[Resolvido!]PC INVADIDO! Sera?

P@TY · Agosto 29, 2007

Gostaria que vcs me ajudassem pois não entendo nada de invasão...Bom, eu tava usando o pc normalmente, de repente abriu uma janelinha parecida com essas do windows pra conectar internet discada...dai tinha na janela "servidor precisa do login e senha pra conectar a rhaissa.com.br bla bla bla"dai tinha meu email no login... e no espaço da senha tava em branco pra eu digitar...e tinha ok ou cancelar... dai eu nao digitei nada e cancelei...Pq isso apareceu do nada? Meu pc foi invadido ou algo do tipo?Como eu faço pra saber? Ja passei o scan do AVG e o Ad-aware tb... Obrigada.

jgarcia · Agosto 31, 2007

Opa P@TY,

Faça o seguinte:

Baixe o HijackThis versão 1.99.1.

Depois > Iniciar > Meu Computador > 02 cliques no C > Coloca o HijackThis no C (extraindo do zip --> para uma pasta própria tipo c:/Hijack).

Execute o Hijack a partir do C, fechando os demais programas (deixando somente a área de trabalho).

Clique em Do a system scan and save a logfile, mas não marque nada, apenas poste o log gerado aqui neste mesmo tópico.

Abraços.

P@TY · Setembro 1, 2007

Eis o log...

Logfile of HijackThis v1.99.1

Scan saved at 23:04:09, on 31/8/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\VM_STI.EXE

C:\Arquivos de programas\iTunes\iTunesHelper.exe

C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe

C:\Arquivos de programas\Java\jre1.6.0_01\bin\jusched.exe

C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe

C:\Arquivos de programas\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe

C:\ARQUIV~1\Grisoft\AVG7\avgamsvr.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexStoreSvr.exe

C:\ARQUIV~1\Grisoft\AVG7\avgupsvc.exe

C:\ARQUIV~1\Grisoft\AVG7\avgemc.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\iPod\bin\iPodService.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe

C:\Arquivos de programas\MSN Messenger\usnsvc.exe

C:\Arquivos de programas\eMule\emule.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

C:\Arquivos de programas\WinRAR\WinRAR.exe

C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iel-pe.org.br/iel/exibirVagas.php?id_curso=0

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Arquivos de programas\BitComet\tools\BitCometBHO_1.1.6.14.dll

O2 - BHO: (no name) - {6EF05952-B48D-4944-AA91-57A6A1A48EF8} - C:\Arquivos de programas\Puxa Rápido\IEBHO.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\arquivos de programas\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Arquivos de programas\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar2.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [bigDogPath] C:\WINDOWS\VM_STI.EXE Vimicro USB PC Camera (VC0305)

O4 - HKLM\..\Run: [iTunesHelper] "C:\Arquivos de programas\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [HP Component Manager] "C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HP Software Update] "C:\Arquivos de programas\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [swg] C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"

O4 - Startup: Adobe Gamma.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O8 - Extra context menu item: Baixar link usando &BitComet - res://C:\Arquivos de programas\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: Baixar todos os links usando BitComet - res://C:\Arquivos de programas\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Baixar todos os vídeos usando BitComet - res://C:\Arquivos de programas\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.2.100.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.mail.live.com/mail/w1/resources/MSNPUpld.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/PT-BR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1180664176781

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab56986.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgemc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: hpdj - HP - C:\DOCUME~1\monica\CONFIG~1\Temp\hpdj.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Arquivos de programas\iPod\bin\iPodService.exe

O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

hinom · Setembro 1, 2007

esse tipo de aplicativo dificilmente auto-instala via internetnormalmente vem junto com cracks para piratear softwares ou softwares gratuitos de origem duvidosa.

jgarcia · Setembro 3, 2007

Opa P@TY,

Baixe o ComboFix em:

ComboFix

1) Dê um duplo-clique no combofix.exe e tecle "Y" para prosseguir. O processo vai durar, em média, 10 minutos;

2) O ComboFix reiniciará o PC automaticamente, a fim de que o processo de remoção seja finalizado (somente se houver infecção);

3) Quando a varredura acabar, será gerado um log, que estará em C:\ComboFix.txt;

4) Não clique na janela do ComboFix, nem feche clicando no X, enquanto a ferramenta estiver sendo executada, pois isto implicará na desconfiguração de seu desktop (ele ficará todo branco);

5) Para parar ou sair do ComboFix, tecle "N";

6) Preciso que você cole o conteúdo do ComboFix.txt em sua próxima resposta.

Abraços.

P@TY · Setembro 4, 2007

Não estou conseguindo baixar o ComboFix, quando clico no link aparece pagina não encontrada =\Tem algum outro site em que eu possa baixa-lo?

jgarcia · Setembro 5, 2007

Não estou conseguindo baixar o ComboFix, quando clico no link aparece pagina não encontrada =\
Tem algum outro site em que eu possa baixa-lo?

A página já voltou ao normal. Tente baixar.

P@TY · Setembro 5, 2007

Eis o log do ComboFix...

ComboFix 07-08-30.3 - "monica" 2007-09-05 16:57:59.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.395 [GMT -3:00]

* Created a new restore point

((((((((((((((((((((((((( Files Created from 2007-08-05 to 2007-09-05 )))))))))))))))))))))))))))))))

2007-09-05 16:56 51,200 --a------ C:\WINDOWS\nircmd.exe

2007-09-03 17:33 <DIR> d-------- C:\WINDOWS\LastGood

2007-08-31 23:49 <DIR> d-------- C:\kav

2007-08-31 23:03 <DIR> d-------- C:\Hijackthis

2007-08-30 19:48 <DIR> d-------- C:\GuitarFX

2007-08-25 19:59 <DIR> d-------- C:\Arquivos de programas\Sonic Foundry

2007-08-16 21:27 24,816 --a------ C:\WINDOWS\system32\mdimon.dll

2007-08-16 21:26 <DIR> d-------- C:\Arquivos de programas\Microsoft.NET

2007-08-16 21:25 <DIR> d-------- C:\Arquivos de programas\Microsoft Works

2007-08-16 21:24 <DIR> d-------- C:\WINDOWS\SHELLNEW

2007-08-16 01:40 <DIR> d-------- C:\Arquivos de programas\GameVicio

2007-08-16 01:36 <DIR> d-------- C:\Arquivos de programas\Microsoft Games

2007-08-15 13:01 221,184 --a------ C:\WINDOWS\system32\wmpns.dll

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-09-05 15:24 --------- d-------- C:\Arquivos de programas\eMule

2007-09-05 15:06 --------- d-------- C:\DOCUME~1\monica\DADOSD~1\Vso

2007-08-30 20:45 --------- d-------- C:\Arquivos de programas\Ares

2007-08-16 01:40 --------- d--h----- C:\Arquivos de programas\InstallShield Installation Information

2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll

2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll

2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe

2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll

2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll

2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll

2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll

2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll

2007-07-22 20:30 --------- d-------- C:\Arquivos de programas\Lineage II

2007-07-20 02:34 --------- d-------- C:\Arquivos de programas\EA GAMES

2007-07-19 20:08 --------- d-------- C:\DOCUME~1\monica\DADOSD~1\Opera

2007-07-18 18:26 --------- d-------- C:\DOCUME~1\monica\DADOSD~1\Viewpoint

2007-07-18 18:26 --------- d-------- C:\DOCUME~1\ALLUSE~1\DADOSD~1\Viewpoint

2007-07-15 21:54 --------- d-------- C:\Arquivos de programas\IGN

2007-07-15 04:52 --------- d-------- C:\Arquivos de programas\BitComet

2007-07-15 04:31 2560 --a------ C:\WINDOWS\system32\BitCometRes.dll

2007-07-15 02:07 --------- d-------- C:\Arquivos de programas\MySpace

2007-07-14 20:46 --------- d-------- C:\DOCUME~1\monica\DADOSD~1\Skype

2007-07-05 13:38 --------- d-------- C:\DOCUME~1\ALLUSE~1\DADOSD~1\DVD Shrink

2007-07-03 02:04 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll

2007-06-27 15:39 796672 --a------ C:\WINDOWS\GPInstall.exe

2007-06-26 03:10 1104896 --a------ C:\WINDOWS\system32\msxml3.dll

2007-06-23 18:18 8 --a------ C:\DOCUME~1\ALLUSE~1\DADOSD~1\SDGLYBMPWPP.SYS

2007-06-19 10:31 282112 --a------ C:\WINDOWS\system32\gdi32.dll

2007-06-13 10:21 1035264 --a------ C:\WINDOWS\explorer.exe

2004-10-01 15:00 40960 --a------ C:\Arquivos de programas\Uninstall_CDS.exe

--------- C:\Arquivos de programas\Puxa Rápido

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2005-09-22 10:36 C:\WINDOWS\RTHDCPL.exe]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-21 00:32]

"nwiz"="nwiz.exe" [2006-10-21 00:32 C:\WINDOWS\system32\nwiz.exe]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-21 00:32]

"BigDogPath"="C:\WINDOWS\VM_STI.exe" [2005-02-28 17:53]

"iTunesHelper"="C:\Arquivos de programas\iTunes\iTunesHelper.exe" [2005-09-16 08:43]

"SunJavaUpdateSched"="C:\Arquivos de programas\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]

"NeroFilterCheck"="C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40]

"RemoteControl"="C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2004-11-02 20:24]

"TkBellExe"="C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" [2007-06-19 20:19]

"HP Component Manager"="C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe" [2003-10-23 19:51]

"HP Software Update"="C:\Arquivos de programas\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2003-06-25 11:24]

"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2006-01-13 03:39]

"QuickTime Task"="C:\Arquivos de programas\QuickTime\qttask.exe" [2007-05-31 22:53]

"AVG7_CC"="C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe" [2007-09-03 20:00]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-19 17:38]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 09:00]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe" [2007-01-15 16:14]

C:\DOCUME~1\monica\MENUIN~1\PROGRA~1\INICIA~1\

Adobe Gamma.lnk - C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe [2007-05-31 22:33:28]

R0 d346bus;d346bus;C:\WINDOWS\system32\DRIVERS\d346bus.sys

R0 d346prt;d346prt;C:\WINDOWS\system32\Drivers\d346prt.sys

S3 PciCon;PciCon;\??\D:\PciCon.sys

*Newly Created Service* - AVG7ALRT

*Newly Created Service* - AVG7CORE

*Newly Created Service* - AVG7RSXP

*Newly Created Service* - AVG7UPDSVC

*Newly Created Service* - AVGCLEAN

*Newly Created Service* - AVGEMS

*Newly Created Service* - AVGTDI

*Newly Created Service* - CATCHME

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-09-05 16:59:51

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

Completion time: 2007-09-05 17:00:39

C:\ComboFix-quarantined-files.txt ... 2007-09-05 17:00

--- E O F ---

jgarcia · Setembro 6, 2007

Opa P@TY,

Execute o Active Scan da Panda, observando os seguintes procedimentos:

1) Alguns anti-vírus, tal como o AVAST, podem exibir um alerta de detecção durante a execução do scan, porém tal alerta deve ser ignorado. O aviso não passa de um falso-positivo. Sugiro que o AV seja desabilitado, temporariamente, a fim de que o scan ocorra sem problemas;

2) Para iniciar o processo, clique sobre o botão ;

3) Informe os dados solicitados no formulário;

4) Clique sobre o botão "Pesquise agora sem custos";

5) Siga todas as instruções que lhe serão passadas e aguarde o fim da varredura;

6) Ao término do scan, clique em visualizar o log. Salve-o em seu Desktop;

7) Poste o conteúdo do log em sua próxima resposta.

Abraços.

P@TY · Setembro 7, 2007

Incidência Estado Localização Spyware:Cookie/YieldManager Não desinfectado C:\Documents and Settings\monica\Cookies\monica@ad.yieldmanager[1].txt Spyware:Cookie/Atlas DMT Não desinfectado C:\Documents and Settings\monica\Cookies\monica@atdmt[2].txt Spyware:Cookie/Serving-sys Não desinfectado C:\Documents and Settings\monica\Cookies\monica@bs.serving-sys[1].txt Spyware:Cookie/Casalemedia Não desinfectado C:\Documents and Settings\monica\Cookies\monica@casalemedia[1].txt Spyware:Cookie/Doubleclick Não desinfectado C:\Documents and Settings\monica\Cookies\monica@doubleclick[1].txt Spyware:Cookie/FastClick Não desinfectado C:\Documents and Settings\monica\Cookies\monica@fastclick[2].txt Spyware:Cookie/Com.com Não desinfectado C:\Documents and Settings\monica\Cookies\monica@ig.com[1].txt Spyware:Cookie/Serving-sys Não desinfectado C:\Documents and Settings\monica\Cookies\monica@serving-sys[2].txt Spyware:Cookie/Com.com Não desinfectado C:\Documents and Settings\monica\Cookies\monica@terra.com[1].txt Spyware:Cookie/Tribalfusion Não desinfectado C:\Documents and Settings\monica\Cookies\monica@tribalfusion[1].txt Spyware:Cookie/Com.com Não desinfectado C:\Documents and Settings\monica\Cookies\monica@uol.com[2].txt Spyware:Cookie/Xiti Não desinfectado C:\Documents and Settings\monica\Cookies\monica@xiti[1].txt Ferramenta potencialmente indesejada:Application/MyWebSearch Não desinfectado C:\Nero Burning Rom v.7.7.5.1 Premium ESP + KeyGen_DnGnMsTr\Nero-7.7.5.1_esp_trial.exe[Toolbar.exe] Ferramenta potencialmente indesejada:Application/NirCmd.A Não desinfectado C:\Paty\Aplicativos\ComboFix.exe[nircmd.exe] Ferramenta potencialmente indesejada:Application/NirCmd.A Não desinfectado C:\WINDOWS\nircmd.exe

jgarcia · Setembro 10, 2007

Opa P@TY,

Vamos lá.

1ª Etapa

Baixe o CCleaner em:

CCleaner

Baixe, mas não o execute ainda.

Baixe o AVG Anti-Spyware em:

AVG AntiSpyware

1. Dê duplo-clique sobre o ícone do arquivo baixado;

2. Selecione Português como idioma para instalação;

3. Na janela de boas-vindas do Assistente do AVG Anti-Spyware clique em Seguinte >;

4. Na janela do Contrato de Licença clique em Aceito;

5. Clique em Seguinte > Instalar > aguarde o término do processo de instalação > clique em Terminar;

6. Quando a janela do AVG Anti-Spyware abrir, escolha Atualizar e aguarde o término do processo, mas não o execute ainda.

É prudente que você faça a impressão deste documento ou salve-o em um lugar de fácil acesso, pois na próxima etapa entraremos em Modo Seguro e a conexão à internet não será possível.

2ª Etapa

Reinicie em Modo Seguro.

1. Execute o AVG Anti-Spyware e clique em Status. Em Última verificação escolha Verificar agora > Verificação completa do sistema > aguarde o término da varredura;

2. Quando a varredura terminar verifique a coluna Ameaça e, sobretudo, a Ação que será executada. Caso não possua certeza sobre a exclusão de algum arquivo ou tenha certeza de que ele é legítimo, basta selecioná-lo dar um clique direito e escolher Ignorar uma vez ou Adicionar à lista de exceções;

3. Feito o procedimento acima clique em Aplicar todas as ações;

4. Clique em Salvar relatório. Copie o conteúdo do relatório e poste em sua próxima resposta.

3ª Etapa

Reinicie o computador em Modo Normal.

Execute o CCleaner e clique em Executar Cleaner.

Verifique se o Active Scan da Panda ainda detecta algo.

Abraços.

P@TY · Setembro 12, 2007

AVG Anti-Spyware - Relatório de verificação--------------------------------------------------------- + Criação: 11:42:54 12/9/2007 + Resultado da verificação: C:\Documents and Settings\monica\Cookies\monica@2o7[2].txt -> TrackingCookie.2o7 : Limpo.C:\Documents and Settings\monica\Cookies\monica@gettyimages.122.2o7[1].txt -> TrackingCookie.2o7 : Limpo.C:\Documents and Settings\monica\Cookies\monica@warnermusic.112.2o7[1].txt -> TrackingCookie.2o7 : Limpo.C:\Documents and Settings\monica\Cookies\monica@adbrite[2].txt -> TrackingCookie.Adbrite : Limpo.C:\Documents and Settings\monica\Cookies\monica@ads.adbrite[1].txt -> TrackingCookie.Adbrite : Limpo.C:\Documents and Settings\monica\Cookies\monica@adtech[2].txt -> TrackingCookie.Adtech : Limpo.C:\Documents and Settings\monica\Cookies\monica@atdmt[2].txt -> TrackingCookie.Atdmt : Limpo.C:\Documents and Settings\monica\Cookies\monica@casalemedia[1].txt -> TrackingCookie.Casalemedia : Limpo.C:\Documents and Settings\monica\Cookies\monica@com[1].txt -> TrackingCookie.Com : Limpo.C:\Documents and Settings\monica\Cookies\monica@fl01.ct2.comclick[1].txt -> TrackingCookie.Comclick : Limpo.C:\Documents and Settings\monica\Cookies\monica@doubleclick[1].txt -> TrackingCookie.Doubleclick : Limpo.C:\Documents and Settings\monica\Cookies\monica@fastclick[2].txt -> TrackingCookie.Fastclick : Limpo.C:\Documents and Settings\monica\Cookies\monica@ehg-youtube.hitbox[1].txt -> TrackingCookie.Hitbox : Limpo.C:\Documents and Settings\monica\Cookies\monica@hitbox[1].txt -> TrackingCookie.Hitbox : Limpo.C:\Documents and Settings\monica\Cookies\monica@searchportal.information[1].txt -> TrackingCookie.Information : Limpo.C:\Documents and Settings\monica\Cookies\monica@ssl-hints.netflame[2].txt -> TrackingCookie.Netflame : Limpo.C:\Documents and Settings\monica\Cookies\monica@overture[1].txt -> TrackingCookie.Overture : Limpo.C:\Documents and Settings\monica\Cookies\monica@ads.pointroll[2].txt -> TrackingCookie.Pointroll : Limpo.C:\Documents and Settings\monica\Cookies\monica@questionmarket[2].txt -> TrackingCookie.Questionmarket : Limpo.C:\Documents and Settings\monica\Cookies\monica@real[1].txt -> TrackingCookie.Real : Limpo.C:\Documents and Settings\monica\Cookies\monica@realmedia[2].txt -> TrackingCookie.Realmedia : Limpo.C:\Documents and Settings\monica\Cookies\monica@revenue[1].txt -> TrackingCookie.Revenue : Limpo.C:\Documents and Settings\monica\Cookies\monica@revsci[2].txt -> TrackingCookie.Revsci : Limpo.C:\Documents and Settings\monica\Cookies\monica@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Limpo.C:\Documents and Settings\monica\Cookies\monica@serving-sys[2].txt -> TrackingCookie.Serving-sys : Limpo.C:\Documents and Settings\monica\Cookies\monica@specificclick[2].txt -> TrackingCookie.Specificclick : Limpo.C:\Documents and Settings\monica\Cookies\monica@statcounter[1].txt -> TrackingCookie.Statcounter : Limpo.C:\Documents and Settings\monica\Cookies\monica@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Limpo.C:\Documents and Settings\monica\Cookies\monica@moads.valuead[2].txt -> TrackingCookie.Valuead : Limpo.C:\Documents and Settings\monica\Cookies\monica@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Limpo.::Fim do relatório

P@TY · Setembro 12, 2007

Eu fiz o Active Scan da Panda novamente... E o log foi este: Incidência Estado Localização Spyware:Cookie/Atlas DMT Não desinfectado C:\Documents and Settings\monica\Cookies\monica@atdmt[1].txt Ferramenta potencialmente indesejada:Application/MyWebSearch Não desinfectado C:\Nero Burning Rom v.7.7.5.1 Premium ESP + KeyGen_DnGnMsTr\Nero-7.7.5.1_esp_trial.exe[Toolbar.exe] Ferramenta potencialmente indesejada:Application/NirCmd.A Não desinfectado C:\RECYCLER\S-1-5-21-1482476501-1177238915-725345543-1003\Dc5.exe[nircmd.exe] Ferramenta potencialmente indesejada:Application/NirCmd.A Não desinfectado C:\WINDOWS\nircmd.exe

jgarcia · Setembro 12, 2007

Opa P@TY,

Vamos lá.

Habilite o Windows para mostrar todos os arquivos (até ocultos).

1ª Etapa

Baixe o Killbox em:

Killbox

1. Execute o Killbox, clique em Delete on Reboot.

2. Copie a lista abaixo em negrito para a área de transferência. Selecione tudo com o auxílio do mouse --> vá até a aba Editar na barra do navegador --> clique em Copiar.

C:\Nero Burning Rom v.7.7.5.1 Premium ESP + KeyGen_DnGnMsTr\Nero-7.7.5.1_esp_trial.exe

C:\RECYCLER\S-1-5-21-1482476501-1177238915-725345543-1003\Dc5.exe

3. Retorne ao Killbox. Clique em File > Paste from clipboard. Clique em All Files.

4. Aperte em "X". Responda "não" à pergunta.

2ª Etapa

Reinicie em Modo Normal.

Delete o conteúdo da seguinte pasta:

C:\!Killbox

Execute o CCleaner e clique em Executar Cleaner.

Verifique se o Active Scan da Panda ainda detecta algo.

Um abraço.

P@TY · Setembro 13, 2007

Segui todos os passos e fiz o active scan...eis o log:Incidência Estado Localização Ferramenta potencialmente indesejada:Application/NirCmd.A Não desinfectado C:\WINDOWS\nircmd.exe

jgarcia · Setembro 13, 2007

Opa P@TY,

Diante de sua última postagem concluo que a máquina está limpa, pois a suposta infecção não passa de um componente do ComboFix. Como anda a máquina?

P@TY · Setembro 14, 2007

Num apareceu mais nenhuma mensagem suspeita não :rolleyes: O pc ta funcionando direitinho ^^Brigada mesmo!!!!

jgarcia · Setembro 14, 2007

Opa P@TY,

Fico feliz por saber que o seu problema foi resolvido. :thumbsup:

Para finalizar:

1. Desabilite e Reabilite a função de Restauração Automática do XP. Clique aqui para ver como;

2. Leia o artigo Cuidados ao navegar na net e saiba como evitar novas infecções.

Abraços.

P@TY · Setembro 14, 2007

Pronto, ja desabilitei :DEstou lendo o artigo!Obrigada novamente!Abraços

jgarcia · Setembro 14, 2007

Pronto, ja desabilitei :D

Não esqueça de reabilitar. ;)

Abraços e disponha. :thumbsup:

Arquivado

[Resolvido!]PC INVADIDO! Sera?

Recommended Posts

P@TY 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

jgarcia 1

Compartilhar este post

Link para o post

Compartilhar em outros sites

P@TY 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

hinom 5

Compartilhar este post

Link para o post

Compartilhar em outros sites

jgarcia 1

Compartilhar este post

Link para o post

Compartilhar em outros sites

P@TY 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

jgarcia 1

Compartilhar este post

Link para o post

Compartilhar em outros sites

P@TY 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

jgarcia 1

Compartilhar este post

Link para o post

Compartilhar em outros sites

P@TY 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

jgarcia 1

Compartilhar este post

Link para o post

Compartilhar em outros sites

P@TY 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

P@TY 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

jgarcia 1

Compartilhar este post

Link para o post

Compartilhar em outros sites

P@TY 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

jgarcia 1

Compartilhar este post

Link para o post

Compartilhar em outros sites

P@TY 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

jgarcia 1

Compartilhar este post

Link para o post

Compartilhar em outros sites

P@TY 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

jgarcia 1