[Resolvido!] Vírus GbiehBSB1

[kolthy 0]

Olá amigos da iMaster. Gostaria da ajuda de vocês para a remoção do vírus GbiehBSB1, adquirido após clicar indevidamente em um e-mail na minha caixa de entrada no qual se tratada de um convite. Segue a seguir o log o HiJackThis.

 

Aguardo Resposta. :assobiando:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:01:06, on 11/2/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARQUIV~1\AVG\AVG8\avgwdsvc.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\ARQUIV~1\AVG\AVG8\avgrsx.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\ARQUIV~1\AVG\AVG8\avgtray.exe

C:\drivers\ree1.exe

C:\drivers\ree2.exe

C:\drivers\nl.exe

C:\drivers\nl2.exe

C:\drivers\nl3.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Discador iBest\baloon.exe

C:\Arquivos de programas\MultiDesktop Manager\MegaScale MultiDesktop Manager.exe

C:\Arquivos de programas\Discador iBest\discador.exe

C:\Arquivos de programas\Windows Live\Messenger\usnsvc.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\DirectX\Dinput\Driver\1\services.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\Documents and Settings\Josue\Desktop\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com.br/0SEPTBR/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.com.br/0SEPTBR/SAOS01?FORM=TOOLBR

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.com.br/0SEPTBR/SAOS01?FORM=TOOLBR

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: XBTP06568 - {311F9DE8-6126-4EEE-B15F-65CBB3B4F9F6} - C:\Arquivos de programas\AOL Security Toolbar\AOL_security_toolbar.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Arquivos de programas\AVG\AVG8\avgssie.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: DirecX - {83FDA784-0154-418F-810B-F1839272C361} - C:\WINDOWS\system32\DirectX\Dinput\diagx3d.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\arquivos de programas\google\googletoolbar1.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar1.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\Windows Live Toolbar\msntb.dll

O3 - Toolbar: AOL Security Toolbar - {3BB63FD4-3C00-44D7-94A9-5DE211900DEF} - C:\Arquivos de programas\AOL Security Toolbar\AOL_security_toolbar.dll

O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Arquivos de programas\Styler\TB\StylerTB.dll

O3 - Toolbar: Discador iBest - {4F869C58-D71D-4850-8BDD-7B5CDF8EC911} - C:\Arquivos de programas\Discador iBest\ibestbar.dll

O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARQUIV~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [2krn] C:\drivers\ree1.exe

O4 - HKLM\..\Run: [3krn] C:\drivers\ree2.exe

O4 - HKLM\..\Run: [krn] C:\drivers\nl.exe

O4 - HKLM\..\Run: [krn2] C:\drivers\nl2.exe

O4 - HKLM\..\Run: [krn3] C:\drivers\nl3.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [iBest.baloon] "C:\Arquivos de programas\Discador iBest\baloon.exe"

O4 - Startup: MultiDesktop Manager.lnk = C:\Arquivos de programas\MultiDesktop Manager\MegaScale MultiDesktop Manager.exe

O8 - Extra context menu item: &Google Search - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: &Windows Live Search - res://C:\Arquivos de programas\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Backward Links - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Arquivos de programas\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Arquivos de programas\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{336792CE-C700-4DBB-A44D-D2ACB0BFEDAB}: NameServer = 201.10.1.2 201.10.120.3

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Arquivos de programas\AVG\AVG8\avgpp.dll

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARQUIV~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

 

--

End of file - 8139 bytes

[DigRam 144]

Bom Dia! kolthy

 

<@> Baixe: < > ( ...by sUBs )

<@> Salve-o no desktop!

<@> Desabilite as proteções residente de: antivírus,antispywares e firewall. ( Menos o do Windows! )

<@> Feche todas as janelas e execute a ferramenta!

<@> Na solicitação: "Negação de garantia de software" --> Clique em Sim!

<@> Não possuindo o "Console de Recuperação",aceite optar pela instalação do mesmo!

 

<!> Caso aconteça a notificação de: Aplicativo Win32 inválido,delete a ferramenta e faça,novamente,o download.

<!> Salve-a no desktop,renomeada como: Kombo.exe

<!> Ps: Nomeie durante o salvamento,e não após salvá-la!

<!> Ps: Surgindo alguma mensagem de erro,rode o ComboFix.exe em Modo de Segurança. <-- Link!

<!> Ps: Para completar as remoções,talvez haja necessidade da ferramenta reiniciar o computador. <-- Aguarde!

<!> Ps: Evite executar,voluntariamente,esta ferramenta!Siga,àcima,todas as recomendações propostas.

<@> Abrir-se-á a janela Auto Scan. --> Aguarde!

<@> Àfim de completar as remoções,o ComboFix poderá reiniciar o computador.

<@> Se houver necessidade,digite a opção para continuar! --> ( 1 ) --> Aperte Enter! --> Aguarde a conclusão!

<@> Durante o scan,evite manusear o mouse ou teclado! <-- Importante!

<@> Para parar ou sair do ComboFix,tecle "N" ou "2" --> Aperte Enter!

----------------------------------------

<@> Terminando,poste os relatórios: C:\ComboFix.txt + HijackThis,atualizado.

 

Abraços!

[kolthy 0]

Olá novamente. Passei uma vez o AVG e o Spybot ontem, mas acho q nao adiantou.

 

A seguir os logs.

 

Log do ComboFix:

 

ComboFix 09-02-11.02 - Josue 2009-02-12 15:20:59.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.1023.681 [GMT -2:00]

Executando de: c:\documents and settings\Josue\Desktop\ComboFix.exe

AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated)

* Criado um novo ponto de restauro

.

 

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\drivers\nl.exe

c:\drivers\ree1.exe

c:\drivers\ree2.exe

c:\windows\ponto.DLL

c:\windows\system\oeminfo.ini

c:\windows\system32\configex.dll

c:\windows\system32\DirectX\Dinput\msf1f.dll

c:\windows\system32\DirectX\Dinput\msprw.dll

c:\windows\system32\MEGATRON.ini

 

.

(((((((((((((((( Arquivos/Ficheiros criados de 2009-01-12 to 2009-02-12 ))))))))))))))))))))))))))))

.

 

2009-02-11 18:15 . 2009-02-11 18:15 <DIR> d-------- c:\arquivos de programas\Misc. Support Library (Spybot - Search & Destroy)

2009-02-07 14:44 . 2009-02-12 15:21 <DIR> d--h----- C:\drivers

2009-02-03 00:27 . 2009-02-03 00:27 1 ---hs---- C:\MSDOS.INF

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-11 15:20 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Spybot - Search & Destroy

2009-02-11 06:16 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\avg8

.

 

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{83FDA784-0154-418F-810B-F1839272C361}]

2009-02-03 00:39 825344 --a------ c:\windows\system32\DirectX\Dinput\diagx3d.dll

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

"msnmsgr"="c:\arquivos de programas\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

"iBest.baloon"="c:\arquivos de programas\Discador iBest\baloon.exe" [2005-03-14 77824]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AVG8_TRAY"="c:\arquiv~1\AVG\AVG8\avgtray.exe" [2008-12-09 1261336]

"krn2"="c:\drivers\nl2.exe" [2009-02-07 1833984]

"krn3"="c:\drivers\nl3.exe" [2009-02-07 1341440]

 

c:\documents and settings\Josue\Menu Iniciar\Programas\Inicializar\

MultiDesktop Manager.lnk - c:\arquivos de programas\MultiDesktop Manager\MegaScale MultiDesktop Manager.exe [2002-12-31 221184]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]

2008-07-12 04:19 10520 c:\windows\system32\avgrsstx.dll

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Adobe Reader Speed Launch.lnk]

path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\Adobe Reader Speed Launch.lnk

backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^SATARaid.lnk]

path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\SATARaid.lnk

backup=c:\windows\pss\SATARaid.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^WinZip Quick Pick.lnk]

path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\WinZip Quick Pick.lnk

backup=c:\windows\pss\WinZip Quick Pick.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^Josue^Menu Iniciar^Programas^Inicializar^Adobe Gamma.lnk]

path=c:\documents and settings\Josue\Menu Iniciar\Programas\Inicializar\Adobe Gamma.lnk

backup=c:\windows\pss\Adobe Gamma.lnkStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BigDogPath]

--a------ 2003-01-21 05:19 40960 c:\windows\VM_STI.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]

--a------ 2004-08-04 01:45 15360 c:\windows\system32\ctfmon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]

--a------ 2003-12-27 20:43 81920 c:\arquivos de programas\D-Tools\daemon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iBest.baloon]

--a------ 2005-03-14 22:14 77824 c:\arquivos de programas\Discador iBest\baloon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]

--a------ 2006-06-01 17:22 7618560 c:\windows\system32\nvcpl.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]

--a------ 2006-06-01 17:22 86016 c:\windows\system32\nvmctray.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhotoShow Deluxe Media Manager]

--a------ 2005-02-25 22:28 212992 c:\arquiv~1\Nero\data\Xtras\mssysmgr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2006-10-12 03:10 49263 c:\arquivos de programas\Java\jre1.5.0_09\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

--a------ 2006-06-01 17:22 1519616 c:\windows\system32\nwiz.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\LimeWire\\LimeWire.exe"=

"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

"c:\\NeverwinterNights\\NWN\\nwserver.exe"=

"c:\\NeverwinterNights\\NWN\\nwmain.exe"=

"c:\\WINDOWS\\system32\\rtcshare.exe"=

"c:\\Arquivos de programas\\Java\\jre1.5.0_09\\bin\\javaw.exe"=

"c:\\NeverwinterNights\\NWN\\hamachi.exe"=

"c:\\NeverwinterNights\\NWN\\fdx-nwnl.exe"=

"d:\\Arquivos de programas\\Call of Duty\\CoDMP.exe"=

"c:\\Arquivos de programas\\Call of Duty\\CoDMP.exe"=

"c:\\Arquivos de programas\\Call of Duty\\CoDUOMP.exe"=

"c:\\Arquivos de programas\\Valve\\hl.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Arquivos de programas\\AVG\\AVG8\\avgupd.exe"=

"c:\\Arquivos de programas\\IVT Corporation\\BlueSoleil\\BlueSoleil_.exe"=

 

R0 d344bus;d344bus;c:\windows\system32\drivers\d344bus.sys [2006-10-19 137216]

R0 d344prt;d344prt;c:\windows\system32\drivers\d344prt.sys [2006-10-19 5248]

R0 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [2002-01-03 77312]

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2008-07-12 97928]

R2 Av261an;Av261an;c:\windows\system32\drivers\av261an.sys [2007-04-22 93216]

R2 avg8wd;AVG Free8 WatchDog;c:\arquiv~1\AVG\AVG8\avgwdsvc.exe [2008-07-12 231704]

R2 chipio;chipio;c:\windows\system32\drivers\chipio.sys [2007-04-22 4832]

.

Conteúdo da pasta 'Tarefas Agendadas'

 

2009-02-12 c:\windows\Tasks\Verificar Atualizações para a Barra de Ferramentas do Windows Live.job

- c:\arquivos de programas\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]

.

- - - - ORFÃOS REMOVIDOS - - - -

 

HKLM-Run-2krn - c:\drivers\ree1.exe

HKLM-Run-3krn - c:\drivers\ree2.exe

HKLM-Run-krn - c:\drivers\nl.exe

MSConfigStartUp-msnmsgr - c:\arquivos de programas\MSN Messenger\msnmsgr.exe

 

 

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.google.com.br/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}

uInternet Connection Wizard,ShellNext = iexplore

uSearchURL,(Default) = hxxp://g.msn.com.br/0SEPTBR/SAOS01?FORM=TOOLBR

IE: &Google Search - c:\arquivos de programas\Google\GoogleToolbar1.dll/cmsearch.html

IE: &Translate English Word - c:\arquivos de programas\Google\GoogleToolbar1.dll/cmwordtrans.html

IE: &Windows Live Search - c:\arquivos de programas\Windows Live Toolbar\msntb.dll/search.htm

IE: Backward Links - c:\arquivos de programas\Google\GoogleToolbar1.dll/cmbacklinks.html

IE: Cached Snapshot of Page - c:\arquivos de programas\Google\GoogleToolbar1.dll/cmcache.html

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Similar Pages - c:\arquivos de programas\Google\GoogleToolbar1.dll/cmsimilar.html

IE: Translate Page into English - c:\arquivos de programas\Google\GoogleToolbar1.dll/cmtrans.html

TCP: {336792CE-C700-4DBB-A44D-D2ACB0BFEDAB} = 201.10.1.2 201.10.120.3

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

FF - ProfilePath - c:\documents and settings\Josue\Dados de aplicativos\Mozilla\Firefox\Profiles\op98xwrs.default\

FF - prefs.js: browser.startup.homepage - www.orkut.com

FF - component: c:\arquivos de programas\AVG\AVG8\Firefox\components\avgssff.dll

FF - plugin: c:\arquivos de programas\Java\jre1.5.0_09\bin\NPJava11.dll

FF - plugin: c:\arquivos de programas\Java\jre1.5.0_09\bin\NPJava12.dll

FF - plugin: c:\arquivos de programas\Java\jre1.5.0_09\bin\NPJava13.dll

FF - plugin: c:\arquivos de programas\Java\jre1.5.0_09\bin\NPJava14.dll

FF - plugin: c:\arquivos de programas\Java\jre1.5.0_09\bin\NPJava32.dll

FF - plugin: c:\arquivos de programas\Java\jre1.5.0_09\bin\NPJPI150_09.dll

FF - plugin: c:\arquivos de programas\Java\jre1.5.0_09\bin\NPOJI610.dll

FF - plugin: c:\arquivos de programas\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF - plugin: c:\arquivos de programas\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

 

---- FIREFOX POLICIES ----

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-12 15:22:04

Windows 5.1.2600 Service Pack 2 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

 

- - - - - - - > 'winlogon.exe'(856)

c:\windows\system32\avgrsstx.dll

.

Tempo para conclusão: 2009-02-12 15:23:49

ComboFix-quarantined-files.txt 2009-02-12 17:23:34

 

Pré-execução: 878.714.880 bytes disponíveis

Pós execução: 881,176,576 bytes disponíveis

 

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

 

175 --- E O F --- 2008-07-15 03:03:12

 

 

 

Log do HiJackThis atualzado após o uso do ComboFix:

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:26:38, on 12/2/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARQUIV~1\AVG\AVG8\avgwdsvc.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\ARQUIV~1\AVG\AVG8\avgtray.exe

C:\drivers\nl2.exe

C:\drivers\nl3.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\MultiDesktop Manager\MegaScale MultiDesktop Manager.exe

C:\ARQUIV~1\AVG\AVG8\avgrsx.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\WgaTray.exe

C:\Arquivos de programas\Discador iBest\discador.exe

C:\WINDOWS\system32\notepad.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\Josue\Desktop\HiJackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.com.br/0SEPTBR/SAOS01?FORM=TOOLBR

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: XBTP06568 - {311F9DE8-6126-4EEE-B15F-65CBB3B4F9F6} - C:\Arquivos de programas\AOL Security Toolbar\AOL_security_toolbar.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Arquivos de programas\AVG\AVG8\avgssie.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: DirecX - {83FDA784-0154-418F-810B-F1839272C361} - C:\WINDOWS\system32\DirectX\Dinput\diagx3d.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\arquivos de programas\google\googletoolbar1.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar1.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\Windows Live Toolbar\msntb.dll

O3 - Toolbar: AOL Security Toolbar - {3BB63FD4-3C00-44D7-94A9-5DE211900DEF} - C:\Arquivos de programas\AOL Security Toolbar\AOL_security_toolbar.dll

O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Arquivos de programas\Styler\TB\StylerTB.dll

O3 - Toolbar: Discador iBest - {4F869C58-D71D-4850-8BDD-7B5CDF8EC911} - C:\Arquivos de programas\Discador iBest\ibestbar.dll

O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARQUIV~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [krn2] C:\drivers\nl2.exe

O4 - HKLM\..\Run: [krn3] C:\drivers\nl3.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [iBest.baloon] "C:\Arquivos de programas\Discador iBest\baloon.exe"

O4 - Startup: MultiDesktop Manager.lnk = C:\Arquivos de programas\MultiDesktop Manager\MegaScale MultiDesktop Manager.exe

O8 - Extra context menu item: &Google Search - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: &Windows Live Search - res://C:\Arquivos de programas\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Backward Links - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Arquivos de programas\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Arquivos de programas\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{336792CE-C700-4DBB-A44D-D2ACB0BFEDAB}: NameServer = 201.10.1.2 201.10.120.3

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Arquivos de programas\AVG\AVG8\avgpp.dll

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARQUIV~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

 

--

End of file - 7171 bytes

[DigRam 144]

Boa Noite! kolthy

 

<@> Selecione e copie,todo o conteúdo que está na área do QUOTE,para o Bloco de Notas.

<@> Salve-o,no Desktop,com o nome: CFScript.txt

 

File::

c:\drivers\nl2.exe

c:\drivers\nl3.exe

Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"krn2"=-

"krn3"=-

Folder::

C:\drivers

<@> Arraste,o CFScript.txt para o ícone/interior do ComboFix.

<@> Veja a demonstração!

 

 

<@> Atenda à solicitação,que deverá surgir,para rodar o ComboFix.

<@> Ps: Faça o arraste,até surgir essa solicitação! ( janela )

<@> Terminando,poste os relatórios: C:\ComboFix.txt + HijackThis,atualizado.

 

Abraços!

[kolthy 0]

Boa Tarde!

 

Fiz o q me foi pedido, e a seguir mando os logs atualizados.

 

Log do ComboFix após arrastar o bloco de notas com as coisas escritas nele:

 

ComboFix 09-02-11.02 - Josue 2009-02-13 14:29:09.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.1023.611 [GMT -2:00]

Executando de: c:\documents and settings\Josue\Desktop\ComboFix.exe

Comandos utilizados :: c:\documents and settings\Josue\Desktop\CFScript.txt.txt

AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated)

* Criado um novo ponto de restauro

 

FILE ::

c:\drivers\nl2.exe

c:\drivers\nl3.exe

.

 

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\drivers

c:\drivers\id

c:\drivers\nl2.exe

c:\drivers\nl3.exe

 

.

(((((((((((((((( Arquivos/Ficheiros criados de 2009-01-13 to 2009-02-13 ))))))))))))))))))))))))))))

.

 

2009-02-11 18:15 . 2009-02-11 18:15 <DIR> d-------- c:\arquivos de programas\Misc. Support Library (Spybot - Search & Destroy)

2009-02-03 00:27 . 2009-02-03 00:27 1 ---hs---- C:\MSDOS.INF

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-11 15:20 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Spybot - Search & Destroy

2009-02-11 06:16 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\avg8

.

 

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{83FDA784-0154-418F-810B-F1839272C361}]

2009-02-03 00:39 825344 --a------ c:\windows\system32\DirectX\Dinput\diagx3d.dll

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

"msnmsgr"="c:\arquivos de programas\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

"iBest.baloon"="c:\arquivos de programas\Discador iBest\baloon.exe" [2005-03-14 77824]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AVG8_TRAY"="c:\arquiv~1\AVG\AVG8\avgtray.exe" [2008-12-09 1261336]

 

c:\documents and settings\Josue\Menu Iniciar\Programas\Inicializar\

MultiDesktop Manager.lnk - c:\arquivos de programas\MultiDesktop Manager\MegaScale MultiDesktop Manager.exe [2002-12-31 221184]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]

2008-07-12 04:19 10520 c:\windows\system32\avgrsstx.dll

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Adobe Reader Speed Launch.lnk]

path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\Adobe Reader Speed Launch.lnk

backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^SATARaid.lnk]

path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\SATARaid.lnk

backup=c:\windows\pss\SATARaid.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^WinZip Quick Pick.lnk]

path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\WinZip Quick Pick.lnk

backup=c:\windows\pss\WinZip Quick Pick.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^Josue^Menu Iniciar^Programas^Inicializar^Adobe Gamma.lnk]

path=c:\documents and settings\Josue\Menu Iniciar\Programas\Inicializar\Adobe Gamma.lnk

backup=c:\windows\pss\Adobe Gamma.lnkStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BigDogPath]

--a------ 2003-01-21 05:19 40960 c:\windows\VM_STI.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]

--a------ 2004-08-04 01:45 15360 c:\windows\system32\ctfmon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]

--a------ 2003-12-27 20:43 81920 c:\arquivos de programas\D-Tools\daemon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iBest.baloon]

--a------ 2005-03-14 22:14 77824 c:\arquivos de programas\Discador iBest\baloon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]

--a------ 2006-06-01 17:22 7618560 c:\windows\system32\nvcpl.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]

--a------ 2006-06-01 17:22 86016 c:\windows\system32\nvmctray.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhotoShow Deluxe Media Manager]

--a------ 2005-02-25 22:28 212992 c:\arquiv~1\Nero\data\Xtras\mssysmgr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2006-10-12 03:10 49263 c:\arquivos de programas\Java\jre1.5.0_09\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

--a------ 2006-06-01 17:22 1519616 c:\windows\system32\nwiz.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\LimeWire\\LimeWire.exe"=

"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

"c:\\NeverwinterNights\\NWN\\nwserver.exe"=

"c:\\NeverwinterNights\\NWN\\nwmain.exe"=

"c:\\WINDOWS\\system32\\rtcshare.exe"=

"c:\\Arquivos de programas\\Java\\jre1.5.0_09\\bin\\javaw.exe"=

"c:\\NeverwinterNights\\NWN\\hamachi.exe"=

"c:\\NeverwinterNights\\NWN\\fdx-nwnl.exe"=

"d:\\Arquivos de programas\\Call of Duty\\CoDMP.exe"=

"c:\\Arquivos de programas\\Call of Duty\\CoDMP.exe"=

"c:\\Arquivos de programas\\Call of Duty\\CoDUOMP.exe"=

"c:\\Arquivos de programas\\Valve\\hl.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Arquivos de programas\\AVG\\AVG8\\avgupd.exe"=

"c:\\Arquivos de programas\\IVT Corporation\\BlueSoleil\\BlueSoleil_.exe"=

 

R0 d344bus;d344bus;c:\windows\system32\drivers\d344bus.sys [2006-10-19 137216]

R0 d344prt;d344prt;c:\windows\system32\drivers\d344prt.sys [2006-10-19 5248]

R0 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [2002-01-03 77312]

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2008-07-12 97928]

R2 Av261an;Av261an;c:\windows\system32\drivers\av261an.sys [2007-04-22 93216]

R2 avg8wd;AVG Free8 WatchDog;c:\arquiv~1\AVG\AVG8\avgwdsvc.exe [2008-07-12 231704]

R2 chipio;chipio;c:\windows\system32\drivers\chipio.sys [2007-04-22 4832]

.

Conteúdo da pasta 'Tarefas Agendadas'

 

2009-02-13 c:\windows\Tasks\Verificar Atualizações para a Barra de Ferramentas do Windows Live.job

- c:\arquivos de programas\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.google.com.br/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}

uInternet Connection Wizard,ShellNext = iexplore

uSearchURL,(Default) = hxxp://g.msn.com.br/0SEPTBR/SAOS01?FORM=TOOLBR

IE: &Google Search - c:\arquivos de programas\Google\GoogleToolbar1.dll/cmsearch.html

IE: &Translate English Word - c:\arquivos de programas\Google\GoogleToolbar1.dll/cmwordtrans.html

IE: &Windows Live Search - c:\arquivos de programas\Windows Live Toolbar\msntb.dll/search.htm

IE: Backward Links - c:\arquivos de programas\Google\GoogleToolbar1.dll/cmbacklinks.html

IE: Cached Snapshot of Page - c:\arquivos de programas\Google\GoogleToolbar1.dll/cmcache.html

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Similar Pages - c:\arquivos de programas\Google\GoogleToolbar1.dll/cmsimilar.html

IE: Translate Page into English - c:\arquivos de programas\Google\GoogleToolbar1.dll/cmtrans.html

TCP: {336792CE-C700-4DBB-A44D-D2ACB0BFEDAB} = 201.10.1.2 201.10.120.3

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

FF - ProfilePath - c:\documents and settings\Josue\Dados de aplicativos\Mozilla\Firefox\Profiles\op98xwrs.default\

FF - prefs.js: browser.startup.homepage - www.orkut.com

FF - component: c:\arquivos de programas\AVG\AVG8\Firefox\components\avgssff.dll

FF - plugin: c:\arquivos de programas\Java\jre1.5.0_09\bin\NPJava11.dll

FF - plugin: c:\arquivos de programas\Java\jre1.5.0_09\bin\NPJava12.dll

FF - plugin: c:\arquivos de programas\Java\jre1.5.0_09\bin\NPJava13.dll

FF - plugin: c:\arquivos de programas\Java\jre1.5.0_09\bin\NPJava14.dll

FF - plugin: c:\arquivos de programas\Java\jre1.5.0_09\bin\NPJava32.dll

FF - plugin: c:\arquivos de programas\Java\jre1.5.0_09\bin\NPJPI150_09.dll

FF - plugin: c:\arquivos de programas\Java\jre1.5.0_09\bin\NPOJI610.dll

FF - plugin: c:\arquivos de programas\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF - plugin: c:\arquivos de programas\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

 

---- FIREFOX POLICIES ----

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-13 14:30:54

Windows 5.1.2600 Service Pack 2 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

 

- - - - - - - > 'winlogon.exe'(852)

c:\windows\system32\avgrsstx.dll

.

Tempo para conclusão: 2009-02-13 14:33:05

ComboFix-quarantined-files.txt 2009-02-13 16:32:40

ComboFix2.txt 2009-02-12 17:23:50

 

Pré-execução: 3.367.161.856 bytes disponíveis

Pós execução: 3,366,031,360 bytes disponíveis

 

160 --- E O F --- 2008-07-15 03:03:12

 

 

 

Log do HiJackThis após a utilização do ComboFix:

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:35:41, on 13/2/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARQUIV~1\AVG\AVG8\avgwdsvc.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\ARQUIV~1\AVG\AVG8\avgrsx.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\WgaTray.exe

C:\ARQUIV~1\AVG\AVG8\avgtray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\MultiDesktop Manager\MegaScale MultiDesktop Manager.exe

C:\Arquivos de programas\Discador iBest\discador.exe

C:\WINDOWS\system32\DirectX\Dinput\Driver\1\services.exe

C:\WINDOWS\system32\notepad.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\Josue\Desktop\HiJackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.com.br/0SEPTBR/SAOS01?FORM=TOOLBR

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: XBTP06568 - {311F9DE8-6126-4EEE-B15F-65CBB3B4F9F6} - C:\Arquivos de programas\AOL Security Toolbar\AOL_security_toolbar.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Arquivos de programas\AVG\AVG8\avgssie.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: DirecX - {83FDA784-0154-418F-810B-F1839272C361} - C:\WINDOWS\system32\DirectX\Dinput\diagx3d.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\arquivos de programas\google\googletoolbar1.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar1.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\Windows Live Toolbar\msntb.dll

O3 - Toolbar: AOL Security Toolbar - {3BB63FD4-3C00-44D7-94A9-5DE211900DEF} - C:\Arquivos de programas\AOL Security Toolbar\AOL_security_toolbar.dll

O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Arquivos de programas\Styler\TB\StylerTB.dll

O3 - Toolbar: Discador iBest - {4F869C58-D71D-4850-8BDD-7B5CDF8EC911} - C:\Arquivos de programas\Discador iBest\ibestbar.dll

O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARQUIV~1\AVG\AVG8\avgtray.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [iBest.baloon] "C:\Arquivos de programas\Discador iBest\baloon.exe"

O4 - Startup: MultiDesktop Manager.lnk = C:\Arquivos de programas\MultiDesktop Manager\MegaScale MultiDesktop Manager.exe

O8 - Extra context menu item: &Google Search - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: &Windows Live Search - res://C:\Arquivos de programas\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Backward Links - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Arquivos de programas\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Arquivos de programas\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{336792CE-C700-4DBB-A44D-D2ACB0BFEDAB}: NameServer = 201.10.1.2 201.10.120.3

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Arquivos de programas\AVG\AVG8\avgpp.dll

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARQUIV~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

 

--

End of file - 7099 bytes

[DigRam 144]

Bom Dia! kolthy

 

<@> Vá em Iniciar --> Executar --> Digite ou cole: combofix.exe /u --> Clique OK.

<@> Abrir-se-á,a seguinte janela: ( Abrir arquivo - Aviso de Segurança )

<@> Clique em Executar --> Aguarde!

<@> Surgirá,finalmente,a mensagem: "ComboFix está desinstalado" --> Clique OK.

<@> Caso encontre,apague: C:\ComboFix <-- A pasta! + C:\ComboFix.txt <-- Relatório!

------------------------------

<!> Estando tudo Ok,crie um ponto limpo de Restauração do Sistema.

<!> Clique com o direito do mouse,em cima de Meu Computador --> Propriedades --> Restauração do Sistema.

<!> Marque: Desativar Restauração do Sistema --> Aplicar --> Ok.

<!> Depois,desmarque novamente! --> Aplicar --> Ok.

<!> Para maiores detalhes,vá em: < Docs >

------------------------------

<!> O log está limpo! :thumbsup:

<!> Tudo Ok?

 

Abraços!

[kolthy 0]

Muito Obrigado pela ajuda DigRam :thumbsup:

 

-----------------------------

Tópico Movido

 

<!> Casos Resolvidos :seta: para Segurança & Malwares.

 

-----------------------------

<!> Dando prosseguimento ao Tópico,à pedido do autor.

 

Sem Mais!

DigRam

[DigRam 144]

Boa Noite! kolthy

 

<@> Vá a esta página: < Link >

<@> Localize: Registry Search Tool

<@> Clique no ícone com uma seta àcima < > e,baixe o arquivo RegSrch.zip

<@> Extraia o conteúdo do zip,para o Desktop!

<@> Desabilite programas de proteção,que tenham bloqueio de scripts.

<@> Execute o arquivo RegSrch.vbs e,na janela que abrir,digite: gbiehbsb1

<@> Dê o Ok.

<@> Aguarde!Na janela que surgir,clique em Ok.

<@> Surgirão informações de registro,que voçê copiará para Bloco de Notas.

<@> Salve-as com o nome: Requisit_gbiehbsb1

<@> Poste,então: Requisit_gbiehbsb1.txt

 

Abraços!

[kolthy 0]

Boa Tarde!

 

Eu usei a ferramenta, mas ela não achou nada.

 

Eu notei uma coisa, qndo eu abro o internet explorer ele diretamente entra no site do keylogger, não está mais programado para entrar no ste do google como era antes. Provavelmente por isso q deve ter voltado alguma coisa desse vírus pro meu pc. Eu tento trocar a página inicial de volta mas o Google mostra lah como sendo inicial, mas se eu fechar o aplicativo e abri-lo de novo irá para o site do gbieh novamente, eu tenho q clicar rápido em parar senão pode dar problemas, sei lá.

 

O q eu faço agora? Aguardo instruções, obrigado.

 

OBS.: O keylogger continua usando o e-mail da minha mãe mesmo ela jah ter trocado a senha.

[DigRam 144]

Boa Tarde!

 

Eu usei a ferramenta, mas ela não achou nada.

 

Eu notei uma coisa, qndo eu abro o internet explorer ele diretamente entra no site do keylogger, não está mais programado para entrar no ste do google como era antes. Provavelmente por isso q deve ter voltado alguma coisa desse vírus pro meu pc. Eu tento trocar a página inicial de volta mas o Google mostra lah como sendo inicial, mas se eu fechar o aplicativo e abri-lo de novo irá para o site do gbieh novamente, eu tenho q clicar rápido em parar senão pode dar problemas, sei lá.

 

O q eu faço agora? Aguardo instruções, obrigado.

 

OBS.: O keylogger continua usando o e-mail da minha mãe mesmo ela jah ter trocado a senha.

<><><><><><><><>

Opa! kolthy

 

<!> Executaremos,então,DiagHelp para um relatório mais abrangente.

<><><><><><><><>

<@> Baixe: < DiagHelp.zip >

<@> Salve-o no Disco local ©,e descompacte-o aí mesmo!

<@> Abra a pasta DiagHelp e,em seguida,dê um duplo-clique em "go.cmd".

<@> Abrir-se-á um prompt e,nas opções,escolha o ( 1 ) --> Aperte Enter.

<@> Aperte Enter novamente! (...ou,qualquer tecla! )

<@> Aguarde o término do scan!

<@> Concluindo,feche o programa e copie/cole o relatório: C:\resultat.txt,na sua resposta.

 

Abraços!

[kolthy 0]

Sinto informar q o keylogger roubou o e-mail de minha mãe esta manhã.

 

Aqui vai o resultat.txt

 

DiagHelp version v1.4 - http://www.malekal.com

excute le qui 19/02/2009 à 15:19:46,81

 

System information for \\HOME:

Uptime: Error reading uptime

Kernel version: Microsoft Windows XP, Uniprocessor Free

Product type: Professional

Product version: 5.1

Service pack: 2

Kernel build number: 2600

Registered organization: Home

Registered owner: Cliente

Install date: 19/10/2006, 10:23:57

Activation status: Error reading status

IE version: 7.0000

System root: C:\WINDOWS

Processors: 1

Processor speed: 1.8 GHz

Processor type: AMD Sempron Processor 3000+

Physical memory: 1024 MB

Video driver: NVIDIA GeForce FX 5200

Volume Type Format Label Size Free Free

A: Removable 0.0%

C: Fixed NTFS 39.06 GB 2.94 GB 7.5%

D: Fixed NTFS 35.46 GB 19.02 GB 53.6%

E: CD-ROM 0.0%

F: CD-ROM 0.0%

G: CD-ROM 0.0%

 

 

C:\WINDOWS\prefetch\WMIAPSRV.EXE-1E2270A5.pf -->19/2/2009 15:20:04

C:\WINDOWS\prefetch\PSINFO.EXE-32A37251.pf -->19/2/2009 15:19:56

C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->19/2/2009 15:19:49

C:\WINDOWS\prefetch\NTOSBOOT-B00DFAAD.pf -->19/2/2009 15:19:48

C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->19/2/2009 15:19:48

C:\WINDOWS\prefetch\LOGONUI.EXE-0AF22957.pf -->19/2/2009 15:16:29

C:\WINDOWS\prefetch\WSCNTFY.EXE-1B24F5EB.pf -->19/2/2009 15:16:16

C:\WINDOWS\prefetch\AVGUI.EXE-18AFB087.pf -->19/2/2009 15:14:15

C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->19/2/2009 15:13:57

C:\WINDOWS\prefetch\TASKMGR.EXE-20256C55.pf -->19/2/2009 15:13:30

 

C:\WINDOWS\System32\drivers\avgldx86.sys -->31/8/2008 17:17:49

C:\WINDOWS\System32\drivers\avgmfx86.sys -->12/7/2008 03:19:50

C:\WINDOWS\System32\drivers\tcpip.sys -->20/6/2008 07:45:13

C:\WINDOWS\System32\drivers\afd.sys -->20/6/2008 07:44:38

C:\WINDOWS\System32\drivers\tcpip6.sys -->20/6/2008 06:52:06

C:\WINDOWS\System32\drivers\nocashio.sys -->24/3/2008 05:27:06

C:\WINDOWS\System32\drivers\mrxdav.sys -->18/12/2007 06:51:35

 

C:\WINDOWS\System32\wpa.dbl -->19/2/2009 15:18:29

C:\WINDOWS\System32\PerfStringBackup.INI -->15/2/2009 04:04:21

C:\WINDOWS\System32\perfh016.dat -->15/2/2009 04:04:21

C:\WINDOWS\System32\perfh009.dat -->15/2/2009 04:04:21

C:\WINDOWS\System32\perfc016.dat -->15/2/2009 04:04:21

C:\WINDOWS\System32\perfc009.dat -->15/2/2009 04:04:21

C:\WINDOWS\System32\d3d8caps.dat -->29/8/2008 19:58:58

C:\WINDOWS\System32\nvapps.xml -->9/8/2008 14:49:48

C:\WINDOWS\System32\lhacm.acm -->5/8/2008 22:18:50

C:\WINDOWS\System32\0 -->3/8/2008 18:04:15

C:\WINDOWS\System32\avgrsstx.dll -->12/7/2008 03:19:56

C:\WINDOWS\System32\CmdLineExt03.dll -->6/7/2008 10:20:36

C:\WINDOWS\System32\mswsock.dll -->20/6/2008 14:41:07

C:\WINDOWS\System32\dnsapi.dll -->20/6/2008 14:41:07

C:\WINDOWS\System32\FNTCACHE.DAT -->18/5/2008 11:02:59

C:\WINDOWS\System32\MRT.exe -->9/5/2008 14:35:06

C:\WINDOWS\System32\quartz.dll -->7/5/2008 02:15:38

C:\WINDOWS\System32\CmdLineExt.dll -->25/4/2008 17:59:26

C:\WINDOWS\System32\win32k.sys -->20/3/2008 05:09:41

C:\WINDOWS\System32\msctf.dll -->26/2/2008 09:00:47

C:\WINDOWS\System32\dnsrslvr.dll -->20/2/2008 02:37:59

C:\WINDOWS\System32\wbocx.ocx -->29/1/2008 04:30:55

C:\WINDOWS\System32\TZLog.log -->2/1/2008 00:37:31

C:\WINDOWS\System32\oleaut32.dll -->4/12/2007 15:41:03

C:\WINDOWS\System32\spmsg.dll -->30/11/2007 08:18:16

 

C:\WINDOWS\WindowsUpdate.log -->19/2/2009 15:18:50

C:\WINDOWS\0.log -->19/2/2009 15:18:26

C:\WINDOWS\wiaservc.log -->19/2/2009 15:18:04

C:\WINDOWS\wiadebug.log -->19/2/2009 15:18:04

C:\WINDOWS\bootstat.dat -->19/2/2009 15:17:52

C:\WINDOWS\ModemLog_Agere Systems PCI-SV92PP Soft Modem.txt -->19/2/2009 15:16:31

C:\WINDOWS\NeroDigital.ini -->19/2/2009 15:09:51

C:\WINDOWS\system.ini -->13/2/2009 13:30:54

C:\WINDOWS\win.ini -->8/2/2009 12:31:39

C:\WINDOWS\AVSCAN32.INI -->6/2/2009 11:52:52

C:\WINDOWS\WDIC.INI -->15/10/2008 13:17:05

C:\WINDOWS\Thumbs.db -->25/8/2008 00:37:31

C:\WINDOWS\control.ctr -->23/8/2008 11:51:14

C:\WINDOWS\DUMP9450.tmp -->12/8/2008 10:49:35

C:\WINDOWS\DUMP8174.tmp -->12/8/2008 10:43:37

 

 

O volume na unidade C não tem nome.

O número de série do volume é 3CF7-3629

 

Pasta de C:\WINDOWS

 

15/07/2008 00:02 <DIR> $hf_mig$

21/10/2006 15:04 <DIR> $MSI31Uninstall_KB893803v2$

19/12/2007 23:17 <DIR> $NtServicePackUninstallIDNMitigationAPIs$

19/12/2007 23:17 <DIR> $NtServicePackUninstallNLSDownlevelMapping$

29/10/2006 00:19 <DIR> $NtUninstallKB873339$

29/10/2006 00:20 <DIR> $NtUninstallKB885835$

29/10/2006 00:20 <DIR> $NtUninstallKB885836$

29/10/2006 00:16 <DIR> $NtUninstallKB886185$

29/10/2006 00:19 <DIR> $NtUninstallKB887472$

29/10/2006 00:16 <DIR> $NtUninstallKB888302$

29/10/2006 00:17 <DIR> $NtUninstallKB890046$

29/10/2006 00:14 <DIR> $NtUninstallKB890859$

29/10/2006 00:17 <DIR> $NtUninstallKB891781$

29/10/2006 00:19 <DIR> $NtUninstallKB893756$

29/10/2006 00:15 <DIR> $NtUninstallKB894391$

29/10/2006 00:19 <DIR> $NtUninstallKB896358$

22/10/2006 22:09 <DIR> $NtUninstallKB896423$

29/10/2006 00:19 <DIR> $NtUninstallKB896424$

22/10/2006 22:07 <DIR> $NtUninstallKB896428$

21/10/2006 15:03 <DIR> $NtUninstallKB898461$

29/10/2006 00:20 <DIR> $NtUninstallKB899587$

29/10/2006 00:17 <DIR> $NtUninstallKB899589$

29/10/2006 00:19 <DIR> $NtUninstallKB899591$

22/10/2006 22:09 <DIR> $NtUninstallKB900485$

29/10/2006 00:16 <DIR> $NtUninstallKB900725$

29/10/2006 00:19 <DIR> $NtUninstallKB901017$

29/10/2006 00:17 <DIR> $NtUninstallKB901214$

29/10/2006 00:17 <DIR> $NtUninstallKB902400$

22/10/2006 22:08 <DIR> $NtUninstallKB904706$

22/10/2006 22:08 <DIR> $NtUninstallKB905414$

29/10/2006 00:16 <DIR> $NtUninstallKB905749$

29/10/2006 00:15 <DIR> $NtUninstallKB908519$

29/10/2006 00:16 <DIR> $NtUninstallKB908531$

29/10/2006 00:18 <DIR> $NtUninstallKB910437$

22/10/2006 22:10 <DIR> $NtUninstallKB911280$

22/10/2006 22:10 <DIR> $NtUninstallKB911562$

29/10/2006 00:18 <DIR> $NtUninstallKB911564$

29/10/2006 00:15 <DIR> $NtUninstallKB911567$

22/10/2006 22:10 <DIR> $NtUninstallKB911927$

22/10/2006 22:08 <DIR> $NtUninstallKB912919$

29/10/2006 00:16 <DIR> $NtUninstallKB913580$

22/10/2006 22:09 <DIR> $NtUninstallKB914388$

29/10/2006 00:15 <DIR> $NtUninstallKB914389$

19/12/2007 23:16 <DIR> $NtUninstallKB915865$

22/10/2006 22:08 <DIR> $NtUninstallKB916595$

22/10/2006 22:09 <DIR> $NtUninstallKB917344$

22/10/2006 22:08 <DIR> $NtUninstallKB917422$

29/10/2006 00:20 <DIR> $NtUninstallKB917734_WMP10$

22/10/2006 22:08 <DIR> $NtUninstallKB917953$

16/02/2007 06:20 <DIR> $NtUninstallKB918118$

29/10/2006 00:17 <DIR> $NtUninstallKB918439$

29/10/2006 00:18 <DIR> $NtUninstallKB918899$

22/10/2006 22:09 <DIR> $NtUninstallKB919007$

17/11/2006 00:50 <DIR> $NtUninstallKB920213$

22/10/2006 22:10 <DIR> $NtUninstallKB920214$

29/10/2006 00:18 <DIR> $NtUninstallKB920670$

22/10/2006 22:07 <DIR> $NtUninstallKB920683$

29/10/2006 00:19 <DIR> $NtUninstallKB920685$

22/10/2006 22:09 <DIR> $NtUninstallKB920872$

29/10/2006 00:19 <DIR> $NtUninstallKB921398$

27/08/2007 00:45 <DIR> $NtUninstallKB921503$

22/10/2006 22:10 <DIR> $NtUninstallKB921883$

29/10/2006 00:16 <DIR> $NtUninstallKB922582$

29/10/2006 00:20 <DIR> $NtUninstallKB922616$

17/11/2006 00:49 <DIR> $NtUninstallKB922760$

29/10/2006 00:20 <DIR> $NtUninstallKB922819$

29/10/2006 00:17 <DIR> $NtUninstallKB923191$

23/10/2006 23:22 <DIR> $NtUninstallKB923414$

16/12/2006 04:45 <DIR> $NtUninstallKB923689$

16/12/2006 04:44 <DIR> $NtUninstallKB923694$

17/11/2006 00:51 <DIR> $NtUninstallKB923980$

29/10/2006 00:20 <DIR> $NtUninstallKB924191$

17/11/2006 00:51 <DIR> $NtUninstallKB924270$

29/10/2006 00:19 <DIR> $NtUninstallKB924496$

16/02/2007 06:20 <DIR> $NtUninstallKB924667$

16/12/2006 04:45 <DIR> $NtUninstallKB925398_WMP64$

16/12/2006 04:45 <DIR> $NtUninstallKB925454$

29/10/2006 00:16 <DIR> $NtUninstallKB925486$

06/04/2007 03:10 <DIR> $NtUninstallKB925902$

16/12/2006 04:44 <DIR> $NtUninstallKB926255$

16/02/2007 06:20 <DIR> $NtUninstallKB926436$

16/02/2007 06:21 <DIR> $NtUninstallKB927779$

16/02/2007 06:20 <DIR> $NtUninstallKB927802$

23/05/2007 00:53 <DIR> $NtUninstallKB927891$

16/02/2007 06:19 <DIR> $NtUninstallKB928090$

16/02/2007 06:20 <DIR> $NtUninstallKB928255$

16/02/2007 06:19 <DIR> $NtUninstallKB928843$

01/07/2007 01:11 <DIR> $NtUninstallKB929123$

17/03/2007 15:33 <DIR> $NtUninstallKB929338$

10/01/2007 23:28 <DIR> $NtUninstallKB929969$

15/04/2007 03:01 <DIR> $NtUninstallKB930178$

12/05/2007 20:38 <DIR> $NtUninstallKB930916$

15/04/2007 03:02 <DIR> $NtUninstallKB931261$

13/05/2007 03:04 <DIR> $NtUninstallKB931768$

15/04/2007 03:02 <DIR> $NtUninstallKB931784$

16/02/2007 06:20 <DIR> $NtUninstallKB931836$

15/04/2007 03:01 <DIR> $NtUninstallKB932168$

15/07/2008 00:01 <DIR> $NtUninstallKB932823-v3$

02/09/2007 15:09 <DIR> $NtUninstallKB933360$

01/07/2007 01:11 <DIR> $NtUninstallKB933566$

21/10/2007 05:33 <DIR> $NtUninstallKB933729$

30/06/2007 01:56 <DIR> $NtUninstallKB935839$

22/06/2007 01:12 <DIR> $NtUninstallKB935840$

27/08/2007 00:46 <DIR> $NtUninstallKB936021$

27/08/2007 00:44 <DIR> $NtUninstallKB936782_WMP10$

27/08/2007 00:44 <DIR> $NtUninstallKB937143$

02/01/2008 00:38 <DIR> $NtUninstallKB937894$

02/09/2007 15:09 <DIR> $NtUninstallKB938127$

27/08/2007 00:46 <DIR> $NtUninstallKB938828$

27/08/2007 00:45 <DIR> $NtUninstallKB938829$

21/10/2007 05:32 <DIR> $NtUninstallKB939653$

21/10/2007 05:32 <DIR> $NtUninstallKB941202$

02/01/2008 00:37 <DIR> $NtUninstallKB941568$

02/01/2008 00:37 <DIR> $NtUninstallKB941569$

18/05/2008 05:32 <DIR> $NtUninstallKB941644$

18/05/2008 05:32 <DIR> $NtUninstallKB941693$

02/01/2008 00:37 <DIR> $NtUninstallKB942763$

15/07/2008 00:01 <DIR> $NtUninstallKB943055$

17/11/2007 19:40 <DIR> $NtUninstallKB943460$

18/05/2008 05:31 <DIR> $NtUninstallKB943485$

02/01/2008 00:36 <DIR> $NtUninstallKB944653$

18/05/2008 05:31 <DIR> $NtUninstallKB945553$

18/05/2008 05:32 <DIR> $NtUninstallKB946026$

15/07/2008 00:02 <DIR> $NtUninstallKB950760$

15/07/2008 00:03 <DIR> $NtUninstallKB951698$

15/07/2008 00:02 <DIR> $NtUninstallKB951748$

19/12/2007 23:18 <DIR> ie7

10/08/2008 16:02 <DIR> inf

24/08/2008 13:48 <DIR> Installer

22/03/2007 22:49 <DIR> PIF

25/08/2008 00:37 8.192 Thumbs.db

28/10/2001 15:07 48.680 winnt.bmp

28/10/2001 15:07 48.680 winnt256.bmp

4 arquivo(s) 106.301 bytes

130 pasta(s) 3.161.931.776 bytes disponíveis

O volume na unidade C não tem nome.

O número de série do volume é 3CF7-3629

 

Pasta de C:\WINDOWS\system32

 

16/11/2008 15:03 <DIR> dllcache

14/04/2008 13:11 <DIR> HideFiles

13/04/2008 19:49 <DIR> HideLogsFiles

7 arquivo(s) 4.721 bytes

3 pasta(s) 3.161.923.584 bytes disponíveis

winlogon.exe

Verified: Signed

svchost.exe

Verified: Signed

ws2_32.dll

Verified: Signed

user32.dll

Verified: Signed

tcpip.sys

Verified: Signed

ndis.sys

Verified: Signed

null.sys

Verified: Signed

userinit.exe

kernel32.dll

 

 

ListDLLs v2.25 - DLL lister for Win9x/NT

Copyright © 1997-2004 Mark Russinovich

Sysinternals - www.sysinternals.com

 

------------------------------------------------------------------------------

explorer.exe pid: 764

Command line: C:\WINDOWS\Explorer.EXE

 

Base Size Version Path

0x771b0000 0xce000 7.00.5730.0013 C:\WINDOWS\system32\WININET.dll

0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll

0x5dca0000 0x45000 7.00.5730.0013 C:\WINDOWS\system32\iertutil.dll

0x5d510000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll

0x76fb0000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL

0x77030000 0xcd000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

0x76b00000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL

0x61410000 0x124000 7.00.5730.0013 C:\WINDOWS\system32\urlmon.dll

0x01790000 0x5c9000 7.00.5730.0013 C:\WINDOWS\system32\ieframe.dll

0x7d1e0000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll

0x74b30000 0x3b000 7.00.5730.0013 C:\WINDOWS\system32\webcheck.dll

0x10000000 0xe000 7.00.0000.1333 C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

0x7c340000 0x56000 7.10.3052.0004 C:\WINDOWS\system32\MSVCR71.dll

0x032b0000 0x1c2000 C:\WINDOWS\system32\DirectX\Dinput\diagx3d.dll

0x74610000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll

0x036d0000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll

0x325c0000 0x12000 11.00.5510.0000 C:\Arquivos de programas\Microsoft Office\OFFICE11\msohev.dll

0x01fd0000 0x1c000 7.00.0000.0000 C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

0x16200000 0x6000 4.01.0000.0000 C:\ARQUIV~1\WINZIP\WZSHLSTB.DLL

0x016d0000 0x2c000 C:\Arquivos de programas\WinRAR\rarext.dll

0x621a0000 0x1b000 8.00.0000.0134 C:\Arquivos de programas\AVG\AVG8\avgse.dll

0x7c420000 0x87000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCP80.dll

0x78130000 0x9b000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll

 

ListDLLs v2.25 - DLL lister for Win9x/NT

Copyright © 1997-2004 Mark Russinovich

Sysinternals - www.sysinternals.com

 

------------------------------------------------------------------------------

winlogon.exe pid: 848

Command line: winlogon.exe

 

Base Size Version Path

0x01000000 0x80000 \??\C:\WINDOWS\system32\winlogon.exe

0x5d510000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll

0x74610000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll

0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll

0x10000000 0x5000 8.00.0000.0134 C:\WINDOWS\system32\avgrsstx.dll

0x01270000 0x3b000 1.07.0017.0000 C:\WINDOWS\system32\WgaLogon.dll

0x76fb0000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL

0x77030000 0xcd000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

 

 

Contenu de Downloaded Program Files

O volume na unidade C não tem nome.

O número de série do volume é 3CF7-3629

 

Pasta de C:\WINDOWS\Downloaded Program Files

 

06/11/2008 14:13 <DIR> .

06/11/2008 14:13 <DIR> ..

06/11/2008 14:05 65 desktop.ini

20/06/2006 14:44 379.704 MsnPUpld.dll

19/06/2006 13:40 393 MsnPUpld.inf

20/06/2006 14:44 117.560 PURen-us.dll

09/01/2007 07:22 110.592 PURpt-br.dll

5 arquivo(s) 608.314 bytes

 

Total de arquivos na lista:

5 arquivo(s) 608.314 bytes

2 pasta(s) 3.161.812.992 bytes disponíveis

 

Recherche de rootkit! (Merci S!Ri)

 

Recherche d'infections connues

 

Export des clefs sensibles..

 

 

Liste des fichiers en exception sur le pare-feu XP SP2

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Arquivos de programas\\LimeWire\\LimeWire.exe"="C:\\Arquivos de programas\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"

"C:\\Arquivos de programas\\Messenger\\msmsgs.exe"="C:\\Arquivos de programas\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"

"C:\\NeverwinterNights\\NWN\\nwserver.exe"="C:\\NeverwinterNights\\NWN\\nwserver.exe:*:Enabled:Neverwinter Nights Server"

"C:\\NeverwinterNights\\NWN\\nwmain.exe"="C:\\NeverwinterNights\\NWN\\nwmain.exe:*:Enabled:Neverwinter Nights"

"C:\\WINDOWS\\system32\\rtcshare.exe"="C:\\WINDOWS\\system32\\rtcshare.exe:*:Enabled:Compartilhamento de aplicativo RTC"

"C:\\Arquivos de programas\\Java\\jre1.5.0_09\\bin\\javaw.exe"="C:\\Arquivos de programas\\Java\\jre1.5.0_09\\bin\\javaw.exe:*:Enabled:Java 2 Platform Standard Edition binary"

"C:\\NeverwinterNights\\NWN\\hamachi.exe"="C:\\NeverwinterNights\\NWN\\hamachi.exe:*:Enabled:Hamachi Client"

"C:\\NeverwinterNights\\NWN\\fdx-nwnl.exe"="C:\\NeverwinterNights\\NWN\\fdx-nwnl.exe:*:Enabled:fdx-nwnl"

"D:\\Arquivos de programas\\Call of Duty\\CoDMP.exe"="D:\\Arquivos de programas\\Call of Duty\\CoDMP.exe:*:Enabled:CoDMP"

"C:\\Arquivos de programas\\Call of Duty\\CoDMP.exe"="C:\\Arquivos de programas\\Call of Duty\\CoDMP.exe:*:Enabled:CoDMP"

"C:\\Arquivos de programas\\Call of Duty\\CoDUOMP.exe"="C:\\Arquivos de programas\\Call of Duty\\CoDUOMP.exe:*:Enabled:CoDUOMP"

"C:\\Arquivos de programas\\Valve\\hl.exe"="C:\\Arquivos de programas\\Valve\\hl.exe:*:Enabled:Half-Life Launcher"

"C:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Arquivos de programas\\Windows Live\\Messenger\\livecall.exe"="C:\\Arquivos de programas\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

"C:\\Arquivos de programas\\AVG\\AVG8\\avgupd.exe"="C:\\Arquivos de programas\\AVG\\AVG8\\avgupd.exe:*:Enabled:avgupd.exe"

"C:\\Arquivos de programas\\IVT Corporation\\BlueSoleil\\BlueSoleil_.exe"="C:\\Arquivos de programas\\IVT Corporation\\BlueSoleil\\BlueSoleil_.exe:*:Enabled:BlueSoleil"

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Arquivos de programas\\Windows Live\\Messenger\\livecall.exe"="C:\\Arquivos de programas\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

 

Export de la clef SharedTaskScheduler

 

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-carregador Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Daemon de cache de categorias de componente"

 

 

 

exports des policies

REGEDIT4

 

[system]

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

"undockwithoutlogon"=dword:00000001

"DisableRegistryTools"=dword:00000000

 

 

 

Export des clefs sensibles..

Rechercher adresses sensibles dans le fichier HOSTS...

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-19 15:20:40

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden services: 0

hidden files: 0

 

 

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Process list by traversal of KiWaitListHead

 

4 - System

432 - wdfmgr.exe

464 - avgrsx.exe

664 - cmd.exe

716 - alg.exe

764 - explorer.exe

808 - csrss.exe

848 - winlogon.exe

892 - services.exe

904 - lsass.exe

1008 - svchost.exe

1056 - svchost.exe

1112 - svchost.exe

1200 - wscntfy.exe

1280 - svchost.exe

1336 - svchost.exe

1480 - svchost.exe

1508 - avgtray.exe

1612 - ctfmon.exe

1624 - msnmsgr.exe

1636 - baloon.exe

1724 - spoolsv.exe

1880 - avgwdsvc.exe

1920 - MDM.EXE

1976 - WgaTray.exe

1996 - slserv.exe

2052 - MegaScale Multi

3616 - wuauclt.exe

 

Total number of processes = 28

NOTE: Under WinXP, this will not show all processes.

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Driver/Module list by traversal of PsLoadedModuleList

 

804D7000 - \WINDOWS\system32\ntkrnlpa.exe

806CF000 - \WINDOWS\system32\hal.dll

F7ADC000 - \WINDOWS\system32\KDCOM.DLL

F79EC000 - \WINDOWS\system32\BOOTVID.dll

F74B9000 - d344bus.sys

F748B000 - ACPI.sys

F7ADE000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS

F747A000 - pci.sys

F75DC000 - isapnp.sys

F7AE0000 - viaide.sys

F785C000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS

F75EC000 - MountMgr.sys

F745B000 - ftdisk.sys

F7AE2000 - dmload.sys

F7435000 - dmio.sys

F7864000 - PartMgr.sys

F75FC000 - VolSnap.sys

F741D000 -

F7AE4000 - d344prt.sys

F7405000 - \WINDOWS\System32\Drivers\SCSIPORT.SYS

F73F2000 - viasraid.sys

F760C000 - disk.sys

F761C000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS

F73D2000 - fltMgr.sys

F73C0000 - sr.sys

F73A9000 - KSecDD.sys

F731C000 - Ntfs.sys

F72EF000 - NDIS.sys

F79F0000 - vbtenum.sys

F72DC000 - sfvfs02.sys

F786C000 - sfhlp02.sys

F72CA000 - sfdrv01.sys

F79F4000 - RecAgent.sys

F72AF000 - Mup.sys

F762C000 - gagp30kx.sys

F7874000 - BTHidMgr.sys

F6EA8000 - \SystemRoot\system32\DRIVERS\nv4_mini.sys

F6E94000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

F6D7B000 - \SystemRoot\system32\DRIVERS\AGRSM.sys

F6D58000 - \SystemRoot\system32\DRIVERS\ks.sys

F7AF8000 - \SystemRoot\system32\DRIVERS\USBD.SYS

F78D4000 - \SystemRoot\System32\Drivers\Modem.SYS

F777C000 - \SystemRoot\system32\DRIVERS\imapi.sys

F778C000 - \SystemRoot\system32\DRIVERS\cdrom.sys

F779C000 - \SystemRoot\system32\DRIVERS\redbook.sys

F78DC000 - \SystemRoot\system32\DRIVERS\usbuhci.sys

F6D0D000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS

F78E4000 - \SystemRoot\system32\DRIVERS\usbehci.sys

F77AC000 - \SystemRoot\system32\DRIVERS\i8042prt.sys

F78EC000 - \SystemRoot\system32\DRIVERS\kbdclass.sys

F78F4000 - \SystemRoot\system32\DRIVERS\mouclass.sys

F78FC000 - \SystemRoot\system32\DRIVERS\fdc.sys

F6CF9000 - \SystemRoot\system32\DRIVERS\parport.sys

F6CE8000 - \SystemRoot\system32\DRIVERS\serial.sys

F7AA8000 - \SystemRoot\system32\DRIVERS\serenum.sys

F6C5A000 - \SystemRoot\system32\drivers\smwdm.sys

F6C36000 - \SystemRoot\system32\drivers\portcls.sys

F77BC000 - \SystemRoot\system32\drivers\drmk.sys

F7AFA000 - \SystemRoot\system32\drivers\aeaudio.sys

F7904000 - \SystemRoot\system32\DRIVERS\fetnd5.sys

F77CC000 - \SystemRoot\system32\DRIVERS\processr.sys

F77DC000 - \SystemRoot\System32\Drivers\VcommMgr.sys

F790C000 - \SystemRoot\system32\DRIVERS\blueletaudio.sys

F7914000 - \SystemRoot\system32\DRIVERS\BlueletSCOAudio.sys

F7BDC000 - \SystemRoot\system32\DRIVERS\audstub.sys

F7AFC000 - \SystemRoot\System32\Drivers\RootMdm.sys

F77EC000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys

F7AAC000 - \SystemRoot\system32\DRIVERS\ndistapi.sys

F6C1F000 - \SystemRoot\system32\DRIVERS\ndiswan.sys

F77FC000 - \SystemRoot\system32\DRIVERS\raspppoe.sys

F780C000 - \SystemRoot\system32\DRIVERS\raspptp.sys

F791C000 - \SystemRoot\system32\DRIVERS\TDI.SYS

F6C0E000 - \SystemRoot\system32\DRIVERS\psched.sys

F781C000 - \SystemRoot\system32\DRIVERS\msgpc.sys

F7924000 - \SystemRoot\system32\DRIVERS\ptilink.sys

F792C000 - \SystemRoot\system32\DRIVERS\raspti.sys

F7934000 - \SystemRoot\system32\DRIVERS\hamachi.sys

F7AC0000 - \SystemRoot\system32\DRIVERS\btnetdrv.sys

F793C000 - \SystemRoot\system32\DRIVERS\VComm.sys

F6BDD000 - \SystemRoot\system32\DRIVERS\rdpdr.sys

F782C000 - \SystemRoot\system32\DRIVERS\termdd.sys

F7AFE000 - \SystemRoot\system32\DRIVERS\swenum.sys

F6B81000 - \SystemRoot\system32\DRIVERS\update.sys

F7ACC000 - \SystemRoot\system32\DRIVERS\mssmbios.sys

F783C000 - \SystemRoot\System32\Drivers\NDProxy.SYS

F765C000 - \SystemRoot\system32\DRIVERS\usbhub.sys

F794C000 - \SystemRoot\system32\DRIVERS\flpydisk.sys

F7B00000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS

F7CDB000 - \SystemRoot\System32\Drivers\Null.SYS

F7B02000 - \SystemRoot\System32\Drivers\Beep.SYS

F795C000 - \SystemRoot\System32\drivers\vga.sys

F7B04000 - \SystemRoot\System32\Drivers\mnmdd.SYS

F7B06000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys

F7964000 - \SystemRoot\System32\Drivers\Msfs.SYS

F796C000 - \SystemRoot\System32\Drivers\Npfs.SYS

F6D40000 - \SystemRoot\system32\DRIVERS\rasacd.sys

F582F000 - \SystemRoot\system32\DRIVERS\ipsec.sys

F57D7000 - \SystemRoot\system32\DRIVERS\tcpip.sys

F57AF000 - \SystemRoot\system32\DRIVERS\netbt.sys

F578D000 - \SystemRoot\System32\drivers\afd.sys

F767C000 - \SystemRoot\system32\DRIVERS\netbios.sys

F5762000 - \SystemRoot\system32\DRIVERS\rdbss.sys

F56F3000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys

F768C000 - \SystemRoot\System32\Drivers\Fips.SYS

F56D2000 - \SystemRoot\system32\DRIVERS\ipnat.sys

F769C000 - \SystemRoot\system32\DRIVERS\wanarp.sys

F56BB000 - \SystemRoot\System32\Drivers\usbVM31b.sys

F76AC000 - \SystemRoot\System32\Drivers\STREAM.SYS

F797C000 - \SystemRoot\System32\Drivers\avgmfx86.sys

F56A4000 - \SystemRoot\System32\Drivers\avgldx86.sys

F76EC000 - \SystemRoot\System32\Drivers\Cdfs.SYS

F568C000 - \SystemRoot\System32\Drivers\dump_atapi.sys

F7B10000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS

BF800000 - \SystemRoot\System32\win32k.sys

F589E000 - \SystemRoot\System32\drivers\Dxapi.sys

F798C000 - \SystemRoot\System32\watchdog.sys

BF000000 - \SystemRoot\System32\drivers\dxg.sys

F7C08000 - \SystemRoot\System32\drivers\dxgthk.sys

BF012000 - \SystemRoot\System32\nv4_disp.dll

BA4F4000 - \SystemRoot\system32\DRIVERS\ndisuio.sys

B9A64000 - \SystemRoot\system32\DRIVERS\mrxdav.sys

F7B80000 - \SystemRoot\System32\Drivers\ParVdm.SYS

B9A28000 - \SystemRoot\System32\Drivers\Av261an.SYS

F7BBC000 - \SystemRoot\System32\Drivers\chipio.SYS

B99AE000 - \SystemRoot\system32\DRIVERS\srv.sys

B95FD000 - \SystemRoot\System32\Drivers\HTTP.sys

B9598000 - \SystemRoot\system32\drivers\wdmaud.sys

B971E000 - \SystemRoot\system32\drivers\sysaudio.sys

B8280000 - \SystemRoot\System32\Drivers\Fastfat.SYS

F7B1E000 - \??\C:\DOCUME~1\Josue\CONFIG~1\Temp\mbr.sys

F7C1E000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

 

Total number of drivers = 131

 

Liste des programmes installes

 

Adobe Bridge 1.0

Adobe Common File Installer

Adobe Flash Player ActiveX

Adobe Help Center 1.0

Adobe Photoshop CS2

Adobe Photoshop CS2

Adobe Reader 7.0

Adobe Shockwave Player

Adobe Stock Photos 1.0

Agere Systems PCI-SV92PP Soft Modem

AOL Security Toolbar

Assistente de Conexão do Windows Live

Atualização de Segurança para o Windows Media Player (KB911564)

Atualização de Segurança para o Windows Media Player 10 (KB917734)

Atualização de Segurança para o Windows Media Player 10 (KB936782)

Atualização de Segurança para o Windows Media Player 6.4 (KB925398)

Atualização de Segurança para Windows Internet Explorer 7 (KB938127)

Atualização de Segurança para Windows XP (KB890046)

Atualização de Segurança para Windows XP (KB893756)

Atualização de Segurança para Windows XP (KB896358)

Atualização de Segurança para Windows XP (KB896423)

Atualização de Segurança para Windows XP (KB896424)

Atualização de Segurança para Windows XP (KB896428)

Atualização de Segurança para Windows XP (KB899587)

Atualização de Segurança para Windows XP (KB899589)

Atualização de Segurança para Windows XP (KB899591)

Atualização de Segurança para Windows XP (KB900725)

Atualização de Segurança para Windows XP (KB901017)

Atualização de Segurança para Windows XP (KB901214)

Atualização de Segurança para Windows XP (KB902400)

Atualização de Segurança para Windows XP (KB904706)

Atualização de Segurança para Windows XP (KB905414)

Atualização de Segurança para Windows XP (KB905749)

Atualização de Segurança para Windows XP (KB908519)

Atualização de Segurança para Windows XP (KB911562)

Atualização de Segurança para Windows XP (KB911567)

Atualização de Segurança para Windows XP (KB911927)

Atualização de Segurança para Windows XP (KB912919)

Atualização de Segurança para Windows XP (KB913580)

Atualização de Segurança para Windows XP (KB914388)

Atualização de Segurança para Windows XP (KB914389)

Atualização de Segurança para Windows XP (KB917344)

Atualização de Segurança para Windows XP (KB917422)

Atualização de Segurança para Windows XP (KB917953)

Atualização de Segurança para Windows XP (KB918118)

Atualização de Segurança para Windows XP (KB918439)

Atualização de Segurança para Windows XP (KB918899)

Atualização de Segurança para Windows XP (KB919007)

Atualização de Segurança para Windows XP (KB920213)

Atualização de Segurança para Windows XP (KB920214)

Atualização de Segurança para Windows XP (KB920670)

Atualização de Segurança para Windows XP (KB920683)

Atualização de Segurança para Windows XP (KB920685)

Atualização de Segurança para Windows XP (KB921398)

Atualização de Segurança para Windows XP (KB921503)

Atualização de Segurança para Windows XP (KB921883)

Atualização de Segurança para Windows XP (KB922616)

Atualização de Segurança para Windows XP (KB922760)

Atualização de Segurança para Windows XP (KB922819)

Atualização de Segurança para Windows XP (KB923191)

Atualização de Segurança para Windows XP (KB923414)

Atualização de Segurança para Windows XP (KB923689)

Atualização de Segurança para Windows XP (KB923694)

Atualização de Segurança para Windows XP (KB923789)

Atualização de Segurança para Windows XP (KB923980)

Atualização de Segurança para Windows XP (KB924191)

Atualização de Segurança para Windows XP (KB924270)

Atualização de Segurança para Windows XP (KB924496)

Atualização de Segurança para Windows XP (KB924667)

Atualização de Segurança para Windows XP (KB925454)

Atualização de Segurança para Windows XP (KB925486)

Atualização de Segurança para Windows XP (KB925902)

Atualização de Segurança para Windows XP (KB926255)

Atualização de Segurança para Windows XP (KB926436)

Atualização de Segurança para Windows XP (KB927779)

Atualização de Segurança para Windows XP (KB927802)

Atualização de Segurança para Windows XP (KB928090)

Atualização de Segurança para Windows XP (KB928255)

Atualização de Segurança para Windows XP (KB928843)

Atualização de Segurança para Windows XP (KB929123)

Atualização de Segurança para Windows XP (KB929969)

Atualização de Segurança para Windows XP (KB930178)

Atualização de Segurança para Windows XP (KB931261)

Atualização de Segurança para Windows XP (KB931768)

Atualização de Segurança para Windows XP (KB931784)

Atualização de Segurança para Windows XP (KB932168)

Atualização de Segurança para Windows XP (KB933566)

Atualização de Segurança para Windows XP (KB933729)

Atualização de Segurança para Windows XP (KB935839)

Atualização de Segurança para Windows XP (KB935840)

Atualização de Segurança para Windows XP (KB936021)

Atualização de Segurança para Windows XP (KB937143)

Atualização de Segurança para Windows XP (KB937894)

Atualização de Segurança para Windows XP (KB938127)

Atualização de Segurança para Windows XP (KB938829)

Atualização de Segurança para Windows XP (KB939653)

Atualização de Segurança para Windows XP (KB941202)

Atualização de Segurança para Windows XP (KB941568)

Atualização de Segurança para Windows XP (KB941569)

Atualização de Segurança para Windows XP (KB941644)

Atualização de Segurança para Windows XP (KB941693)

Atualização de Segurança para Windows XP (KB943055)

Atualização de Segurança para Windows XP (KB943460)

Atualização de Segurança para Windows XP (KB943485)

Atualização de Segurança para Windows XP (KB944653)

Atualização de Segurança para Windows XP (KB945553)

Atualização de Segurança para Windows XP (KB946026)

Atualização de Segurança para Windows XP (KB950760)

Atualização de Segurança para Windows XP (KB951698)

Atualização de Segurança para Windows XP (KB951748)

Atualização para Windows XP (KB894391)

Atualização para Windows XP (KB898461)

Atualização para Windows XP (KB900485)

Atualização para Windows XP (KB908531)

Atualização para Windows XP (KB910437)

Atualização para Windows XP (KB911280)

Atualização para Windows XP (KB916595)

Atualização para Windows XP (KB920872)

Atualização para Windows XP (KB922582)

Atualização para Windows XP (KB927891)

Atualização para Windows XP (KB929338)

Atualização para Windows XP (KB930916)

Atualização para Windows XP (KB931836)

Atualização para Windows XP (KB932823-v3)

Atualização para Windows XP (KB933360)

Atualização para Windows XP (KB938828)

Atualização para Windows XP (KB942763)

AVG Free 8.0

Bluesoleil2.6.0.8 Release 070517

Call of Duty

CCleaner (remove only)

Counter-Strike 1.6

DAEMON Tools

Diablo II

Dic Michaelis - UOL

Discador iBest

DVD Shrink 3.2

EA SPORTS online 2008

Google Earth

Google Toolbar for Internet Explorer

Hamachi 1.0.2.2

HijackThis 2.0.2

Hotfix for Windows XP (KB915865)

IsoBuster 2.1

J2SE Runtime Environment 5.0 Update 9

K-Lite Mega Codec Pack 1.61

LimeWire 4.18.3

LucasArts' Monkey 4

MegaScale MultiDesktop Manager

Menus Inteligentes (Windows Live Toolbar)

Messenger Plus! Live & Sponsor (CiD)

Microsoft .NET Framework 1.1

Microsoft Internationalized Domain Names Mitigation APIs

Microsoft National Language Support Downlevel APIs

Microsoft Office Professional Edição 2003

Microsoft Visual C++ 2005 Redistributable

Mozilla Firefox (3.0.6)

Need for Speed™ Most Wanted

Nero PhotoShow Express

Nero Suite

Neverwinter Nights

NVIDIA Drivers

Perfect World

PowerDVD

SATARaid

Spybot - Search & Destroy 1.4

Styler

TeamSpeak 2 RC2

TraduzTudo Pro 1.2

WebFldrs XP

Windows Genuine Advantage Notifications (KB905474)

Windows Installer 3.1 (KB893803)

Windows Internet Explorer 7

Windows Live installer

Windows Live Messenger

Windows Live Toolbar

Windows Live Toolbar

Windows Media Format Runtime

Windows Media Player 10

Windows XP Hotfix - KB873339

Windows XP Hotfix - KB885835

Windows XP Hotfix - KB885836

Windows XP Hotfix - KB886185

Windows XP Hotfix - KB887472

Windows XP Hotfix - KB888302

Windows XP Hotfix - KB890859

Windows XP Hotfix - KB891781

WinRAR archiver

WinZip

 

 

 

O volume na unidade C não tem nome.

O número de série do volume é 3CF7-3629

 

Pasta de C:\Arquivos de programas

 

11/02/2009 17:15 <DIR> .

11/02/2009 17:15 <DIR> ..

10/07/2007 20:06 <DIR> Adobe

11/06/2007 19:56 <DIR> Adverts

19/10/2006 11:02 <DIR> Ahead

28/09/2008 11:40 <DIR> AOL Security Toolbar

13/02/2009 13:30 <DIR> Arquivos comuns

12/07/2008 03:19 <DIR> AVG

28/09/2008 11:40 <DIR> Call of Duty

30/12/2007 04:04 <DIR> CCleaner

19/10/2006 10:18 <DIR> ComPlus Applications

19/10/2006 11:25 <DIR> CyberLink

28/09/2008 11:40 <DIR> Diablo II

28/09/2008 11:40 <DIR> Discador iBest

19/10/2006 11:31 <DIR> D-Tools

23/04/2007 16:36 <DIR> DVD Shrink

19/10/2006 12:53 <DIR> EA GAMES

25/04/2008 17:48 <DIR> EA SPORTS

09/12/2008 15:18 <DIR> File Scanner Library (Spybot - Search & Destroy)

29/01/2008 00:50 <DIR> Google

20/12/2007 02:27 <DIR> Internet Explorer

03/08/2008 18:04 <DIR> IVT Corporation

28/10/2006 15:42 <DIR> Java

27/04/2007 14:14 <DIR> K-Lite Codec Pack

19/10/2006 11:23 <DIR> Kounen

28/09/2008 11:40 <DIR> LimeWire

17/06/2007 18:01 <DIR> LucasArts

28/09/2008 11:40 <DIR> Messenger

25/09/2007 23:28 <DIR> Messenger Plus! Live

19/10/2006 10:21 <DIR> microsoft frontpage

19/10/2006 10:42 <DIR> Microsoft Office

19/10/2006 10:42 <DIR> Microsoft Visual Studio

01/05/2007 23:29 <DIR> Microsoft Works

19/10/2006 10:42 <DIR> Microsoft.NET

11/02/2009 17:15 <DIR> Misc. Support Library (Spybot - Search & Destroy)

19/10/2006 10:19 <DIR> Movie Maker

19/02/2009 09:47 <DIR> Mozilla Firefox

19/10/2006 10:18 <DIR> MSN Gaming Zone

06/05/2008 00:22 <DIR> MSN Messenger

29/08/2008 02:17 <DIR> MultiDesktop Manager

06/01/2007 17:02 <DIR> Nero

19/10/2006 10:19 <DIR> NetMeeting

01/07/2007 01:11 <DIR> Outlook Express

12/01/2008 22:27 <DIR> PluginLetras

09/12/2008 15:18 <DIR> SDHelper (Spybot - Search & Destroy)

19/10/2006 10:20 <DIR> Serviços on-line

19/10/2006 14:59 <DIR> Silicon Image

24/06/2007 17:40 <DIR> Smart Projects

19/12/2007 01:47 <DIR> Spybot - Search & Destroy

08/04/2008 04:03 <DIR> Styler

05/08/2008 22:19 <DIR> Teamspeak2_RC2

09/12/2008 15:18 <DIR> TeaTimer (Spybot - Search & Destroy)

28/09/2008 11:40 <DIR> Valve

21/04/2008 02:34 <DIR> Windows Live

28/09/2008 11:40 <DIR> Windows Live Toolbar

12/01/2008 22:23 <DIR> Windows Media Player

19/10/2006 10:18 <DIR> Windows NT

26/07/2007 22:57 <DIR> WinRAR

25/07/2007 20:43 <DIR> WinZip

19/10/2006 10:21 <DIR> xerox

0 arquivo(s) 0 bytes

60 pasta(s) 3.150.753.792 bytes disponíveis

 

 

 

 

c:\Documents and Settings\All Users\Menu Iniciar\Programas\CyberLink PowerDVD\Diablo II\LODPatch_110.exe

c:\Documents and Settings\All Users\Menu Iniciar\Programas\CyberLink PowerDVD\Diablo II\LODPatch_111.exe

c:\Documents and Settings\Josue\Configurações locais\temp\CF21234.exe

c:\Documents and Settings\Josue\Dados de aplicativos\Microsoft\Installer\{E9ECF354-2422-4FDB-9ABF-D8ADAC0EF941}\_585b207a.exe

c:\Documents and Settings\Josue\Dados de aplicativos\Microsoft\Installer\{E9ECF354-2422-4FDB-9ABF-D8ADAC0EF941}\_7b12541d.exe

c:\Documents and Settings\Josue\Desktop\antivir_workstation_winu_en_h.exe

c:\Documents and Settings\Josue\Desktop\HiJackThis.exe

c:\Documents and Settings\Josue\Desktop\LitePool.exe

c:\Documents and Settings\Josue\Desktop\temp.exe.exe

c:\Documents and Settings\Josue\Desktop\301Pò»¦¦ð=\AMCAP.EXE

c:\Documents and Settings\Josue\Desktop\301Pò»¦¦ð=\SETUP.EXE

c:\Documents and Settings\Josue\Desktop\301Pò»¦¦ð=\STILLCAP.EXE

c:\Documents and Settings\Josue\Desktop\301Pò»¦¦ð=\VM_STI.EXE

c:\Documents and Settings\Josue\Desktop\301Pò»¦¦ð=\VMCAP.EXE

c:\Documents and Settings\Josue\Desktop\Coisas\avg_free_stf_en_8_138a1332.exe

c:\Documents and Settings\Josue\Desktop\Coisas\discador.exe

c:\Documents and Settings\Josue\Desktop\Coisas\discador270.exe

c:\Documents and Settings\Josue\Desktop\Coisas\LimeWireWin.exe

c:\Documents and Settings\Josue\Desktop\Coisas\madden\AutoRun.exe

c:\Documents and Settings\Josue\Desktop\Coisas\madden\eauninstall.exe

c:\Documents and Settings\Josue\Desktop\Coisas\madden\keyblo.exe

c:\Documents and Settings\Josue\Desktop\Coisas\madden\madden_inst.exe

c:\Documents and Settings\Josue\Desktop\Coisas\madden\Madden08.exe

c:\Documents and Settings\Josue\Desktop\Coisas\madden\mainapp.exe

c:\Documents and Settings\Josue\Desktop\Coisas\madden\mydoc_uninst.exe

c:\Documents and Settings\Josue\Desktop\Coisas\madden\Updater.exe

c:\Documents and Settings\Josue\Desktop\Coisas\madden\CommonEASO\EASOInstaller.exe

c:\Documents and Settings\Josue\Desktop\Coisas\madden\CommonEASO\Data\EASO\ATLJabber.exe

c:\Documents and Settings\Josue\Desktop\Coisas\madden\CommonEASO\Data\EASO\EASOUNInstaller.exe

c:\Documents and Settings\Josue\Desktop\Coisas\madden\CommonEASO\Data\EASO\SportsWrapper.exe

c:\Documents and Settings\Josue\Desktop\Coisas\madden\DirectX\DXSETUP.exe

c:\Documents and Settings\Josue\Desktop\Coisas\madden\Player\install_flash_player_active_x.exe

c:\Documents and Settings\Josue\Desktop\Coisas\madden\Player\sw_lic_full_installer.exe

c:\Documents and Settings\Josue\Desktop\Coisas\madden\Support\Madden_NFL_08_code.exe

c:\Documents and Settings\Josue\Desktop\Coisas\madden\Support\Madden_NFL_08_uninst.exe

c:\Documents and Settings\Josue\Desktop\Coisas\madden\ViTALiTY\keygen.exe

c:\Documents and Settings\Josue\Desktop\Coisas\madden\ViTALiTY\mainapp.exe

c:\Documents and Settings\Josue\Desktop\Coisas\pokemon\NO$GBA.EXE

c:\Documents and Settings\Josue\Desktop\Coisas\pokemon\No$Gba 2.4a CONFIGURADO PARA DP\NO$GBA.EXE

c:\Documents and Settings\Josue\Desktop\Coisas\pokemon\VBA\Link172.exe

c:\Documents and Settings\Josue\Desktop\Coisas\pokemon\VBA\Link173.exe

c:\Documents and Settings\Josue\Desktop\Coisas\pokemon\VBA\vbaserver.exe

c:\Documents and Settings\Josue\Desktop\Coisas\pokemon\VBA\VisualBoyAdvance.exe

c:\Documents and Settings\Josue\Desktop\Jogos em geral =D\ccsetup203.exe

c:\Documents and Settings\Josue\Desktop\Jogos em geral =D\VisualBoyAdvance.exe

c:\Documents and Settings\Josue\Desktop\Jogos em geral =D\CS\CS 1.6.exe

c:\Documents and Settings\Josue\Desktop\Jogos em geral =D\CS\ZBot.exe

c:\Documents and Settings\Josue\Desktop\Jogos em geral =D\Cópia de Honor_l2w\L2Walker.exe

c:\Documents and Settings\Josue\Meus documentos\Josué\Firefox Setup 2.0.0.13.exe

c:\Documents and Settings\Josue\Meus documentos\Josué\googletalk-setup-pt-BR.exe

c:\Documents and Settings\Josue\Meus documentos\Josué\MsgPlusLive-401.exe

c:\Documents and Settings\Josue\Meus documentos\Josué\SkypeSetup.exe

c:\Documents and Settings\Josue\Meus documentos\Josué\jogos\F610_4_05.exe

c:\Documents and Settings\Josue\Meus documentos\Josué\jogos\MsgPlusLive-420.exe

c:\Documents and Settings\Josue\Meus documentos\Meus arquivos recebidos\devil_may_cry_3_1.1.0.exe

c:\Documents and Settings\Josue\Meus documentos\Meus arquivos recebidos\HamachiSetup-1.0.2.2-en.exe

c:\Documents and Settings\Josue\Meus documentos\Meus arquivos recebidos\isobuster_all_lang.exe

c:\Documents and Settings\Josue\Meus documentos\Meus arquivos recebidos\kav6.0.2.621en.exe

c:\Documents and Settings\Josue\Meus documentos\Meus arquivos recebidos\UXTheme Multi-Patcher 5.5.exe

c:\Documents and Settings\Josue\Meus documentos\Meus arquivos recebidos\War3TFT_121a_English.exe

c:\Documents and Settings\Josue\Meus documentos\Meus arquivos recebidos\wow-2[1].1.1.6739-to-2.1.2.6803-enus-patch.exe

c:\Documents and Settings\Josue\Meus documentos\Meus arquivos recebidos\wow-2[1].1.2.6803-to-2.1.3.6898-enus-patch.exe

c:\Documents and Settings\Josue\Meus documentos\Meus arquivos recebidos\ZcPWBotv0.27BR.exe

 

****** Fin du rapport DiagHelp

Veuillez svp envoyer le fichier C:\upload_moi_HOME.tar.gz a l'adresse http://upload.malekal.com

[DigRam 144]

Boa Tarde! kolthy

 

<!> Desinstale: Adverts

<><><><><><><><><><>

<!> Desabilite a proteção TeaTimer. <-- Spybot

<><><><><><><><><><>

<@> Baixe: < EliStarA >

<@> Na página,clique no botão: Descargar EliStarA v xx.xx,que fica situado ao pé da página.

<@> Salve-a no Desktop!

<@> Desabilite a(s) proteções residente,de antiVírus ou antiSpywares.

<@> Reinicie o computador em Modo de Segurança. <-- Importante!

<@> Vá ao ícone de EliStarA e execute-a!

<@> Aguarde o término do scan,e dê prosseguimento ao escaneamento exploratório.

<@> Terminando,será gerado um relatório ( infoSat.txt ),no Disco Local-C.

<@> A ferramenta,por opção,deletará a sua página inicial!

<@> Posteriormente,voçê à estabelecerá novamente!

<@> Reinicie,normalmente,o computador!

<@> Faça e poste: infoSat.txt + HijackThis,atualizado.

 

Abraços!

[kolthy 0]

<!> Desinstale: Adverts

<><><><><><><><><><>

<!> Desabilite a proteção TeaTimer. <-- Spybot

 

Não achei o desinstalador do Adverts (Na verdade nao sei o q eh isso) e não sei onde desabilita o TeaTimer.

 

Poderia me informar?

[DigRam 144]

<!> Desinstale: Adverts

<><><><><><><><><><>

<!> Desabilite a proteção TeaTimer. <-- Spybot

 

Não achei o desinstalador do Adverts (Na verdade nao sei o q eh isso) e não sei onde desabilita o TeaTimer.

 

Poderia me informar?

<><><><><><><><><><>

Boa Tarde! kolthy

 

Pasta de C:\Arquivos de programas

 

11/02/2009 17:15 <DIR> .

11/02/2009 17:15 <DIR> ..

10/07/2007 20:06 <DIR> Adobe

11/06/2007 19:56 <DIR> Adverts <--

<!> Está em Arquivos de programas! Verifique se não é uma pasta vazia. ( 0 bytes )

<><><><><><><><><><>

<@> Abra o Spybot Search & Destroy!

<@> No menu superior,vá em Modo e selecione a opção Avançado. Confirme!

<@> Clique no botão Ferramentas e depois em Residente.

<@> Desmarque a opção: Ativar "TeaTimer" do Residente. ( Proteção geral das configurações de sistema )

<><><><><><><><><><>

<!> Se não encontrar Adverts,siga com os outros procedimentos.

 

Abraços!

[kolthy 0]

Consegui todos os procedimentos, mas to dúvias qnto ao Modo de segurança. Qndo eu reiniciu o pc apertando F8, aparece uma janela com os drivers de diskete, CD, DVD, essas coisas. Eu clico em esc ou enter para cancelar alguns deles?

[DigRam 144]

Consegui todos os procedimentos, mas to dúvias qnto ao Modo de segurança. Qndo eu reiniciu o pc apertando F8, aparece uma janela com os drivers de diskete, CD, DVD, essas coisas. Eu clico em esc ou enter para cancelar alguns deles?

<><><><><><><><>

Opa! kolthy

 

<!> Voçê entrou na tela errada! Aperte Esc,para sair.

<!> Ao reiniciar,tente com a tecla F5,apertando-a intermitentemente.

 

Abraços!

[kolthy 0]

Boa Tarde!

 

Quando eu conecto a internet pelo meu acesso discado, teoricamente era pra entrar no site do ibest, o meu provedor grátis, mas mesmo depois de usar o elistara esta entrando no site "res://ieframe.dll/navcancl.htm"

 

No alt tab aparece o icone dele com o nome GbiehBSB1

 

Acho q nao adiantou, mando a seguir logs do elistara e do hijackthis atualizado.

 

 

 

Tue Feb 24 17:16:45 2009

EliStartPage v18.07 ©2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "poof"

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

 

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:30:19, on 24/2/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\ARQUIV~1\AVG\AVG8\avgtray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

C:\Arquivos de programas\MultiDesktop Manager\MegaScale MultiDesktop Manager.exe

C:\ARQUIV~1\AVG\AVG8\avgwdsvc.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\ARQUIV~1\AVG\AVG8\avgrsx.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Discador iBest\discador.exe

C:\WINDOWS\system32\DirectX\Dinput\Driver\1\services.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Documents and Settings\Josue\Desktop\HiJackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: XBTP06568 - {311F9DE8-6126-4EEE-B15F-65CBB3B4F9F6} - C:\Arquivos de programas\AOL Security Toolbar\AOL_security_toolbar.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Arquivos de programas\AVG\AVG8\avgssie.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: DirecX - {83FDA784-0154-418F-810B-F1839272C361} - C:\WINDOWS\system32\DirectX\Dinput\diagx3d.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\arquivos de programas\google\googletoolbar1.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar1.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\Windows Live Toolbar\msntb.dll

O3 - Toolbar: AOL Security Toolbar - {3BB63FD4-3C00-44D7-94A9-5DE211900DEF} - C:\Arquivos de programas\AOL Security Toolbar\AOL_security_toolbar.dll

O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Arquivos de programas\Styler\TB\StylerTB.dll

O3 - Toolbar: Discador iBest - {4F869C58-D71D-4850-8BDD-7B5CDF8EC911} - C:\Arquivos de programas\Discador iBest\ibestbar.dll

O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARQUIV~1\AVG\AVG8\avgtray.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [iBest.baloon] "C:\Arquivos de programas\Discador iBest\baloon.exe"

O4 - Startup: MultiDesktop Manager.lnk = C:\Arquivos de programas\MultiDesktop Manager\MegaScale MultiDesktop Manager.exe

O8 - Extra context menu item: &Google Search - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: &Windows Live Search - res://C:\Arquivos de programas\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Backward Links - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Arquivos de programas\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Arquivos de programas\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{336792CE-C700-4DBB-A44D-D2ACB0BFEDAB}: NameServer = 201.10.1.2 201.10.120.3

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Arquivos de programas\AVG\AVG8\avgpp.dll

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARQUIV~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

 

--

End of file - 7252 bytes

[DigRam 144]

Boa Noite! kolthy

 

<!> Verifique se lhe ocorre o erro Phishing Scam.

<><><><><><><><><><>

<!> Até o surgimento da correção,utilize outro navegador: Firefox ou IE8.

 

Abraços!

[kolthy 0]

Olá novamente!

 

Eu havia comentado q minha mãe perdeu o e-mail. Pois bem. O outro e-mail dela está contaminado tbm, mesmo usando o teclado virtual, nao mostra na caixa de mensagens o kl mandando virus pra varias pessoas como antes, mas qndo minha mae tenta mandar um e-mail simples pra alguem o hotmail pede pra confirmar uma caixa com 8 caracteres, confirmamos, e quando vamos mandar o e-mail acontece de novo.

 

Será q o vírus está mandando spam sem parar novamente pelo e-mail de minha mae e etá apagando da caixa de enviados? (antes no e-mail antigo aparecia na caixa de enviados.)

 

Não estamos conseguindo mandar nenhum e-mail por conta disso pq pede confirmação atrás de confirmação.

 

Aguardo resposta! Abraço.

[DigRam 144]

Bom Dia! kolthy

 

<@> Faça um scan online em: < Kaspersky >

<@> Utilize para isso,o navegador Internet Explorer.

 

<!> Acesse o site,e clique em: < >

 

<@> Na próxima página,clique em: I Accept

<@> Isto,para que se instale o controle ActiveX e,em seguida,atualize o banco de dados.

<@> Na próxima página,clique em: My Computer e faça o scan.

<@> Tenha paciência!

<@> Aguarde a atualização da base de dados,e também do exame,que é demorado.

<@> Terminando,salve e poste o relatório.

<@> Clique em Save Report As... para salvar o log. ( Kaspersky_Online_Scanner_7_Report.txt )

<@> Salve o resultado como .txt,segundo a imagem abaixo:

 

 

<@> Poste,também,HijackThis atualizado.

 

Abraços!