Thiengo 0 Denunciar post Postado Maio 13, 2009 recebi um email de um contato meu sobre inscrições para o Programa de Estágio 2009 , depois que cliquei no link começaram os problemas. minha página do internet explore fica redirecionando para a pagina "http://www.seekapp1.com/b.cgi?bk....." o endereço eh grande pra caramba. ja passe o AVIRA, AVG, Kaspersky, Spybot - Search & Destroy, Advanced Systemcare e o problema continua. Usando o Firefox ele não aparece, mas gostaria de corrigir esse problema no internet explore. Alguém ja teve esse problema e poderia está me ajudando??? Logfile of Trend Micro HijackThis v2.0.2Scan saved at 17:14:58, on 13/5/2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\ARQUIV~1\GbPlugin\GbpSv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe C:\Arquivos de programas\Java\jre6\bin\jqs.exe C:\Arquivos de programas\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\nvsvc32.exe C:\Documents and Settings\All Users\Dados de aplicativos\SeekappSrch\seekapp139.exe C:\Arquivos de programas\Microsoft SQL Server\90\Shared\sqlbrowser.exe C:\Arquivos de programas\Microsoft SQL Server\90\Shared\sqlwriter.exe C:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\Arquivos de programas\SeekappSrch\seekapp.exe C:\WINDOWS\System32\svchost.exe C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE C:\Hijack\HiJackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Arquivos de programas\Orbitdownloader\orbitcth.dll O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Arquivos de programas\Orbitdownloader\GrabPro.dll O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\Fantasy Codecs\qttask.exe" -atboottime O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') O8 - Extra context menu item: &Download by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201 O8 - Extra context menu item: &Grab video by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204 O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203 O8 - Extra context menu item: Down&load all by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202 O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~4\OFFICE11\REFIEBAR.DLL O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://www14.bancobrasil.com.br/plugin/GbpDist.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{293927E8-D633-4E38-BE7D-AAC2877B036B}: NameServer = 80.70.60.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{293927E8-D633-4E38-BE7D-AAC2877B036B}: NameServer = 80.70.60.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{293927E8-D633-4E38-BE7D-AAC2877B036B}: NameServer = 80.70.60.1 O20 - Winlogon Notify: GbPluginBb - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: SeekappSrch Service - Unknown owner - C:\Documents and Settings\All Users\Dados de aplicativos\SeekappSrch\seekapp139.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe -- End of file - 6928 bytes Compartilhar este post Link para o post Compartilhar em outros sites
PedroN 1 Denunciar post Postado Maio 13, 2009 Thiengo, Léia o tópico fixo desta área primeiramente ;) Regra Nº 02 - Utilizando O Hijackthis Compartilhar este post Link para o post Compartilhar em outros sites
Thiengo 0 Denunciar post Postado Maio 13, 2009 Thiengo, Léia o tópico fixo desta área primeiramente ;) Regra Nº 02 - Utilizando O Hijackthis PedroN já postei o log como diz a Regra Nº 02 - Utilizando O Hijackthis, se não for isso me fala, valeu pela ajuda. Compartilhar este post Link para o post Compartilhar em outros sites
PedroN 1 Denunciar post Postado Maio 13, 2009 Faça o download do ComboFix de um destes locais: Link 1. Link 2. Link 3. Importante! Você não deve usar Combofix a menos que você tenha sido instruído a fazê-lo por um análista de segurança. Destina-se pelo seu criador para ser utilizado sob orientação e supervisão de um especialista, e não para uso privado. Utilizando esta ferramenta incorreto poderia levar a desastrosa problemas com o seu sistema operativo. Certifique-se de que você salvou ComboFix.exe para o seu desktop. • Desabilite o seu AntiVirus e AntiSpyware , geralmente através de um clique direito sobre o ícone da bandeja do sistema. Eles podem interferir na execução da ferramenta. • Dê um duplo clique no ComboFix.exe & siga as instruções. • Como parte de seu processo, ComboFix irá verificar se o Microsoft Windows Recovery Console está instalado. Com malware infecções serem como são hoje, é fortemente recomendado que este pré-instalado em sua máquina antes de fazer qualquer remoção de malware. Ela permitirá que você arrancar em especial uma recuperação / reparação modo a permitir-nos-á mais fácil ajudá-lo a seu computador deve ter um problema após uma tentativa de remoção de malware. • Siga as instruções para permitir ComboFix para baixar e instalar o Microsoft Windows Recovery Console e, quando for solicitado, concordar com o End-User License Agreement para instalar o Microsoft Windows Recovery Console. -- Atenção: Se a consola de recuperação do Microsoft Windows já estiver instalado, ComboFix irá continuar a sua remoção malware procedimentos. Uma vez que o Microsoft Windows Recovery Console é instalado usando o ComboFix, você deverá ver a seguinte mensagem: Clique em Sim, para continuar a varredura de malware. Quando terminar, ela deve produzir um log para você. Poste o relatorio do combofix que estar em C: \ ComboFix.txt na sua próxima resposta. Compartilhar este post Link para o post Compartilhar em outros sites
Thiengo 0 Denunciar post Postado Maio 14, 2009 Faça o download do ComboFix de um destes locais: Link 1. Link 2. Link 3. Importante! Você não deve usar Combofix a menos que você tenha sido instruído a fazê-lo por um análista de segurança. Destina-se pelo seu criador para ser utilizado sob orientação e supervisão de um especialista, e não para uso privado. Utilizando esta ferramenta incorreto poderia levar a desastrosa problemas com o seu sistema operativo. Certifique-se de que você salvou ComboFix.exe para o seu desktop. • Desabilite o seu AntiVirus e AntiSpyware , geralmente através de um clique direito sobre o ícone da bandeja do sistema. Eles podem interferir na execução da ferramenta. • Dê um duplo clique no ComboFix.exe & siga as instruções. • Como parte de seu processo, ComboFix irá verificar se o Microsoft Windows Recovery Console está instalado. Com malware infecções serem como são hoje, é fortemente recomendado que este pré-instalado em sua máquina antes de fazer qualquer remoção de malware. Ela permitirá que você arrancar em especial uma recuperação / reparação modo a permitir-nos-á mais fácil ajudá-lo a seu computador deve ter um problema após uma tentativa de remoção de malware. • Siga as instruções para permitir ComboFix para baixar e instalar o Microsoft Windows Recovery Console e, quando for solicitado, concordar com o End-User License Agreement para instalar o Microsoft Windows Recovery Console. -- Atenção: Se a consola de recuperação do Microsoft Windows já estiver instalado, ComboFix irá continuar a sua remoção malware procedimentos. Uma vez que o Microsoft Windows Recovery Console é instalado usando o ComboFix, você deverá ver a seguinte mensagem: Clique em Sim, para continuar a varredura de malware. Quando terminar, ela deve produzir um log para você. Poste o relatorio do combofix que estar em C: \ ComboFix.txt na sua próxima resposta. Quando Combofix inicia ele fala que a verificaçao pode demorar caso o computador esteja muito infectado, ai alguns segundos depois o pc reinicia, o qe pode ser??? a unica coisa que está no relatrio eh: ComboFix 09-05-13.02 - Administrador 14/05/2009 0:14:41.1 - NTFSx86Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.2047.1626 [GMT -3:00] Executando de: C:\Documents and Settings\Administrador\Desktop\ComboFix.exe . Compartilhar este post Link para o post Compartilhar em outros sites
PedroN 1 Denunciar post Postado Maio 14, 2009 Oi Thiengo boa tarde! Desabilite o seu AntiVirus e AntiSpyware - Clique com o botão direito do mouse sobre o ícone do Avira ao lado do relógio do computador -> - Desmarque a opção AntiVir guard enable; - O ícone dele ficará com o guarda-chuvas branco fechado sobre o fundo vermelho -> Tente agora executar o combofix, caso não funcione tente em modo de segurança. ;) Compartilhar este post Link para o post Compartilhar em outros sites
Thiengo 0 Denunciar post Postado Maio 14, 2009 Oi Thiengo boa tarde! Desabilite o seu AntiVirus e AntiSpyware - Clique com o botão direito do mouse sobre o ícone do Avira ao lado do relógio do computador -> - Desmarque a opção AntiVir guard enable; - O ícone dele ficará com o guarda-chuvas branco fechado sobre o fundo vermelho -> Tente agora executar o combofix, caso não funcione tente em modo de segurança. ;) Boa Tarde PedroN, eu ja tinha desabilitado o Avira, mas não executado o ComboFix em modo de segurança, fiz isso e o pc reiniciou novamente. Desistalei o Avira, passei o CCleaner pra limpar qualquer rastro dele e executei o combofix em modo d segurança e Normal e o pc reiniciou nos dois casos. Tem algum outro programa que possa substituir o ComboFix, axu q com ele nao vou conseguir o relatorio??? Valeu pela ajuda. Compartilhar este post Link para o post Compartilhar em outros sites
PedroN 1 Denunciar post Postado Maio 14, 2009 Oi Thiengo, novamente uma boa tarde. Vamos continuar nosso procedimentos mais desta vez com outras ferramentas. Siga agora os procedimentos na ordem por favor, e poste os log(s) na sua próxima resposta. 1. Primeiramente execute o Malwarebytes • Vá a este Link,e baixe: < Malwarebytes > • Atualize o programa! • Escolha o escaneamento Rápido! • Desabilite programas de proteção,ao executar o malwarebytes. • Procure enviar os ítens detectados para a quarentena,clicando em Remover itens. • Para maiores detalhes: < Link > ----------------------- • Poste, o relatórios: mbam-log-2008-xx-xx (00-00-00).txt. 2. Depois execute o RSIT Faça o download do Random's System Information Tool (RSIT) http://images.malwareremoval.com/random/RSIT.exe Salve na sua área de trabalho. ◘ Execute o RSIT.exe. ◘ Haverá uma janela informativa: ◘ List files/folders created or modified in the last: 1 month ◘ Clique em Continue. Quando terminar, dois blocos de notas serão abertos: log.txt -> abrirá maximizado info.txt -> abrirá minimizado. poste o arquivo log.txt na sua proxima resposta. Uma cópia desses arquivos ficará salva na pasta C:\RSIT Obs: Se o seu firewall alertar sobre o arquivo rsit.exe tentando se conectar, certifique-se de permitir (allow). Um forte abraço ;) Compartilhar este post Link para o post Compartilhar em outros sites
Thiengo 0 Denunciar post Postado Maio 14, 2009 Oi Thiengo, novamente uma boa tarde. Vamos continuar nosso procedimentos mais desta vez com outras ferramentas. Siga agora os procedimentos na ordem por favor, e poste os log(s) na sua próxima resposta. 1. Primeiramente execute o Malwarebytes • Vá a este Link,e baixe: < Malwarebytes > • Atualize o programa! • Escolha o escaneamento Rápido! • Desabilite programas de proteção,ao executar o malwarebytes. • Procure enviar os ítens detectados para a quarentena,clicando em Remover itens. • Para maiores detalhes: < Link > ----------------------- • Poste, o relatórios: mbam-log-2008-xx-xx (00-00-00).txt. 2. Depois execute o RSIT Faça o download do Random's System Information Tool (RSIT) http://images.malwareremoval.com/random/RSIT.exe Salve na sua área de trabalho. ◘ Execute o RSIT.exe. ◘ Haverá uma janela informativa: ◘ List files/folders created or modified in the last: 1 month ◘ Clique em Continue. Quando terminar, dois blocos de notas serão abertos: log.txt -> abrirá maximizado info.txt -> abrirá minimizado. poste o arquivo log.txt na sua proxima resposta. Uma cópia desses arquivos ficará salva na pasta C:\RSIT Obs: Se o seu firewall alertar sobre o arquivo rsit.exe tentando se conectar, certifique-se de permitir (allow). Um forte abraço ;) mbam-log-2009-05-14 (17-13-11) Malwarebytes' Anti-Malware 1.36Versão do banco de dados: 2132 Windows 5.1.2600 Service Pack 2 14/5/2009 17:13:11 mbam-log-2009-05-14 (17-13-11).txt Tipo de Verificação: Rápida Objetos verificados: 75639 Tempo decorrido: 3 minute(s), 10 second(s) Processos da Memória infectados: 0 Módulos de Memória Infectados: 0 Chaves do Registro infectadas: 0 Valores do Registro infectados: 0 Ítens do Registro infectados: 1 Pastas infectadas: 0 Arquivos infectados: 0 Processos da Memória infectados: (Nenhum ítem malicioso foi detectado) Módulos de Memória Infectados: (Nenhum ítem malicioso foi detectado) Chaves do Registro infectadas: (Nenhum ítem malicioso foi detectado) Valores do Registro infectados: (Nenhum ítem malicioso foi detectado) Ítens do Registro infectados: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Pastas infectadas: (Nenhum ítem malicioso foi detectado) Arquivos infectados: (Nenhum ítem malicioso foi detectado) log RSIT Logfile of random's system information tool 1.06 (written by random/random)Run by Administrador at 2009-05-14 17:17:14 Microsoft Windows XP Professional Service Pack 2 System drive C: has 217 MB (2%) free of 10 GB Total RAM: 2047 MB (79% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:17:39, on 14/5/2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\ARQUIV~1\GbPlugin\GbpSv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Arquivos de programas\Java\jre6\bin\jqs.exe C:\Arquivos de programas\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\nvsvc32.exe C:\Documents and Settings\All Users\Dados de aplicativos\SeekappSrch\seekapp139.exe C:\Arquivos de programas\Microsoft SQL Server\90\Shared\sqlbrowser.exe C:\Arquivos de programas\Microsoft SQL Server\90\Shared\sqlwriter.exe C:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\Arquivos de programas\SeekappSrch\seekapp.exe C:\Documents and Settings\Administrador\Desktop\RSIT.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Hijack\Administrador.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Arquivos de programas\Orbitdownloader\orbitcth.dll O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Arquivos de programas\Orbitdownloader\GrabPro.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') O8 - Extra context menu item: &Download by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201 O8 - Extra context menu item: &Grab video by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204 O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203 O8 - Extra context menu item: Down&load all by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202 O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~4\OFFICE11\REFIEBAR.DLL O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://www14.bancobrasil.com.br/plugin/GbpDist.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{293927E8-D633-4E38-BE7D-AAC2877B036B}: NameServer = 80.70.60.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{293927E8-D633-4E38-BE7D-AAC2877B036B}: NameServer = 80.70.60.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{293927E8-D633-4E38-BE7D-AAC2877B036B}: NameServer = 80.70.60.1 O20 - Winlogon Notify: GbPluginBb - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PsExec (PSEXESVC) - Sysinternals - C:\WINDOWS\PSEXESVC.EXE O23 - Service: SeekappSrch Service - Unknown owner - C:\Documents and Settings\All Users\Dados de aplicativos\SeekappSrch\seekapp139.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe -- End of file - 6225 bytes ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000123B4-9B42-4900-B3F7-F4B073EFC214}] Octh Class - C:\Arquivos de programas\Orbitdownloader\orbitcth.dll [2009-02-27 134344] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}] Auxiliar de Conexão do Windows Live - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2008-11-18 408952] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C41A1C0E-EA6C-11D4-B1B8-444553540000}] GbIehObj Class - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll [2009-03-25 271152] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java Plug-In 2 SSV Helper - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll [2009-03-29 35840] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-03-29 73728] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - Grab Pro - C:\Arquivos de programas\Orbitdownloader\GrabPro.dll [2009-02-27 646264] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2008-05-16 13529088] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS4ServiceManager] C:\Arquivos de programas\Arquivos comuns\Adobe\CS4ServiceManager\CS4ServiceManager.exe [2008-08-14 611712] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Advanced SystemCare 3] C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe /startup [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt] C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe /min [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe [2005-11-24 94208] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DWQueuedReporting] C:\ARQUIV~1\ARQUIV~1\MICROS~1\DW\dwtrig20.exe [2007-02-26 437160] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe /background [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] C:\WINDOWS\system32\NvCpl.dll [2008-05-16 13529088] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] C:\WINDOWS\system32\NvMcTray.dll [2008-05-16 86016] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] nwiz.exe /install [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] C:\Program Files\Fantasy Codecs\qttask.exe [2009-03-29 282624] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] C:\WINDOWS\SOUNDMAN.EXE [2007-04-16 577536] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] C:\Arquivos de programas\Java\jre6\bin\jusched.exe [2009-03-29 148888] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ GbPluginBb] C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll [2009-03-25 271152] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{E37CB5F0-51F5-4395-A808-5FA49E399F83}"=C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll [2009-03-25 271152] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PSEXESVC] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PSEXESVC] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 "NoSMConfigurePrograms"=1 "StartMenuLogoff"=1 "ForceStartMenuLogoff"=0 "NoUserNameInStartMenu"=1 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HideRunAsVerb"= "NoResolveSearch"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Arquivos de programas\Windows Live\Messenger\wlcsdk.exe"="C:\Arquivos de programas\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call" "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe"="C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\Arquivos de programas\Orbitdownloader\orbitdm.exe"="C:\Arquivos de programas\Orbitdownloader\orbitdm.exe:*:Enabled:Orbit" "C:\Arquivos de programas\Orbitdownloader\orbitnet.exe"="C:\Arquivos de programas\Orbitdownloader\orbitnet.exe:*:Enabled:Orbit" "C:\Arquivos de programas\Arquivos comuns\Adobe\CS4ServiceManager\CS4ServiceManager.exe"="C:\Arquivos de programas\Arquivos comuns\Adobe\CS4ServiceManager\CS4ServiceManager.exe:*:Enabled:Adobe CSI CS4" "C:\Arquivos de programas\SmartFTP Client\SmartFTP.exe"="C:\Arquivos de programas\SmartFTP Client\SmartFTP.exe:*:Enabled:SmartFTP Client 3.0" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Arquivos de programas\Windows Live\Messenger\wlcsdk.exe"="C:\Arquivos de programas\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call" "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe"="C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" ======File associations====== .js - open - "C:\Arquivos de programas\Adobe\Adobe Dreamweaver CS4\Dreamweaver.exe","%1" ======List of files/folders created in the last 1 months====== 2009-05-14 17:17:14 ----D---- C:\rsit 2009-05-14 17:04:02 ----D---- C:\Documents and Settings\Administrador\Dados de aplicativos\Malwarebytes 2009-05-14 17:03:57 ----D---- C:\Documents and Settings\All Users\Dados de aplicativos\Malwarebytes 2009-05-14 17:03:56 ----D---- C:\Arquivos de programas\Malwarebytes' Anti-Malware 2009-05-14 15:50:43 ----D---- C:\Arquivos de programas\FlashBoot 2009-05-14 15:47:31 ----D---- C:\pebuilder3110a 2009-05-14 14:24:49 ----D---- C:\ComboFix 2009-05-14 14:24:48 ----A---- C:\WINDOWS\system32\CF25544.exe 2009-05-14 14:22:21 ----A---- C:\WINDOWS\ntbtlog.txt 2009-05-14 14:22:12 ----A---- C:\WINDOWS\system32\CF25038.exe 2009-05-14 14:12:34 ----A---- C:\WINDOWS\system32\CF23144.exe 2009-05-14 14:07:34 ----A---- C:\WINDOWS\system32\CF22167.exe 2009-05-14 14:04:26 ----A---- C:\WINDOWS\system32\CF21560.exe 2009-05-14 00:13:55 ----A---- C:\WINDOWS\system32\CF22673.exe 2009-05-14 00:09:52 ----A---- C:\WINDOWS\system32\CF21850.exe 2009-05-13 22:53:45 ----A---- C:\WINDOWS\system32\CF6956.exe 2009-05-13 22:51:27 ----A---- C:\WINDOWS\PSEXESVC.EXE 2009-05-13 22:51:10 ----A---- C:\Boot.bak 2009-05-13 22:51:06 ----RASHD---- C:\cmdcons 2009-05-13 22:44:08 ----A---- C:\WINDOWS\zip.exe 2009-05-13 22:44:08 ----A---- C:\WINDOWS\vFind.exe 2009-05-13 22:44:08 ----A---- C:\WINDOWS\SWXCACLS.exe 2009-05-13 22:44:08 ----A---- C:\WINDOWS\SWSC.exe 2009-05-13 22:44:08 ----A---- C:\WINDOWS\SWREG.exe 2009-05-13 22:44:08 ----A---- C:\WINDOWS\sed.exe 2009-05-13 22:44:08 ----A---- C:\WINDOWS\NIRCMD.exe 2009-05-13 22:44:08 ----A---- C:\WINDOWS\grep.exe 2009-05-13 22:43:57 ----D---- C:\WINDOWS\ERDNT 2009-05-13 22:43:57 ----A---- C:\WINDOWS\system32\CF5042.exe 2009-05-13 22:43:49 ----D---- C:\Qoobox 2009-05-13 17:25:59 ----D---- C:\Arquivos de programas\Realtek AC97 2009-05-13 17:13:43 ----D---- C:\Hijack 2009-05-13 17:12:44 ----D---- C:\Downloads 2009-05-13 16:24:50 ----SHD---- C:\Config.Msi 2009-05-13 15:36:36 ----A---- C:\WINDOWS\system32\ChCfg.exe 2009-05-13 15:36:11 ----HD---- C:\Arquivos de programas\InstallShield Installation Information 2009-05-13 15:36:11 ----A---- C:\WINDOWS\alcupd.exe 2009-05-13 15:24:17 ----D---- C:\Arquivos de programas\sXe Injected 2009-05-13 14:59:11 ----D---- C:\Arquivos de programas\VIA 2009-05-13 14:59:07 ----D---- C:\Arquivos de programas\Arquivos comuns\InstallShield 2009-05-12 14:30:23 ----A---- C:\WINDOWS\Alcrmv.exe 2009-05-12 13:59:44 ----D---- C:\Documents and Settings\All Users\Dados de aplicativos\rkfree 2009-05-12 13:59:44 ----D---- C:\Arquivos de programas\RKFree 2009-05-12 13:34:45 ----D---- C:\Arquivos de programas\Nimbuzz 2009-05-11 12:47:10 ----D---- C:\Documents and Settings\All Users\Dados de aplicativos\Kaspersky Lab Setup Files 2009-05-10 12:19:38 ----A---- C:\WINDOWS\system32\lfpng13n.dll 2009-05-10 12:19:31 ----A---- C:\WINDOWS\system32\lfpsd13n.dll 2009-05-10 12:19:30 ----A---- C:\WINDOWS\system32\lfgif13n.dll 2009-05-10 12:19:27 ----A---- C:\WINDOWS\system32\ltkrn13n.dll 2009-05-10 12:19:27 ----A---- C:\WINDOWS\system32\ltimg13n.dll 2009-05-10 12:19:27 ----A---- C:\WINDOWS\system32\ltfil13n.dll 2009-05-10 12:19:27 ----A---- C:\WINDOWS\system32\ltefx13n.dll 2009-05-10 12:19:27 ----A---- C:\WINDOWS\system32\ltdis13n.dll 2009-05-10 12:19:27 ----A---- C:\WINDOWS\system32\lfcmp13n.dll 2009-05-10 12:19:27 ----A---- C:\WINDOWS\system32\lfbmp13n.dll 2009-05-09 14:19:12 ----D---- C:\Documents and Settings\Administrador\Dados de aplicativos\IObit 2009-05-09 14:19:11 ----D---- C:\Arquivos de programas\IObit 2009-05-08 16:58:32 ----D---- C:\Arquivos de programas\Internet Explorer 2009-05-08 11:51:02 ----D---- C:\Documents and Settings\All Users\Dados de aplicativos\Spybot - Search & Destroy 2009-05-08 11:51:02 ----D---- C:\Arquivos de programas\Spybot - Search & Destroy 2009-05-08 01:27:46 ----D---- C:\Documents and Settings\All Users\Dados de aplicativos\SeekappSrch 2009-05-08 01:27:46 ----D---- C:\Arquivos de programas\SeekappSrch 2009-05-08 01:26:11 ----D---- C:\Arquivos de programas\Beneton Movie GIF 2009-05-07 15:50:40 ----D---- C:\Documents and Settings\All Users\Dados de aplicativos\GbPlugin 2009-05-07 15:50:40 ----D---- C:\Arquivos de programas\GbPlugin 2009-05-07 15:46:55 ----D---- C:\WINDOWS\Sun 2009-05-03 00:19:12 ----D---- C:\WINDOWS\Downloaded Installations 2009-04-30 19:36:36 ----D---- C:\Arquivos de programas\CDisplay 2009-04-28 15:30:26 ----D---- C:\WINDOWS\system32\Visual Studio 2005Templates 2009-04-28 15:30:26 ----D---- C:\WINDOWS\system32\Visual Studio 2005 2009-04-27 17:48:14 ----A---- C:\WINDOWS\NeroDigital.ini 2009-04-27 17:13:08 ----D---- C:\Documents and Settings\Administrador\Dados de aplicativos\Ahead 2009-04-27 17:11:52 ----D---- C:\Arquivos de programas\Arquivos comuns\Ahead 2009-04-27 13:35:40 ----A---- C:\WINDOWS\system32\Primomonnt.dll 2009-04-27 13:35:35 ----D---- C:\WINDOWS\PrimoPDF4 2009-04-27 13:35:35 ----D---- C:\Arquivos de programas\activePDF 2009-04-25 13:12:27 ----D---- C:\Documents and Settings\Administrador\Dados de aplicativos\SmartFTP 2009-04-25 13:12:08 ----D---- C:\Arquivos de programas\SmartFTP Client 2009-04-25 13:11:52 ----D---- C:\Arquivos de programas\SmartFTP Client 3.0 Setup Files 2009-04-25 12:26:15 ----D---- C:\Arquivos de programas\Sequentum 2009-04-24 22:14:49 ----D---- C:\Documents and Settings\All Users\Dados de aplicativos\FLEXnet 2009-04-24 22:09:16 ----D---- C:\Arquivos de programas\Adobe 2009-04-24 22:06:49 ----D---- C:\Arquivos de programas\Arquivos comuns\Macrovision Shared 2009-04-24 17:10:46 ----A---- C:\WINDOWS\system32\mdimon.dll 2009-04-24 17:09:53 ----D---- C:\Arquivos de programas\Arquivos comuns\DESIGNER 2009-04-24 17:09:44 ----D---- C:\WINDOWS\SHELLNEW 2009-04-23 17:44:54 ----A---- C:\WINDOWS\ODBC.INI 2009-04-23 17:44:13 ----D---- C:\WINDOWS\system32\js 2009-04-23 17:44:13 ----D---- C:\WINDOWS\system32\images 2009-04-23 17:44:13 ----D---- C:\WINDOWS\system32\html 2009-04-23 17:44:13 ----D---- C:\WINDOWS\system32\css 2009-04-23 17:44:13 ----D---- C:\Arquivos de programas\Business Objects 2009-04-23 17:38:24 ----D---- C:\Arquivos de programas\Microsoft SQL Server 2009-04-23 17:37:44 ----D---- C:\Arquivos de programas\Microsoft Device Emulator 2009-04-23 17:36:47 ----D---- C:\Arquivos de programas\Windows Mobile 5.0 SDK R2 2009-04-23 17:36:04 ----D---- C:\Arquivos de programas\Microsoft Synchronization Services 2009-04-23 17:36:03 ----D---- C:\Arquivos de programas\Microsoft SQL Server Compact Edition 2009-04-23 17:29:57 ----D---- C:\Documents and Settings\All Users\Dados de aplicativos\PreEmptive Solutions 2009-04-23 17:27:09 ----D---- C:\Arquivos de programas\Microsoft Office 2009-04-23 17:26:10 ----D---- C:\WINDOWS\symbols 2009-04-23 17:24:42 ----D---- C:\Arquivos de programas\Microsoft.NET 2009-04-23 17:24:42 ----D---- C:\Arquivos de programas\Microsoft Visual Studio 9.0 2009-04-23 17:24:42 ----D---- C:\Arquivos de programas\Microsoft SDKs 2009-04-23 17:24:42 ----D---- C:\Arquivos de programas\HTML Help Workshop 2009-04-23 17:24:42 ----D---- C:\Arquivos de programas\CE Remote Tools 2009-04-23 17:24:42 ----D---- C:\Arquivos de programas\Arquivos comuns\Merge Modules 2009-04-23 17:23:22 ----D---- C:\Arquivos de programas\Microsoft Web Designer Tools 2009-04-23 17:23:09 ----RHD---- C:\MSOCache 2009-04-23 17:22:42 ----D---- C:\WINDOWS\system32\Visual Studio 2008Templates 2009-04-23 17:22:42 ----D---- C:\WINDOWS\system32\Visual Studio 2008 2009-04-23 17:22:27 ----D---- C:\Documents and Settings\All Users\Dados de aplicativos\Microsoft Help 2009-04-23 17:21:14 ----D---- C:\Arquivos de programas\MSBuild 2009-04-23 17:21:09 ----D---- C:\WINDOWS\system32\XPSViewer 2009-04-23 17:21:02 ----D---- C:\WINDOWS\system32\en-us 2009-04-23 17:21:02 ----D---- C:\Arquivos de programas\Reference Assemblies 2009-04-23 17:20:40 ----N---- C:\WINDOWS\system32\spmsg2.dll 2009-04-23 17:17:34 ----HDC---- C:\WINDOWS\$NtUninstallWIC$ 2009-04-23 17:17:29 ----D---- C:\Arquivos de programas\MSXML 6.0 2009-04-23 17:13:38 ----A---- C:\WINDOWS\system32\BASSMOD.dll 2009-04-23 17:13:20 ----D---- C:\Arquivos de programas\Alcohol Soft 2009-04-23 16:17:35 ----D---- C:\Arquivos de programas\Gabest 2009-04-23 15:23:32 ----D---- C:\Documents and Settings\All Users\Dados de aplicativos\Messenger Plus! 2009-04-23 15:20:05 ----D---- C:\WINDOWS\WBEM 2009-04-23 15:19:09 ----HDC---- C:\WINDOWS\ie8 2009-04-23 15:19:09 ----D---- C:\WINDOWS\system32\pt-BR 2009-04-23 15:17:52 ----D---- C:\Documents and Settings\Administrador\Dados de aplicativos\GrabPro 2009-04-23 15:17:50 ----D---- C:\Documents and Settings\Administrador\Dados de aplicativos\Orbit 2009-04-23 15:17:50 ----D---- C:\Arquivos de programas\Orbitdownloader 2009-04-23 15:16:43 ----D---- C:\Arquivos de programas\Messenger Plus! Live 2009-04-23 15:15:26 ----D---- C:\Arquivos de programas\Microsoft 2009-04-23 15:15:07 ----D---- C:\Arquivos de programas\Windows Live SkyDrive 2009-04-23 15:13:41 ----D---- C:\Arquivos de programas\Arquivos comuns\Windows Live 2009-04-23 15:07:35 ----A---- C:\WINDOWS\system32\ksuser.dll 2009-04-23 15:07:18 ----D---- C:\WINDOWS\nview 2009-04-23 15:04:35 ----D---- C:\WINDOWS\system32\ReinstallBackups 2009-04-23 15:03:58 ----A---- C:\WINDOWS\system32\RTLCPL.exe 2009-04-23 15:03:58 ----A---- C:\WINDOWS\system32\RTLCPAPI.dll 2009-04-23 15:03:58 ----A---- C:\WINDOWS\SOUNDMAN.EXE 2009-04-23 15:03:56 ----A---- C:\WINDOWS\system32\nvwssr.dll 2009-04-23 15:03:56 ----A---- C:\WINDOWS\system32\nvwss.dll 2009-04-23 15:03:56 ----A---- C:\WINDOWS\system32\nvwddi.dll 2009-04-23 15:03:56 ----A---- C:\WINDOWS\system32\nvvitvsr.dll 2009-04-23 15:03:56 ----A---- C:\WINDOWS\system32\nvvitvs.dll 2009-04-23 15:03:56 ----A---- C:\WINDOWS\system32\nvsvc32.exe 2009-04-23 15:03:55 ----A---- C:\WINDOWS\system32\nvoglnt.dll 2009-04-23 15:03:55 ----A---- C:\WINDOWS\system32\nvnt4cpl.dll 2009-04-23 15:03:55 ----A---- C:\WINDOWS\system32\nvmoblsr.dll 2009-04-23 15:03:55 ----A---- C:\WINDOWS\system32\nvmobls.dll 2009-04-23 15:03:55 ----A---- C:\WINDOWS\system32\nvmctray.dll 2009-04-23 15:03:55 ----A---- C:\WINDOWS\system32\nvmccssr.dll 2009-04-23 15:03:55 ----A---- C:\WINDOWS\system32\nvmccss.dll 2009-04-23 15:03:55 ----A---- C:\WINDOWS\system32\nvmccs.dll 2009-04-23 15:03:55 ----A---- C:\WINDOWS\system32\nvgamesr.dll 2009-04-23 15:03:55 ----A---- C:\WINDOWS\system32\nvgames.dll 2009-04-23 15:03:55 ----A---- C:\WINDOWS\system32\nvdispsr.dll 2009-04-23 15:03:55 ----A---- C:\WINDOWS\system32\nvdisps.dll 2009-04-23 15:03:55 ----A---- C:\WINDOWS\system32\nvcuda.dll 2009-04-23 15:03:54 ----A---- C:\WINDOWS\system32\nvcpl.dll 2009-04-23 15:03:54 ----A---- C:\WINDOWS\system32\nvcodins.dll 2009-04-23 15:03:54 ----A---- C:\WINDOWS\system32\nvcod.dll 2009-04-23 15:03:54 ----A---- C:\WINDOWS\system32\nvapi.dll 2009-04-23 15:03:54 ----A---- C:\WINDOWS\system32\nv4_disp.dll ======List of files/folders modified in the last 1 months====== 2009-05-14 17:14:47 ----AD---- C:\WINDOWS\system32\drivers 2009-05-14 17:03:56 ----D---- C:\Arquivos de programas 2009-05-14 16:54:49 ----D---- C:\WINDOWS\Temp 2009-05-14 16:45:29 ----D---- C:\WINDOWS 2009-05-14 14:44:27 ----D---- C:\WINDOWS\system32\CatRoot2 2009-05-14 14:25:18 ----D---- C:\WINDOWS\system32 2009-05-14 14:09:57 ----RASH---- C:\boot.ini 2009-05-14 14:09:57 ----A---- C:\WINDOWS\win.ini 2009-05-14 14:09:57 ----A---- C:\WINDOWS\system.ini 2009-05-14 00:58:23 ----D---- C:\WINDOWS\inf 2009-05-13 22:44:08 ----D---- C:\WINDOWS\system32\Restore 2009-05-13 16:24:53 ----SHD---- C:\WINDOWS\Installer 2009-05-13 16:24:52 ----D---- C:\WINDOWS\WinSxS 2009-05-13 14:59:07 ----D---- C:\Arquivos de programas\Arquivos comuns 2009-05-13 14:53:58 ----SD---- C:\Documents and Settings\Administrador\Dados de aplicativos\Microsoft 2009-05-13 01:59:03 ----D---- C:\WINDOWS\system32\CatRoot 2009-05-11 12:00:58 ----D---- C:\Arquivos de programas\Mozilla Firefox 2009-05-09 14:44:12 ----A---- C:\WINDOWS\DUMP26d1.tmp 2009-05-07 15:50:40 ----SD---- C:\WINDOWS\Downloaded Program Files 2009-05-01 17:54:51 ----D---- C:\WINDOWS\system 2009-04-28 15:30:52 ----SD---- C:\Documents and Settings\All Users\Dados de aplicativos\Microsoft 2009-04-28 15:30:25 ----RSD---- C:\WINDOWS\assembly 2009-04-28 15:29:05 ----D---- C:\Arquivos de programas\Arquivos comuns\Microsoft Shared 2009-04-27 13:35:40 ----A---- C:\WINDOWS\primopdf.ini 2009-04-25 11:30:44 ----D---- C:\Documents and Settings\Administrador\Dados de aplicativos\Adobe 2009-04-24 22:10:35 ----D---- C:\Arquivos de programas\Arquivos comuns\Adobe 2009-04-24 22:10:28 ----D---- C:\Documents and Settings\All Users\Dados de aplicativos\Adobe 2009-04-24 17:10:04 ----RSD---- C:\WINDOWS\Fonts 2009-04-24 13:51:49 ----D---- C:\Documents and Settings\Administrador\Dados de aplicativos\Winamp 2009-04-24 11:12:11 ----D---- C:\WINDOWS\Microsoft.NET 2009-04-23 17:42:25 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI 2009-04-23 17:39:05 ----D---- C:\WINDOWS\Registration 2009-04-23 17:25:51 ----D---- C:\WINDOWS\system32\1033 2009-04-23 17:20:44 ----D---- C:\WINDOWS\system32\spool 2009-04-23 17:20:41 ----D---- C:\WINDOWS\system32\dllcache 2009-04-23 15:21:10 ----D---- C:\WINDOWS\SxsCaPendDel 2009-04-23 15:20:11 ----D---- C:\WINDOWS\system32\config 2009-04-23 15:19:58 ----D---- C:\WINDOWS\Media 2009-04-23 15:19:56 ----D---- C:\WINDOWS\Help 2009-04-23 15:14:45 ----D---- C:\Arquivos de programas\Windows Live ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 intelppm;Driver de Processador Intel; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-04 40192] R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2008-01-24 4127488] R3 FETNDISB;VIA Rhine Family Fast Ethernet Adapter Driver Service; C:\WINDOWS\system32\DRIVERS\fetnd5b.sys [2004-04-14 42496] R3 hidusb;Driver de classe HID da Microsoft; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-10-28 9600] R3 mouhid;Mouse HID Driver; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2009-02-02 12288] R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2008-05-16 6557408] R3 usbehci;Microsoft USB 2.0 Enhanced Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-04 26624] R3 usbhub;USB2 Enabled Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-04 57600] R3 usbuhci;Microsoft USB Universal Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-04 20480] R3 vaxscsi;vaxscsi; C:\WINDOWS\System32\Drivers\vaxscsi.sys [2009-04-23 223128] S1 InCDPass;InCDPass; C:\WINDOWS\system32\drivers\InCDPass.sys [] S1 InCDRm;InCD Reader; C:\WINDOWS\system32\drivers\InCDRm.sys [] S3 catchme;catchme; \??\C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\catchme.sys [] S3 GMSIPCI;GMSIPCI; \??\F:\INSTALL\GMSIPCI.SYS [] S3 MSICPL;MSICPL; \??\F:\install4\MSICPL.sys [] S3 NTACCESS;NTACCESS; \??\F:\NTACCESS.sys [] S3 SetupNTGLM7X;SetupNTGLM7X; \??\F:\NTGLM7X.sys [] S3 usbprint;Microsoft USB PRINTER Class; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-04 25856] S3 USBSTOR;USB Mass Storage Driver; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 26496] S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944] S4 InCDFs;InCD File System; C:\WINDOWS\system32\drivers\InCDFs.sys [] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 GbpSv;Gbp Service; C:\ARQUIV~1\GbPlugin\GbpSv.exe [2009-03-25 52560] R2 JavaQuickStarterService;Java Quick Starter; C:\Arquivos de programas\Java\jre6\bin\jqs.exe [2009-03-29 152984] R2 MSSQL$SQLEXPRESS;SQL Server (SQLEXPRESS); C:\Arquivos de programas\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2007-02-10 29178224] R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2008-05-16 159812] R2 SeekappSrch Service;SeekappSrch Service; C:\Documents and Settings\All Users\Dados de aplicativos\SeekappSrch\seekapp139.exe [2009-05-07 54760] R2 SQLBrowser;SQL Server Browser; C:\Arquivos de programas\Microsoft SQL Server\90\Shared\sqlbrowser.exe [2007-02-10 242544] R2 SQLWriter;SQL Server VSS Writer; C:\Arquivos de programas\Microsoft SQL Server\90\Shared\sqlwriter.exe [2007-02-10 89968] R2 StarWindService;StarWind iSCSI Service; C:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe [2005-04-01 217600] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144] S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2009-04-24 655624] S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2007-10-09 36864] S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2007-10-11 864256] S3 ose;Office Source Engine; C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184] S3 PSEXESVC;PsExec; C:\WINDOWS\PSEXESVC.EXE [2009-05-14 53248] S3 WMPNetworkSvc;Serviço de Compartilhamento de Rede do Windows Media Player; C:\Arquivos de programas\Windows Media Player\WMPNetwk.exe [2006-11-02 914944] S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336] S4 MSSQLServerADHelper;SQL Server Active Directory Helper; C:\Arquivos de programas\Microsoft SQL Server\90\Shared\sqladhlp90.exe [2005-10-14 45272] S4 msvsmon90;Visual Studio 2008 Remote Debugger; C:\Arquivos de programas\Microsoft Visual Studio 9.0\Common7\IDE\Remote Debugger\x86\msvsmon.exe [2007-11-07 3004416] S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2007-10-11 122880] -----------------EOF----------------- Novamente, obrigado pela atenção. Compartilhar este post Link para o post Compartilhar em outros sites
PedroN 1 Denunciar post Postado Maio 15, 2009 Oi Thiengo, tenha uma boa noite. A sua infecção é pelo Rootkit. -- Faça o download do Avenger. -- Descompacte-o, e crie uma pasta para o programa. ( Avenger.exe ). -- Coloque esta pasta, no Desktop! -- Selecione e copie, tudo o que estiver abaixo da palavra quote (comecando da letra F). -- Ou, caso queira, utilize os atalhos: ( control + a ) >> ( control + c ) Files to delete:C:\WINDOWS\system32\drivers\InCDPass.sys -- Execute o Avenger.exe -- Clique com o direito do mouse, na janela Input script here. -- Clique em Paste ou ( control + v ). -- Clique em Execute. -- Escolha "Yes", duas vezes, quando solicitado. -- Terminando o script, o computador será reiniciado. -- É possivel que o PC, seja reiniciado mais de uma vez! -- Poste o relatório,que estará em: C:\avenger.txt + HJT, atualizado. • Logo depois realizar os procedimento, execute a ferramenta GMER --------------------------------------------------------------------------------------- Baixe <GMER> Extraia os seus arquivos para o desktop. Dê um duplo-clique no gmer.exe. Clique na aba Rootkit e depois no botão Scan. IMPORTANTE: Não marque a caixa Show All. Quando o scan acabar, clique em Copy para copiar o conteúdo para a área de transferência. Abra o bloco de notas e cole o que copiou, e salve com o nome que desejar. Copie e cole o conteúdo desse bloco de notas na sua resposta. Compartilhar este post Link para o post Compartilhar em outros sites
Thiengo 0 Denunciar post Postado Maio 15, 2009 Oi Thiengo, tenha uma boa noite. A sua infecção é pelo Rootkit. -- Faça o download do Avenger. -- Descompacte-o, e crie uma pasta para o programa. ( Avenger.exe ). -- Coloque esta pasta, no Desktop! -- Selecione e copie, tudo o que estiver abaixo da palavra quote (comecando da letra F). -- Ou, caso queira, utilize os atalhos: ( control + a ) >> ( control + c ) Files to delete:C:\WINDOWS\system32\drivers\InCDPass.sys -- Execute o Avenger.exe -- Clique com o direito do mouse, na janela Input script here. -- Clique em Paste ou ( control + v ). -- Clique em Execute. -- Escolha "Yes", duas vezes, quando solicitado. -- Terminando o script, o computador será reiniciado. -- É possivel que o PC, seja reiniciado mais de uma vez! -- Poste o relatório,que estará em: C:\avenger.txt + HJT, atualizado. • Logo depois realizar os procedimento, execute a ferramenta GMER --------------------------------------------------------------------------------------- Baixe <GMER> Extraia os seus arquivos para o desktop. Dê um duplo-clique no gmer.exe. Clique na aba Rootkit e depois no botão Scan. IMPORTANTE: Não marque a caixa Show All. Quando o scan acabar, clique em Copy para copiar o conteúdo para a área de transferência. Abra o bloco de notas e cole o que copiou, e salve com o nome que desejar. Copie e cole o conteúdo desse bloco de notas na sua resposta. Boa tarde PedroN, os logs seguem a baixo, obrigado. Avenger Logfile of The Avenger Version 2.0, © by Swandog46http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "C:\WINDOWS\system32\drivers\InCDPass.sys" not found! Deletion of file "C:\WINDOWS\system32\drivers\InCDPass.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. Hijackthis Logfile of Trend Micro HijackThis v2.0.2Scan saved at 11:26:02, on 15/5/2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\ARQUIV~1\GbPlugin\GbpSv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Arquivos de programas\Java\jre6\bin\jqs.exe C:\Arquivos de programas\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\nvsvc32.exe C:\Documents and Settings\All Users\Dados de aplicativos\SeekappSrch\seekapp139.exe C:\Arquivos de programas\Microsoft SQL Server\90\Shared\sqlbrowser.exe C:\Arquivos de programas\Microsoft SQL Server\90\Shared\sqlwriter.exe C:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\Arquivos de programas\SeekappSrch\seekapp.exe C:\Arquivos de programas\Internet Explorer\iexplore.exe C:\Arquivos de programas\Internet Explorer\iexplore.exe C:\Hijack\Administrador.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Arquivos de programas\Orbitdownloader\orbitcth.dll O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Arquivos de programas\Orbitdownloader\GrabPro.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') O8 - Extra context menu item: &Download by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201 O8 - Extra context menu item: &Grab video by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204 O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203 O8 - Extra context menu item: Down&load all by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202 O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~4\OFFICE11\REFIEBAR.DLL O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://www14.bancobrasil.com.br/plugin/GbpDist.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{293927E8-D633-4E38-BE7D-AAC2877B036B}: NameServer = 80.70.60.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{293927E8-D633-4E38-BE7D-AAC2877B036B}: NameServer = 80.70.60.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{293927E8-D633-4E38-BE7D-AAC2877B036B}: NameServer = 80.70.60.1 O20 - Winlogon Notify: GbPluginBb - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PsExec (PSEXESVC) - Sysinternals - C:\WINDOWS\PSEXESVC.EXE O23 - Service: SeekappSrch Service - Unknown owner - C:\Documents and Settings\All Users\Dados de aplicativos\SeekappSrch\seekapp139.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe -- End of file - 6281 bytes Gmer GMER 1.0.15.14972 - http://www.gmer.netRootkit scan 2009-05-15 12:26:34 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.15 ---- SSDT sptd.sys ZwCreateKey [0xF746BB3A] SSDT sptd.sys ZwEnumerateKey [0xF746BC7E] SSDT sptd.sys ZwEnumerateValueKey [0xF746BFF6] SSDT sptd.sys ZwOpenKey [0xF746BA18] SSDT sptd.sys ZwQueryKey [0xF746C0C0] SSDT sptd.sys ZwQueryValueKey [0xF746BF58] SSDT sptd.sys ZwSetValueKey [0xF746C148] ---- Kernel code sections - GMER 1.0.15 ---- ? hcdlh.sys O sistema não pode encontrar o arquivo especificado. ! ? C:\WINDOWS\system32\drivers\sptd.sys O arquivo já está sendo usado por outro processo. ? C:\WINDOWS\System32\Drivers\SPTD8317.SYS O arquivo já está sendo usado por outro processo. .text vaxscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 BA3BE4D0 16 Bytes CALL A667AF69 .text vaxscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 + 11 BA3BE4E1 31 Bytes [D0, 3B, BA, 60, A7, 1C, 92, ...] ? C:\WINDOWS\System32\Drivers\vaxscsi.sys O arquivo já está sendo usado por outro processo. ---- User code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\winlogon.exe[544] ntdll.dll!LdrUnloadDll 7C91718B 5 Bytes JMP 1006FC10 C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll (Gbieh Module/Banco do Brasil) .text C:\WINDOWS\system32\winlogon.exe[544] kernel32.dll!FreeLibrary 7C80AA66 5 Bytes JMP 1006FAA0 C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll (Gbieh Module/Banco do Brasil) .text C:\WINDOWS\system32\winlogon.exe[544] kernel32.dll!FreeLibraryAndExitThread 7C80CEA1 5 Bytes JMP 1006F940 C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll (Gbieh Module/Banco do Brasil) .text C:\Arquivos de programas\Internet Explorer\iexplore.exe[2200] USER32.dll!CreateWindowExW 77D31AD5 5 Bytes JMP 01234832 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Arquivos de programas\Internet Explorer\iexplore.exe[2200] USER32.dll!DialogBoxParamW 77D36702 5 Bytes JMP 01159315 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Arquivos de programas\Internet Explorer\iexplore.exe[2200] USER32.dll!DialogBoxParamA 77D388E1 5 Bytes JMP 0134DFBE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Arquivos de programas\Internet Explorer\iexplore.exe[2200] USER32.dll!DialogBoxIndirectParamW 77D42598 5 Bytes JMP 0134E021 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Arquivos de programas\Internet Explorer\iexplore.exe[2200] USER32.dll!MessageBoxIndirectA 77D4AEF1 5 Bytes JMP 0134DF51 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Arquivos de programas\Internet Explorer\iexplore.exe[2200] USER32.dll!MessageBoxExW 77D60559 5 Bytes JMP 0134DE22 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Arquivos de programas\Internet Explorer\iexplore.exe[2200] USER32.dll!MessageBoxExA 77D6057D 5 Bytes JMP 0134DE84 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Arquivos de programas\Internet Explorer\iexplore.exe[2200] USER32.dll!DialogBoxIndirectParamA 77D66CED 5 Bytes JMP 0134E084 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Arquivos de programas\Internet Explorer\iexplore.exe[2200] USER32.dll!MessageBoxIndirectW 77D760B7 5 Bytes JMP 0134DEE6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Arquivos de programas\Internet Explorer\iexplore.exe[2280] USER32.dll!CallNextHookEx 77D2ED6E 5 Bytes JMP 0122DD81 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Arquivos de programas\Internet Explorer\iexplore.exe[2280] USER32.dll!CreateWindowExW 77D31AD5 5 Bytes JMP 01234832 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Arquivos de programas\Internet Explorer\iexplore.exe[2280] USER32.dll!DialogBoxParamW 77D36702 5 Bytes JMP 01159315 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Arquivos de programas\Internet Explorer\iexplore.exe[2280] USER32.dll!DialogBoxParamA 77D388E1 5 Bytes JMP 0134DFBE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Arquivos de programas\Internet Explorer\iexplore.exe[2280] USER32.dll!DialogBoxIndirectParamW 77D42598 5 Bytes JMP 0134E021 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Arquivos de programas\Internet Explorer\iexplore.exe[2280] USER32.dll!MessageBoxIndirectA 77D4AEF1 5 Bytes JMP 0134DF51 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Arquivos de programas\Internet Explorer\iexplore.exe[2280] USER32.dll!SetWindowsHookExW 77D4E621 5 Bytes JMP 0122DBCB C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Arquivos de programas\Internet Explorer\iexplore.exe[2280] USER32.dll!UnhookWindowsHookEx 77D4F29F 5 Bytes JMP 01191CA2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Arquivos de programas\Internet Explorer\iexplore.exe[2280] USER32.dll!MessageBoxExW 77D60559 5 Bytes JMP 0134DE22 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Arquivos de programas\Internet Explorer\iexplore.exe[2280] USER32.dll!MessageBoxExA 77D6057D 5 Bytes JMP 0134DE84 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Arquivos de programas\Internet Explorer\iexplore.exe[2280] USER32.dll!DialogBoxIndirectParamA 77D66CED 5 Bytes JMP 0134E084 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Arquivos de programas\Internet Explorer\iexplore.exe[2280] USER32.dll!MessageBoxIndirectW 77D760B7 5 Bytes JMP 0134DEE6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Arquivos de programas\Internet Explorer\iexplore.exe[2280] ole32.dll!CoCreateInstance 77506009 5 Bytes JMP 0123488E C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F7474DB2] sptd.sys IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F748A71E] sptd.sys IAT ftdisk.sys[ntoskrnl.exe!IoGetAttachedDeviceReference] [F74753B2] sptd.sys IAT ftdisk.sys[ntoskrnl.exe!IoGetDeviceObjectPointer] [F74752B6] sptd.sys IAT ftdisk.sys[ntoskrnl.exe!IofCallDriver] [F7475482] sptd.sys IAT dmio.sys[ntoskrnl.exe!IofCallDriver] [F7475482] sptd.sys IAT dmio.sys[ntoskrnl.exe!IoGetAttachedDeviceReference] [F74753B2] sptd.sys IAT dmio.sys[ntoskrnl.exe!IoGetDeviceObjectPointer] [F74752B6] sptd.sys IAT PartMgr.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F748A032] sptd.sys IAT PartMgr.sys[ntoskrnl.exe!IoDetachDevice] [F7474F6E] sptd.sys IAT atapi.sys[ntoskrnl.exe!IofCompleteRequest] [F7489C76] sptd.sys IAT atapi.sys[ntoskrnl.exe!IoConnectInterrupt] [F7474E06] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7467A32] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F7467B6E] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F7467AF6] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F74686CC] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F74685A2] sptd.sys IAT disk.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F748A864] sptd.sys IAT \WINDOWS\system32\DRIVERS\CLASSPNP.SYS[ntoskrnl.exe!IoDetachDevice] [F7479F78] sptd.sys IAT \SystemRoot\system32\DRIVERS\cdrom.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F748A864] sptd.sys IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!IofCompleteRequest] [F7489C76] sptd.sys IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F7489C82] sptd.sys IAT \SystemRoot\system32\DRIVERS\rdbss.sys[ntoskrnl.exe!IofCallDriver] [F7467020] sptd.sys IAT \SystemRoot\system32\DRIVERS\mrxsmb.sys[ntoskrnl.exe!IofCallDriver] [F7467020] sptd.sys ---- User IAT/EAT - GMER 1.0.15 ---- IAT C:\Arquivos de programas\Internet Explorer\iexplore.exe[2280] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW] [00C718FD] C:\Arquivos de programas\Internet Explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation) ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 89BD50E8 Device \Driver\dmio \Device\DmControl\DmIoDaemon 89BD6C78 Device \Driver\dmio \Device\DmControl\DmConfig 89BD6C78 Device \Driver\dmio \Device\DmControl\DmPnP 89BD6C78 Device \Driver\dmio \Device\DmControl\DmInfo 89BD6C78 Device \Driver\Ftdisk \Device\HarddiskVolume1 89BD6EB0 Device \Driver\Cdrom \Device\CdRom0 89902CF0 Device \Driver\Ftdisk \Device\HarddiskVolume2 89BD6EB0 Device \FileSystem\Rdbss \Device\FsWrap 89438970 Device \Driver\Cdrom \Device\CdRom1 89902CF0 Device \Driver\Ftdisk \Device\HarddiskVolume3 89BD6EB0 Device \Driver\Cdrom \Device\CdRom2 89902CF0 Device \Driver\NetBT \Device\NetBT_Tcpip_{293927E8-D633-4E38-BE7D-AAC2877B036B} 894739E0 Device \Driver\NetBT \Device\NetBt_Wins_Export 894739E0 Device \Driver\00000057 \Device\0000003e sptd.sys Device \Driver\NetBT \Device\NetbiosSmb 894739E0 Device \Driver\Disk \Device\Harddisk0\DR0 89BD6450 Device \Driver\Disk \Device\Harddisk1\DR1 89BD6450 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89468418 Device \FileSystem\MRxSmb \Device\LanmanRedirector 89468418 Device \FileSystem\Npfs \Device\NamedPipe 8946D4E0 Device \Driver\Ftdisk \Device\FtControl 89BD6EB0 Device \FileSystem\Msfs \Device\Mailslot 894772F8 Device \Driver\vaxscsi \Device\Scsi\vaxscsi1 89B9EEB0 Device \Driver\vaxscsi \Device\Scsi\vaxscsi1Port3Path0Target0Lun0 89B9EEB0 Device \Driver\viamraid \Device\Scsi\viamraid1 89BD6708 Device \FileSystem\Cdfs \Cdfs 8942D498 ---- Services - GMER 1.0.15 ---- Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] zwprva <-- ROOTKIT !!! ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s0 -301344654 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 1865476408 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 -1548327789 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Arquivos de programas\Alcohol Soft\Alcohol 120\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xE1 0x7A 0xB9 0xEE ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0xED 0x37 0x6C 0x31 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x15 0x24 0xA1 0x69 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\zwprva@DisplayName Image Support Reg HKLM\SYSTEM\CurrentControlSet\Services\zwprva@Type 32 Reg HKLM\SYSTEM\CurrentControlSet\Services\zwprva@Start 2 Reg HKLM\SYSTEM\CurrentControlSet\Services\zwprva@ErrorControl 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\zwprva@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs Reg HKLM\SYSTEM\CurrentControlSet\Services\zwprva@ObjectName LocalSystem Reg HKLM\SYSTEM\CurrentControlSet\Services\zwprva@Description Permite acesso de entrada gen?rica a dispositivos de interface humana (Human Interface Devices, HID), que ativam e mant?m o uso de bot?es ativados predefinidos em teclados, controles remotos e outros dispositivos de multim?dia. Se este servi?o for parado, os bot?es ativados controlados pelo servi?o deixar?o de funcionar. Se este servi?o for desativado, os servi?os que dependerem dele explicitamente n?o ser?o iniciados. Reg HKLM\SYSTEM\CurrentControlSet\Services\zwprva\Parameters Reg HKLM\SYSTEM\CurrentControlSet\Services\zwprva\Parameters@ServiceDll C:\WINDOWS\system32\nnncvo.dll Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Arquivos de programas\Alcohol Soft\Alcohol 120\ Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xE1 0x7A 0xB9 0xEE ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0xED 0x37 0x6C 0x31 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x15 0x24 0xA1 0x69 ... Reg HKLM\SYSTEM\ControlSet002\Services\zwprva@DisplayName Image Support Reg HKLM\SYSTEM\ControlSet002\Services\zwprva@Type 32 Reg HKLM\SYSTEM\ControlSet002\Services\zwprva@Start 2 Reg HKLM\SYSTEM\ControlSet002\Services\zwprva@ErrorControl 0 Reg HKLM\SYSTEM\ControlSet002\Services\zwprva@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs Reg HKLM\SYSTEM\ControlSet002\Services\zwprva@ObjectName LocalSystem Reg HKLM\SYSTEM\ControlSet002\Services\zwprva@Description Permite acesso de entrada gen?rica a dispositivos de interface humana (Human Interface Devices, HID), que ativam e mant?m o uso de bot?es ativados predefinidos em teclados, controles remotos e outros dispositivos de multim?dia. Se este servi?o for parado, os bot?es ativados controlados pelo servi?o deixar?o de funcionar. Se este servi?o for desativado, os servi?os que dependerem dele explicitamente n?o ser?o iniciados. Reg HKLM\SYSTEM\ControlSet002\Services\zwprva\Parameters Reg HKLM\SYSTEM\ControlSet002\Services\zwprva\Parameters@ServiceDll C:\WINDOWS\system32\nnncvo.dll Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@NoPopUpsOnBoot 1 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@LoadAppInit_DLLs 1 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs Reg HKCU\Software\Microsoft\Windows Live\Communications Clients\Shared\3097076959\Groups@Fam?\xadlia 1 ---- EOF - GMER 1.0.15 ---- Compartilhar este post Link para o post Compartilhar em outros sites
PedroN 1 Denunciar post Postado Maio 18, 2009 Oi Thiengo tenha uma boa tarde! Desculpe-me pela demora em responder este tópico mais tive problemas com números de trabalhos realizados em minha faculdade. Os problemas ainda continuam? Caso ainda precise de auxílio com remoção de malware poste um log do hijackhis atualizado. Tente também executar o combofix novamente. Poste os resultados na sua próxima resposta. Compartilhar este post Link para o post Compartilhar em outros sites
Thiengo 0 Denunciar post Postado Maio 18, 2009 Oi Thiengo tenha uma boa tarde! Desculpe-me pela demora em responder este tópico mais tive problemas com números de trabalhos realizados em minha faculdade. Os problemas ainda continuam? Caso ainda precise de auxílio com remoção de malware poste um log do hijackhis atualizado. Tente também executar o combofix novamente. Poste os resultados na sua próxima resposta. Olá PedroN, o problema continua, e o combofix ainda tá reiniciando meu pc. Já passei o AVenger e o Gmer e postei sues logs. log do Hijackthis d hoje. Logfile of Trend Micro HijackThis v2.0.2Scan saved at 15:18:08, on 18/5/2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\ARQUIV~1\GbPlugin\GbpSv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\Arquivos de programas\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\Documents and Settings\All Users\Dados de aplicativos\SeekappSrch\seekapp139.exe C:\Arquivos de programas\Microsoft SQL Server\90\Shared\sqlwriter.exe C:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\Arquivos de programas\SeekappSrch\seekapp.exe C:\Hijack\Administrador.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Arquivos de programas\Orbitdownloader\orbitcth.dll O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Arquivos de programas\Orbitdownloader\GrabPro.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\Fantasy Codecs\qttask.exe" -atboottime O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') O8 - Extra context menu item: &Download by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201 O8 - Extra context menu item: &Grab video by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204 O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203 O8 - Extra context menu item: Down&load all by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202 O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~4\OFFICE11\REFIEBAR.DLL O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://www14.bancobrasil.com.br/plugin/GbpDist.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{293927E8-D633-4E38-BE7D-AAC2877B036B}: NameServer = 80.70.60.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{293927E8-D633-4E38-BE7D-AAC2877B036B}: NameServer = 80.70.60.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{293927E8-D633-4E38-BE7D-AAC2877B036B}: NameServer = 80.70.60.1 O20 - Winlogon Notify: GbPluginBb - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PsExec (PSEXESVC) - Sysinternals - C:\WINDOWS\PSEXESVC.EXE O23 - Service: SeekappSrch Service - Unknown owner - C:\Documents and Settings\All Users\Dados de aplicativos\SeekappSrch\seekapp139.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe -- End of file - 5940 bytes esse eh um print que tirei 15:10 de hoje Compartilhar este post Link para o post Compartilhar em outros sites
PedroN 1 Denunciar post Postado Maio 21, 2009 - Faça o download do SDFIX Reinicie seu computador, e aperte a tecla F8 (F5 em alguns casos) intermitentemente durante a inicialização, até aparecer um menu onde você deverá escolher a opção Modo Seguro 1. Entre na pasta SDFix que foi instalada no seu computador e dê um duplo clique no arquivo RunThis.bat 2. Tecle Y para que a ferramenta inicie o processo de remoção 3. Quando tudo terminar, você verá um aviso dizendo para apertar qualquer tecla para continuar. Ao pressionar qualquer tecla, o computador será reiniciado automaticamente 4. Após reiniciar, a ferramenta ainda será executada novamente e irá terminar o seu trabalho e a palavra Finished irá aparecer. Pressione qualquer tecla. 5. Uma janela com o relatório do SDFix irá aparecer. 6. Copie e cole este relatório na sua resposta . Caso você tenha fechado a janela, uma cópia do relatório estará na pasta SDFix com o nome Report.txt. Compartilhar este post Link para o post Compartilhar em outros sites
Thiengo 0 Denunciar post Postado Maio 22, 2009 - Faça o download do SDFIX Reinicie seu computador, e aperte a tecla F8 (F5 em alguns casos) intermitentemente durante a inicialização, até aparecer um menu onde você deverá escolher a opção Modo Seguro 1. Entre na pasta SDFix que foi instalada no seu computador e dê um duplo clique no arquivo RunThis.bat 2. Tecle Y para que a ferramenta inicie o processo de remoção 3. Quando tudo terminar, você verá um aviso dizendo para apertar qualquer tecla para continuar. Ao pressionar qualquer tecla, o computador será reiniciado automaticamente 4. Após reiniciar, a ferramenta ainda será executada novamente e irá terminar o seu trabalho e a palavra Finished irá aparecer. Pressione qualquer tecla. 5. Uma janela com o relatório do SDFix irá aparecer. 6. Copie e cole este relatório na sua resposta . Caso você tenha fechado a janela, uma cópia do relatório estará na pasta SDFix com o nome Report.txt. PedroN, eu dei uma olha no log do Hijackthis procurando algo que ligasse ao malware, ai vi a linha O23 - Service: SeekappSrch Service - Unknown owner - C:\Documents and Settings\All Users\Dados de aplicativos\SeekappSrch\seekapp139.exe que APP eh o nome que aparece na página, aquela que te mandei um print, então mandei o Hijackthis excluir ela tem uns 3 dias e até agora não deu nenhum problema. Vou usar o SDFIX como você disse e mando o relatório pra você. Ainda estou sem antivius no pc, gostaria de saber de você qual antivirus eh melhor pra ta evitando de pegar esses malwares chatos como esse que peguei, e não pegar nem um virus tbm eh claro. Quando peguei ele estava usando o AVIRA. Obrigado!!! SDIX relatório SDFix: Version 1.240 Run by Administrador on --- 22/05/2009 at 11:23 Microsoft Windows XP [versão 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Restoring Missing Security Center Service Rebooting Checking Files : No Trojan Files Found Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-05-22 11:40:53 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg] "s0"=dword:ee09d872 "s1"=dword:6f30e938 "s2"=dword:a3b66493 "h0"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04] "p0"="C:\Arquivos de programas\Alcohol Soft\Alcohol 120\" "h0"=dword:00000000 "ujdew"=hex:e1,7a,b9,ee,ca,ef,86,fe,25,7a,73,4e,4b,78,2e,f7,d4,c7,96,38,2a,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\zwprva] "DisplayName"="Image Support" "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000000 "ImagePath"=str(2):"%SystemRoot%\system32\svchost.exe -k netsvcs" "ObjectName"="LocalSystem" "Description"="Permite acesso de entrada genérica a dispositivos de interface humana (Human Interface Devices, HID), que ativam e mantêm o uso de botões ativados predefinidos em teclados, controles remotos e outros dispositivos de multimídia. Se este serviço for parado, os botões ativados controlados pelo serviço deixarão de funcionar. Se este serviço for desativado, os serviços que dependerem dele explicitamente não serão iniciados." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\zwprva\Parameters] "ServiceDll"=str(2):"C:\WINDOWS\system32\nnncvo.dll" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04] "p0"="C:\Arquivos de programas\Alcohol Soft\Alcohol 120\" "h0"=dword:00000000 "ujdew"=hex:e1,7a,b9,ee,ca,ef,86,fe,25,7a,73,4e,4b,78,2e,f7,d4,c7,96,38,2a,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\zwprva] "DisplayName"="Image Support" "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000000 "ImagePath"=str(2):"%SystemRoot%\system32\svchost.exe -k netsvcs" "ObjectName"="LocalSystem" "Description"="Permite acesso de entrada genérica a dispositivos de interface humana (Human Interface Devices, HID), que ativam e mantêm o uso de botões ativados predefinidos em teclados, controles remotos e outros dispositivos de multimídia. Se este serviço for parado, os botões ativados controlados pelo serviço deixarão de funcionar. Se este serviço for desativado, os serviços que dependerem dele explicitamente não serão iniciados." [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\zwprva\Parameters] "ServiceDll"=str(2):"C:\WINDOWS\system32\nnncvo.dll" scanning hidden registry entries ... [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "DeviceNotSelectedTimeout"="15" "GDIProcessHandleQuota"=dword:00002710 "Spooler"="yes" "swapdisk"="" "TransmissionRetryTimeout"="90" "USERProcessHandleQuota"=dword:00002710 "NoPopUpsOnBoot"=dword:00000001 "LoadAppInit_DLLs"=dword:00000001 "AppInit_DLLs"="" scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call" "C:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\\Arquivos de programas\\Orbitdownloader\\orbitdm.exe"="C:\\Arquivos de programas\\Orbitdownloader\\orbitdm.exe:*:Enabled:Orbit" "C:\\Arquivos de programas\\Orbitdownloader\\orbitnet.exe"="C:\\Arquivos de programas\\Orbitdownloader\\orbitnet.exe:*:Enabled:Orbit" "C:\\Arquivos de programas\\Arquivos comuns\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"="C:\\Arquivos de programas\\Arquivos comuns\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe:*:Enabled:Adobe CSI CS4" "C:\\Arquivos de programas\\SmartFTP Client\\SmartFTP.exe"="C:\\Arquivos de programas\\SmartFTP Client\\SmartFTP.exe:*:Enabled:SmartFTP Client 3.0" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call" "C:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger" Remaining Files : Files with Hidden Attributes : Sat 16 May 2009 33,280 ...H. --- "C:\Documents and Settings\Administrador\Desktop\~WRL0004.tmp" Mon 18 May 2009 33,280 ...H. --- "C:\Documents and Settings\Administrador\Desktop\~WRL2343.tmp" Wed 22 Apr 2009 1,380,864 ...H. --- "C:\Documents and Settings\Administrador\Desktop\~WRL2787.tmp" Sun 29 Mar 2009 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp" Finished! Compartilhar este post Link para o post Compartilhar em outros sites
PedroN 1 Denunciar post Postado Maio 22, 2009 Oi Thiengo, tenha uma boa noite!. Ainda estou sem antivius no pc, gostaria de saber de você qual antivirus eh melhor pra ta evitando de pegar esses malwares chatos como esse que peguei, e não pegar nem um virus tbm eh claro. Quando peguei ele estava usando o AVIRA. Recomendo o próprio avira, lembrando que a segurança da sua maquina depende mais do seus hábitos de navegação, na próxima vez tome mais cuidado. Acesse este site: http://www.kaspersky.com/virusscanner Clique em Siga as instruções de configuração do verificador conforme imagem abaixo. poste o log do scan aqui mesmo no tópico Compartilhar este post Link para o post Compartilhar em outros sites
Thiengo 0 Denunciar post Postado Maio 25, 2009 Oi Thiengo, tenha uma boa noite!. Ainda estou sem antivius no pc, gostaria de saber de você qual antivirus eh melhor pra ta evitando de pegar esses malwares chatos como esse que peguei, e não pegar nem um virus tbm eh claro. Quando peguei ele estava usando o AVIRA. Recomendo o próprio avira, lembrando que a segurança da sua maquina depende mais do seus hábitos de navegação, na próxima vez tome mais cuidado. Acesse este site: http://www.kaspersky.com/virusscanner Clique em Siga as instruções de configuração do verificador conforme imagem abaixo. poste o log do scan aqui mesmo no tópico Log do Kaspersky OnlineScanner --------------------------------------------------------------------------------KASPERSKY ONLINE SCANNER 7.0 REPORT Monday, May 25, 2009 Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600) Kaspersky Online Scanner version: 7.0.26.13 Program database last update: Monday, May 25, 2009 14:51:53 Records in database: 2242255 -------------------------------------------------------------------------------- Scan settings: Scan using the following database: extended Scan archives: yes Scan mail databases: yes Scan area - Folder: C:\ Scan statistics: Files scanned: 48220 Threat name: 0 Infected objects: 0 Suspicious objects: 0 Duration of the scan: 01:11:02 No malware has been detected. The scan area is clean. The selected area was scanned. PedroN, o KasperSky eh bom para ter no computador, se for, qual o melhor: Kaspersky Anti-Virus ou Kaspersky Internet Security ??? Obrigado. Compartilhar este post Link para o post Compartilhar em outros sites
PedroN 1 Denunciar post Postado Maio 25, 2009 PedroN, o KasperSky eh bom para ter no computador, se for, qual o melhor: Kaspersky Anti-Virus ou Kaspersky Internet Security ??? Obrigado. Na minha opinião é o Kaspersky Anti-Virus :) - Você selecionou a área errada quando você scaneou. Scan area - Folder: Era para ter escolhido "My computer" onde fazia o scan por todo o micro. Como estar o PC? Compartilhar este post Link para o post Compartilhar em outros sites
Thiengo 0 Denunciar post Postado Maio 25, 2009 PedroN, o KasperSky eh bom para ter no computador, se for, qual o melhor: Kaspersky Anti-Virus ou Kaspersky Internet Security ??? Obrigado. Na minha opinião é o Kaspersky Anti-Virus :) - Você selecionou a área errada quando você scaneou. Scan area - Folder: Era para ter escolhido "My computer" onde fazia o scan por todo o micro. Como estar o PC? PedroN o pc está bom, não apareceu mais o problema. Na hora de escanear eu escolhi My computer como na ilustração por 3 vezes mas ele agarrou numa imagem .iso da partição D nas 3 vezes, ai axei que se eu apagasse ela ele iria da problema em outra então resolvi só escanear o C e deixei o D e E de fora senao nao iria conseguir escanear. Valeu mesmo pela ajuda, muito obrigado, axu q por enquanto eh só. Valeu mesmo!!! Compartilhar este post Link para o post Compartilhar em outros sites
PedroN 1 Denunciar post Postado Maio 25, 2009 Ok, o log estar limpo :) Vá em Iniciar > Executar e digite "combofix /u" sem aspas como mostra a imagem abaixo: Aguarde a desinstalação do programa combofix. - Recomendo uma manutenção no computador para exclusão dos arquivos temporários, desnecessários e entradas inválidas no registro. Faça o download do CCleaner ◘ Clique em Salvar e quando terminado o download, faça a instalação; ◘ Abra o programa e clique em Executar Limpeza; ◘ Após isto, clique em Registro > Procurar erros > Corrigir erros selecionados. • Atualize o Java. • Versões antigas têm vulnerabilidades que,malwares,podem usar para infectar seu sistema. <><><><><><><><><><><><><><><> • Faça download da última versão do Java Runtime Environment (JRE) 6u13. • Localize: "Java Runtime Environment (JRE) 6 Update 13" • Clique no botão Download. • Marque a opção que diz: "Accept License Agreement" • A página será atualizada! • Clique no link,para download do Windows Offline Installation --> Salve-o no desktop! • Feche o IE ou Firefox + Programas que estejam sendo executados. • Vá em Iniciar --> Painel de Controle. • Em Adicionar ou Remover Programas;remova todas as antigas versões do Java. <><><><><><><><><><><><><><><> • Exemplos de antigas versões: < > Java 2 Runtime Environment, SE v1.4.2 < > J2SE Runtime Environment 5.0 < > J2SE Runtime Environment 5.0 Update 6 • Selecione qualquer item com nome: Java Runtime Environment (JRE ou J2SE) • Clique no botão Remover ou Alterar/Remover. • Repita quantas vezes for necessária,para remover cada versão do Java. • Concluindo,reinicie o computador! • Instale a nova versão,com um duplo clique em jre-6u13-windows-i586-p.exe. <><><><><><><><><><><><><><><> • Ccrie um ponto limpo na Restauração do Sistema. • Clique com o direito do mouse,em cima de Meu Computador --> Propriedades --> Restauração do Sistema. • Marque: Desativar Restauração do Sistema --> Aplicar --> Aguarde! --> Ok. • Depois,desmarque novamente! --> Aplicar --> Aguarde! --> Ok. • Para maiores detalhes,leia o Tutorial: < Link > Leia o artigo Cuidados ao navegar na net para maiores informações sobre como evitar infecções. Quando precisar de auxílio para remoção de malware à equipe Imasters estar disposta a ajudá-lo. Foi um grande prazer. Compartilhar este post Link para o post Compartilhar em outros sites
