Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

wesley_silva

[Arquivado] log Hijack

Recommended Posts

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:32:39, on 26/12/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\VTTimer.exe

C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\DNA\btdna.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\eBoostr\EBstrSvc.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexStoreSvr.exe

C:\Hijack\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uol.com.br/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Arquivos de programas\Winamp Toolbar\winamptb.dll

R3 - URLSearchHook: Barra de Ferramentas do Yahoo! com bloqueador de pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

R3 - URLSearchHook: SrchHook Class - {F4F10C1D-87C7-404A-B4B3-000000000000} - C:\ARQUIV~1\DOWLOA~1\SBSearch.dll (file missing)

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Arquivos de programas\Winamp Toolbar\winamptb.dll

O2 - BHO: (no name) - {6EF05952-B48D-4944-AA91-57A6A1A48EF8} - C:\Arquivos de programas\Puxa Rápido\IEBHO.DLL

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: WinAVI FLVSense - {E8DF67A1-B618-4F3F-9E7C-CBE175ADEF5B} - C:\Arquivos de programas\WinAVI FLV Converter\FLVTune.dll

O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Arquivos de programas\AskSBar\bar\1.bin\ASKSBAR.DLL

O3 - Toolbar: Barra de Ferramentas do Yahoo! com bloqueador de pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Arquivos de programas\Winamp Toolbar\winamptb.dll

O3 - Toolbar: TextAloud - {F053C368-5458-45B2-9B4D-D8914BDDDBFF} - C:\ARQUIV~1\TEXTAL~1\TAForIE.dll

O3 - Toolbar: FreshDownload Bar - {ED0E8CA5-42FB-4B18-997B-769E0408E79D} - C:\ARQUIV~1\FRESHD~1\FRESHD~1\fdiebar.dll (file missing)

O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Arquivos de programas\AskSBar\bar\1.bin\ASKSBAR.DLL

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Arquivos de programas\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bitTorrent DNA] "C:\Arquivos de programas\DNA\btdna.exe"

O4 - HKCU\..\Run: [bitTorrent] "C:\Arquivos de programas\BitTorrent\bittorrent.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &Download FLV by WinAVI... - C:\Arquivos de programas\WinAVI FLV Converter\flv_link.htm

O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Dados de aplicativos\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: FreshDownload - {7F61C9EC-1575-4C0E-BDAC-2AB019C44AF3} - C:\Arquivos de programas\FreshDevices\FreshDownload\fd.exe (file missing)

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: WinAVI FLV Manager - {DE365254-2F9B-4908-9E3A-7AAA6EC90BCC} - C:\Arquivos de programas\WinAVI FLV Converter\FLVTune.dll

O9 - Extra 'Tools' menuitem: WinAVI FLV Manager - {DE365254-2F9B-4908-9E3A-7AAA6EC90BCC} - C:\Arquivos de programas\WinAVI FLV Converter\FLVTune.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {051D0E35-F4E3-4C8D-B411-AB0875F4C683} (Anark Client 4.0 ActiveX Control) - http://install.anark.com/client/version4/w...en/AMClient.cab

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Arquivos de programas\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/PT-BR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab

O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: eBoostr Service (EBOOSTRSVC) - Unknown owner - C:\Arquivos de programas\eBoostr\EBstrSvc.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe

O23 - Service: ServiceLayer - Nokia. - C:\Arquivos de programas\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

 

--

End of file - 10615 bytes

 

 

Está ai por favor me ajudem!!!!!!!!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Opa wesley_silva,

 

Baixe o ComboFix em:

ComboFix

 

1) Desabilite o seu anti-vírus temporariamente;

 

2) Dê um duplo-clique no combofix.exe e aguarde (o processo total demora cerca de 10 minutos);

 

3) A janela de “NEGAÇÃO DE GARANTIA DO SOFTWARE” abrir-se-á. Leia atentamente o texto contido nesta janela e clique sobre “SIM” para continuar.

 

PS.: Caso não concorde com os termos clique sobre “NÃO” para sair do software, cabendo lembrar que o processo de desinfecção não será possível sem a continuidade do ComboFix.

 

4) Outra janela irá abrir, caso a sua máquina não possua o CONSOLE DE RECUPERAÇÃO DO WINDOWS. É recomendável executar a instalação do console ante de dar continuidade ao processo, pois tal ação proporcionará a garantia de que o sistema poderá ser recuperado em caso de problemas durante a varredura.

 

Clique sobre “SIM” e aguarde, pois o processo de instalação do console dar-se-á automaticamente através do próprio ComboFix. Ele poderá demorar alguns minutos (dependerá da velocidade de sua conexão), portanto seja paciente.

 

Quando a janela “INSTALANDO O CONSOLE DE RECUPERAÇÃO” aparecer clique em “OK”, depois clique sobre “SIM” para aceitar a licença EULA.

 

Ao término da instalação do console de recuperação abrir-se-á uma janela avisando que “O CONSOLE DE RECUPERAÇÃO FOI INSTALADA COM SUCESSO”.

 

Clique sobre “SIM” para continuar a varredura.

 

5) O ComboFix iniciará o AUTOSCAN (aguarde).

 

ATENÇÃO: Não clique na janela do ComboFix, nem termine o processo abruptamente enquanto a ferramenta estiver sendo executada, pois isto implicará na desconfiguração de seu desktop (ele ficará todo branco).

 

Ao término do processo a máquina será reiniciada para a emissão do relatório.

 

6) Ao reiniciar a máquina o ComboFix irá executar o FIND3M para a criação do relatório final da varredura. O log ficará alocado em C:\ComboFix.txt.

 

7) Reabilite o seu anti-vírus;

 

8) Preciso que você cole o conteúdo do ComboFix.txt em sua próxima resposta.

 

OBS.1: Caso apareça uma mensagem avisando que ESTE NÃO É UM APLICATIVO WIN 32 VÁLIDO baixe o ComboFix novamente, mas salve-o em seu Desktop como KomboFix. Em último caso, tente utilizar o ComboFix em MODO SEGURO.

 

OBS.2: Caso haja um clique sobre a janela do ComboFix em execução, ela irá MAXIMIZAR, sobrepondo-se sobre as demais. Para minimizá-la novamente basta utilizar a combinação ALT + TAB.

 

Abraços.

Compartilhar este post


Link para o post
Compartilhar em outros sites

ComboFix 08-12-26.03 - CAMILA 2008-12-26 22:19:54.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1252.1.1046.18.734.381 [GMT -2:00]

Executando de: D:\ComboFix.exe

AV: avast! antivirus 4.8.1296 [VPS 081226-0] *On-access scanning disabled* (Outdated)

 

ATENÇAO - ESTA MAQUINA NAO TEM O CONSOLE DE RECUPERAÇÃO INSTALADA !!

.

 

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\autorun.inf

c:\docume~1\CAMILA\CONFIG~1\Temp\tmp2.tmp

c:\documents and settings\CAMILA\Dados de aplicativos\inst.exe

C:\resycled

c:\resycled\boot.com

D:\Autorun.inf

D:\resycled

d:\resycled\boot.com

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_ISODRIVE

-------\Service_ISODrive

 

 

(((((((((((((((( Arquivos/Ficheiros criados de 2008-11-27 to 2008-12-27 ))))))))))))))))))))))))))))

.

 

2008-12-26 18:26 . 2008-12-26 18:26 <DIR> d--hs---- c:\documents and settings\CAMILA\UserData

2008-12-26 12:32 . 2008-12-26 20:38 <DIR> d-------- c:\arquivos de programas\Avast4PRO

2008-12-26 11:30 . 2008-12-26 11:40 <DIR> d-------- C:\Hijack

2008-12-25 15:20 . 2008-12-25 15:20 268 --ah----- C:\sqmdata03.sqm

2008-12-25 15:20 . 2008-12-25 15:20 244 --ah----- C:\sqmnoopt03.sqm

2008-12-23 13:01 . 2008-12-23 13:02 <DIR> d-------- c:\windows\system32\NtmsData

2008-12-22 11:31 . 2008-12-22 11:31 1,081,406 --a------ c:\windows\system32\pasta 06

2008-12-22 11:25 . 2008-12-22 11:25 26,112 --ahs---- c:\windows\system32\Thumbs.db

2008-12-22 11:03 . 2008-12-22 11:03 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\SlySoft

2008-12-22 11:03 . 2008-12-22 11:13 <DIR> d-------- c:\arquivos de programas\SlySoft

2008-12-22 11:03 . 2008-12-22 11:03 0 ---hs---- c:\windows\SCE0A83CD.tmp

2008-12-22 10:19 . 2008-12-22 10:19 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Ahead

2008-12-21 22:56 . 2008-12-21 22:56 <DIR> d-------- C:\programas

2008-12-21 22:13 . 2008-12-21 22:22 <DIR> d-------- c:\arquivos de programas\PhotoZoom Pro 2

2008-12-21 22:13 . 2008-12-21 22:13 3,691 --a------ c:\windows\jkvp_qn64.ini

2008-12-09 15:08 . 2008-12-09 15:08 1,081,406 --a------ c:\windows\system32\pasta 05

2008-12-08 12:35 . 2008-12-08 12:35 54,156 --ah----- c:\windows\QTFont.qfn

2008-12-08 12:35 . 2008-12-08 12:35 1,409 --a------ c:\windows\QTFont.for

2008-12-07 10:35 . 2008-12-07 10:34 410,984 --a------ c:\windows\system32\deploytk.dll

2008-12-03 13:02 . 2008-12-03 13:02 270,404 --a------ c:\windows\system32\pasta 02.ico

2008-12-03 11:25 . 2005-03-05 10:41 186,006 --a------ c:\windows\system32\pasta 01.ico

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-27 00:24 --------- d-----w c:\documents and settings\CAMILA\Dados de aplicativos\DNA

2008-12-27 00:24 --------- d-----w c:\arquivos de programas\DNA

2008-12-27 00:08 --------- d-----w c:\documents and settings\CAMILA\Dados de aplicativos\MiniLyrics

2008-12-26 23:56 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\eboostr

2008-12-26 22:56 --------- d-----w c:\documents and settings\CAMILA\Dados de aplicativos\BitTorrent

2008-12-26 13:20 --------- d-----w c:\arquivos de programas\Puxa Rápido

2008-12-24 16:41 --------- d-----w c:\documents and settings\CAMILA\Dados de aplicativos\FrostWire

2008-12-22 20:31 --------- d-----w c:\documents and settings\CAMILA\Dados de aplicativos\PC Suite

2008-12-22 11:01 --------- d-----w c:\arquivos de programas\Arquivos comuns\Adobe

2008-12-12 18:11 --------- d-----w c:\documents and settings\CAMILA\Dados de aplicativos\Winamp

2008-12-08 00:54 --------- d-----w c:\arquivos de programas\AVerTV

2008-12-07 12:34 --------- d-----w c:\arquivos de programas\Java

2008-12-02 16:37 --------- d-----w c:\arquivos de programas\MSN Messenger

2008-11-26 14:20 --------- d-----w c:\arquivos de programas\WinAVI Video Converter 9.0

2008-11-23 22:33 --------- d-----w c:\arquivos de programas\TextAloud

2008-11-14 23:51 --------- d-----w c:\arquivos de programas\FrostWire

2008-11-14 23:41 --------- d-----w c:\arquivos de programas\Tunatic

2008-11-14 23:33 --------- d-----w c:\arquivos de programas\AskSBar

2008-11-06 00:43 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\OrbNetworks

2008-11-06 00:43 --------- d-----w c:\arquivos de programas\Winamp Remote

2008-11-06 00:35 --------- d-----w c:\arquivos de programas\Winamp

2008-11-03 01:33 --------- d-----w c:\arquivos de programas\WinAVI FLV Converter

2008-11-03 01:31 --------- d-----w c:\arquivos de programas\ImTOO

2008-11-03 01:30 --------- d-----w c:\documents and settings\CAMILA\Dados de aplicativos\WinAVI

2008-10-28 23:36 --------- d-----w c:\arquivos de programas\Jogo YALG

2008-10-27 19:54 --------- d-----w c:\arquivos de programas\UltraISO

2008-10-27 19:54 --------- d-----w c:\arquivos de programas\Arquivos comuns\EZB Systems

2008-10-23 12:37 286,720 ----a-w c:\windows\system32\gdi32.dll

2008-10-16 20:23 826,368 ----a-w c:\windows\system32\wininet.dll

2008-10-16 16:13 202,776 ----a-w c:\windows\system32\wuweb.dll

2008-10-16 16:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll

2008-10-16 16:12 561,688 ----a-w c:\windows\system32\wuapi.dll

2008-10-16 16:12 323,608 ----a-w c:\windows\system32\wucltui.dll

2008-10-16 16:09 92,696 ----a-w c:\windows\system32\cdm.dll

2008-10-16 16:09 51,224 ----a-w c:\windows\system32\wuauclt.exe

2008-10-16 16:09 43,544 ----a-w c:\windows\system32\wups2.dll

2008-10-16 16:08 34,328 ----a-w c:\windows\system32\wups.dll

2008-10-03 10:04 247,326 ----a-w c:\windows\system32\strmdll.dll

2008-09-30 18:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll

2008-08-28 00:14 47,360 ----a-w c:\documents and settings\CAMILA\Dados de aplicativos\pcouffin.sys

2004-03-11 16:27 40,960 ----a-w c:\arquivos de programas\Uninstall_CDS.exe

2008-08-02 16:59 56 --sh--r c:\windows\system32\C0DD0C902E.sys

2008-08-02 16:59 1,682 --sha-w c:\windows\system32\KGyGaAvL.sys

.

 

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "c:\arquivos de programas\Winamp Toolbar\winamptb.dll" [2008-07-16 1266992]

 

[HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]

[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]

[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]

[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 153136]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"BitTorrent DNA"="c:\arquivos de programas\DNA\btdna.exe" [2008-12-18 342848]

"BitTorrent"="c:\arquivos de programas\BitTorrent\bittorrent.exe" [2008-12-16 637232]

"MSMSGS"="c:\arquivos de programas\Messenger\msmsgs.exe" [2008-04-14 1695232]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RemoteControl"="c:\arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 32768]

"QuickTime Task"="c:\arquivos de programas\QuickTime\qttask.exe" [2008-08-02 98304]

"NeroFilterCheck"="c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe" [2007-03-09 153136]

"PCSuiteTrayApplication"="c:\arquivos de programas\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 271360]

"SunJavaUpdateSched"="c:\arquivos de programas\Java\jre6\bin\jusched.exe" [2008-12-07 136600]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader\Reader_sl.exe" [2008-10-15 39792]

"avast!"="c:\arquiv~1\AVAST4~1\ashDisp.exe" [2008-11-26 81000]

"VTTimer"="VTTimer.exe" [2005-03-08 c:\windows\system32\VTTimer.exe]

"SoundMan"="SOUNDMAN.EXE" [2006-03-01 c:\windows\SOUNDMAN.EXE]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

"Nokia.PCSync"="c:\arquivos de programas\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 1241088]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.l3fhg"= mp3fhg.acm

"msacm.divxa32"= divxa32.acm

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\Puxa Rápido\\PuxaRapido.exe"=

"c:\\Arquivos de programas\\BitTorrent\\bittorrent.exe"=

"c:\\Arquivos de programas\\DNA\\btdna.exe"=

"c:\\Arquivos de programas\\Winamp Remote\\bin\\Orb.exe"=

"c:\\Arquivos de programas\\Winamp Remote\\bin\\OrbTray.exe"=

"c:\\Arquivos de programas\\Winamp Remote\\bin\\OrbStreamerClient.exe"=

"c:\\Arquivos de programas\\FrostWire\\FrostWire.exe"=

 

R0 eBoost;eBoostr caching filter driver;c:\windows\system32\drivers\eBoost.sys [2008-05-19 94840]

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-12-26 111184]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-12-26 20560]

R2 EBOOSTRSVC;eBoostr Service;"c:\arquivos de programas\eBoostr\EBstrSvc.exe" [2008-05-19 839288]

R3 PhTVTune;Cap7134 TVTuner;c:\windows\system32\DRIVERS\PhTVTune.sys [2008-08-02 57152]

.

- - - - ORFÃOS REMOVIDOS - - - -

 

URLSearchHooks-{F4F10C1D-87C7-404A-B4B3-000000000000} - c:\arquiv~1\DOWLOA~1\SBSearch.dll

HKCU-Run-PowerBar - (no file)

 

 

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.uol.com.br/

IE: &Download FLV by WinAVI... - c:\arquivos de programas\WinAVI FLV Converter\flv_link.htm

IE: &Winamp Search - c:\documents and settings\All Users\Dados de aplicativos\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: {{7F61C9EC-1575-4C0E-BDAC-2AB019C44AF3} - c:\arquivos de programas\FreshDevices\FreshDownload\fd.exe

IE: {{DE365254-2F9B-4908-9E3A-7AAA6EC90BCC} - {EC83A912-7EF4-410D-9CC7-3BDAA709CA71} - c:\arquivos de programas\WinAVI FLV Converter\FLVTune.dll

 

O16 -: {051D0E35-F4E3-4C8D-B411-AB0875F4C683} - hxxp://install.anark.com/client/version4/windows-ie/en/AMClient.cab

c:\windows\Downloaded Program Files\InstallClient.inf

 

c:\windows\Downloaded Program Files\GoPetsWeb.ocx - O16 -: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8}

hxxps://secure.gopetslive.com/dev/GoPetsWeb.cab

c:\windows\Downloaded Program Files\GoPetsWeb.inf

FF - ProfilePath - c:\documents and settings\CAMILA\Dados de aplicativos\Mozilla\Firefox\Profiles\phmg6rbz.default\

FF - prefs.js: browser.search.selectedEngine - Puxaki.com.br

FF - prefs.js: browser.startup.homepage - hxxp://www.terra.com.br/capa/

FF - prefs.js: keyword.URL - hxxp://search.speedbit.com/searchresults.asp?src=default&q=

FF - plugin: c:\arquivos de programas\Adobe\Reader\browser\nppdf32.dll

FF - plugin: c:\arquivos de programas\Mozilla Firefox\plugins\NP_PR1.dll

FF - plugin: c:\arquivos de programas\Mozilla Firefox\plugins\NP_PR2.dll

FF - plugin: c:\arquivos de programas\Mozilla Firefox\plugins\NP_PR3.dll

FF - plugin: c:\arquivos de programas\Mozilla Firefox\plugins\NP_PR4.dll

FF - plugin: c:\arquivos de programas\Mozilla Firefox\plugins\NP_PR5.dll

FF - plugin: c:\arquivos de programas\Mozilla Firefox\plugins\NP_PR6.dll

FF - plugin: c:\arquivos de programas\Mozilla Firefox\plugins\NPAskSBr.dll

FF - plugin: c:\arquivos de programas\Mozilla Firefox\plugins\npbittorrent.dll

FF - plugin: c:\arquivos de programas\Yahoo!\Common\npyaxmpb.dll

 

ATTENTION: FIREFOX POLICES IS IN FORCE

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-26 22:24:10

Windows 5.1.2600 Service Pack 3 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos:

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys]

"imagepath"="\systemroot\system32\drivers\msqpdxymyrodpb.sys"

.

------------------------ Outros Processos em Execução ------------------------

.

c:\arquivos de programas\Avast4PRO\aswUpdSv.exe

c:\arquivos de programas\Avast4PRO\ashServ.exe

c:\windows\system32\LEXBCES.EXE

c:\windows\system32\LEXPPS.EXE

c:\arquivos de programas\Java\jre6\bin\jqs.exe

c:\arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

c:\arquivos de programas\Avast4PRO\ashMaiSv.exe

c:\arquivos de programas\Avast4PRO\ashWebSv.exe

c:\windows\system32\wscntfy.exe

c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe

c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexStoreSvr.exe

c:\arquivos de programas\Avast4PRO\Setup\avast.setup

.

**************************************************************************

.

Tempo para conclusão: 2008-12-26 22:25:06 - Máquina reiniciou

ComboFix-quarantined-files.txt 2008-12-27 00:25:02

 

Pré-execução: 14 pasta(s) 21.683.523.584 bytes disponíveis

Pós execução: 13 pasta(s) 22,084,759,552 bytes disponíveis

 

207 --- E O F --- 2008-12-18 17:01:39

 

 

Ok está ai o relatório.Mais tem um detalhe antes de pedir ajuda nesse forum eu pesquisei na internet e ache um outro programa (Flash_Disinfector) q retirou essa mensagem q aparecia,mas agora toda vez que eu tento abrir um programa(CryptLoad um gerenciador de download)o computador reinicia sozinho.Só queria avisar desse detalhe.Obrigado pela ajuda q você e o pessoal desse forum estão me dando. E um feliz 2009 para todos!!!!!!!!!! :natal_biggrin: :natal_tongue:

Compartilhar este post


Link para o post
Compartilhar em outros sites

Opa wesley_silva,

 

Siga as instruções:

 

1. Abra o Bloco de Notas -> Copie (Control + C) e Cole (Control + V) todo o texto incluído no "Quote":

File::

c:\documents and settings\CAMILA\Dados de aplicativos\pcouffin.sys

c:\windows\system32\deploytk.dll

c:\windows\system32\Thumbs.db

c:\windows\system32\C0DD0C902E.sys

c:\windows\system32\KGyGaAvL.sys

c:\windows\system32\pasta 01.ico

c:\windows\system32\pasta 02.ico

c:\windows\SCE0A83CD.tmp

c:\windows\jkvp_qn64.ini

Registry::

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys]

ATENÇÃO: O script acima foi elaborado especificamente para a infecção contida neste computador. Utilizá-lo em outra máquina poderá originar graves problemas ao usuário.

  • 2. Salve o arquivo como CFScript.txt;
     
    3. Tal como exemplificado na foto abaixo, arraste o arquivo CFScript.txt para o ComboFix.exe.
    cfscript.gif
     
    4. Ao término do processo a ferramenta irá gerar um log. Poste-o (C:\ComboFix.txt) em sua próxima resposta, juntamente com um novo log do HijackThis.

Abraços.

 

PS.: Execute a ação com o seu pendrive conectado ao PC.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Tópico Arquivado

 

Como o autor não respondeu por mais de 30 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.

Compartilhar este post


Link para o post
Compartilhar em outros sites

×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.