[Arquivado] Análise de Log do HiJackThis

EriCk__ · Novembro 22, 2008

Bom, tenho o Avast 4.8 no meu pc e ele detectou alguns vírus no pc, alguns eu exclui na hora do desespero, primeiramente queria saber se tem problema? Alguns que eu exclui estavam no C:/WINDOWS/system32/drives, alguns dos arquivos infectados nessa pasta são: dasm32.dll, klif.sys. Aqui está o log do HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:39:54, on 22/11/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

C:\WINDOWS\system32\svchost.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\win32sm.exe

C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Arquivos de programas\Discador iBest\discador.exe

C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

C:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe

C:\WINDOWS\system32\taskmgr.exe

C:\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [CountrySelection] pctptt.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WIN32DAS] C:\WINDOWS\win32sm.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\kamsoft.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Ulead Photo Express 4.0 SE Calendar Checker .lnk = C:\Arquivos de programas\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe

O4 - Global Startup: win32sm.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Livro de recortes HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Arquivos de programas\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Seleção HP Smart - {700259D7-1666-479a-93B1-3250410481E8} - C:\Arquivos de programas\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1221574492265

O17 - HKLM\System\CCS\Services\Tcpip\..\{67624BA3-2AE8-4561-96D4-F0D6603AE88A}: NameServer = 201.10.120.2 201.10.128.3

O20 - Winlogon Notify: agb - dasm32.dll (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe

O23 - Service: W2k PCtel speaker phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

--

End of file - 6222 bytes

Queria saber também se algum dos programas a seguir pode dar problema com o Avast: Spybot, Cômodo, USBFix, e o Zone Alarm Free.

Vlw

DigRam · Novembro 23, 2008

Bom Dia! EriCk

Queria saber também se algum dos programas a seguir pode dar problema com o Avast: Spybot, Cômodo, USBFix, e o Zone Alarm Free.

<!> Provavelmente,com o Spybot,terás que desabilitar a proteção TeaTimer.

<!> Não utilize o USBFix,pois trata-se de uma ferramenta!

<!> Quanto ao firewall,o Comodo é superior.

--------------------------

<@> Baixe: < ComboFix.exe >

<@> Salve-o no Desktop!

<@> Desabilite as proteções residente de: antivírus,antispywares e firewall. ( Menos o do Windows! )

<@> Feche todas as janelas e execute a ferramenta!

<@> Na solicitação: "Negação de garantia de software" --> Clique em Sim!

<@> Não possuindo o "Console de Recuperação",aceite optar pela instalação do mesmo!

<!> Caso aconteça a notificação de: Aplicativo Win32 inválido,delete a ferramenta e faça,novamente,o download.
<!> Salve-a no desktop,renomeada como: Kombo.exe

<!> Ps: Nomeie durante o salvamento,e não após salvá-la!

<!> Ps: Surgindo alguma mensagem de erro,rode o ComboFix.exe em Modo de Segurança.

<!> Ps: Para completar as remoções,talvez haja necessidade da ferramenta reiniciar o computador. <-- Aguarde!

<!> Ps: Evite executar,voluntariamente,esta ferramenta!Siga,àcima,todas as recomendações propostas.

<@> Abrir-se-á a janela Auto Scan. --> Aguarde!

<@> Àfim de completar as remoções,o ComboFix poderá reiniciar o computador.

<@> Se houver necessidade,digite a opção para continuar! --> ( 1 ) --> Aperte Enter.

<@> Aguarde a conclusão!

<@> Durante o scan,evite manusear o mouse ou teclado! <-- Importante!

<@> Para parar ou sair do ComboFix,tecle "N" --> Enter.

-------------------------

<@> Terminando,poste os relatórios: C:\ComboFix.txt + HijackThis,atualizado.

Abraços!

EriCk__ · Novembro 23, 2008

Beleza, valew DigRam pela ajuda, vou fazer isso amanhã. Mas queria saber se depois de fazer isso posso usar o USBFix pra tirar os vírus do meu pen drive??? Outra coisa, meu pc também ta com o ckvo.exe, queria saber se ele fica na memória do pc, e se eu formatar o pc ele continua???

Vlw

Abraços

DigRam · Novembro 24, 2008

Beleza, valew DigRam pela ajuda, vou fazer isso amanhã. Mas queria saber se depois de fazer isso posso usar o USBFix pra tirar os vírus do meu pen drive??? Outra coisa, meu pc também ta com o ckvo.exe, queria saber se ele fica na memória do pc, e se eu formatar o pc ele continua???
Vlw

Abraços

------------------------

Opa! EriCk__

<!> Para isso,utilize o PenClean.

<!> Se infectar a memória,o que é provável,pode ser removido por ferramentas adequadas.

Abraços!

EriCk__ · Novembro 24, 2008

beleza, maaaaais uma dúvida: Se meu pc tiver um vírus que infecta a memória, por exemplo, ou qualquer um outro, tem possibilidade de ele passar pra memória interna de uma câmera digital ou impressora conectada ao computador ???

Vlw

Abraços

DigRam · Novembro 24, 2008

beleza, maaaaais uma dúvida: Se meu pc tiver um vírus que infecta a memória, por exemplo, ou qualquer um outro, tem possibilidade de ele passar pra memória interna de uma câmera digital ou impressora conectada ao computador ???
Vlw

Abraços

------------------------

Opa! EriCk__

<!> Se o vírus for worm,existe essa possibilidade,já que atuando na memória flash,pode infectar tudo o que for conectado na entrada USB.

Abraços!

EriCk__ · Novembro 27, 2008

Primeiro lá vão as dúvidas:

→ Fiz o scan do ComboFix, Malwarebytes, HiJackThis e talz, mas queria saber se os arquivos que estão na quarentena do avast ficam de fora do resultado desses scans? Pq em nenhum deles mostra os vírus q o avast coloco na quarentena, olha o log do avast:

12/10/2008 20:08:17 1223849297 SYSTEM 1428 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.

12/10/2008 20:08:25 1223849305 SYSTEM 1428 An error has occured while attempting to update. Please check the logs.

16/10/2008 18:29:01 1224188941 Micro 1416 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\klif.sys" file.

16/10/2008 18:29:42 1224188982 Micro 1416 Sign of "Win32:Gamona [Trj]" has been found in "C:\WINDOWS\system32\ckvo.exe" file.

16/10/2008 18:29:55 1224188995 Micro 1416 Sign of "Win32:Gamona [Trj]" has been found in "C:\WINDOWS\system32\ckvo0.dll" file.

18/10/2008 00:44:44 1224297884 SYSTEM 1400 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.

18/10/2008 00:44:47 1224297887 SYSTEM 1400 An error has occured while attempting to update. Please check the logs.

18/10/2008 14:42:06 1224348126 SYSTEM 1380 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.

18/10/2008 14:42:08 1224348128 SYSTEM 1380 An error has occured while attempting to update. Please check the logs.

22/10/2008 23:03:35 1224723815 Micro 2784 Function setifaceUpdatePackages() has failed. Return code is 0x000004C7, dwRes is 000004C7.

31/10/2008 00:19:11 1225419551 SYSTEM 1252 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.

31/10/2008 00:19:12 1225419552 SYSTEM 1252 An error has occured while attempting to update. Please check the logs.

16/11/2008 22:20:53 1226881253 SYSTEM 1332 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\DOCUME~1\Micro\CONFIG~1\Temp\ir_ext_temp_0\AutoPlay\Docs\Nintendo 64\1964\1964_099.exe" file.

16/11/2008 22:28:10 1226881690 Micro 1080 Sign of "Win32:Spyware-gen [Trj]" has been found in "c:\windows\system32\dasm32.dll" file.

16/11/2008 23:53:53 1226886833 Micro 1480 Sign of "Win32:Spyware-gen [Trj]" has been found in "C:\WINDOWS\system32\dasm32.dll" file.

17/11/2008 11:38:58 1226929138 Micro 2300 Sign of "Win32:Spyware-gen [Trj]" has been found in "c:\windows\system32\dasm32.dll" file.

17/11/2008 11:43:39 1226929419 Micro 1420 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\WINDOWS\system32\drivers\klif.sys" file.

17/11/2008 11:43:58 1226929438 Micro 1420 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\WINDOWS\system32\drivers\klif.sys" file.

17/11/2008 11:44:10 1226929450 Micro 1420 Sign of "Win32:Gamona [Trj]" has been found in "C:\WINDOWS\system32\kamsoft.exe" file.

17/11/2008 11:44:20 1226929460 Micro 1420 Sign of "Win32:Gamona [Trj]" has been found in "C:\WINDOWS\system32\gasretyw0.dll" file.

17/11/2008 20:17:40 1226960260 Micro 1420 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\WINDOWS\system32\drivers\klif.sys" file.

17/11/2008 20:17:58 1226960278 Micro 1420 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\WINDOWS\system32\drivers\klif.sys" file.

17/11/2008 20:18:12 1226960292 Micro 1420 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\WINDOWS\system32\drivers\klif.sys" file.

17/11/2008 20:19:15 1226960355 Micro 1420 Sign of "Win32:Gamona [Trj]" has been found in "C:\WINDOWS\system32\kamsoft.exe" file.

17/11/2008 20:19:32 1226960372 Micro 1420 Sign of "Win32:Gamona [Trj]" has been found in "C:\WINDOWS\system32\gasretyw0.dll" file.

17/11/2008 21:49:12 1226965752 Micro 3212 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Documents and Settings\Micro\Configurações locais\Temp\Rar$EX04.609\Emulators.exe\AutoPlay\Docs\Nintendo 64\1964\1964_099.exe" file.

19/11/2008 20:12:39 1227132759 Micro 3624 Sign of "Win32:Spyware-gen [Trj]" has been found in "c:\windows\system32\dasm32.dll" file.

19/11/2008 23:01:35 1227142895 Micro 1420 Sign of "Win32:Spyware-gen [Trj]" has been found in "C:\WINDOWS\system32\dasm32.dll" file.

21/11/2008 22:51:25 1227315085 Micro 3336 Sign of "Win32:Spyware-gen [Trj]" has been found in "c:\windows\system32\dasm32.dll" file.

22/11/2008 13:30:56 1227367856 Micro 1308 Sign of "Win32:Spyware-gen [Trj]" has been found in "C:\WINDOWS\system32\dasm32.dll" file.

23/11/2008 00:56:14 1227408978 Micro 1704 Sign of "Win32:Spyware-gen [Trj]" has been found in "C:\WINDOWS\system32\dasm32.dll" file.

23/11/2008 01:07:21 1227409641 Micro 1428 Sign of "Win32:Spyware-gen [Trj]" has been found in "C:\WINDOWS\system32\dasm32.dll" file.

24/11/2008 19:51:01 1227563461 Micro 2852 Sign of "Win32:Spyware-gen [Trj]" has been found in "c:\windows\system32\dasm32.dll" file.

25/11/2008 10:24:43 1227615883 Micro 1332 Sign of "Win32:Spyware-gen [Trj]" has been found in "C:\WINDOWS\system32\dasm32.dll" file.

25/11/2008 19:08:44 1227647324 Micro 1472 Sign of "Win32:Spyware-gen [Trj]" has been found in "C:\WINDOWS\system32\dasm32.dll" file.

25/11/2008 19:26:15 1227648375 Micro 1472 AAVM - scanning warning: x_AavmCheckFileDirectEx [uNI]: E:\100_PANA\P1000422.JPG (E:\100_PANA\P1000422.JPG) returning error, 0000A420.

25/11/2008 19:26:15 1227648375 Micro 1472 AAVM - scanning warning: x_AavmCheckFileDirectEx [uNI]: E:\100_PANA\P1000408.JPG (E:\100_PANA\P1000408.JPG) returning error, 0000A420.

25/11/2008 19:26:24 1227648384 Micro 1472 AAVM - scanning warning: x_AavmCheckFileDirectEx [uNI]: E:\100_PANA\P1000722.JPG (E:\100_PANA\P1000722.JPG) returning error, 0000A420.

25/11/2008 19:27:07 1227648427 Micro 1472 AAVM - scanning warning: x_AavmCheckFileDirectEx [uNI]: E:\100_PANA\P1000479.JPG (E:\100_PANA\P1000479.JPG) returning error, 0000A420.

25/11/2008 22:04:38 1227657878 Micro 1444 Sign of "Win32:Spyware-gen [Trj]" has been found in "C:\WINDOWS\system32\dasm32.dll" file.

→ Eu usei a poucos dias o Malwarebytes, pq ouvi dizer q era bom, ele nao detectou nd. Será que vou precisar dele ou deleto?

→Eu vi em um tópico algum moderador e talz, mandando alguém excluir uma pasta C:\Qoobox, vi ela no meu pc tb, acho q eh do ComboFix, não? Deleto ela ou não? Dentro dela tem:

C:\Qoobox\Quarantine\C\WINDOWS\system32 arquivos: autorun.inf.vir, ftpd0611.dll.vir, hpowiax4.dll.vir.

C:\Qoobox\Quarantine\Registry_backups arquivos: HKLM-Run-CFSServ.exe.reg, HKLM-Run-NDSTray.exe.reg, HKLM-Run-TFncKy.reg, MSConfigStartUp-POPDiscador.reg, MSConfigStartUp-SlipStream.reg, tcpip (entrada de registro)

C:\Qoobox arquivo: snapshot@2008-11-24_19.38.10,23_B

E tem isso tb, pela sigla é do Malwarebytes, é normal: ???

C:\WINDOWS\system32\drivers contém o seguinte arquivo dizendo que é do sistema: mbamswissarmy

Agora sim, Segue o relatório do HijackThis atualizado depois do ComboFix:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:55:01, on 24/11/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\win32sm.exe

C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe

C:\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Arquivos de programas\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL