Ir para conteúdo

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

Rasec

[Arquivado] (exmold) Nao sai nem a pau

Por , em Tópicos Arquivados (Seguranca & Malwares)

Recommended Posts

Rasec    0

Rasec
Postado

Carissimos,

Necessito de ajuda para remover esse malware, quem puder me ajudar eu agradeco

 

 

Aqui vai o log gerado pelo HijackThis

 

Logfile of HijackThis v1.99.1

Scan saved at 10:31:25, on 22/9/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

C:\Arquivos de programas\UltraVNC\WinVNC.exe

C:\WINDOWS\Explorer.EXE

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\Smax4.exe

C:\ARQUIV~1\A4Tech\Keyboard\Ikeymain.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

C:\WINDOWS\system32\NWTRAY.EXE

C:\Arquivos de programas\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\Arquivos de programas\Cobian Backup 8\Cobian.exe

C:\Arquivos de programas\SlySoft\AnyDVD\AnyDVD.exe

C:\Arquivos de programas\Ahead\InCD\InCD.exe

C:\Arquivos de programas\Cobian Backup 8\cbInterface.exe

C:\Arquivos de programas\DAEMON Tools\daemon.exe

C:\Arquivos de programas\Spyware Terminator\SpywareTerminatorShield.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Winamp\winamp.exe

C:\Arquivos de programas\Prevx1\PXConsole.exe

C:\Arquivos de programas\Prevx1\PXAgent.exe

C:\WINDOWS\TEMP\70exmodul32d.4.exe

D:\torrent\virus\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://128.0.3.30/intra/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 128.0.1.1:8080

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Dados de aplicativos\Prevx\pxbho.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [WinVNC] "C:\Arquivos de programas\UltraVNC\WinVNC.exe" -servicehelper

O4 - HKLM\..\Run: [soundMAXPnP] C:\Arquivos de programas\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Arquivos de programas\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [iKeyWorks] C:\ARQUIV~1\A4Tech\Keyboard\Ikeymain.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Arquivos de programas\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [Cobian Backup 8] "C:\Arquivos de programas\Cobian Backup 8\Cobian.exe"

O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Arquivos de programas\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD

O4 - HKLM\..\Run: [AnyDVD] C:\Arquivos de programas\SlySoft\AnyDVD\AnyDVD.exe

O4 - HKLM\..\Run: [inCD] C:\Arquivos de programas\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Arquivos de programas\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [spywareTerminator] "C:\Arquivos de programas\Spyware Terminator\SpywareTerminatorShield.exe"

O4 - HKLM\..\Run: [PrevxOne] "C:\Arquivos de programas\Prevx1\PXConsole.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Arquivos de programas\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Arquivos de programas\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://128.0.3.30/tsweb/msrdp.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A83DADCA-636B-4AD4-8C53-5B5DCA783BE7}: Domain = liceu.com.br

O17 - HKLM\System\CCS\Services\Tcpip\..\{A83DADCA-636B-4AD4-8C53-5B5DCA783BE7}: NameServer = 200.231.17.5,200.231.17.67

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Arquivos de programas\Windows Live Mail desktop\mailcomm.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Arquivos de programas\Prevx1\PXAgent.exe" -f (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe (file missing)

O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Arquivos de programas\UltraVNC\WinVNC.exe" -service (file missing)

Compartilhar este post

Link para o post
Compartilhar em outros sites

Sam Spade    2

Sam Spade
Postado

Olá Rasec! Baixe:

 

CCleaner > instale, mas não use ainda.

datFind

 

Salve ou imprima estas instruções, pois vai segui-las desconectado e sem acesso a esta página:

 

1 - Abra o HijackThis e clique no botão Open the Misc Tools section e depois em Delete an NT service.

 

Coloque isto: Windows Log

 

Clique em OK. Reinicie o PC e aperte F8 intermitentemente. No menu escolha: modo seguro.

 

2 - Rode o CCleaner, clicando em Executar Cleaner. Aguarde o exame acabar.

 

3 - Reinicie o PC normalmente. Rode o datFind e abrirá um bloco de notas com um log. Minimize e no teclado, aperte qualquer tecla.

 

Aparecerá outro bloco com o segundo log. Faça o mesmo, minimizando e prossiga até o quarto log ser gerado.

 

* Você terá logs dos seguintes diretórios:

 

- System 32

- System temp

- System

- Sys

 

Estes logs são salvos automaticamente em C:\

 

Copie e cole o resultado do log do diretório System32. Poste somente os ítens com até 40 dias de criados.

 

Ítens com data anterior aos 40 dias, não é necessário que coloque.

Compartilhar este post

Link para o post
Compartilhar em outros sites

Rasec    0

Rasec
Postado

Ok Spam SadeSegue o log q você me pediu (coloquei um pouco mais de 40 dias)valeu, O volume na unidade C nÆo tem nome. O n£mero de s‚rie do volume ‚ 9C34-1D94 Pasta de C:\WINDOWS\SYSTEM3227/09/2006 07:46 2.206 wpa.dbl21/09/2006 09:18 829.640 FNTCACHE.DAT11/09/2006 14:37 8.960.936 MRT.exe21/08/2006 09:27 16.896 fltlib.dll21/08/2006 06:14 23.040 fltmc.exe01/08/2006 14:59 394.474 perfh009.dat01/08/2006 14:59 68.738 perfc016.dat01/08/2006 14:59 939.254 PerfStringBackup.INI01/08/2006 14:59 427.614 perfh016.dat01/08/2006 14:59 60.190 perfc009.dat29/07/2006 19:32 48.936 sirenacm.dll28/07/2006 08:27 3.075.072 mshtml.dll27/07/2006 10:26 679.424 inetcomm.dll25/07/2006 17:40 614.912 urlmon.dll21/07/2006 05:28 72.704 hlink.dll14/07/2006 12:38 332.288 netapi32.dll14/07/2006 12:27 546.304 hhctrl.ocx13/07/2006 10:35 8.483.328 shell32.dll11/07/2006 09:35 34.308 BASSMOD.dll05/07/2006 07:56 1.022.976 kernel32.dll26/06/2006 14:41 8.192 rasadhlp.dll26/06/2006 14:41 148.480 dnsapi.dll23/06/2006 08:11 474.112 shlwapi.dll23/06/2006 08:11 660.992 wininet.dll23/06/2006 08:11 1.494.016 shdocvw.dll23/06/2006 08:11 357.888 dxtmsft.dll23/06/2006 08:11 1.055.744 danim.dll23/06/2006 08:11 532.480 mstime.dll23/06/2006 08:11 39.424 pngfilt.dll23/06/2006 08:11 448.512 mshtmled.dll23/06/2006 08:11 96.768 inseng.dll23/06/2006 08:11 55.808 extmgr.dll23/06/2006 08:11 205.312 dxtrans.dll23/06/2006 08:11 251.392 iepeers.dll23/06/2006 08:11 16.384 jsproxy.dll23/06/2006 08:11 146.432 msrating.dll23/06/2006 08:11 1.023.488 browseui.dll23/06/2006 08:11 151.552 cdfview.dll23/06/2006 05:53 25.088 xpsp3res.dll22/06/2006 02:17 1.439.744 query.dll22/06/2006 02:17 69.120 ciodm.dll19/06/2006 16:20 702.768 WgaLogon.dll19/06/2006 16:19 571.184 LegitCheckControl.dll19/06/2006 16:19 304.944 WgaTray.exe09/06/2006 11:41 965 AUTOEXEC.NT07/06/2006 17:22 66 '07/06/2006 17:03 23.392 nscompat.tlb07/06/2006 17:03 16.832 amcompat.tlb07/06/2006 13:18 348.160 msvcr71.dll07/06/2006 13:18 499.712 msvcp71.dll07/06/2006 11:04 3.233 $winnt$.inf07/06/2006 10:58 3.299 CONFIG.NT07/06/2006 10:58 152.576 migicons.exe07/06/2006 10:57 488 WindowsLogon.manifest07/06/2006 10:57 488 logonui.exe.manifest07/06/2006 10:56 749 cdplayer.exe.manifest07/06/2006 10:56 749 nwc.cpl.manifest07/06/2006 10:56 749 sapi.cpl.manifest07/06/2006 10:56 749 wuaucpl.cpl.manifest07/06/2006 10:56 749 ncpa.cpl.manifest07/06/2006 10:55 21.844 emptyregdb.dat07/06/2006 10:53 0 h323log.txt07/06/2006 10:25 13.280 folder.htt01/06/2006 15:48 27.648 jgpl400.dll01/06/2006 15:48 163.840 jgdw400.dll

Compartilhar este post

Link para o post
Compartilhar em outros sites

Sam Spade    2

Sam Spade
Postado

Ok, no diretório System32 não há arquivos do malware, mas faltou os logs dos outros diretórios:

 

- System temp

- System

- Sys

 

Somente os criados até 40 dias.

 

No HijackThis aparece apenas o serviço Windows Log que pedi para deletar mas possivelmente estava inativo pois o arquivo não existia:

 

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe (file missing)

O outro arquivo do malware, não aparece no log do HijackThis: smss.exe

 

Não é esse, que é legítimo > C:\WINDOWS\System32\smss.exe

 

Ele fica no diretório System e com o log do datFind deste diretório poderemos ver se existe ou não. No System temp também pode existir arquivos do malware.

 

Poste também um novo log do HijackThis.

Compartilhar este post

Link para o post
Compartilhar em outros sites

Rasec    0

Rasec
Postado
Ok, no diretório System32 não há arquivos do malware, mas faltou os logs dos outros diretórios:

 

- System temp

- System

- Sys

 

Somente os criados até 40 dias.

 

No HijackThis aparece apenas o serviço Windows Log que pedi para deletar mas possivelmente estava inativo pois o arquivo não existia:

 

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe (file missing)

O outro arquivo do malware, não aparece no log do HijackThis: smss.exe

 

Não é esse, que é legítimo > C:\WINDOWS\System32\smss.exe

 

Ele fica no diretório System e com o log do datFind deste diretório poderemos ver se existe ou não. No System temp também pode existir arquivos do malware.

 

Poste também um novo log do HijackThis.

 

ai vai

 

Pasta de C:\WINDOWS\SYSTEM32

 

27/09/2006 07:46 2.206 wpa.dbl

21/09/2006 09:18 829.640 FNTCACHE.DAT

11/09/2006 14:37 8.960.936 MRT.exe

21/08/2006 09:27 16.896 fltlib.dll

21/08/2006 06:14 23.040 fltmc.exe

01/08/2006 14:59 394.474 perfh009.dat

01/08/2006 14:59 68.738 perfc016.dat

01/08/2006 14:59 939.254 PerfStringBackup.INI

01/08/2006 14:59 427.614 perfh016.dat

01/08/2006 14:59 60.190 perfc009.dat

29/07/2006 19:32 48.936 sirenacm.dll

28/07/2006 08:27 3.075.072 mshtml.dll

27/07/2006 10:26 679.424 inetcomm.dll

25/07/2006 17:40 614.912 urlmon.dll

21/07/2006 05:28 72.704 hlink.dll

14/07/2006 12:38 332.288 netapi32.dll

14/07/2006 12:27 546.304 hhctrl.ocx

13/07/2006 10:35 8.483.328 shell32.dll

11/07/2006 09:35 34.308 BASSMOD.dll

05/07/2006 07:56 1.022.976 kernel32.dll

 

Pasta de C:\

 

27/09/2006 07:50 0 sys.txt

27/09/2006 07:49 6.961 system.txt

27/09/2006 07:49 328 systemtemp.txt

27/09/2006 07:49 102.743 system32.txt

27/09/2006 07:46 535.552.000 hiberfil.sys

27/09/2006 07:46 805.306.368 pagefile.sys

26/09/2006 16:30 600 PUTTY.RND

26/09/2006 15:10 124.784 hpfr3600.log

26/09/2006 09:07 13.030 PDOXUSRS.NET

24/08/2006 15:14 68.217.925 Iron_Maiden.zip

31/07/2006 11:28 217 boot.ini

11/07/2006 10:17 232 sqmdata00.sqm

11/07/2006 10:17 244 sqmnoopt02.sqm

 

 

Pasta de C:\WINDOWS

 

27/09/2006 07:46 0 0.log

27/09/2006 07:46 262 SchedLog.Txt

27/09/2006 07:46 2.048 bootstat.dat

27/09/2006 07:45 708 WindowsUpdate.log

22/09/2006 20:21 90 default.pls

22/09/2006 20:21 143 NeroDigital.ini

22/09/2006 11:03 622 ODBC.INI

21/09/2006 10:48 3.628 NWADMN3X.INI

21/09/2006 10:47 11 NetWare.INI

19/09/2006 08:29 153 FOXPRO.INI

04/08/2006 15:53 1.493 RegisterCorpore.txt

31/07/2006 11:28 943 win.ini

 

 

Logfile of HijackThis v1.99.1

Scan saved at 09:21:41, on 3/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Arquivos de programas\UltraVNC\WinVNC.exe

C:\WINDOWS\Explorer.EXE

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\WINDOWS\system32\NWTRAY.EXE

C:\Arquivos de programas\Spyware Terminator\SpywareTerminatorShield.exe

C:\ARQUIV~1\A4Tech\Keyboard\Ikeymain.exe

C:\Arquivos de programas\Ahead\InCD\InCD.exe

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Arquivos de programas\Winamp\winamp.exe

C:\WINDOWS\system32\svchost.exe

D:\torrent\virus\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://128.0.3.30/intra/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 128.0.1.1:8080

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [WinVNC] "C:\Arquivos de programas\UltraVNC\WinVNC.exe" -servicehelper

O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [spywareTerminator] "C:\Arquivos de programas\Spyware Terminator\SpywareTerminatorShield.exe"

O4 - HKLM\..\Run: [iKeyWorks] C:\ARQUIV~1\A4Tech\Keyboard\Ikeymain.exe

O4 - HKLM\..\Run: [inCD] C:\Arquivos de programas\Ahead\InCD\InCD.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Arquivos de programas\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Arquivos de programas\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://128.0.3.30/tsweb/msrdp.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A83DADCA-636B-4AD4-8C53-5B5DCA783BE7}: Domain = liceu.com.br

O17 - HKLM\System\CCS\Services\Tcpip\..\{A83DADCA-636B-4AD4-8C53-5B5DCA783BE7}: NameServer = 200.231.17.5,200.231.17.67

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Arquivos de programas\Windows Live Mail desktop\mailcomm.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Arquivos de programas\UltraVNC\WinVNC.exe" -service (file missing)

Compartilhar este post

Link para o post
Compartilhar em outros sites

Rasec    0

Rasec
Postado
Não há arquivos do malware. O PC ainda apresenta problemas?

 

 

Valeu pelas dicas

O AVG continua encontrando o Trojan Horse, vira e mexe aparece um arquivo infectado na pasta \windows\temp

Vou formatar o PC, é uma pena, mas vai ser o ultimo recurso

 

Agradeco a atencao

Compartilhar este post

Link para o post
Compartilhar em outros sites

Sam Spade    2

Sam Spade
Postado

Tópico Arquivado

 

Como o autor não respondeu por mais de 20 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos Tópicos Arquivados (Seguranca & Malwares)
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito