[Arquivado] Soket Error # 11004 do TS

[Diegocross 0]

Pessoal estou com um problema de Socket Error # 11004 no seguinte IP do TS: 66.90.86.26.8888. Alguém pode me ajudar?

Já vou baixar o Hijackthis pra por o Log.

 

Desde já muito obrigado!

[PedroN 1]

Pessoal estou com um problema de Socket Error # 11004 no seguinte IP do TS: 66.90.86.26.8888. Alguém pode me ajudar?

Já vou baixar o Hijackthis pra por o Log.

 

Desde já muito obrigado!

 

Oi Diegocross meu nome é Pedro Neto e vou ajudá-lo com o seu problema. Primeiramente seja bem-vindo ao fórum e espero que siga com os procedimentos do tópico até o final.

 

Primeiramente léia às regras do nosso fórum Seguranção & Malware

 

Regra Nº 02 - Utilizando O Hijackthis

[Diegocross 0]

Pessoal estou com um problema de Socket Error # 11004 no seguinte IP do TS: 66.90.86.26.8888. Alguém pode me ajudar?

Já vou baixar o Hijackthis pra por o Log.

 

Desde já muito obrigado!

 

Oi Diegocross meu nome é Pedro Neto e vou ajudá-lo com o seu problema. Primeiramente seja bem-vindo ao fórum e espero que siga com os procedimentos do tópico até o final.

 

Primeiramente léia às regras do nosso fórum Seguranção & Malware

 

Regra Nº 02 - Utilizando O Hijackthis

 

 

OK, estou lendo já te respondo.

[PedroN 1]

Ok, fico no aguardo de sua resposta.

[Diegocross 0]

Pessoal estou com um problema de Socket Error # 11004 no seguinte IP do TS: 66.90.86.26.8888. Alguém pode me ajudar?

Já vou baixar o Hijackthis pra por o Log.

 

Desde já muito obrigado!

 

Oi Diegocross meu nome é Pedro Neto e vou ajudá-lo com o seu problema. Primeiramente seja bem-vindo ao fórum e espero que siga com os procedimentos do tópico até o final.

 

Primeiramente léia às regras do nosso fórum Seguranção & Malware

 

Regra Nº 02 - Utilizando O Hijackthis

 

 

OK, estou lendo já te respondo.

 

 

Já li as regras.

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:45:54 PM, on 5/24/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Arquivos de programas\QuickTime\qttask.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\mdm.exe

C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\system32\HPZipm12.exe

c:\Arquivos de programas\Arquivos comuns\Protexis\License Service\PsiService_2.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Arquivos de programas\Java\jre6\bin\java.exe

C:\Arquivos de programas\Adobe\Reader 8.0\Reader\AcroRd32.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\ARQUIV~1\FREEDO~1\fdm.exe

C:\DOCUME~1\MRCIA~1\CONFIG~1\Temp\Rar$EX00.953\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gomplayer.com/codec/search.html...C-28F0B6A5C48E}

O1 - Hosts: ::1 localhost

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file)

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\Arquivos de programas\Scpad\scpsssh2.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Arquivos de programas\Free Download Manager\iefdm2.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: (no name) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - (no file)

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Arquivos de programas\LogMeIn\x86\LogMeInSystray.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Free Download Manager] "C:\Arquivos de programas\Free Download Manager\fdm.exe" -autorun

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10a.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Velox.lnk = ?

O8 - Extra context menu item: Baixar com o Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dllink.htm

O8 - Extra context menu item: Baixar tudo com o Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dlall.htm

O8 - Extra context menu item: Baixar vídeo com o Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dlfvideo.htm

O8 - Extra context menu item: Download selecionado pelo Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dlselected.htm

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/vers...vex-2.2.4.1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1225987673348

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100

O17 - HKLM\System\CCS\Services\Tcpip\..\{AC6B2E00-A55B-450C-89E4-32702A0E3DB4}: NameServer = 200.165.132.154 200.165.132.148

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

O21 - SSODL: CompIBBrd - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll

O22 - SharedTaskScheduler: scpLIB - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll

O23 - Service: ASKService - Unknown owner - C:\Arquivos de programas\AskBarDis\bar\bin\AskService.exe (file missing)

O23 - Service: ASKUpgrade - Unknown owner - C:\Arquivos de programas\AskBarDis\bar\bin\ASKUpgrade.exe (file missing)

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Arquivos de programas\Bonjour\mDNSResponder.exe (file missing)

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Arquivos de programas\LogMeIn\x86\RaMaint.exe

O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Arquivos de programas\LogMeIn\x86\LogMeIn.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMIndexingService.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Arquivos de programas\Arquivos comuns\Protexis\License Service\PsiService_2.exe

[PedroN 1]

Oi Diegocross tenha uma boa tarde!

 

Faça o download do bankerfix clicando no link abaixo:

http://www.linhadefensiva.org/dl/bankerfix

 

- Salve a ferramenta no seu disco rígido.

- Dê um duplo-clique no bankerfix.exe.

- Uma janela pedirá a confirmação para a instalação da ferramenta. Clique em Sim.

- Feche todas as janelas e programas, com exceção do BankerFix

- Agora é so aguarda a execução do bankerfix.

- O relatório da ferramenta, informando sobre todos os arquivos detectados e removidos, fica no arquivo relatorio.txt, presente na pasta C:\LinhaDefensiva poste-o na sua proxima resposta junto com o log do hijackthis.

[Diegocross 0]

Oi Diegocross tenha uma boa tarde!

 

Faça o download do bankerfix clicando no link abaixo:

http://www.linhadefensiva.org/dl/bankerfix

 

- Salve a ferramenta no seu disco rígido.

- Dê um duplo-clique no bankerfix.exe.

- Uma janela pedirá a confirmação para a instalação da ferramenta. Clique em Sim.

- Feche todas as janelas e programas, com exceção do BankerFix

- Agora é so aguarda a execução do bankerfix.

- O relatório da ferramenta, informando sobre todos os arquivos detectados e removidos, fica no arquivo relatorio.txt, presente na pasta C:\LinhaDefensiva poste-o na sua proxima resposta junto com o log do hijackthis.

 

Quando eu for executar o bankerfix precisa fechar o Internet explore?

[PedroN 1]

Quando eu for executar o bankerfix precisa fechar o Internet explore?

 

Sim feche-o. Não somente ele como todas às janelas abertas.

[Diegocross 0]

Oi Diegocross tenha uma boa tarde!

 

Faça o download do bankerfix clicando no link abaixo:

http://www.linhadefensiva.org/dl/bankerfix

 

- Salve a ferramenta no seu disco rígido.

- Dê um duplo-clique no bankerfix.exe.

- Uma janela pedirá a confirmação para a instalação da ferramenta. Clique em Sim.

- Feche todas as janelas e programas, com exceção do BankerFix

- Agora é so aguarda a execução do bankerfix.

- O relatório da ferramenta, informando sobre todos os arquivos detectados e removidos, fica no arquivo relatorio.txt, presente na pasta C:\LinhaDefensiva poste-o na sua proxima resposta junto com o log do hijackthis.

 

Quando eu for executar o bankerfix precisa fechar o Internet explore?

 

 

O Relatório.txt

 

BankerFix 3.0 VALKYRIE - Banker Trojan Remover

Linha Defensiva | http://www.linhadefensiva.org

http://www.linhadefensiva.org/bankerfix/

-------------------------------------------------------

Date: 2009-05-24 - 13:03

-------------------------------------------------------

Version: 2009-05-04-2 | CORE: 2009-01-21-1

=======================================================

 

 

 

----- End -------------------------

[PedroN 1]

Oi Diego vai ser necessário a ultilização da ferramenta Combofix. Siga os procedimentos abaixo:

 

Faça o download do ComboFix de um destes locais:

 

Link 1.

Link 2.

Link 3.

 

Importante!

Você não deve usar Combofix a menos que você tenha sido instruído a fazê-lo por um análista de segurança.

Destina-se pelo seu criador para ser utilizado sob orientação e supervisão de um especialista, e não para uso privado.

Utilizando esta ferramenta incorreto poderia levar a desastrosa problemas com o seu sistema operacional.

 

Certifique-se de que você salvou ComboFix.exe para o seu desktop.

 

• Desabilite o seu Antivírus e AntiSpyware , geralmente através de um clique direito sobre o ícone da bandeja do sistema. Eles podem interferir na execução da ferramenta.

 

• Dê um duplo clique no ComboFix.exe & siga as instruções.

 

• Como parte de seu processo, ComboFix irá verificar se o Microsoft Windows Recovery Console está instalado. Como as infecções de malware são hoje, é fortemente recomendado que esteja pré-instalado em sua máquina antes de fazer qualquer remoção de malware. Ela permitirá que você arrancar em especial uma recuperação / reparação modo a permitir-nos-á mais fácil ajudá-lo a seu computador deve ter um problema após uma tentativa de remoção de malware.

 

• Siga as instruções para permitir ComboFix para baixar e instalar o Microsoft Windows Recovery Console e, quando for solicitado, concordar com o End-User License Agreement para instalar o Microsoft Windows Recovery Console.

 

-- Atenção: Se a consola de recuperação do Microsoft Windows já estiver instalado, ComboFix irá continuar a sua remoção malware procedimentos.

 

 

Uma vez que o Microsoft Windows Recovery Console é instalado usando o ComboFix, você deverá ver a seguinte mensagem:

 

 

Clique em Sim, para continuar a varredura de malware.

 

Quando terminar, ela deve produzir um log para você. Poste o relatorio do combofix que estar em C: \ ComboFix.txt junto com um log do hijackthis.

[Diegocross 0]

Oi Diego vai ser necessário a ultilização da ferramenta Combofix. Siga os procedimentos abaixo:

 

Faça o download do ComboFix de um destes locais:

 

Link 1.

Link 2.

Link 3.

 

Importante!

Você não deve usar Combofix a menos que você tenha sido instruído a fazê-lo por um análista de segurança.

Destina-se pelo seu criador para ser utilizado sob orientação e supervisão de um especialista, e não para uso privado.

Utilizando esta ferramenta incorreto poderia levar a desastrosa problemas com o seu sistema operacional.

 

Certifique-se de que você salvou ComboFix.exe para o seu desktop.

 

• Desabilite o seu Antivírus e AntiSpyware , geralmente através de um clique direito sobre o ícone da bandeja do sistema. Eles podem interferir na execução da ferramenta.

 

• Dê um duplo clique no ComboFix.exe & siga as instruções.

 

• Como parte de seu processo, ComboFix irá verificar se o Microsoft Windows Recovery Console está instalado. Como as infecções de malware são hoje, é fortemente recomendado que esteja pré-instalado em sua máquina antes de fazer qualquer remoção de malware. Ela permitirá que você arrancar em especial uma recuperação / reparação modo a permitir-nos-á mais fácil ajudá-lo a seu computador deve ter um problema após uma tentativa de remoção de malware.

 

• Siga as instruções para permitir ComboFix para baixar e instalar o Microsoft Windows Recovery Console e, quando for solicitado, concordar com o End-User License Agreement para instalar o Microsoft Windows Recovery Console.

 

-- Atenção: Se a consola de recuperação do Microsoft Windows já estiver instalado, ComboFix irá continuar a sua remoção malware procedimentos.

 

 

Uma vez que o Microsoft Windows Recovery Console é instalado usando o ComboFix, você deverá ver a seguinte mensagem:

 

 

Clique em Sim, para continuar a varredura de malware.

 

Quando terminar, ela deve produzir um log para você. Poste o relatorio do combofix que estar em C: \ ComboFix.txt junto com um log do hijackthis.

 

Desculpas pela demora, meu modem travou

 

Despois que o COMBOFIX terminou ele me deu um Log.text

ComboFix 09-05-23.04 - Márcia 05/24/2009 13:18.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.1015.617 [GMT -3:00]

Executando de: c:\documents and settings\Márcia\Desktop\ComboFix.exe

.

 

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\recycled\Recycled

c:\recycled\Recycled\ctfmon.exe

D:\Autorun.inf

 

.

(((((((((((((((( Arquivos/Ficheiros criados de 2009-04-24 to 2009-05-24 ))))))))))))))))))))))))))))

.

 

2009-05-24 16:00 . 2009-05-24 16:04 -------- d-----w C:\LinhaDefensiva

2009-05-24 13:54 . 2009-05-24 13:54 -------- d-----w C:\!KillBox

2009-05-24 13:27 . 2009-05-24 14:26 -------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Spybot - Search & Destroy

2009-05-24 13:27 . 2009-05-24 13:27 -------- d-----w c:\arquivos de programas\Spybot - Search & Destroy

2009-05-24 12:26 . 2009-05-24 12:26 -------- d-----w C:\VundoFix Backups

2009-05-24 00:24 . 2009-05-24 00:24 -------- d-----w c:\arquivos de programas\Teamspeak2_RC2

2009-05-22 19:50 . 2009-05-22 19:50 -------- d-sh--w c:\documents and settings\LocalService\IETldCache

2009-05-22 15:57 . 2009-05-22 15:57 -------- d-----w c:\windows\ie8updates

2009-05-22 15:57 . 2009-04-25 05:30 102400 -c----w c:\windows\system32\dllcache\iecompat.dll

2009-05-22 15:55 . 2009-05-22 15:56 -------- dc-h--w c:\windows\ie8

2009-05-02 19:33 . 2009-03-09 18:27 453456 ----a-w c:\windows\system32\d3dx10_41.dll

2009-05-02 19:33 . 2009-03-09 18:27 4178264 ----a-w c:\windows\system32\D3DX9_41.dll

2009-05-02 19:33 . 2009-03-09 18:27 1846632 ----a-w c:\windows\system32\D3DCompiler_41.dll

2009-05-02 19:33 . 2009-03-16 17:18 69448 ----a-w c:\windows\system32\XAPOFX1_3.dll

2009-05-02 19:33 . 2009-03-16 17:18 517448 ----a-w c:\windows\system32\XAudio2_4.dll

2009-05-02 19:33 . 2009-03-16 17:18 235352 ----a-w c:\windows\system32\xactengine3_4.dll

2009-05-02 19:33 . 2009-03-16 17:18 22360 ----a-w c:\windows\system32\X3DAudio1_6.dll

2009-05-02 10:08 . 2005-01-02 21:43 4682 ----a-w c:\windows\system32\npptNT2.sys

2009-05-02 09:55 . 2009-05-02 10:01 -------- d-----w c:\arquivos de programas\Arquivos comuns\Real

2009-04-29 12:51 . 2009-05-02 09:55 -------- d-----w C:\Program Files

2009-04-29 11:22 . 2007-04-04 21:55 261480 ----a-w c:\windows\system32\xactengine2_7.dll

2009-04-26 18:22 . 2009-04-26 18:22 -------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Azureus

2009-04-26 18:22 . 2009-04-26 18:22 -------- d-----w c:\arquivos de programas\Vuze

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-05-24 10:20 . 2009-04-09 11:54 -------- d-----w c:\arquivos de programas\LogMeIn

2009-05-20 12:52 . 2009-01-26 01:55 -------- d-----w c:\arquivos de programas\DreaMule

2009-05-19 06:02 . 2008-11-06 01:00 -------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Microsoft Help

2009-05-18 15:30 . 2008-11-06 00:42 2516 --sha-w c:\documents and settings\All Users\Dados de aplicativos\KGyGaAvL.sys

2009-05-18 15:30 . 2008-11-06 00:42 2516 --sha-w c:\documents and settings\All Users\Dados de aplicativos\KGyGaAvL.sys

2009-05-18 13:56 . 1782-01-19 03:14 48628 ----a-w c:\windows\system32\perfc016.dat

2009-05-18 13:56 . 1782-01-19 03:14 344380 ----a-w c:\windows\system32\perfh016.dat

2009-05-02 09:55 . 2008-11-06 00:32 499712 ----a-w c:\windows\system32\msvcp71.dll

2009-05-02 09:55 . 2008-11-06 00:32 348160 ----a-w c:\windows\system32\msvcr71.dll

2009-05-02 09:54 . 2008-11-06 00:28 -------- d--h--w c:\arquivos de programas\InstallShield Installation Information

2009-04-21 11:18 . 2009-04-21 11:17 -------- d-----w c:\arquivos de programas\Digipix D-Book

2009-04-15 21:00 . 2009-02-23 21:22 -------- d-----w c:\arquivos de programas\BrOffice.org 3

2009-04-13 14:09 . 2009-04-13 14:09 -------- d-----w c:\arquivos de programas\Arquivos comuns\Skype

2009-04-13 14:09 . 2009-04-13 14:09 -------- d-----r c:\arquivos de programas\Skype

2009-04-13 14:09 . 2008-11-06 01:00 -------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Skype

2009-04-13 11:33 . 2009-04-13 11:30 -------- d-----w c:\arquivos de programas\DVD Shrink

2009-04-13 01:17 . 2009-04-13 01:17 -------- d-----w c:\arquivos de programas\AC3Filter

2009-04-09 11:55 . 2009-04-09 11:55 -------- d-----w c:\documents and settings\All Users\Dados de aplicativos\LogMeIn

2009-04-04 15:08 . 2009-04-04 15:08 -------- d-----w c:\arquivos de programas\GNU

2009-03-08 13:18 . 2009-03-08 13:18 4082688 ----a-w c:\windows\system32\qtintf70.dll

2009-03-08 13:18 . 2009-03-08 13:18 159232 ----a-w c:\windows\system32\dbxopenmysql50.dll

2009-03-08 13:18 . 2009-03-08 13:18 1302528 ----a-w c:\windows\system32\libmysql.dll

2009-03-08 07:34 . 2004-08-04 03:45 914944 ----a-w c:\windows\system32\wininet.dll

2009-03-08 07:34 . 2004-08-04 03:45 43008 ----a-w c:\windows\system32\licmgr10.dll

2009-03-08 07:33 . 2004-08-04 03:45 18944 ----a-w c:\windows\system32\corpol.dll

2009-03-08 07:33 . 2004-08-04 03:45 420352 ----a-w c:\windows\system32\vbscript.dll

2009-03-08 07:32 . 2004-08-04 03:45 72704 ----a-w c:\windows\system32\admparse.dll

2009-03-08 07:32 . 2004-08-04 03:45 71680 ----a-w c:\windows\system32\iesetup.dll

2009-03-08 07:31 . 2004-08-04 03:45 34816 ----a-w c:\windows\system32\imgutil.dll

2009-03-08 07:31 . 2004-08-04 03:44 48128 ----a-w c:\windows\system32\mshtmler.dll

2009-03-08 07:31 . 2004-08-04 03:45 45568 ----a-w c:\windows\system32\mshta.exe

2009-03-08 07:22 . 1782-01-19 03:14 156160 ----a-w c:\windows\system32\msls31.dll

2009-03-06 14:20 . 2004-08-04 03:45 286208 ----a-w c:\windows\system32\pdh.dll

.

 

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]

"Free Download Manager"="c:\arquivos de programas\Free Download Manager\fdm.exe" [2009-01-31 3399727]

"SpybotSD TeaTimer"="c:\arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\FlashUtil10a.exe" [2008-10-05 235936]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-11-28 98304]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-28 77824]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-28 118784]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

"QuickTime Task"="c:\arquivos de programas\QuickTime\qttask.exe" [2009-01-09 98304]

"LogMeIn GUI"="c:\arquivos de programas\LogMeIn\x86\LogMeInSystray.exe" [2008-07-24 63048]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2006-11-14 16270848]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]

2008-10-16 23:35 87352 ----a-w c:\windows\system32\LMIinit.dll

 

[HKLM\~\startupfolder\C:^Documents and Settings^Márcia^Menu Iniciar^Programas^Inicializar^BrOffice.org 3.0.lnk]

path=c:\documents and settings\Márcia\Menu Iniciar\Programas\Inicializar\BrOffice.org 3.0.lnk

backup=c:\windows\pss\BrOffice.org 3.0.lnkStartup

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Level Up! Games\\RF Online\\RF.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\livecall.exe"=

"c:\\WINDOWS\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Arquivos de programas\\Nero\\Nero8\\Nero Home\\NeroHome.exe"=

"c:\\CABAL Online (BRAZIL)\\launcher\\update\\ESTdnheadless.exe"=

"c:\\Arquivos de programas\\Free Download Manager\\fdm.exe"=

"c:\\Arquivos de programas\\Nero\\Nero8\\Nero ShowTime\\ShowTime.exe"=

"c:\\Arquivos de programas\\Vuze\\Azureus.exe"=

"d:\\Arquivos de Programa II\\ÓÀºãÖ®Ëþ\\uninst.exe"=

"c:\\Arquivos de programas\\Skype\\Phone\\Skype.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

 

R2 LMIRfsDriver;LogMeIn Remote File System Driver;c:\windows\system32\drivers\LMIRfsDriver.sys [4/9/2009 8:54 AM 47640]

S2 ASKService;ASKService;c:\arquivos de programas\AskBarDis\bar\bin\AskService.exe --> c:\arquivos de programas\AskBarDis\bar\bin\AskService.exe [?]

S2 ASKUpgrade;ASKUpgrade;c:\arquivos de programas\AskBarDis\bar\bin\ASKUpgrade.exe --> c:\arquivos de programas\AskBarDis\bar\bin\ASKUpgrade.exe [?]

S2 LMIInfo;LogMeIn Kernel Information Provider;c:\arquivos de programas\LogMeIn\x86\rainfo.sys [7/24/2008 6:46 PM 12856]

S3 EverestDriver;Lavalys EVEREST Kernel Driver;c:\arquivos de programas\Lavalys\EVEREST Ultimate Edition\kerneld.wnt [2/18/2009 5:26 PM 26224]

S3 MotDev;Motorola Inc. USB Device;c:\windows\system32\drivers\motodrv.sys [11/22/2008 1:05 PM 40832]

S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]

S3 XDva205;XDva205;\??\c:\windows\system32\XDva205.sys --> c:\windows\system32\XDva205.sys [?]

S3 XDva223;XDva223;\??\c:\windows\system32\XDva223.sys --> c:\windows\system32\XDva223.sys [?]

S3 XDva224;XDva224;\??\c:\windows\system32\XDva224.sys --> c:\windows\system32\XDva224.sys [?]

S4 LMIRfsClientNP;LMIRfsClientNP; [x]

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]

"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

.

- - - - ORFÃOS REMOVIDOS - - - -

 

BHO-{201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file)

Notify-NavLogon - (no file)

SafeBoot-procexp90.Sys

 

 

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.google.com.br/

uInternet Connection Wizard,ShellNext = hxxp://www.gomplayer.com/codec/search.html?type=9&guid={57428EC6-C2B2-44A2-AA9C-28F0B6A5C48E}

IE: Baixar com o Free Download Manager - file://c:\arquivos de programas\Free Download Manager\dllink.htm

IE: Baixar tudo com o Free Download Manager - file://c:\arquivos de programas\Free Download Manager\dlall.htm

IE: Baixar vídeo com o Free Download Manager - file://c:\arquivos de programas\Free Download Manager\dlfvideo.htm

IE: Download selecionado pelo Free Download Manager - file://c:\arquivos de programas\Free Download Manager\dlselected.htm

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\Office12\EXCEL.EXE/3000

TCP: {AC6B2E00-A55B-450C-89E4-32702A0E3DB4} = 200.165.132.154 200.165.132.148

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-05-24 13:20

Windows 5.1.2600 Service Pack 3 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]

"ImagePath"="\??\c:\arquivos de programas\Lavalys\EVEREST Ultimate Edition\kerneld.wnt"

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]

"ImagePath"="c:\windows\system32\GameMon.des -service"

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

 

- - - - - - - > 'winlogon.exe'(700)

c:\windows\system32\LMIinit.dll

c:\windows\system32\LMIRfsClientNP.dll

.

Tempo para conclusão: 2009-05-24 13:21

ComboFix-quarantined-files.txt 2009-05-24 16:21

 

Pré-execução: 18 pasta(s) 14,731,153,408 bytes disponíveis

Pós execução: 16 pasta(s) 14,809,407,488 bytes disponíveis

 

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

 

179 --- E O F --- 2009-05-22 15:57

 

você tb quer o Combofix.txt?

[PedroN 1]

Oi Diego siga os meus procedimentos na ordem para na ocorrer nenhum problema.

 

1) Primeiro.

 

- Acesse o site do Vírus Total.

 

Clique no botão arquivo e faça uma procura pelo arquivo abaixo em destaque.

 

c:\windows\system32\XDva205.sys.

 

- Depois clique no botão enviar arquivo e poste os resultados.

 

2) Segundo.

 

• Baixe: < ToolBar S&D >

• Salve-o no Disco Local-C, em uma pasta própria.

• Reinicie o computador, em Modo de Segurança. <-- Importante!

• Execute o programa, e à seguir, aperte o "p" --> Enter --> Ok.

• Digite o dois! ( 2 ) --> Aperte Enter --> Aguarde!

• Terminando, poste o relatório. ( C:\ToolBar SD\TB_1.txt )

 

3) Terceiro.

 

Sugiro que imprima ou salve os procedimentos abaixo, e não use a internet até terminado o procedimento.

 

Selecione e copie o texto dentro do QUOTE (caixa cinza) abaixo. Abra o Bloco de notas e cole o que copiou. Salve então, na área de trabalho, com o nome de CFScript.txt.

 

Folder::

C:\LinhaDefensiva

C:\!KillBox

File::

c:\arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe

Driver::

"XDva205.sys"

Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Adobe Reader Speed Launcher"=-

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 1 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3724:TCP"=-

 

Esse script foi elaborado somente para este computador, de acordo com os arquivos e chaves presentes não use-o em outro computador, pos pode trazer danos.

 

Arraste agora o CFScript.txt para o ComboFix conforme a demonstração abaixo.

 

 

O ComboFix irá rodar e reiniciará o PC automaticamente para completar o processo de remoção.

 

IMPORTANTE: Não use o mouse nem o teclado quando o ComboFix estiver rodando.

 

Quando acabar, será gerado um log, que estará em C:\ComboFix.txt.

 

Na sua proxima resposta, poste os seguintes log(s).

 

Resultado do vírus total.

o relatório. ( C:\ToolBar SD\TB_1.txt )

Log do combofix -> C:\ComboFix.txt.

Log do hijackthis

 

Fico no aguardo de sua resposta.

[Diegocross 0]

Oi Diego siga os meus procedimentos na ordem para na ocorrer nenhum problema.

 

1) Primeiro.

 

- Acesse o site do Vírus Total.

 

Clique no botão arquivo e faça uma procura pelo arquivo abaixo em destaque.

 

c:\windows\system32\XDva205.sys.

 

- Depois clique no botão enviar arquivo e poste os resultados.

 

2) Segundo.

 

• Baixe: < ToolBar S&D >

• Salve-o no Disco Local-C, em uma pasta própria.

• Reinicie o computador, em Modo de Segurança. <-- Importante!

• Execute o programa, e à seguir, aperte o "p" --> Enter --> Ok.

• Digite o dois! ( 2 ) --> Aperte Enter --> Aguarde!

• Terminando, poste o relatório. ( C:\ToolBar SD\TB_1.txt )

 

3) Terceiro.

 

Sugiro que imprima ou salve os procedimentos abaixo, e não use a internet até terminado o procedimento.

 

Selecione e copie o texto dentro do QUOTE (caixa cinza) abaixo. Abra o Bloco de notas e cole o que copiou. Salve então, na área de trabalho, com o nome de CFScript.txt.

 

Folder::

C:\LinhaDefensiva

C:\!KillBox

File::

c:\arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe

Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Adobe Reader Speed Launcher"=-

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 1 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3724:TCP"=-

 

Esse script foi elaborado somente para este computador, de acordo com os arquivos e chaves presentes não use-o em outro computador, pos pode trazer danos.

 

Arraste agora o CFScript.txt para o ComboFix conforme a demonstração abaixo.

 

 

O ComboFix irá rodar e reiniciará o PC automaticamente para completar o processo de remoção.

 

IMPORTANTE: Não use o mouse nem o teclado quando o ComboFix estiver rodando.

 

Quando acabar, será gerado um log, que estará em C:\ComboFix.txt.

 

Na sua proxima resposta, poste os seguintes log(s).

 

Resultado do vírus total.

o relatório. ( C:\ToolBar SD\TB_1.txt )

Log do combofix -> C:\ComboFix.txt.

Log do hijackthis

 

Fico no aguardo de sua resposta.

 

 

Pedro, a primeira parte eu nem consigo porque não encontro o arquvio c:\windows\system32\XDva205.sys.

[PedroN 1]

Configure o windows para mostrar arquivos ocultos.

 

Vá em Ferramentas > Opções de pasta > navegue até a aba "Modo de exibição" e procure pela opção Mostrar pastas e arquivos ocultos.

 

• Agora tente novamente. Caso mesmo assim não consiga, pode pular para parte número 2 ;)

 

Um forte abraço.

[Diegocross 0]

Configure o windows para mostrar arquivos ocultos.

 

Vá em Ferramentas > Opções de pasta > navegue até a aba "Modo de exibição" e procure pela opção Mostrar pastas e arquivos ocultos.

 

• Agora tente novamente. Caso mesmo assim não consiga, pode pular para parte número 2 ;)

 

Um forte abraço.

 

 

Sim, eu já fiz isso mas nao encontro.

[Diegocross 0]

Configure o windows para mostrar arquivos ocultos.

 

Vá em Ferramentas > Opções de pasta > navegue até a aba "Modo de exibição" e procure pela opção Mostrar pastas e arquivos ocultos.

 

• Agora tente novamente. Caso mesmo assim não consiga, pode pular para parte número 2 ;)

 

Um forte abraço.

 

 

Sim, eu já fiz isso mas nao encontro.

Ok, vou pra número 2. Daki há 5 mim vou sair mas volto, até q horas você ta por aki?

[PedroN 1]

Configure o windows para mostrar arquivos ocultos.

 

Vá em Ferramentas > Opções de pasta > navegue até a aba "Modo de exibição" e procure pela opção Mostrar pastas e arquivos ocultos.

 

• Agora tente novamente. Caso mesmo assim não consiga, pode pular para parte número 2 ;)

 

Um forte abraço.

 

 

Sim, eu já fiz isso mas nao encontro.

Ok, vou pra número 2. Daki há 5 mim vou sair mas volto, até q horas você ta por aki?

 

Fico aguardando sua resposta, no sei quanto tempo ficarei. Evite postar estes tipos de resposta. Se concentre mais na sua análise.

 

Vou ajudá-lo até o final.

[Diegocross 0]

Oi Diego siga os meus procedimentos na ordem para na ocorrer nenhum problema.

 

1) Primeiro.

 

- Acesse o site do Vírus Total.

 

Clique no botão arquivo e faça uma procura pelo arquivo abaixo em destaque.

 

c:\windows\system32\XDva205.sys.

 

- Depois clique no botão enviar arquivo e poste os resultados.

 

2) Segundo.

 

• Baixe: < ToolBar S&D >

• Salve-o no Disco Local-C, em uma pasta própria.

• Reinicie o computador, em Modo de Segurança. <-- Importante!

• Execute o programa, e à seguir, aperte o "p" --> Enter --> Ok.

• Digite o dois! ( 2 ) --> Aperte Enter --> Aguarde!

• Terminando, poste o relatório. ( C:\ToolBar SD\TB_1.txt )

 

3) Terceiro.

 

Sugiro que imprima ou salve os procedimentos abaixo, e não use a internet até terminado o procedimento.

 

Selecione e copie o texto dentro do QUOTE (caixa cinza) abaixo. Abra o Bloco de notas e cole o que copiou. Salve então, na área de trabalho, com o nome de CFScript.txt.

 

Folder::

C:\LinhaDefensiva

C:\!KillBox

File::

c:\arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe

Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Adobe Reader Speed Launcher"=-

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 1 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3724:TCP"=-

 

Esse script foi elaborado somente para este computador, de acordo com os arquivos e chaves presentes não use-o em outro computador, pos pode trazer danos.

 

Arraste agora o CFScript.txt para o ComboFix conforme a demonstração abaixo.

 

 

O ComboFix irá rodar e reiniciará o PC automaticamente para completar o processo de remoção.

 

IMPORTANTE: Não use o mouse nem o teclado quando o ComboFix estiver rodando.

 

Quando acabar, será gerado um log, que estará em C:\ComboFix.txt.

 

Na sua proxima resposta, poste os seguintes log(s).

 

Resultado do vírus total.

o relatório. ( C:\ToolBar SD\TB_1.txt )

Log do combofix -> C:\ComboFix.txt.

Log do hijackthis

 

Fico no aguardo de sua resposta.

 

 

Pedro, a primeira parte eu nem consigo porque não encontro o arquvio c:\windows\system32\XDva205.sys.

 

 

 

Aki o TB.tx

 

 

 

-----------\\ ToolBar S&D 1.2.8 XP/Vista

 

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3

X86-based PC ( Multiprocessor Free : Intel® Pentium® Dual CPU E2140 @ 1.60GHz )

BIOS : Award Modular BIOS v6.00PG

USER : Márcia ( Administrator )

BOOT : Fail-safe boot

A:\ (USB)

C:\ (Local Disk) - NTFS - Total:39 Go (Free:16 Go)

D:\ (Local Disk) - NTFS - Total:109 Go (Free:6 Go)

E:\ (CD or DVD)

 

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )

Option : [2] ( Mon 05/25/2009|13:18 )

 

-----------\\ REMOVIDOS

 

Deletado! - [service] ASKService

Deletado! - [service] ASKUpgrade

 

-----------\\ Procura por Arquivos / Ficheiros ...

 

 

-----------\\ Extensions

 

(M rcia) - {E9A1DEE0-C623-4439-8932-001E7D17607D} => ajtoolbar

 

 

-----------\\ [..\Internet Explorer\Main]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Local Page"="C:\\WINDOWS\\system32\\blank.htm"

"Start Page"="http://www.google.com.br/"

"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

"Url"="http://go.microsoft.com/fwlink/?LinkId=75724"

"Url"="http://go.microsoft.com/fwlink/?LinkId=75723"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"

"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"

"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"

"Local Page"="C:\\WINDOWS\\system32\\blank.htm"

"Start Page"="http://www.msn.com/"

 

 

--------------------\\ Procurando por outras infecções

 

 

Não foram encontradas outras infecções.

 

 

1 - "C:\ToolBar SD\TB_1.txt" - Mon 05/25/2009|13:19 - Option : [2]

 

-----------\\ Verificação completa em 13:19:38.98

 

 

 

Aki o ComboFix

 

 

ComboFix 09-05-25.03 - Márcia 05/25/2009 18:17.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.1015.592 [GMT -3:00]

Executando de: c:\documents and settings\Márcia\Desktop\ComboFix.exe

Comandos utilizados :: c:\documents and settings\Márcia\Desktop\CFScript.txt..txt

 

FILE ::

c:\arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe

.

 

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\!KillBox

c:\!killbox\Logs\kb.log

c:\arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\LinhaDefensiva

c:\linhadefensiva\banker.bat

c:\linhadefensiva\BankerFix.vbs

c:\linhadefensiva\credits\exec.txt

c:\linhadefensiva\exec\download.exe

c:\linhadefensiva\exec\md5.exe

c:\linhadefensiva\exec\MoveEx.exe

c:\linhadefensiva\exec\pv.exe

c:\linhadefensiva\exec\unzip.exe

c:\linhadefensiva\func\lang.vbs

c:\linhadefensiva\func\reg.vbs

c:\linhadefensiva\func\scan.vbs

c:\linhadefensiva\func\strings.vbs

c:\linhadefensiva\Iniciar-BankerFix.vbs

c:\linhadefensiva\lang\bat\antivirusnote.txt

c:\linhadefensiva\lang\bat\changepass.txt

c:\linhadefensiva\lang\bat\error-removing.txt

c:\linhadefensiva\lang\bat\filesremoved.txt

c:\linhadefensiva\lang\bat\logend.txt

c:\linhadefensiva\lang\bat\logremhelp.txt

c:\linhadefensiva\lang\bat\logremtif.txt

c:\linhadefensiva\lang\bat\noproblems.txt

c:\linhadefensiva\lang\bat\opening.txt

c:\linhadefensiva\lang\bat\rebootrequired.txt

c:\linhadefensiva\lang\bat\seeforum.txt

c:\linhadefensiva\lang\bat\wait.txt

c:\linhadefensiva\lang\bat\win95.txt

c:\linhadefensiva\lang\init\en.txt

c:\linhadefensiva\lang\init\ptb.txt

c:\linhadefensiva\lang\vb\bankerfix.txt

c:\linhadefensiva\lang\vb\loader.txt

c:\linhadefensiva\lang\vb\postreboot.txt

c:\linhadefensiva\leiame.txt

c:\linhadefensiva\QUA\backup.reg

c:\linhadefensiva\readme.txt

c:\linhadefensiva\reflist\fx.reg

c:\linhadefensiva\reflist\ref-allu

c:\linhadefensiva\reflist\ref-appdata

c:\linhadefensiva\reflist\ref-commonfiles

c:\linhadefensiva\reflist\ref-hosts

c:\linhadefensiva\reflist\ref-md5

c:\linhadefensiva\reflist\ref-mydoc

c:\linhadefensiva\reflist\ref-profile

c:\linhadefensiva\reflist\ref-programfiles

c:\linhadefensiva\reflist\ref-reg

c:\linhadefensiva\reflist\ref-start

c:\linhadefensiva\reflist\ref-startup

c:\linhadefensiva\reflist\ref-sysdrive

c:\linhadefensiva\reflist\ref-system

c:\linhadefensiva\reflist\ref-system32

c:\linhadefensiva\reflist\ref-tasks

c:\linhadefensiva\reflist\ref-temp

c:\linhadefensiva\reflist\ref-wincommon

c:\linhadefensiva\reflist\ref-windows

c:\linhadefensiva\reflist\reft-startup

c:\linhadefensiva\relatorio.txt

c:\linhadefensiva\relatorios\2009-05-24.txt

c:\linhadefensiva\relatorios\errorlog.txt

c:\linhadefensiva\rotinas\arquiva-relatorio.vbs

c:\linhadefensiva\rotinas\postreboot.bat

c:\linhadefensiva\rotinas\postreboot.vbs

c:\linhadefensiva\rotinas\remocao\driver.vbs

c:\linhadefensiva\rotinas\remocao\shell.vbs

c:\linhadefensiva\rotinas\remocao\userinit.vbs

c:\linhadefensiva\rotinas\remocao\winlogon.vbs

c:\linhadefensiva\rotinas\update.vbs

c:\linhadefensiva\VERSION

 

.

(((((((((((((((( Arquivos/Ficheiros criados de 2009-04-25 to 2009-05-25 ))))))))))))))))))))))))))))

.

 

2009-05-25 16:18 . 2009-05-25 16:19 -------- d-----w C:\ToolBar SD

2009-05-25 16:06 . 2009-05-25 16:06 -------- d-----w C:\ToolBar

2009-05-24 13:27 . 2009-05-24 14:26 -------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Spybot - Search & Destroy

2009-05-24 13:27 . 2009-05-24 13:27 -------- d-----w c:\arquivos de programas\Spybot - Search & Destroy

2009-05-24 12:26 . 2009-05-24 12:26 -------- d-----w C:\VundoFix Backups

2009-05-24 00:24 . 2009-05-24 00:24 -------- d-----w c:\arquivos de programas\Teamspeak2_RC2

2009-05-22 19:50 . 2009-05-22 19:50 -------- d-sh--w c:\documents and settings\LocalService\IETldCache

2009-05-22 15:57 . 2009-05-22 15:57 -------- d-----w c:\windows\ie8updates

2009-05-22 15:57 . 2009-04-25 05:30 102400 -c----w c:\windows\system32\dllcache\iecompat.dll

2009-05-22 15:55 . 2009-05-22 15:56 -------- dc-h--w c:\windows\ie8

2009-05-02 19:33 . 2009-03-09 18:27 453456 ----a-w c:\windows\system32\d3dx10_41.dll

2009-05-02 19:33 . 2009-03-09 18:27 4178264 ----a-w c:\windows\system32\D3DX9_41.dll

2009-05-02 19:33 . 2009-03-09 18:27 1846632 ----a-w c:\windows\system32\D3DCompiler_41.dll

2009-05-02 19:33 . 2009-03-16 17:18 69448 ----a-w c:\windows\system32\XAPOFX1_3.dll

2009-05-02 19:33 . 2009-03-16 17:18 517448 ----a-w c:\windows\system32\XAudio2_4.dll

2009-05-02 19:33 . 2009-03-16 17:18 235352 ----a-w c:\windows\system32\xactengine3_4.dll

2009-05-02 19:33 . 2009-03-16 17:18 22360 ----a-w c:\windows\system32\X3DAudio1_6.dll

2009-05-02 10:08 . 2005-01-02 21:43 4682 ----a-w c:\windows\system32\npptNT2.sys

2009-05-02 09:55 . 2009-05-02 10:01 -------- d-----w c:\arquivos de programas\Arquivos comuns\Real

2009-04-29 12:51 . 2009-05-02 09:55 -------- d-----w C:\Program Files

2009-04-29 11:22 . 2007-04-04 21:55 261480 ----a-w c:\windows\system32\xactengine2_7.dll

2009-04-26 18:22 . 2009-04-26 18:22 -------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Azureus

2009-04-26 18:22 . 2009-04-26 18:22 -------- d-----w c:\arquivos de programas\Vuze

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-05-25 16:23 . 1782-01-19 03:14 48846 ----a-w c:\windows\system32\perfc016.dat

2009-05-25 16:23 . 1782-01-19 03:14 344734 ----a-w c:\windows\system32\perfh016.dat

2009-05-25 16:03 . 2009-04-09 11:54 -------- d-----w c:\arquivos de programas\LogMeIn

2009-05-20 12:52 . 2009-01-26 01:55 -------- d-----w c:\arquivos de programas\DreaMule

2009-05-19 06:02 . 2008-11-06 01:00 -------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Microsoft Help

2009-05-18 15:30 . 2008-11-06 00:42 2516 --sha-w c:\documents and settings\All Users\Dados de aplicativos\KGyGaAvL.sys

2009-05-18 15:30 . 2008-11-06 00:42 2516 --sha-w c:\documents and settings\All Users\Dados de aplicativos\KGyGaAvL.sys

2009-05-02 09:55 . 2008-11-06 00:32 499712 ----a-w c:\windows\system32\msvcp71.dll

2009-05-02 09:55 . 2008-11-06 00:32 348160 ----a-w c:\windows\system32\msvcr71.dll

2009-05-02 09:54 . 2008-11-06 00:28 -------- d--h--w c:\arquivos de programas\InstallShield Installation Information

2009-04-21 11:18 . 2009-04-21 11:17 -------- d-----w c:\arquivos de programas\Digipix D-Book

2009-04-15 21:00 . 2009-02-23 21:22 -------- d-----w c:\arquivos de programas\BrOffice.org 3

2009-04-13 14:09 . 2009-04-13 14:09 -------- d-----w c:\arquivos de programas\Arquivos comuns\Skype

2009-04-13 14:09 . 2009-04-13 14:09 -------- d-----r c:\arquivos de programas\Skype

2009-04-13 14:09 . 2008-11-06 01:00 -------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Skype

2009-04-13 11:33 . 2009-04-13 11:30 -------- d-----w c:\arquivos de programas\DVD Shrink

2009-04-13 01:17 . 2009-04-13 01:17 -------- d-----w c:\arquivos de programas\AC3Filter

2009-04-09 11:55 . 2009-04-09 11:55 -------- d-----w c:\documents and settings\All Users\Dados de aplicativos\LogMeIn

2009-04-04 15:08 . 2009-04-04 15:08 -------- d-----w c:\arquivos de programas\GNU

2009-03-08 13:18 . 2009-03-08 13:18 4082688 ----a-w c:\windows\system32\qtintf70.dll

2009-03-08 13:18 . 2009-03-08 13:18 159232 ----a-w c:\windows\system32\dbxopenmysql50.dll

2009-03-08 13:18 . 2009-03-08 13:18 1302528 ----a-w c:\windows\system32\libmysql.dll

2009-03-08 07:34 . 2004-08-04 03:45 914944 ----a-w c:\windows\system32\wininet.dll

2009-03-08 07:34 . 2004-08-04 03:45 43008 ----a-w c:\windows\system32\licmgr10.dll

2009-03-08 07:33 . 2004-08-04 03:45 18944 ----a-w c:\windows\system32\corpol.dll

2009-03-08 07:33 . 2004-08-04 03:45 420352 ----a-w c:\windows\system32\vbscript.dll

2009-03-08 07:32 . 2004-08-04 03:45 72704 ----a-w c:\windows\system32\admparse.dll

2009-03-08 07:32 . 2004-08-04 03:45 71680 ----a-w c:\windows\system32\iesetup.dll

2009-03-08 07:31 . 2004-08-04 03:45 34816 ----a-w c:\windows\system32\imgutil.dll

2009-03-08 07:31 . 2004-08-04 03:44 48128 ----a-w c:\windows\system32\mshtmler.dll

2009-03-08 07:31 . 2004-08-04 03:45 45568 ----a-w c:\windows\system32\mshta.exe

2009-03-08 07:22 . 1782-01-19 03:14 156160 ----a-w c:\windows\system32\msls31.dll

2009-03-06 14:20 . 2004-08-04 03:45 286208 ----a-w c:\windows\system32\pdh.dll

.

 

((((((((((((((((((((((((((((( SnapShot@2009-05-24_16.20.16 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-05-25 16:22 . 2009-05-25 16:22 16384 c:\windows\Temp\Perflib_Perfdata_7dc.dat

+ 1782-01-19 03:14 . 2009-05-25 16:23 40128 c:\windows\system32\perfc009.dat

+ 1782-01-19 03:14 . 2009-05-25 16:23 311740 c:\windows\system32\perfh009.dat

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]

"Free Download Manager"="c:\arquivos de programas\Free Download Manager\fdm.exe" [2009-01-31 3399727]

"SpybotSD TeaTimer"="c:\arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-11-28 98304]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-28 77824]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-28 118784]

"QuickTime Task"="c:\arquivos de programas\QuickTime\qttask.exe" [2009-01-09 98304]

"LogMeIn GUI"="c:\arquivos de programas\LogMeIn\x86\LogMeInSystray.exe" [2008-07-24 63048]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2006-11-14 16270848]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]

2008-10-16 23:35 87352 ----a-w c:\windows\system32\LMIinit.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\NavLogon]

[bU]

 

[HKLM\~\startupfolder\C:^Documents and Settings^Márcia^Menu Iniciar^Programas^Inicializar^BrOffice.org 3.0.lnk]

path=c:\documents and settings\Márcia\Menu Iniciar\Programas\Inicializar\BrOffice.org 3.0.lnk

backup=c:\windows\pss\BrOffice.org 3.0.lnkStartup

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Level Up! Games\\RF Online\\RF.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\livecall.exe"=

"c:\\WINDOWS\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Arquivos de programas\\Nero\\Nero8\\Nero Home\\NeroHome.exe"=

"c:\\CABAL Online (BRAZIL)\\launcher\\update\\ESTdnheadless.exe"=

"c:\\Arquivos de programas\\Free Download Manager\\fdm.exe"=

"c:\\Arquivos de programas\\Nero\\Nero8\\Nero ShowTime\\ShowTime.exe"=

"c:\\Arquivos de programas\\Vuze\\Azureus.exe"=

"d:\\Arquivos de Programa II\\ÓÀºãÖ®Ëþ\\uninst.exe"=

"c:\\Arquivos de programas\\Skype\\Phone\\Skype.exe"=

 

R2 LMIRfsDriver;LogMeIn Remote File System Driver;c:\windows\system32\drivers\LMIRfsDriver.sys [4/9/2009 8:54 AM 47640]

S2 LMIInfo;LogMeIn Kernel Information Provider;c:\arquivos de programas\LogMeIn\x86\rainfo.sys [7/24/2008 6:46 PM 12856]

S3 EverestDriver;Lavalys EVEREST Kernel Driver;c:\arquivos de programas\Lavalys\EVEREST Ultimate Edition\kerneld.wnt [2/18/2009 5:26 PM 26224]

S3 MotDev;Motorola Inc. USB Device;c:\windows\system32\drivers\motodrv.sys [11/22/2008 1:05 PM 40832]

S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]

S3 XDva205;XDva205;\??\c:\windows\system32\XDva205.sys --> c:\windows\system32\XDva205.sys [?]

S3 XDva223;XDva223;\??\c:\windows\system32\XDva223.sys --> c:\windows\system32\XDva223.sys [?]

S3 XDva224;XDva224;\??\c:\windows\system32\XDva224.sys --> c:\windows\system32\XDva224.sys [?]

S4 LMIRfsClientNP;LMIRfsClientNP; [x]

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]

"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

.

- - - - ORFÃOS REMOVIDOS - - - -

 

BHO-{201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file)

 

 

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.google.com.br/

mWindow Title =

uInternet Connection Wizard,ShellNext = hxxp://www.gomplayer.com/codec/search.html?type=9&guid={57428EC6-C2B2-44A2-AA9C-28F0B6A5C48E}

IE: Baixar com o Free Download Manager - file://c:\arquivos de programas\Free Download Manager\dllink.htm

IE: Baixar tudo com o Free Download Manager - file://c:\arquivos de programas\Free Download Manager\dlall.htm

IE: Baixar vídeo com o Free Download Manager - file://c:\arquivos de programas\Free Download Manager\dlfvideo.htm

IE: Download selecionado pelo Free Download Manager - file://c:\arquivos de programas\Free Download Manager\dlselected.htm

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\Office12\EXCEL.EXE/3000

TCP: {AC6B2E00-A55B-450C-89E4-32702A0E3DB4} = 200.165.132.154 200.165.132.148

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-05-25 18:19

Windows 5.1.2600 Service Pack 3 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]

"ImagePath"="\??\c:\arquivos de programas\Lavalys\EVEREST Ultimate Edition\kerneld.wnt"

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]

"ImagePath"="c:\windows\system32\GameMon.des -service"

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

 

- - - - - - - > 'winlogon.exe'(696)

c:\windows\system32\LMIinit.dll

c:\windows\system32\LMIRfsClientNP.dll

.

Tempo para conclusão: 2009-05-25 18:21

ComboFix-quarantined-files.txt 2009-05-25 21:20

ComboFix2.txt 2009-05-24 16:21

 

Pré-execução: 19 pasta(s) 17,405,493,248 bytes disponíveis

Pós execução: 16 pasta(s) 17,423,241,216 bytes disponíveis

 

243 --- E O F --- 2009-05-22 15:57

 

 

E o Hijackthis

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 6:31:52 PM, on 5/25/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Arquivos de programas\QuickTime\qttask.exe

C:\Arquivos de programas\LogMeIn\x86\LogMeInSystray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Free Download Manager\fdm.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\LogMeIn\x86\RaMaint.exe

C:\Arquivos de programas\LogMeIn\x86\LMIGuardian.exe

C:\Arquivos de programas\LogMeIn\x86\LogMeIn.exe

C:\Arquivos de programas\LogMeIn\x86\LMIGuardian.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\mdm.exe

C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\system32\HPZipm12.exe

c:\Arquivos de programas\Arquivos comuns\Protexis\License Service\PsiService_2.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\Arquivos de programas\internet explorer\iexplore.exe

C:\Arquivos de programas\internet explorer\iexplore.exe

C:\Arquivos de programas\WinRAR\WinRAR.exe

C:\DOCUME~1\MRCIA~1\CONFIG~1\Temp\Rar$EX00.219\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gomplayer.com/codec/search.html...C-28F0B6A5C48E}

O1 - Hosts: ::1 localhost

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file)

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\Arquivos de programas\Scpad\scpsssh2.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Arquivos de programas\Free Download Manager\iefdm2.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Arquivos de programas\LogMeIn\x86\LogMeInSystray.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Free Download Manager] "C:\Arquivos de programas\Free Download Manager\fdm.exe" -autorun

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Velox.lnk = ?

O8 - Extra context menu item: Baixar com o Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dllink.htm

O8 - Extra context menu item: Baixar tudo com o Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dlall.htm

O8 - Extra context menu item: Baixar vídeo com o Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dlfvideo.htm

O8 - Extra context menu item: Download selecionado pelo Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dlselected.htm

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/vers...vex-2.2.4.1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1225987673348

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100

O17 - HKLM\System\CCS\Services\Tcpip\..\{AC6B2E00-A55B-450C-89E4-32702A0E3DB4}: NameServer = 200.165.132.154 200.165.132.148

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

O21 - SSODL: CompIBBrd - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll

O22 - SharedTaskScheduler: scpLIB - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Arquivos de programas\Bonjour\mDNSResponder.exe (file missing)

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Arquivos de programas\LogMeIn\x86\RaMaint.exe

O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Arquivos de programas\LogMeIn\x86\LogMeIn.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMIndexingService.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Arquivos de programas\Arquivos comuns\Protexis\License Service\PsiService_2.exe

 

--

End of file - 8794 bytes

 

 

 

 

Pedro, eu percebi que os arquivos S3 XDva205;XDva205;\??\c:\windows\system32\XDva205.sys --> c:\windows\system32\XDva205.sys [?]

S3 XDva223;XDva223;\??\c:\windows\system32\XDva223.sys --> c:\windows\system32\XDva223.sys [?]

S3 XDva224;XDva224;\??\c:\windows\system32\XDva224.sys --> c:\windows\system32\XDva224.sys [?] ainda existem. Mas não consigo localizar eles, nem colocando pra exibir os arquivos ocultos.

[PedroN 1]

Oi Diegocross Tenha Uma Boa Noite!

 

- Faça o download do Killbox e execute-o:

 

• Marque a opção Delete on Reboot. Copie a lista abaixo (selecione e clique em Editar > Copiar ou pressione Ctrl + C):

 

c:\windows\system32\XDva223.sys

 

        • Volte ao KillBox. Clique em File > Paste from clipboard. Clique no botão All Files;

• Clique no e responda Não à pergunta.

 

No mais o seu log estar limpo :)

 

Vá em Iniciar > Executar e digite "combofix /u" sem aspas como mostra a imagem abaixo:

 

 

Aguarde a desinstalação do programa combofix.

 

- Recomendo uma manutenção no computador para exclusão dos arquivos temporários, desnecessários e entradas inválidas no registro. Faça o download do CCleaner

 

◘ Clique em Salvar e quando terminado o download, faça a instalação;

◘ Abra o programa e clique em Executar Limpeza;

◘ Após isto, clique em Registro > Procurar erros > Corrigir erros selecionados.

 

• Atualize o Java.

• Versões antigas têm vulnerabilidades que,malwares,podem usar para infectar seu sistema.

<><><><><><><><><><><><><><><>

• Faça download da última versão do Java Runtime Environment (JRE) 6u13.

• Localize: "Java Runtime Environment (JRE) 6 Update 13"

• Clique no botão Download.

• Marque a opção que diz: "Accept License Agreement"

• A página será atualizada!

• Clique no link,para download do Windows Offline Installation --> Salve-o no desktop!

• Feche o IE ou Firefox + Programas que estejam sendo executados.

• Vá em Iniciar --> Painel de Controle.

• Em Adicionar ou Remover Programas;remova todas as antigas versões do Java.

<><><><><><><><><><><><><><><>

• Exemplos de antigas versões:

 

< > Java 2 Runtime Environment, SE v1.4.2

< > J2SE Runtime Environment 5.0

< > J2SE Runtime Environment 5.0 Update 6

 

• Selecione qualquer item com nome: Java Runtime Environment (JRE ou J2SE)

• Clique no botão Remover ou Alterar/Remover.

• Repita quantas vezes for necessária,para remover cada versão do Java.

• Concluindo,reinicie o computador!

• Instale a nova versão,com um duplo clique em jre-6u13-windows-i586-p.exe.

<><><><><><><><><><><><><><><>

• Ccrie um ponto limpo na Restauração do Sistema.

• Clique com o direito do mouse,em cima de Meu Computador --> Propriedades --> Restauração do Sistema.

• Marque: Desativar Restauração do Sistema --> Aplicar --> Aguarde! --> Ok.

• Depois,desmarque novamente! --> Aplicar --> Aguarde! --> Ok.

• Para maiores detalhes,leia o Tutorial: < Link >

 

                                                              • Algum problema?

[Diegocross 0]

Oi Diegocross Tenha Uma Boa Noite!

 

- Faça o download do Killbox e execute-o:

 

• Marque a opção Delete on Reboot. Copie a lista abaixo (selecione e clique em Editar > Copiar ou pressione Ctrl + C):

 

c:\windows\system32\XDva223.sys

 

        • Volte ao KillBox. Clique em File > Paste from clipboard. Clique no botão All Files;

• Clique no e responda Não à pergunta.

 

No mais o seu log estar limpo :)

 

Vá em Iniciar > Executar e digite "combofix /u" sem aspas como mostra a imagem abaixo:

 

 

Aguarde a desinstalação do programa combofix.

 

- Recomendo uma manutenção no computador para exclusão dos arquivos temporários, desnecessários e entradas inválidas no registro. Faça o download do CCleaner

 

◘ Clique em Salvar e quando terminado o download, faça a instalação;

◘ Abra o programa e clique em Executar Limpeza;

◘ Após isto, clique em Registro > Procurar erros > Corrigir erros selecionados.

 

• Atualize o Java.

• Versões antigas têm vulnerabilidades que,malwares,podem usar para infectar seu sistema.

<><><><><><><><><><><><><><><>

• Faça download da última versão do Java Runtime Environment (JRE) 6u13.

• Localize: "Java Runtime Environment (JRE) 6 Update 13"

• Clique no botão Download.

• Marque a opção que diz: "Accept License Agreement"

• A página será atualizada!

• Clique no link,para download do Windows Offline Installation --> Salve-o no desktop!

• Feche o IE ou Firefox + Programas que estejam sendo executados.

• Vá em Iniciar --> Painel de Controle.

• Em Adicionar ou Remover Programas;remova todas as antigas versões do Java.

<><><><><><><><><><><><><><><>

• Exemplos de antigas versões:

 

< > Java 2 Runtime Environment, SE v1.4.2

< > J2SE Runtime Environment 5.0

< > J2SE Runtime Environment 5.0 Update 6

 

• Selecione qualquer item com nome: Java Runtime Environment (JRE ou J2SE)

• Clique no botão Remover ou Alterar/Remover.

• Repita quantas vezes for necessária,para remover cada versão do Java.

• Concluindo,reinicie o computador!

• Instale a nova versão,com um duplo clique em jre-6u13-windows-i586-p.exe.

<><><><><><><><><><><><><><><>

• Ccrie um ponto limpo na Restauração do Sistema.

• Clique com o direito do mouse,em cima de Meu Computador --> Propriedades --> Restauração do Sistema.

• Marque: Desativar Restauração do Sistema --> Aplicar --> Aguarde! --> Ok.

• Depois,desmarque novamente! --> Aplicar --> Aguarde! --> Ok.

• Para maiores detalhes,leia o Tutorial: < Link >

 

                                                              • Algum problema?

 

 

Infelizmente ainda há o problema de Soket Error # 11004 no TeamSpeak :(