxy/imageproxy.php?img=http://t.imgbox.com/aadySM2U.jpg&key=b52254a744e0385acc27751d2b61918c8d72c12285b5d9cadf73703f09516704" alt="aadySM2U.jpg" />
*Clique [Verificar] e selecione a partição onde o Windows está instalado ( C:\ )
*Clique [Verificar]
*Ao término, clique [OK] > [Ver Resultados] > [Remover Selecionados]
*Cole o relatório apresentado
Caso já tenhas o Malwarebytes instalado
*Execute-o, clique [Atualização] > [baixar Atualizações]
*Aguarde o término
*Clique [Verificação], selecione Verificação completa
*Clique [Verificar] e selecione a partição onde o Windows está instalado
*Ao término, clique [OK] > [Ver Resultados] > [Remover Selecionados]
*Cole o relatório apresentado