[Resolvido!] Análise de log

[William Bruno 1501]

Logfile of Trend Micro HijackThis v2.0.2

..

End of file - 6310 bytes

Está limpo?

Recentemente, removi na unha, um exe chamado: WinMgMt.exe Ele estava causando lentidão, e atrapalhando a navegação.

O achei dentro da pasta de Drivers do Windows.

 

O problema é que agora, toda vez que inicio o PC, o sistema procura esse arquivo, e me joga um alerta na tela, dizendo que não encontrou ele. Como faço para impedir a inicialização desse suposto Driver ?(q era vírus na verdade?)

 

Vlw! :rolleyes:

[PedroN 1]

• Baixe: < ComboFix.exe >

• Salve-o no Desktop!

• Desabilite as proteções residente de: antivírus,antispywares e firewall. ( Menos o do Windows! )

• Feche todas as janelas e execute a ferramenta!

• Na solicitação: "Negação de garantia de software" --> Clique em Sim!

• Não possuindo o "Console de Recuperação",aceite optar pela instalação do mesmo!

 

<!> Caso aconteça a notificação de: Aplicativo Win32 inválido,delete a ferramenta e faça,novamente,o download.

-- Salve-a no desktop,renomeada como: Kombo.exe

-- Ps: Nomeie durante o salvamento,e não após salvá-la!

-- Ps: Surgindo alguma mensagem de erro,rode o ComboFix.exe em Modo de Segurança.

-- Ps: Para completar as remoções,talvez haja necessidade da ferramenta reiniciar o computador. <-- Aguarde!

-- Ps: Evite executar,voluntariamente,esta ferramenta!Siga,àcima,todas as recomendações propostas.

• Abrir-se-á a janela Auto Scan. --> Aguarde!

• Àfim de completar as remoções,o ComboFix poderá reiniciar o computador.

• Se houver necessidade,digite a opção para continuar! --> ( 1 ) --> Aperte Enter.

• Aguarde a conclusão!

• Durante o scan,evite manusear o mouse ou teclado! <-- Importante!

• Para parar ou sair do ComboFix,tecle "N" --> Enter.

----------------------

• Terminando,poste os relatórios: C:\ComboFix.txt + HijackThis,atualizado

[William Bruno 1501]

combofix

ComboFix 09-02-25.02 - Bruno 2009-02-26 13:21:23.1 - NTFSx86

...

291

e HijackThis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:26:04, on 26/2/2009

..

End of file - 6504 bytes

Ainda vou entender como vcs entendem tudo isso ^^

[PedroN 1]

Olá execute a ferramente PenClean escolha a unidade F, depois poste os resultados.

[William Bruno 1501]

O link que você passou, está quebrado. Pelo menos eu não consegui acessar.

Então baixei daqui o programa:

http://superdownloads.uol.com.br/download/141/penclean/

 

Obrigado pela atenção..

Iniciando relatório do PenClean 2.0.5-20090120

Por Renato Victor Mejias

renatomejias@yahoo.com.br

26/2/2009 16:02:42

-----------------------------------------------------------

F:\autorun.inf foi deletado com sucesso!

-----------------------------------------------------------

Fim da análise, a unidade verificada foi F:

Como não procurou nada no computador, o log do HijackThis continua o mesmo ne?!

Se precisar, posto novamente.

Logfile of Trend Micro HijackThis v2.0.2Scan saved at 16:23:43, on 26/2/2009Platform: Windows XP SP3 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)Boot mode: NormalRunning processes:...End of file - 6366 bytes

[PedroN 1]

Execute agora novamente o programa combofix

[William Bruno 1501]

Resultado ]ComboFix

ComboFix 09-02-27.02 - Bruno 2009-02-27 21:54:03.2 - NTFSx86

Executando de: d:\meus documentos\Downloads\ComboFix.exe

..

282

E mais um do outro ne?!

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:00:00, on 27/2/2009

..

End of file - 6527 bytes

vlw =)

e agora ?

[PedroN 1]

Sugiro que imprima ou salve os procedimentos abaixo, e não use a internet até terminado o procedimento.

 

Selecione e copie o texto dentro do QUOTE (caixa cinza) abaixo. Abra o Bloco de notas e cole o que copiou. Salve então, na área de trabalho, com o nome de CFScript.txt.

 

File::

F:\AutoRun.exe

Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1f5da513-ffa1-11dd-b52a-806d6172696f}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{40513a5e-0006-11de-bdce-000c6eb8f704}]

 

Esse script foi elaborado somente para este computador, de acordo com os arquivos e chaves presentes não use-o em outro computador, pos pode trazer danos.

 

Arraste agora o CFScript.txt para o ComboFix conforme a demonstração abaixo.

 

 

O ComboFix irá rodar e reiniciará o PC automaticamente para completar o processo de remoção.

 

IMPORTANTE: Não use o mouse nem o teclado quando o ComboFix estiver rodando.

 

Quando acabar, será gerado um log, que estará em C:\ComboFix.txt.

 

Poste-o junto com o novo log do hijackthis

[William Bruno 1501]

ComboFix

ComboFix 09-02-27.02 - Bruno 2009-02-28 7:04:33.3 - NTFSx86

Executando de: d:\meus documentos\Downloads\ComboFix.exe

Comandos utilizados :: d:\meus documentos\Downloads\CFScript.txt

 

FILE ::

F:\AutoRun.exe

.

 

(((((((((((((((( Arquivos/Ficheiros criados de 2009-01-28 to 2009-02-28 ))))))))))))))))))))))))))))

.

 

2009-02-26 19:37 . 2009-02-26 19:36 410,984 --a------ c:\windows\system32\deploytk.dll

2009-02-26 19:37 . 2009-02-26 19:36 73,728 --a------ c:\windows\system32\javacpl.cpl

2009-02-26 19:36 . 2009-02-26 19:36 <DIR> d-------- c:\arquivos de programas\Java

2009-02-25 16:17 . 2009-02-25 21:46 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Avira

2009-02-25 10:07 . 2009-02-25 17:10 <DIR> d-------- c:\arquivos de programas\Priston

2009-02-24 17:30 . 2009-02-25 20:24 <DIR> d-------- c:\arquivos de programas\eMule

2009-02-24 12:43 . 2009-02-24 12:43 <DIR> d-------- c:\arquivos de programas\KAIZEN Games

2009-02-24 12:32 . 2009-02-24 12:32 <DIR> d-------- c:\documents and settings\Bruno\Dados de aplicativos\teamspeak2

2009-02-24 12:32 . 2009-02-24 12:32 <DIR> d-------- c:\arquivos de programas\Teamspeak2_RC2

2009-02-24 12:32 . 2009-02-24 12:32 34,064 --a------ c:\windows\system32\lhacm.acm

2009-02-24 12:05 . 2009-02-24 09:08 166,912 --a------ c:\windows\system32\libmcrypt.dll

2009-02-24 09:30 . 2009-02-24 09:30 <DIR> d-------- c:\arquivos de programas\MySQL

2009-02-24 09:09 . 2009-02-24 11:02 <DIR> d-------- C:\php5

2009-02-23 20:34 . 2009-02-23 20:34 <DIR> d-------- c:\arquivos de programas\RealVNC

2009-02-23 19:52 . 2009-02-23 19:52 <DIR> d-------- c:\windows\system32\LogFiles

2009-02-23 14:17 . 2009-02-24 09:05 <DIR> d-------- C:\Apache2.2

2009-02-23 14:01 . 2009-02-23 14:02 <DIR> d-------- c:\arquivos de programas\Windows Live Safety Center

2009-02-22 20:39 . 2009-02-28 06:58 <DIR> d-------- c:\documents and settings\Bruno\Dados de aplicativos\skypePM

2009-02-22 20:39 . 2009-02-22 20:39 56 --ah----- c:\windows\system32\ezsidmv.dat

2009-02-22 20:33 . 2009-02-28 07:00 <DIR> d-------- c:\documents and settings\Bruno\Dados de aplicativos\Skype

2009-02-22 20:33 . 2009-02-22 20:33 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Skype

2009-02-22 20:33 . 2009-02-22 20:33 <DIR> dr------- c:\arquivos de programas\Skype

2009-02-22 20:33 . 2009-02-22 20:33 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\Skype

2009-02-21 17:24 . 2002-08-30 09:49 447,921 -ra------ c:\windows\system32\drivers\IntelC52.sys

2009-02-21 17:24 . 2002-08-30 09:58 26,921 -ra------ c:\windows\system32\drivers\IntelC53.sys

2009-02-21 17:24 . 2001-08-17 21:57 16,128 --a------ c:\windows\system32\drivers\MODEMCSA.sys

2009-02-21 17:23 . 2002-08-30 09:58 2,166,454 -ra------ c:\windows\system32\drivers\IntelC51.sys

2009-02-21 16:31 . 2009-02-21 16:31 <DIR> d-------- c:\arquivos de programas\Alwil Software

2009-02-21 16:31 . 2003-03-18 18:20 1,060,864 --a------ c:\windows\system32\MFC71.dll

2009-02-21 13:21 . 2009-02-21 13:21 22 --a------ c:\windows\system32\ati64hlp.stb

2009-02-21 10:30 . 2008-04-13 19:20 159,232 --a------ c:\windows\system32\ptpusd.dll

2009-02-21 10:30 . 2008-04-13 11:45 15,104 --a------ c:\windows\system32\drivers\usbscan.sys

2009-02-21 10:30 . 2008-04-13 11:45 15,104 --a--c--- c:\windows\system32\dllcache\usbscan.sys

2009-02-21 10:30 . 2001-09-05 23:50 5,632 --a------ c:\windows\system32\ptpusb.dll

2009-02-21 08:18 . 2009-02-21 08:20 450,658 --a------ c:\windows\sess_1c15f6b16a2473d2b05c262ea8bde554cdbe7bba

2009-02-21 08:17 . 2009-02-21 08:17 314,063 --a------ c:\windows\sess_74381431e10cb960905492afb34c78cbe36788af

2009-02-21 08:17 . 2009-02-21 08:17 311,990 --a------ c:\windows\sess_ef73e56ca5cf952d80d80f16f3fe335b378f5589

2009-02-21 07:59 . 2009-02-21 08:01 506,641 --a------ c:\windows\sess_e54cc062a466fc87e8b4f628bdad99b0325a2ef9

2009-02-21 07:59 . 2009-02-21 07:59 0 --a------ c:\windows\sess_c11ac33fa9ce093ceb213b1b6b0e318cbe38c9f6

2009-02-21 07:56 . 2009-02-21 07:56 313,621 --a------ c:\windows\sess_35fed817b818ce4715f08b3d2f65a2ba42085047

2009-02-21 07:56 . 2009-02-21 07:56 312,276 --a------ c:\windows\sess_cb3ce5de842965a69b859b7bb216f24074accb0d

2009-02-21 07:55 . 2009-02-21 07:55 314,295 --a------ c:\windows\sess_32d3ecbe6ae74152ccba50090d74b8926b061be9

2009-02-21 07:55 . 2009-02-21 07:55 312,118 --a------ c:\windows\sess_ec43cd94f2bfa4adc666a75889859dc15c0dcad5

2009-02-21 07:53 . 2009-02-21 07:53 22 --a------ c:\windows\system32\ati64hl2.stb

2009-02-21 01:29 . 2009-02-21 01:29 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\MySQL

2009-02-21 01:21 . 2009-02-21 01:21 <DIR> d-------- c:\documents and settings\Bruno\Dados de aplicativos\Media Player Classic

2009-02-21 01:19 . 2009-02-21 08:18 32,371 --a------ c:\windows\sess_f8b2d094568eaf255c829cf08b1d41c24d0f14ec

2009-02-21 01:15 . 2009-02-21 01:16 <DIR> d-------- c:\documents and settings\Bruno\Dados de aplicativos\Notepad++

2009-02-21 01:15 . 2009-02-21 01:15 <DIR> d-------- c:\arquivos de programas\Notepad++

2009-02-21 00:58 . 2004-03-22 03:17 24,816 --a------ c:\windows\system32\mdimon.dll

2009-02-21 00:58 . 2009-02-21 00:58 421 --a------ c:\windows\ODBC.INI

2009-02-21 00:55 . 2009-02-21 00:56 <DIR> d-------- c:\windows\SHELLNEW

2009-02-21 00:36 . 2009-02-21 00:36 <DIR> d-------- c:\arquivos de programas\K-Lite Codec Pack

2009-02-21 00:30 . 2009-02-21 00:30 <DIR> d-------- c:\documents and settings\Bruno\Configuraes locais

2009-02-21 00:27 . 2009-02-21 00:27 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Adobe Systems

2009-02-21 00:26 . 2009-02-21 00:26 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\Adobe Systems Shared

2009-02-21 00:26 . 2009-02-21 16:27 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\Adobe

2009-02-21 00:17 . 2009-02-21 00:17 <DIR> d-------- c:\arquivos de programas\CCleaner

2009-02-21 00:16 . 2009-02-21 00:16 <DIR> d-------- c:\documents and settings\Bruno\Dados de aplicativos\Winamp

2009-02-21 00:16 . 2009-02-21 00:16 <DIR> d-------- c:\arquivos de programas\Winamp

2009-02-21 00:05 . 2009-02-21 00:05 <DIR> d---s---- c:\documents and settings\Bruno\UserData

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-21 02:54 --------- d-----w c:\arquivos de programas\Windows Live

2009-02-21 02:54 --------- d-----w c:\arquivos de programas\Microsoft

2009-02-21 02:53 --------- d-----w c:\arquivos de programas\Windows Live SkyDrive

2009-02-21 02:41 --------- d--h--w c:\arquivos de programas\InstallShield Installation Information

2009-02-21 02:41 --------- d-----w c:\arquivos de programas\Arquivos comuns\snp2std

2009-02-21 02:41 --------- d-----w c:\arquivos de programas\Arquivos comuns\InstallShield

2009-02-21 02:38 --------- d-----w c:\arquivos de programas\Arquivos comuns\Windows Live

2009-02-21 02:34 --------- d-----w c:\arquivos de programas\TUGZip

2009-02-21 02:31 --------- d-----w c:\arquivos de programas\ATI Technologies

2009-02-21 02:27 --------- d-----w c:\arquivos de programas\Analog Devices

2009-02-21 02:15 --------- d-----w c:\arquivos de programas\microsoft frontpage

2009-02-21 02:13 --------- d-----w c:\arquivos de programas\Serviços on-line

2009-02-21 02:13 --------- d-----w c:\arquivos de programas\Arquivos comuns\Serviços

2009-02-09 18:56 67,584 ----a-w c:\windows\system32\ff_vfw.dll

2009-02-06 21:52 49,504 ----a-w c:\windows\system32\sirenacm.dll

2008-12-11 00:33 86,016 ----a-w c:\windows\system32\dpl100.dll

2008-12-07 18:08 795,648 ----a-w c:\windows\system32\xvidcore.dll

2008-12-07 18:08 130,048 ----a-w c:\windows\system32\xvidvfw.dll

.

 

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"Skype"="c:\arquivos de programas\Skype\Phone\Skype.exe" [2009-01-29 23975720]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Smapp"="c:\arquivos de programas\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 143360]

"ATIPTA"="c:\arquivos de programas\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-03-17 339968]

"avast!"="c:\arquiv~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

Monitor Apache Servers.lnk - c:\apache2.2\bin\ApacheMonitor.exe [2008-12-10 41042]

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\Skype\\Phone\\Skype.exe"=

 

R3 XDva235;XDva235; [x]

R3 XDva246;XDva246; [x]

S1 aswSP;avast! Self Protection; [x]

S2 Apache2.2;Apache2.2;c:\apache2.2\bin\httpd.exe [2008-12-10 24636]

S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2009-02-05 20560]

 

 

--- ---

 

*Deregistered* - Aavmker4

*Deregistered* - AFD

*Deregistered* - ALG

*Deregistered* - Apache2.2

*Deregistered* - aswFsBlk

*Deregistered* - aswMon2

*Deregistered* - aswRdr

*Deregistered* - aswSP

*Deregistered* - aswTdi

*Deregistered* - aswUpdSv

*Deregistered* - Ati HotKey Poller

*Deregistered* - ATI Smart

*Deregistered* - AudioSrv

*Deregistered* - audstub

*Deregistered* - avast! Antivirus

*Deregistered* - avast! Mail Scanner

*Deregistered* - avast! Web Scanner

*Deregistered* - Beep

*Deregistered* - Browser

*Deregistered* - Cdfs

*Deregistered* - CryptSvc

*Deregistered* - DcomLaunch

*Deregistered* - Dhcp

*Deregistered* - dmio

*Deregistered* - dmload

*Deregistered* - dmserver

*Deregistered* - Dnscache

*Deregistered* - ERSvc

*Deregistered* - EventSystem

*Deregistered* - FastUserSwitchingCompatibility

*Deregistered* - Fips

*Deregistered* - FltMgr

*Deregistered* - Ftdisk

*Deregistered* - Gpc

*Deregistered* - helpsvc

*Deregistered* - HTTP

*Deregistered* - ImapiService

*Deregistered* - IpNat

*Deregistered* - IPSec

*Deregistered* - KSecDD

*Deregistered* - LanmanServer

*Deregistered* - lanmanworkstation

*Deregistered* - LmHosts

*Deregistered* - mnmdd

*Deregistered* - Mouclass

*Deregistered* - MountMgr

*Deregistered* - MRxDAV

*Deregistered* - MRxSmb

*Deregistered* - Msfs

*Deregistered* - mssmbios

*Deregistered* - Mup

*Deregistered* - MySQL

*Deregistered* - NDIS

*Deregistered* - NdisTapi

*Deregistered* - Ndisuio

*Deregistered* - NdisWan

*Deregistered* - NDProxy

*Deregistered* - NetBIOS

*Deregistered* - NetBT

*Deregistered* - Netman

*Deregistered* - Nla

*Deregistered* - Npfs

*Deregistered* - Ntfs

*Deregistered* - Null

*Deregistered* - PartMgr

*Deregistered* - ParVdm

*Deregistered* - PolicyAgent

*Deregistered* - PptpMiniport

*Deregistered* - ProtectedStorage

*Deregistered* - PSched

*Deregistered* - RasAcd

*Deregistered* - Rasl2tp

*Deregistered* - RasMan

*Deregistered* - RasPppoe

*Deregistered* - Raspti

*Deregistered* - Rdbss

*Deregistered* - RDPCDD

*Deregistered* - rdpdr

*Deregistered* - RpcSs

*Deregistered* - SamSs

*Deregistered* - Schedule

*Deregistered* - seclogon

*Deregistered* - SENS

*Deregistered* - SharedAccess

*Deregistered* - ShellHWDetection

*Deregistered* - SoundMAX Agent Service (default)

*Deregistered* - Spooler

*Deregistered* - sr

*Deregistered* - srservice

*Deregistered* - Srv

*Deregistered* - SSDPSRV

*Deregistered* - stisvc

*Deregistered* - swenum

*Deregistered* - TapiSrv

*Deregistered* - Tcpip

*Deregistered* - TermDD

*Deregistered* - TermService

*Deregistered* - Themes

*Deregistered* - TrkWks

*Deregistered* - UMWdf

*Deregistered* - Update

*Deregistered* - VgaSave

*Deregistered* - VolSnap

*Deregistered* - W32Time

*Deregistered* - Wanarp

*Deregistered* - WebClient

*Deregistered* - winmgmt

*Deregistered* - WinVNC4

*Deregistered* - wscsvc

*Deregistered* - wuauserv

*Deregistered* - WZCSVC

.

Conteúdo da pasta 'Tarefas Agendadas'

 

2009-02-28 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-606747145-436374069-1177238915-1003.job

- c:\documents and settings\Bruno\Configura []

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://br.yahoo.com/

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

TCP: {3C52E632-C21D-4AAA-B88E-1EF7226012DD} = 200.204.0.10 200.204.0.138

FF - ProfilePath - c:\documents and settings\Bruno\Dados de aplicativos\Mozilla\Firefox\Profiles\66lo699i.default\

FF - prefs.js: browser.startup.homepage - hxxp://br.yahoo.com/

FF - component: c:\arquivos de programas\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll

FF - component: c:\documents and settings\Bruno\Dados de aplicativos\Mozilla\Firefox\Profiles\66lo699i.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll

FF - plugin: c:\arquivos de programas\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF - plugin: c:\arquivos de programas\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

 

---- FIREFOX POLICIES ----

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-28 07:06:07

Windows 5.1.2600 Service Pack 3 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySQL]

"ImagePath"="\"c:\arquivos de programas\MySQL\MySQL Server 5.1\bin\mysqld\" --defaults-file=\"c:\arquivos de programas\MySQL\MySQL Server 5.1\my.ini\" MySQL"

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

 

- - - - - - - > 'winlogon.exe'(676)

c:\windows\system32\Ati2evxx.dll

.

Tempo para conclusão: 2009-02-28 7:07:17

ComboFix-quarantined-files.txt 2009-02-28 10:07:14

 

Pré-execução: 8.284.315.648 bytes disponíveis

Pós execução: 8,273,833,984 bytes disponíveis

 

274

e HiJackThis

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 07:09:25, on 28/2/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMTray.exe

C:\Arquivos de programas\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Skype\Phone\Skype.exe

C:\Apache2.2\bin\ApacheMonitor.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Apache2.2\bin\httpd.exe

C:\Arquivos de programas\MySQL\MySQL Server 5.1\bin\mysqld.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\RealVNC\VNC4\WinVNC4.exe

C:\Apache2.2\bin\httpd.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\Arquivos de programas\Skype\Plugin Manager\skypePM.exe

C:\Arquivos de programas\Winamp\winamp.exe

C:\Documents and Settings\Bruno\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Bruno\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Bruno\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Arquivos de programas\Priston\PsTale.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\taskmgr.exe

D:\Meus Documentos\Downloads\antivirus\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://br.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Programa Auxiliar de Início de Sessão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O4 - HKLM\..\Run: [smapp] C:\Arquivos de programas\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Arquivos de programas\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [skype] "C:\Arquivos de programas\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKUS\S-1-5-21-606747145-436374069-1177238915-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')

O4 - HKUS\S-1-5-21-606747145-436374069-1177238915-1003\..\Run: [skype] "C:\Arquivos de programas\Skype\Phone\Skype.exe" /nosplash /minimized (User '?')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Monitor Apache Servers.lnk = C:\Apache2.2\bin\ApacheMonitor.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O17 - HKLM\System\CCS\Services\Tcpip\..\{3C52E632-C21D-4AAA-B88E-1EF7226012DD}: NameServer = 200.204.0.10 200.204.0.138

O17 - HKLM\System\CS1\Services\Tcpip\..\{3C52E632-C21D-4AAA-B88E-1EF7226012DD}: NameServer = 200.204.0.10 200.204.0.138

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Apache2.2 - Apache Software Foundation - C:\Apache2.2\bin\httpd.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: MySQL - Unknown owner - C:\Arquivos.exe (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Arquivos de programas\RealVNC\VNC4\WinVNC4.exe

 

--

End of file - 6290 bytes

Edito os outros posts, para o tópico ficar com menos rolagem ? (tiro os outros logs?)

[PedroN 1]

Edito os outros posts, para o tópico ficar com menos rolagem ? (tiro os outros logs?)

 

Não será preciso, o log estar limpo!!

 

- Recomendo uma manutenção no computador para exclusão dos arquivos temporários, desnecessários e entradas inválidas no registro. Faça o download do CCleaner

 

◘ Clique em Salvar e quando terminado o download, faça a instalação;

◘ Abra o programa e clique em Executar Limpeza;

◘ Após isto, clique em Registro > Procurar erros > Corrigir erros selecionados.

 

:)

[William Bruno 1501]

Obrigado Sr. Perfect ^^

Eu já uso o CCleaner sim :lol: vlw..

 

Obrigadão.

[PedroN 1]

PROBLEMA RESOLVIDO!

 

Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico.