Ir para conteúdo

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

pedrosimoes

[Arquivado]Mensagem de "Despejo de memória"

Recommended Posts

bom,

 

anteontem meu pc nao quiz mais ligar e começou a apitar aquele alerta interno, logo deduzi que era a memória RAM...

 

ai, levei o pc na garantia e eles trocaram a memoria por uma nova.

 

só que depois disso o pc começou, de uma hora pra outra, a derrepente aparecer uma tela azul dizendo umas coisas e bem em baixo da tela uma mensagem "despejo de memoria".

 

ai, fiz um scan no BOOT pelo Avast!, e ele achou dois virus do tipo VUNDO, sem contar que em qualquer arquivo aparecia ao lado "ERRO INTERNO DO PROGRAMA"...

 

bom queria que desse uma verificada no log do hijackthis, ou outros tipos de log tbm pra ver se agente descobre que problema é esse...

 

segue...

 

Logfile of HijackThis v1.99.1

Scan saved at 00:21:27, on 12/5/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS.0\System32\smss.exe

C:\WINDOWS.0\system32\winlogon.exe

C:\WINDOWS.0\system32\services.exe

C:\WINDOWS.0\system32\lsass.exe

C:\WINDOWS.0\system32\svchost.exe

C:\WINDOWS.0\System32\svchost.exe

C:\WINDOWS.0\Explorer.EXE

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS.0\system32\spoolsv.exe

C:\WINDOWS.0\system32\rundll32.exe

C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe

C:\Arquivos de programas\Java\jre1.5.0_05\bin\jusched.exe

C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\WINDOWS.0\System32\spool\DRIVERS\W32X86\3\E_S4I4T1.EXE

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS.0\system32\rundll32.exe

C:\WINDOWS.0\system32\ctfmon.exe

C:\Arquivos de programas\VisualTaskTips\VisualTaskTips.exe

C:\WINDOWS.0\system32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS.0\system32\wuauclt.exe

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

C:\WINDOWS.0\system32\svchost.exe

C:\Arquivos de programas\Windows Media Player\wmplayer.exe

C:\Hijack This\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uol.com.br/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.0\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.5.0_05\bin\jusched.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.0\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ink Monitor] C:\Arquivos de programas\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [EPSON Stylus C45 Series] C:\WINDOWS.0\System32\spool\DRIVERS\W32X86\3\E_S4I4T1.EXE /P23 "EPSON Stylus C45 Series" /O6 "USB001" /M "Stylus C45"

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe

O4 - HKCU\..\Run: [VisualTaskTips] C:\Arquivos de programas\VisualTaskTips\VisualTaskTips.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar para &Bluetooth - C:\Arquivos de programas\Software WIDCOMM\Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\WINDOWS.0\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Translator - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\WINDOWS.0\system32\shdocvw.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Arquivos de programas\Software WIDCOMM\Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Arquivos de programas\Software WIDCOMM\Bluetooth\btsendto_ie.htm

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by104fd.bay104.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/d...lscbase8460.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{6D840A52-A8A9-48CA-B64B-45BF48219F58}: NameServer = 200.165.132.157,200.165.132.148

O17 - HKLM\System\CCS\Services\Tcpip\..\{91AA86E8-C1B5-4F7E-A45D-36F9D5AA0A84}: NameServer = 200.165.132.147 200.165.132.155

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS.0\system32\btxppanel.dll

O20 - AppInit_DLLs: MsgPlusLoader.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS.0\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS.0\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Arquivos de programas\Software WIDCOMM\Bluetooth\bin\btwdins.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS.0\system32\nvsvc32.exe (file missing)

Compartilhar este post


Link para o post
Compartilhar em outros sites

Jgarcia,

no final do scan, a página ficou travada e nao consegui mais fazer nada...

ai o scan criou uma pasta em C:/WINDOWS.0/System32/ActiveScan

 

só que lá nao tem nenhum log pra postar aqui...

 

o que eu faço?

 

aguardo.

 

Grande abraço!

Compartilhar este post


Link para o post
Compartilhar em outros sites

E ai...

 

desculpa pela demora, é pq eu levei o pc pra garantia, ai eles disseram que o problema era na memória e trocaram por uma nova.

 

mas olha só, eu vou fazer o scan mesmo assim pra ver se tem algum vírus aqui!

já já eu posto o resultado aqui...

 

muito orbigado.

 

PS: Leão!!!!!

 

hehehhe

 

Grande abraço!

Compartilhar este post


Link para o post
Compartilhar em outros sites
E ai...

 

desculpa pela demora, é pq eu levei o pc pra garantia, ai eles disseram que o problema era na memória e trocaram por uma nova.

 

mas olha só, eu vou fazer o scan mesmo assim pra ver se tem algum vírus aqui!

já já eu posto o resultado aqui...

 

muito orbigado.

 

PS: Leão!!!!!

 

hehehhe

 

Grande abraço!

Ok. Ficarei no aguardo. :thumbsup:

Compartilhar este post


Link para o post
Compartilhar em outros sites

definitivamente eu não consegui receber nenhum resultado desses verificadores online...

bom, eu verifiquei meu log do hijackthis juntamente ao site www.hijackthis.de, e vi que tinha 4 entradas em vermelho...

duas eu consegui remover...

pesso que me ajude...

ai vai o log>

 

Logfile of HijackThis v1.99.1

Scan saved at 14:14:42, on 28/5/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS.0\System32\smss.exe

C:\WINDOWS.0\system32\winlogon.exe

C:\WINDOWS.0\system32\services.exe

C:\WINDOWS.0\system32\lsass.exe

C:\WINDOWS.0\system32\svchost.exe

C:\WINDOWS.0\System32\svchost.exe

C:\WINDOWS.0\Explorer.EXE

C:\WINDOWS.0\system32\spoolsv.exe

C:\WINDOWS.0\system32\rundll32.exe

C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe

C:\Arquivos de programas\Java\jre1.5.0_05\bin\jusched.exe

C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\WINDOWS.0\System32\spool\DRIVERS\W32X86\3\E_S4I4T1.EXE

C:\WINDOWS.0\system32\ctfmon.exe

C:\Arquivos de programas\VisualTaskTips\VisualTaskTips.exe

C:\WINDOWS.0\system32\rundll32.exe

C:\WINDOWS.0\system32\svchost.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Hijack This\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uol.com.br/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: WebManager Class - {D5792AA9-D373-4039-8670-2CDAB6A71F15} - C:\Arquivos de programas\Get-Torrent\TorrentManager.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.0\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.5.0_05\bin\jusched.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.0\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ink Monitor] C:\Arquivos de programas\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [EPSON Stylus C45 Series] C:\WINDOWS.0\System32\spool\DRIVERS\W32X86\3\E_S4I4T1.EXE /P23 "EPSON Stylus C45 Series" /O6 "USB001" /M "Stylus C45"

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe

O4 - HKCU\..\Run: [VisualTaskTips] C:\Arquivos de programas\VisualTaskTips\VisualTaskTips.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar para &Bluetooth - C:\Arquivos de programas\Software WIDCOMM\Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\WINDOWS.0\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Translator - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\WINDOWS.0\system32\shdocvw.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Arquivos de programas\Software WIDCOMM\Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Arquivos de programas\Software WIDCOMM\Bluetooth\btsendto_ie.htm

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by104fd.bay104.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/d...lscbase8460.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{6D840A52-A8A9-48CA-B64B-45BF48219F58}: NameServer = 200.165.132.157,200.165.132.148

O17 - HKLM\System\CCS\Services\Tcpip\..\{91AA86E8-C1B5-4F7E-A45D-36F9D5AA0A84}: NameServer = 200.165.132.154 200.149.55.142

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS.0\system32\btxppanel.dll

O20 - AppInit_DLLs: C:\WINDOWS.0\system32\perfc000.dat

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS.0\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS.0\system32\WPDShServiceObj.dll

O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Arquivos de programas\Software WIDCOMM\Bluetooth\bin\btwdins.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS.0\system32\nvsvc32.exe (file missing)

 

 

 

 

 

Grande abraço!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Opa pedrosimoes,

 

Não há, em seu log, entradas que possam ser consideradas maliciosas.

 

Abraços.

Compartilhar este post


Link para o post
Compartilhar em outros sites
O20 - AppInit_DLLs: C:\WINDOWS.0\system32\perfc000.dat , e essa?

 

ela esta marcada com um X vermelho.

Caramba, passei batido nesta! O fato das letras estarem pequenas não é desculpa. Me perdoe. :(

 

Bem, vamos lá.

 

Habilite o Windows para mostrar todos os arquivos (até ocultos).

 

1ª Etapa

 

Baixe o Killbox em:

Killbox

 

1. Execute o Killbox, clique em Delete on Reboot.

 

2. Copie a lista abaixo em negrito para a área de transferência. Selecione tudo com o auxílio do mouse --> vá até a aba Editar na barra do navegador --> clique em Copiar.

 

C:\WINDOWS.0\system32\perfc000.dat

 

3. Retorne ao Killbox. Clique em File > Paste from clipboard. Clique em All Files.

 

4. Aperte em "X". Responda "não" à pergunta.

 

É prudente que você faça a impressão deste documento ou salve-o em um lugar de fácil acesso, pois na próxima etapa entraremos em Modo de Seguro e a conexão à internet não será possível.

 

2ª Etapa

 

Reinicie o computador em Modo Seguro (ao reiniciar aperte a tecla F8 repetidamente até que apareça uma tela preta em DOS e escolha a opção Modo Seguro).

 

Execute o HijackThis, clique em Do a system scan only e marque:

O20 - AppInit_DLLs: C:\WINDOWS.0\system32\perfc000.dat

Clique em Fix Checked.

 

3ª Etapa

 

Reinicie em Modo Normal.

 

Poste um novo log do HijackThis.

 

Um abraço.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Caramba, passei batido nesta! O fato das letras estarem pequenas não é desculpa. Me perdoe.

sem problemas amigão, não esquenta!

 

Cara eu não consegui reiniciar em Modo Seguro...

dava uma mensagem assim:

 

"O windows não foi iniciado com sucesso.Isso pode ter sido causado por uma alteração recente de Hardware ou Software."

 

tentei remover aquela entrada em modo normal mesmo, mas não consegui.

 

aguardo respostas

 

Grande abraço!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Opa pedrosimoes,

 

Poste um novo log do HijackThis.

 

Abraços.

Compartilhar este post


Link para o post
Compartilhar em outros sites

bom ai esta o log...

e me desculpe pela demora!

meu pc agora ta com uma frescura que toda hora ele fica mudando de janela, ta uma coisa irritante...

o que você me diz?

 

Grande abraço!

 

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 18:20:31, on 13/6/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS.0\System32\smss.exe

C:\WINDOWS.0\system32\winlogon.exe

C:\WINDOWS.0\system32\services.exe

C:\WINDOWS.0\system32\lsass.exe

C:\WINDOWS.0\system32\svchost.exe

C:\WINDOWS.0\System32\svchost.exe

C:\WINDOWS.0\Explorer.EXE

C:\WINDOWS.0\system32\spoolsv.exe

C:\WINDOWS.0\system32\rundll32.exe

C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe

C:\Arquivos de programas\Java\jre1.5.0_05\bin\jusched.exe

C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\WINDOWS.0\System32\spool\DRIVERS\W32X86\3\E_S4I4T1.EXE

C:\WINDOWS.0\system32\rundll32.exe

C:\WINDOWS.0\system32\ctfmon.exe

C:\Arquivos de programas\VisualTaskTips\VisualTaskTips.exe

C:\WINDOWS.0\system32\svchost.exe

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

C:\WINDOWS.0\system32\svchost.exe

C:\Hijack This\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uol.com.br/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: WebManager Class - {D5792AA9-D373-4039-8670-2CDAB6A71F15} - C:\Arquivos de programas\Get-Torrent\TorrentManager.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.0\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.5.0_05\bin\jusched.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.0\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ink Monitor] C:\Arquivos de programas\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [EPSON Stylus C45 Series] C:\WINDOWS.0\System32\spool\DRIVERS\W32X86\3\E_S4I4T1.EXE /P23 "EPSON Stylus C45 Series" /O6 "USB001" /M "Stylus C45"

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe

O4 - HKCU\..\Run: [VisualTaskTips] C:\Arquivos de programas\VisualTaskTips\VisualTaskTips.exe

O4 - Startup: Adobe Gamma.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar para &Bluetooth - C:\Arquivos de programas\Software WIDCOMM\Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\WINDOWS.0\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Translator - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\WINDOWS.0\system32\shdocvw.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Arquivos de programas\Software WIDCOMM\Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Arquivos de programas\Software WIDCOMM\Bluetooth\btsendto_ie.htm

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by104fd.bay104.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/d...lscbase8460.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{6D840A52-A8A9-48CA-B64B-45BF48219F58}: NameServer = 200.165.132.157,200.165.132.148

O17 - HKLM\System\CCS\Services\Tcpip\..\{91AA86E8-C1B5-4F7E-A45D-36F9D5AA0A84}: NameServer = 200.165.132.154 200.149.55.142

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS.0\system32\btxppanel.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS.0\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS.0\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Arquivos de programas\Software WIDCOMM\Bluetooth\bin\btwdins.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS.0\system32\nvsvc32.exe (file missing)

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Opa pedrosimoes,

 

Baixe o ComboFix em:

ComboFix

 

1) Dê um duplo-clique no combofix.exe e tecle "Y" para prosseguir. O processo vai durar, em média, 10 minutos;

2) O ComboFix reiniciará o PC automaticamente, a fim de que o processo de remoção seja finalizado;

3) Quando a varredura acabar, será gerado um log, que estará em C:\ComboFix.txt;

4) Não clique na janela do ComboFix, nem feche clicando no X, enquanto a ferramenta estiver sendo executada, pois isto implicará na desconfiguração de seu desktop (ele ficará todo branco);

5) Para parar ou sair do ComboFix, tecle "N";

6) Preciso que você cole o conteúdo do ComboFix.txt em sua próxima resposta.

 

Abraços.

Compartilhar este post


Link para o post
Compartilhar em outros sites

bom, esta ai o log...

mas como você disse, meu pc não reiniciou não!

apenas ficou um tempo com os icones sumidos, mas depois voltou ao normal e apareceu o log...

 

 

 

 

ComboFix 07-06-13.3

"Administrador" - 2007-06-14 15:14:57 - Service Pack 2 NTFS

 

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

 

 

C:\Arquivos de programas\MyGlobalSearch

C:\DOCUME~1\ADMINI~1\Desktop.\internet explorer.lnk

C:\WINDOWS.0\b.exe

C:\WINDOWS.0\svchost.exe

C:\WINDOWS.0\zzzx.exe

 

 

((((((((((((((((((((((((( Files Created from 2007-05-14 to 2007-06-14 )))))))))))))))))))))))))))))))

 

 

2007-06-14 15:14 49,152 --a------ C:\WINDOWS.0\nircmd.exe

2007-06-14 14:27 <DIR> d-------- C:\WINDOWS.0\VistaMizer

2007-06-10 00:37 <DIR> d-------- C:\Screen Recordings

2007-06-10 00:36 <DIR> d-------- C:\Arquivos de programas\ZD Soft

2007-06-09 10:55 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DADOSD~1\Adobe Systems

2007-06-09 10:54 <DIR> d-------- C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared

2007-06-03 22:04 <DIR> d-------- C:\Arquivos de programas\KONAMI

2007-05-28 15:01 1,188 --a------ C:\WINDOWS.0\mozver.dat

2007-05-28 14:50 0 --a------ C:\WINDOWS.0\nsreg.dat

2007-05-28 00:05 2,368 --a------ C:\WINDOWS.0\system32\SVKP.sys

2007-05-28 00:05 <DIR> d-------- C:\Arquivos de programas\Ultra Video Converter

2007-05-25 21:33 <DIR> d-------- C:\Arquivos de programas\RM Converter

2007-05-20 15:26 76,560 --a------ C:\WINDOWS.0\system32\drivers\tmcomm.sys

2007-05-20 15:21 <DIR> d-------- C:\DOCUME~1\ADMINI~1\.housecall6.6

2007-05-19 12:14 12,288 --a------ C:\WINDOWS.0\system32\drivers\mouhid.sys

 

 

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

 

2007-06-14 18:04:57 12 ----a-w C:\WINDOWS.0\bthservsdp.dat

2007-06-14 18:02:00 -------- d-----w C:\Arquivos de programas\eMule

2007-06-14 17:35:41 -------- d-----w C:\Arquivos de programas\Movie Maker

2007-06-14 17:35:38 -------- d-----w C:\Arquivos de programas\Windows NT

2007-06-14 17:33:32 219,648 ----a-w C:\WINDOWS.0\system32\uxtheme.dll

2007-06-10 18:52:52 -------- d-----w C:\Arquivos de programas\BrainWave Generator

2007-06-04 01:12:10 -------- d--h--w C:\Arquivos de programas\InstallShield Installation Information

2007-05-26 21:26:52 -------- d-----w C:\Arquivos de programas\Quake III Arena

2007-05-14 17:50:56 -------- d-----w C:\Arquivos de programas\VisualTaskTips

2007-05-13 15:10:19 -------- d-----w C:\DOCUME~1\ADMINI~1\DADOSD~1\Proxyidolsign

2007-05-13 15:09:40 -------- d-----w C:\Arquivos de programas\Proxyidolsign

2007-05-13 14:39:38 -------- d-----w C:\DOCUME~1\ADMINI~1\DADOSD~1\Cycling '74

2007-05-04 01:50:19 -------- d-----w C:\Arquivos de programas\LS-USBMX

2007-05-03 22:05:40 -------- d-----w C:\Arquivos de programas\GameVicio

2007-05-03 21:49:12 -------- d-----w C:\Arquivos de programas\Doom 3

2007-05-03 00:19:10 -------- d-----w C:\Arquivos de programas\DVDVIDEOSOFT

2007-05-01 04:18:01 -------- d-----w C:\Arquivos de programas\VVSN

2007-04-30 15:46:10 745,600 ----a-w C:\WINDOWS.0\system32\aswBoot.exe

2007-04-30 15:41:55 85,952 ----a-w C:\WINDOWS.0\system32\drivers\aswmon.sys

2007-04-30 15:41:42 94,552 ----a-w C:\WINDOWS.0\system32\drivers\aswmon2.sys

2007-04-30 15:39:41 23,416 ----a-w C:\WINDOWS.0\system32\drivers\aswRdr.sys

2007-04-30 15:38:51 43,176 ----a-w C:\WINDOWS.0\system32\drivers\aswTdi.sys

2007-04-30 15:37:23 26,888 ----a-w C:\WINDOWS.0\system32\drivers\aavmker4.sys

2007-04-30 15:35:28 95,872 ----a-w C:\WINDOWS.0\system32\AVASTSS.scr

2007-04-29 23:33:02 -------- d-----w C:\Arquivos de programas\Windows Media Connect 2

2007-04-19 17:51:00 -------- d-----w C:\Arquivos de programas\Windows Live Toolbar

2007-04-19 17:49:21 -------- d-----w C:\Arquivos de programas\Google

2007-04-15 10:58:44 117,248 ----a-w C:\WINDOWS.0\system32\ribbons.scr

2007-04-15 10:58:42 773,120 ----a-w C:\WINDOWS.0\system32\bubbles.scr

2007-04-15 10:58:42 117,248 ----a-w C:\WINDOWS.0\system32\mystify.scr

2007-04-15 10:58:42 1,263,616 ----a-w C:\WINDOWS.0\system32\aurora.scr

2007-03-17 13:44:49 294,912 ----a-w C:\WINDOWS.0\system32\winsrv.dll

2007-01-25 17:04:51 56 --sh--r C:\WINDOWS.0\system32\6F1179C1BE.sys

2007-01-25 17:04:51 3,350 --sha-w C:\WINDOWS.0\system32\KGyGaAvL.sys

 

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

 

 

*Note* empty entries & legit default entries are not shown

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-01-12 19:38]

{53707962-6F74-2D53-2644-206D7942484F}=C:\ARQUIV~1\SPYBOT~1\SDHelper.dll [2005-05-31 01:04]

{9030D464-4C02-4ABF-8ECC-5164760863C6}=C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2006-04-17 13:32]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 00:45 C:\WINDOWS.0\system32\bthprops.cpl]

"ISUSPM Startup"="C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\isuspm.exe" [2005-08-11 15:30]

"ISUSScheduler"="C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" [2005-08-11 15:30]

"SunJavaUpdateSched"="C:\Arquivos de programas\Java\jre1.5.0_05\bin\jusched.exe" [2005-08-26 18:14]

"RemoteControl"="C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2004-11-02 20:24]

"nwiz"="nwiz.exe" [2005-06-15 06:20 C:\WINDOWS.0\system32\nwiz.exe]

"Ink Monitor"="C:\Arquivos de programas\EPSON\Ink Monitor\InkMonitor.exe" [2004-03-31 09:46]

"Cmaudio"="cmicnfg.cpl" []

"avast!"="C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe" []

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS.0\system32\ctfmon.exe" [2004-08-04 00:45]

"PowerBar"="" []

"VisualTaskTips"="C:\Arquivos de programas\VisualTaskTips\VisualTaskTips.exe" [2006-07-31 08:33]

"SpybotSD TeaTimer"="C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe" []

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]

"nlsf"=cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll"

"tscuninstall"=%systemroot%\system32\tscupgrd.exe

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]

"MsnMsgr"="C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"=1 (0x1)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoSharedDocuments"=1 (0x1)

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoSharedDocuments"=1 (0x1)

 

SafeBoot registry key needs to be repaired. This machine cannot enter Safe Mode.

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Administrador^Menu Iniciar^Programas^Inicializar^Stardock ObjectDock.lnk]

backup=C:\WINDOWS.0\pss\Stardock ObjectDock.lnkStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Administrador^Menu Iniciar^Programas^Inicializar^Y'z ToolBar.lnk]

backup=C:\WINDOWS.0\pss\Y'z ToolBar.lnkStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Adobe Gamma Loader.lnk]

backup=C:\WINDOWS.0\pss\Adobe Gamma Loader.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Adobe Reader Speed Launch.lnk]

backup=C:\WINDOWS.0\pss\Adobe Reader Speed Launch.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^AudioDeck.lnk]

backup=C:\WINDOWS.0\pss\AudioDeck.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^BTTray.lnk]

backup=C:\WINDOWS.0\pss\BTTray.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^HP Digital Imaging Monitor.lnk]

backup=C:\WINDOWS.0\pss\HP Digital Imaging Monitor.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^HP Image Zone Fast Start.lnk]

backup=C:\WINDOWS.0\pss\HP Image Zone Fast Start.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\boby]

C:\WINDOWS\system32\drivers\Csrs.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]

"C:\Arquivos de programas\D-Tools\daemon.exe" -lang 1033

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MessengerPlus3]

"C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]

"C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

C:\WINDOWS.0\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ ]

C:\WINDOWS\system32\sys.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bthsvcs BthServ

Usnsvc usnsvc

 

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]

AutoRun\command- E:\PlayDiskStart.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0141cdf0-1183-11dc-859a-0013d32fec3e}]

AutoRun\command- I:\stop2.ico

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c65e9e3d-fff7-11db-8550-000ea133588b}]

Auto\command- AdobeR.exe e

AutoRun\command- C:\WINDOWS.0\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

 

 

Contents of the 'Scheduled Tasks' folder

2007-06-14 18:00:00 C:\WINDOWS.0\tasks\A9AE01759199B5DD.job

 

**************************************************************************

 

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net

Rootkit scan 2007-06-14 15:17:46

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

? [1672]

 

 

scanning hidden autostart entries ...

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

PowerBarXE = ????????????l?@?l?@?D??????w???????????????wl?@?l?@????? ??????????????w???w???????w?m?wx????????m?w???????? ??????????????|x???0??????????????????w????????????????7???????L???????l?@?l?@????????w????t?@?????l?@?8?@?l?@?3??s????????????????????8?@?_??s8?@?8?@

 

scanning hidden files ...

 

C:\WINDOWS.0\system32\wintems.exe

C:\WINDOWS.0\system32\hldrrr.exe

 

scan completed successfully

hidden files: 2

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"hldrrr"="C:\\WINDOWS.0\\system32\\hldrrr.exe"

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"hldrrr"="C:\\WINDOWS.0\\system32\\hldrrr.exe"

"drvsyskit"="C:\\Documents and Settings\\Administrador\\Dados de aplicativos\\hidires\\hidr.exe"

"german.exe"="C:\\WINDOWS.0\\system32\\wintems.exe"

 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\BTHPORT\Parameters\Services\{00001000-0000-1000-8000-00805f9b34fb}]

 

 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\BTHPORT\Parameters\Services\{00001105-0000-1000-8000-00805f9b34fb}]

 

 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\BTHPORT\Parameters\Services\{00001115-0000-1000-8000-00805f9b34fb}]

 

 

Completion time: 2007-06-14 15:18:29

C:\ComboFix-quarantined-files.txt ... 2007-06-14 15:18

 

--- E O F ---

 

ahh, eu estava vendo e ele gerou mais esse log aqui...

 

 

2007-02-17 12:21	  0	--a--c---	C:\Qoobox\Quarantine\C\WINDOWS.0\b.exe.vir2007-05-04 22:25	  196	--a------	C:\Qoobox\Quarantine\C\DOCUME~1\ADMINI~1\Desktop\Internet Explorer.lnk.vir2007-05-27 22:26	  22169	--a------	C:\Qoobox\Quarantine\C\WINDOWS.0\svchost.exe.vir2007-05-27 22:26	  22169	--a------	C:\Qoobox\Quarantine\C\WINDOWS.0\zzzx.exe.virListagem de caminhos de pastaO n£mero de s‚rie do volume ‚ B832-1B86C:\QOOBOX\---Quarantine	+---C	|   +---DOCUME~1	|   |   \---ADMINI~1	|   |	   \---Desktop	|   |			   Internet Explorer.lnk.vir	|   |			   	|   \---WINDOWS.0	|		   b.exe.vir	|		   svchost.exe.vir	|		   zzzx.exe.vir	|		   	\---Registry_backups

Compartilhar este post


Link para o post
Compartilhar em outros sites

bom, está ai o resultado...

vlw!

Grande abraço!

 

 

Fri Jun 15 20:37:45 2007

EliBagle v10.41 ©2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS.0\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR

C:\WINDOWS.0\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\DADOS DE APLICATIVOS\HIDIRES\HIDR.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\DADOS DE APLICATIVOS\HIDIRES\M_HOOK.SYS --> Eliminado Bagle (rootkit)

C:\WINDOWS.0\SYSTEM32\HLDRRR.EXE --> Bagle.dldr Renombrado a .VIR

Eliminada Carpeta "%WinDir%\exefld"

Restaurada Clave: "SafeBoot\Minimal y Network"

 

Fri Jun 15 20:38:21 2007

EliBagle v10.41 ©2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Arquivos de programas\eMule\Incoming\BRAINWAVE GENERATOR 3.1.ZIP --> Eliminado Bagle.dldr

 

Fri Jun 15 20:44:21 2007

EliBagle v10.41 ©2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Exploración Detenida por el Usuario.

Você finalizou a varredura antes que ela fosse completada. Execute a ferramenta novamente e aguarde que o processo seja completado.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ei jgracia, só uma coisa: É pq eu não estou mais conseguindo entrar no meu MSN, aparece uma msg que diz que a senha esta incorreta, só que em outras coisas em que eu ultilizo a mesma senha está tudo normal... E tbm mesmo se eu digitar uma senha qualquer de por exemplo 10 dígitos, quando eu aperto em ENTRAR , ele volta a aparecer os mesmos XX digitos da senha original...espero que tenha entendido mais ou menos minha explicação...

 

poisé, queria saber se isso pode estar relacionado ao virus que estamos tentando remover?

 

 

Fri Jun 15 20:37:45 2007

EliBagle v10.41 ©2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS.0\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR

C:\WINDOWS.0\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\DADOS DE APLICATIVOS\HIDIRES\HIDR.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\DADOS DE APLICATIVOS\HIDIRES\M_HOOK.SYS --> Eliminado Bagle (rootkit)

C:\WINDOWS.0\SYSTEM32\HLDRRR.EXE --> Bagle.dldr Renombrado a .VIR

Eliminada Carpeta "%WinDir%\exefld"

Restaurada Clave: "SafeBoot\Minimal y Network"

 

Fri Jun 15 20:38:21 2007

EliBagle v10.41 ©2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Arquivos de programas\eMule\Incoming\BRAINWAVE GENERATOR 3.1.ZIP --> Eliminado Bagle.dldr

 

Fri Jun 15 20:44:21 2007

EliBagle v10.41 ©2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

 

Fri Jun 15 20:53:11 2007

EliBagle v10.41 ©2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS.0\SYSTEM32\WINTEMS.EXE.VIR --> Eliminado

C:\WINDOWS.0\SYSTEM32\HLDRRR.EXE.VIR --> Eliminado

Eliminada Carpeta "%AppData%\Hidires"

 

Mon Jun 18 22:14:58 2007

EliBagle v10.41 ©2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

 

Mon Jun 18 22:15:04 2007

EliBagle v10.41 ©2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Compartilhar este post


Link para o post
Compartilhar em outros sites

Opa pedrosimoes,

 

Baixe o F-Secure Blacklight em:

F-Secure Blacklight

 

Salve-o em sua área de trabalho (desktop) e o execute. Aceite o acordo. Clique em Scan e aguarde.

 

Se ele encontrar algum arquivo, ignore, pois quero apenas o log.

 

Ao final do scan será gerado o arquivo fsbl-xxxxx.log (onde xxx são números). Preciso que você copie o log e poste em sua próxima resposta.

 

Abraços.

Compartilhar este post


Link para o post
Compartilhar em outros sites

×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.